Drs. Urjan Claassen ra re ciaermplus:

een praktische

toepassing

van coso erm

Risico­management

H A N D B O E K

Drs. Urjan Claassen RA RE CIA

Handboek risicomanagement

ERMplus: een praktische toepassing van COSO ERM

Vakmedianet

Omslagontwerp: Bottenheft

ISBN 978 90 13 064049

© 2009 Kluwer, Deventer© 2015 Vakmedianet, Deventer

Aan de totstandkoming van deze uitgave is de uiterste zorg besteed. Voor informatie die nochtans onvolledig of onjuist is opgenomen,aanvaarden auteur(s), redactie en uitgever geen aansprakelijkheid. Voor eventuele verbeteringen van de opgenomen gegevenshouden zij zich gaarne aanbevolen.Alle rechten voorbehouden. Niets uit deze uitgave mag worden vermenigvuldigd, opgeslagen in een geautomatiseerd gegevensbestandof openbaar gemaakt, in enige vorm of op enige wijze, hetzij elektronisch, mechanisch, door fotokopieën, opnamen of enig anderemanier, zonder voorafgaande schriftelijke toestemming van de uitgever.Voor zover het maken van kopieën uit deze uitgave is toegestaan op grond van art. 16h t/m 16m Auteurswet 1912 jo Besluit van 27november 2002, Stb. 575 dient men de daarvoor wettelijk verschuldigde vergoedingen te voldoen aan de Stichting Reprorecht teHoofddorp (Postbus 3051, 2130 KB).

Inhoud

11Woord vooraf

13Voorwoord

15Dankwoord

17Inleiding117Waarom integraal risicomanagement?1.117Het ‘conformance’- en ‘performance’-motief1.1.119Van risicomanagement naar integraal risicomanagement1.1.219Het COSO ERM-model1.2

19COSO het meest gebruikte referentiemodel voor (inte-graal) risicomanagement

1.2.1

20Tekortkomingen COSO ERM1.2.221ERMplus1.321Doelstelling1.3.122Uitgangspunten1.3.224Voor wie is dit boek geschreven?1.424Verdere indeling van het boek1.5

27Ontwikkelingen en achtergronden227Inleiding2.129Corporate governance2.231De evolutie van risicomanagement2.331Traditioneel risicomanagement2.3.132Bedrijfsrisicomanagement2.3.233Enterprise Risk Management2.3.334Conclusie2.3.435COSO Enterprise Risk Management2.438ERMplus2.541Samenvatting2.6

43Een gemeenschappelijke taal343Het belang van een gemeenschappelijke taal3.1

5

44Definitie van het begrip risico3.246Risicocategorieën3.346Categorale risico-indeling3.3.149Functionele risico-indeling3.3.251Het risicomanagementproces3.455Samenvatting3.5

57Organisatiedoelstellingen, -structuur en -cultuur458Tone at the top4.159Strategische doelstellingen4.264Procesdoelstellingen4.368Risicostrategie en risicobeleid4.477Organisatiestructuur4.577Verdedigingslinies4.5.1

82Psychologische en sociologische aspecten van risicomanage-ment

4.6

82Beoordelingsvermogen en besluitvorming4.6.185Besluitvorming in groepsverband4.6.2

86Suggesties ten aanzien van psychologische en sociologischeinvloeden

4.6.3

87Samenvatting4.7

89Identificatie van risico’s en risicostrategieën589Het risicomanagementproces5.190Inventariseren van risico’s5.292Strategische risico’s5.2.195Procesrisico’s5.2.2

103Risicogroepen5.3106Beoordelen van het risicoprofiel5.4107COSO ERM en de SWOT-analyse5.4.1111Risicomapping5.4.2115Beoordelen risicoprofiel5.4.3117Ontwikkelen van risicohouding, -strategie en -beleid5.5118Risicohouding5.5.1119Risicostrategieën5.5.2123Samenvatting5.6

125Inrichting beheersingsprocessen6125De plaats van beheersing binnen risicomanagement6.1126Inrichting beheersingsprocessen: de infrastructuur6.2

132Beheersingsprocessen: management control, interne beheer-sing en interne controle

6.3

6

134Het integraal beheersingskader6.4138Kwadrant 1: Soft Controls6.4.1143Kwadrant 2: Strategic & Management Control6.4.2166Kwadrant 3 en 4: Operational Control6.4.3175Samenvatting6.5

177Monitoring en continu verbeteren7177Monitoring en verbetering van het risicomanagementproces7.1178De auditfunctie (derde en vierde verdedigingslinie)7.2179Het beoordelen van risico’s7.2.1181De totstandkoming van het auditplan7.2.2186Het uitvoeren van het auditplan7.2.3188Relatie met risicomanagement binnen de lijnorganisatie7.2.4188Ondersteunende auditmanagementsoftware7.2.5

189Toezicht door de lijnorganisatie (eerste en tweede verdedi-gingslinie)

7.3

189Uitgangspunten voor effectief toezicht7.3.1193Het inrichten van toezicht7.3.2

209De rol van de interne en externe auditor7.3.3212Continu verbeteren7.4217Samenvatting7.5

219Verantwoording8219In control-statements8.1222In control-statements nader bezien8.2222Overwegingen bij het gebruik van het in control-statement8.2.1224Van een ‘smal’ naar een ‘breed’ in control-statement8.2.2229Weerstandsvermogen8.3230Weerstandscapaciteit8.3.1231Inventarisatie risico’s8.3.2234Simulatie8.3.3

242Bepalen weerstandsvermogen en een gemeenschappelijketaal

8.3.4

244In control-statement versus weerstandsvermogen8.4

245Verschillen tussen het in control-statement en het weer-standsvermogen

8.4.1

246Overeenkomsten tussen het in control-statement en hetweerstandsvermogen

8.4.2

247Wat is nu beter?8.4.3248Samenvatting8.5

251Implementatie9

7

251Generiek implementatieplan9.1256Aanvliegroutes voor implementatie9.2257Vanuit verdedigingslinie 1a9.2.1

260Vanuit verdedigingslinie 1b9.2.2262Vanuit verdedigingslinie 1c9.2.3265Vanuit de derde verdedigingslinie9.2.4268Kritieke succesfactoren voor implementatie9.3268Leiderschap9.3.1269Rekenschap en betrokkenheid9.3.2270Veranderkundige aspecten bij de implementatie9.4270De veranderstrategie9.4.1277Interventies9.4.2278Communicatie en evaluatie9.4.3280Samenvatting9.5

283Projectrisicomanagement10284Projecten en projectrisico’s10.1285Projectmanagement10.2285Projectfasering10.2.1286Beheersaspecten10.2.2287Projectrisicoregister10.2.3288Projectmanagement en ERMplus10.3289Initiatieffase10.3.1293Definitiefase10.3.2296Ontwerpfase10.3.3300Realisatiefase10.3.4302Nazorgfase10.3.5304Samenvatting10.4

307Risicomanagement en de kredietcrisis11307Risicomanagement binnen de keten11.1309Vermogensverstrekking en participatie11.1.1312Een benadering van vraag en aanbod: de reële economie11.1.2315Garanties en aansprakelijkheden11.1.3318Juridische ketenaansprakelijkheid11.1.4322Samenvatting risicomanagement binnen de keten11.1.5323Risicoversterkende factoren binnen de keten11.2

323Factor 1 Eliminatie kredietrisico uit de eerste verdedigings-linie

11.2.1

324Factor 2 Gebrek aan transparante informatievoorziening11.2.2325Factor 3 Beperkt toezicht11.2.3326Factor 4 Belonings- en bonussenbeleid11.2.4

8

328Factor 5 Falend risicobeheer11.2.5331Factor 6 ‘Rule based’ toezicht11.2.6

332De rol van de Amerikaanse overheid: eigen schuld, dikkebult?

11.3

332Fannie Mae & Freddie Mac11.3.1333Community Reinvestment Act11.3.2334Monetair beleid11.3.3335Conclusie11.3.4338De kredietcrisis en de islamitische economie11.4342Waar waren de accountants?11.5343Beheersing in ketenverband11.6344Kredietcrisis versus het integraal beheersingskader11.6.1349Hypegiaphobia11.6.2352Suggesties voor verbetering11.6.3361Evolutie in risicomanagement: ketenrisicomanagement11.7363Kritische succesfactoren voor ketenrisicomanagement11.7.1366Samenvatting11.8

367Toezichthouders12367Toezicht en het risicomanagementproces12.1369Achtergronden rondom toezicht12.2369One-tier en two-tier governancemodellen12.2.1370One-tier en two-tier ontwikkelingen in Nederland12.2.2372Gezagsstructuur12.2.3372Rollen van commissarissen en bestuurders12.3372De agencytheorie12.3.1373Raad van bestuur12.3.2374Raad van commissarissen12.3.3376De commissies van de raad van commissarissen12.4376Gespecialiseerde commissies12.4.1377Audit committee12.4.2378Operationele processen van de raad van commissarissen12.5383Samenvatting12.6

385Wetgeving en reglementering13385Profitorganisaties13.1385Sarbanes-Oxley Act (VS)13.1.1390J-SOx (Japan)13.1.2394Nederlandse Corporate Governance Code13.1.3411Code Pension Fund Governance13.1.4

424Non-profitorganisaties13.2424NVZ-Governancecode13.2.1

9

432Zorgbrede Governancecode13.2.2436Governancecode Woningcorporaties13.2.3446Governancecode BVE13.2.4450Code goed bestuur uitvoeringsorganisaties13.2.5456Accountants13.3456Audit Alert 1813.3.1465Samenvatting13.4

467Epiloog14

471Bijlage 1 Volwassenheidsscan risicomanagement

481Bijlage 2 Quick scan soft controls

489Bijlage 3 Overzicht internationale Corporate Governancewetgeving en-reglementering

501Bijlage 4 Lijst met figuren en tabellen

505Bijlage 5 Begrippenlijst

521Geraadpleegde literatuur

527Over de auteur

529Clascon Risicomanagement

10

Voorwoord

Volgens het woordenboek heeft het woord ‘risico’ in 1525 haar intrede gedaan inde Nederlandse taal. Over de precieze herkomst en betekenis van het woord ‘risico’bestaan echter nog veel twijfels. Sommigen beweren dat het woord is afgeleid vanhet Latijnse ‘resecare’ wat ‘snoeien’ of ‘afsnijden’ betekent. Volgens anderen komthet woord ‘risico’ voort uit het Arabische ‘rizq’ wat staat voor ‘lot, fortuin, zegening’.Los van de vraag welke stroming het bij het rechte eind heeft, over de importantievan risico’s zijn mensen het unaniem eens: risico’s zijn actueel en verdienen, meerdan ooit, grote aandacht. Voor veel directies en managementteams vormt het on-derwerp ‘risico’ of risicomanagement dan ook, impliciet of expliciet, een vast te-rugkerend onderdeel van de bestuurlijke agenda. De reden hiervoor is gelegen inde aantoonbare toegevoegde waarde die risicomanagement heeft. Adequaat risico-management kan een wezenlijke bijdrage leveren aan het daadwerkelijk realiserenvan organisatiedoelstellingen, adequate rapportage hierover en het inrichten vaneen efficiënte bedrijfsvoering.

Wereldwijd vormt het COSO ERM-model verreweg het meest gebruikte raamwerkvoor het beoordelen en inrichten van risicomanagement. Zowel door directies vanorganisaties als toezichthouders en auditors. Dit model, uitgevaardigd in 2004door de Committee of Sponsoring Organizations of the Treadway Commission(COSO), heeft tot doel organisaties te helpen met het beoordelen en verbeterenvan de interne beheersingssystemen. De afkorting ERM heeft betrekking op deinternationale, Engelstalige titel van het model: ‘Enterprise Risk Management –Integrated Framework’. De termen ‘Enterprise’ en ‘Integrated’ refereren hierbijaan het organisatiebrede en integrale karakter van de toepassing; alle gelederenbinnen een organisatie zijn betrokken bij het beheersen van strategische, operati-onele, rapportage- en toezichtrisico’s vanuit wet- en regelgeving.

Ondanks het gegeven dat COSO ERM wereldwijd veelvoudig wordt toegepast, iser ook kritiek op het model. Zo wordt vaak genoemd dat het model theoretisch enconceptueel van aard is, het hierdoor geen eenduidig normenkader vormt en nietvoorziet in een duidelijk stappenplan voor het implementeren van dit raamwerk.

In dit boek beoog ik deze bezwaren zo veel mogelijk weg te nemen en de praktischetoepasbaarheid van het COSO ERM-model te vergroten. Door de verschillende

13

componenten van het model verder uit te diepen en handvatten te bieden voor detoepassing van COSO ERM. Voor u als operationele medewerker, manager, adviseurof auditor. Hiertoe hebben we de principes en uitgangspunten van COSO ERMdoorvertaald in een meer pragmatische en gestructureerde routekaart. Deze route-kaart heet ERMplus.

De intentie van dit boek is (financieel) managers, risicobeheerders en auditors tehelpen met risicomanagement door middel van een ‘state of the art’ taal en aanpak.Dit alles gebaseerd op de principes van het COSO ERM-model. Ondanks mijnstreven om mijn visie op risicomanagement zo zorgvuldig en gefundeerd mogelijkop papier te zetten, ben ik me ervan bewust dat dit boek ongetwijfeld verbeterpuntenkent. Voor het verder ontwikkelen van deze taal en aanpak zijn uw reacties, alslezer en/of gebruiker van dit boek, van grote toegevoegde waarde. Ik houd mij danook van harte aanbevolen. Hiervoor kunt u direct contact met mij opnemen (e-mail: claassen.urjan@clascon.nl).

14

v o o r w o o r d

1 Inleiding

1.1 Waarom integraal risicomanagement?

Onder bestuurders, collega’s of studenten rijst met enige regelmaat de vraag watde feitelijke toegevoegde waarde is van integraal risicomanagement voor een orga-nisatie. Waarom moeten we aan integraal risicomanagement doen?

Veel gehoorde opmerkingen in dit kader zijn: ‘We doen dit voor de accountantof de financiële controller’, ‘Risicomanagement betekent extra werk en checklisten’of ‘Risicomanagement is toch gewoon je werk goed doen?’ Voor bepaalde groepenbestaat het beeld dat risicomanagement met name toegevoegde waarde heeft vooranderen en niet de organisatie zelf. Dit is zorgelijk. Zonder een duidelijk antwoordte hebben op de vraag waarom een organisatie aan integraal risicomanagementmoet doen, is de kans groot dat elk initiatief op dit terrein mislukt. Kortom: wezullen onszelf eerst moeten overtuigen van het nut en de noodzaak van integraalrisicomanagement alvorens we verdere organisatorische of inhoudelijke stappenkunnen zetten.

1.1.1 het ‘conformance’- en ‘performance’-motief

Nut en noodzaak voor risicomanagement is gelegen in een tweetal basisprincipesdie het bestaansrecht van elke organisatie bepalen: het ‘conformance-’ en ‘perfor-mance’-motief.

Het ‘conformance’-motiefHet eerste basisprincipe heeft betrekking op het voldoen aan wet- en regelgeving,zoals fiscale en civielrechtelijke wetgeving of corporate-governancecodes. Organi-saties zullen zich moeten conformeren aan deze wet- en regelgeving. Ingeval eenorganisatie zich niet houdt aan wet- en regelgeving, kan dit leiden tot sancties zoalsboetes of het verlies van vergunningen. Ook kunnen meer schades in termen vantijd en geld het gevolg zijn van ‘non-conformance’. Denk hierbij bijvoorbeeld aanvertragingen in bouwprojecten of onverwachte juridische kosten. Feitelijk biedthet voldoen aan wet- en regelgeving een ‘licence to operate’, ofwel een licentie omde bedrijfsvoering te kunnen uitoefenen. Het voldoen aan wet- en regelgeving

17

wordt ook wel geduid als het ‘conformance’-motief. Door risico’s te inventariserenten aanzien van relevante wet- en regelgeving en hiertoe een stelsel van beheer-singsmaatregelen in te richten, kan op efficiënte en effectieve wijze worden voldaanaan wet- en regelgeving. Risicomanagement is in dit kader een nuttig hulpmiddel.

Risicomanagement kent hierbij wel een sterk defensief karakter, ‘het moet’,het heeft mogelijk een ‘check the box-mentaliteit’ tot gevolg.

Het ‘performance’-motiefHet tweede basisprincipe heeft betrekking op het creëren van toegevoegde waarde.In het bedrijfsleven zal dit met name betrekking hebben op het creëren van aan-deelhouderswaarde. In de publieke sector zal het performancemotief betrekkinghebben op het realiseren van maatschappelijke doelstellingen. Hierbij kent risico-management een offensief karakter. Het is gericht op bedreigingen die het bereikenvan deze doelstellingen in de weg kunnen staan. Het performancemotief is danook gericht op het waarborgen van het (commerciële) bestaansrecht van de organi-satie, ofwel een ‘licence to survive’.

Interessant in dit kader is een onderzoek van Booz Allen Hamilton uit 2004 naarde belangrijkste redenen voor het verlies van aandeelhouderswaarde. Dit onderzoektoonde aan dat in slechts 13% van de onderzochte ondernemingen het verlies aanaandeelhouderswaarde, of breder geformuleerd ‘maatschappelijk nut’, te wijtenwas aan het niet voldoen aan wet- en regelgeving. De overige 87% was te wijtenaan operationele en strategische blunders.

Figuur 1.1 Redenen voor het verlies aan aandeelhouderswaarde (bron: Booz Allen Hamilton 2004)

18

h o o f d s t u k 1

1.1.2 van risicomanagement naar integraal risicomanagement

Zoals uit het aangehaalde onderzoek blijkt wordt het bestaansrecht van een orga-nisatie in hoge mate bedreigd door andere soorten risico’s dan waar we traditioneelgewend zijn naar te kijken. Als uw medewerkers of collega’s melding maken datrisicomanagement ‘moet van de accountant’ spreken we enkel over het ‘conform-ance’-motief. Maar ondertussen weten we dat ‘het mislukken van het echte werk’,te weten het nakomen van onze beloftes in termen van winstprognoses of het rea-liseren van doelstellingen, in belangrijke mate voorkomen had kunnen wordendoor strategische en operationele risico’s goed te beheersen. Integraal heeft hierbijbetrekking op het inrichten van risicomanagementprocessen op strategische enoperationele doelen, financiële verslaggeving en de naleving van wet- en regelgeving.Kortom: het ‘conformance’- en ‘performance’-terrein gecombineerd.

Opmerkelijk in dit kader is de hoeveelheid tijd en geld die beursgenoteerde onder-nemingen hebben besteed om te voldoen aan wet- en regelgeving alsook de bijbe-horende kritiek daarop. Zo pleitte de Amerikaanse senator Ron Paul in april 2005in het Amerikaanse congres voor minder strenge regelgeving ten aanzien van fi-nanciële verslaggeving omdat Sarbanes-Oxley te kostbaar en te tijdsintensief isvoor beursgenoteerde bedrijven in de Verenigde Staten. In totaal is tot en met ja-nuari 2008 reeds 1,2 triljoen dollar besteed om te voldoen aan Sarbanes-Oxley.1

Amerikaanse congresleden vrezen de opkomst van andere kapitaalmarkten, zoalsde London Stock Exchange, ten nadele van Nasdaq en de Dow Jones.

1.2 Het COSO ERM-model

1.2.1 coso het meest gebruikte referentiemodel voor (inte-graal) risicomanagement

Wereldwijd hebben verschillende instanties standaarden ontwikkeld voor devormgeving van (integraal) risicomanagement. Het meest recente en bekende ishet door The Committee of Sponsoring Organizations of the Treadway Commis-sion (COSO) gepubliceerde raamwerk COSO Enterprise Risk Management – Inte-grated Framework uit 2004, dat voortborduurt op het COSO Internal Control –Integrated Framework uit 1992. Andere standaarden vinden vaak hun oorsprongbinnen een bepaalde branche of een bepaald land. Zo is er de Australian/NewZealand Risk Management Standard 4360 waarvan reeds in 1995 de eerste versiewerd uitgegeven door de Council of Standards voor beide landen. Voorbeeldenvan branchespecifieke standaarden zijn Basel II voor het bankwezen en SolvencyII voor het verzekeringswezen.

1 WorldNetDaily, ‘U.S. in the red and getting redder’, Ilana Mercer, February 29, 2008.

19

i n l e i d i n g

Uit onderzoek van PricewaterhouseCoopers en de Rijksuniversiteit Groningen in2004 onder leden van het Controllers Instituut blijkt dat 63% van de respondentengebruikmaakt van een standaardrisicomanagementmethodiek. Van deze groephanteert bijna driekwart van de respondenten COSO.

Figuur 1.2 Het gebruik van risicomanagementstandaarden in Nederland (bron: PricewaterhouseCoopers en

Rijksuniversiteit Groningen, 2004)

1.2.2 tekortkomingen coso erm

Ondanks het gegeven dat COSO ERM wereldwijd veelvoudig wordt toegepast, iser ook kritiek op het model. Kritiek die zich in belangrijke mate richt op de prakti-sche bruikbaarheid ervan. Hierna volgt een overzicht van veelgehoorde puntenvan kritiek.

1. Geen eenduidig normenkaderEen veel gehoorde kritiek op COSO ERM is het theoretische karakter van het model.COSO ERM is conceptueel van aard en beschrijft slechts een aantal aandachtspun-ten voor de inrichting van risicomanagement en interne beheersing. Wel zijn voorCOSO ERM ondersteunende werkdocumenten beschikbaar waarin, door middelvan praktische voorbeelden, de (deel)componenten nader worden uitgelegd. Echter,een concreet en eenduidig normenkader voor het beoordelen van (de effectiviteitvan) risicomanagement en interne beheersingssystemen ontbreekt. Dit is jammeromdat van veel bestuurders, in navolging van corporate-governanceregelgeving,een expliciete uitspraak wordt verwacht over de effectiviteit van – delen van – hunrisicomanagement- en interne beheersingssystemen.

20

h o o f d s t u k 1

2. Ontbreken stappenplanVoor het implementeren van risicomanagement is een eenduidig en concreetstappenplan van wezenlijk belang. COSO ERM voorziet niet in een dergelijkstappenplan voor implementatie. Veel organisaties worstelen dan ook met de vraag‘waar en hoe te beginnen’. Afhankelijk van de aanleiding en de sponsoren voor deimplementatie van risicomanagement leidt dit tot specifieke complicaties. Alsvoorbeeld noemen we het ontwikkelen van een beheersingsraamwerk voor hetmanagement naar aanleiding van de introductie van een corporate-governancecode.Het stappenplan voor een dergelijke implementatie is geheel anders dan wanneereen organisatie start met een risicogebaseerde auditaanpak waarmee een auditaf-deling het management informeert over de effectiviteit van de beheersing.

3. Smalle definitie van interne beheersingInterne beheersing wordt binnen het COSO ERM-raamwerk gedefinieerd alsrichtlijnen en procedures gericht op het waarborgen dat risico’s adequaat wordenbeheerst. Beheersing richt zich hierbij op het reduceren van (de gevolgen van) ri-sico’s. De betekenis van interne beheersing in relatie tot het verzilveren van kansenwordt niet nader uitgewerkt. Dit is opvallend omdat naar verwachting de aard vande activiteiten beduidend verschilt. Zo zal de beheersing van risico’s gepaard gaanmet bijvoorbeeld verificaties, ‘checks’ en functiescheidingen. Het verzilveren vankansen richt zich veel minder op dergelijke controles maar meer op het optuigenen realiseren van (de juiste) projecten. De toegevoegde waarde van strategischeplanning en planning en control blijft binnen COSO ERM dan ook onderbelicht.

4. Permanente actualiseringEen laatste punt van kritiek komt voort uit problemen die organisaties ervarenrondom het borgen en het actueel houden van risicomanagement en interne be-heersingssystemen. Vooral in situaties waarin organisaties snelle en ingrijpendeveranderingen ondergaan, zoals bij fusies of de invoering van nieuwe wetgeving.Binnen het COSO ERM-raamwerk worden in beperkte mate handreikingen gebodenvoor het borgen en actueel houden van risicomanagement- en interne beheersings-systemen. Dit is jammer omdat organisaties juist in dergelijke situaties hetmeeste behoefte hebben aan adequate risicomanagement- en interne beheersings-systemen.

1.3 ERMplus

1.3.1 doelstelling

Doelstelling van dit boek is een meer uitgewerkte methodiek te bieden om COSOERM binnen uw organisatie meer handen en voeten te geven en tekortkomingen

21

i n l e i d i n g

van dit model zo veel mogelijk weg te nemen. Via meer concrete handvatten eninzichten wordt een routekaart geboden die beoogt de praktische toepasbaarheidvan COSO ERM te vergroten.

In figuur 1.3 is een nadere uiteenzetting gegeven op welke wijze de genoemde te-kortkomingen worden weggenomen.

Figuur 1.3 Invulling tekortkomingen COSO ERM

ERMplusTekortkoming COSO ERM

Binnen ERMplus worden de componenten uit het ERM-modelgedetailleerder uitgewerkt waarbij zoveel mogelijk concrete

1. Geen eenduidig normenkader

handreikingen worden geboden. Deze uitwerking is een nadereconcretisering van de deelcomponenten en vormt daarmee eeneenduidiger normenkader voor de beoordeling van risicomana-gement en interne beheersing

In dit boek is een concreet stappenplan uitgewerkt voor het im-plementeren van risicomanagement. Aanvullend wordt hetstappenplan verrijkt door middel van implementatiestrategieën.Deze implementatiestrategieën hangen nauw samen met deplaats in de organisatie waar de implementatie aanvangt. Dezeimplementatiestrategieën worden hierna aanvliegroutes voorimplementatie genoemd

2. Ontbreken stappenplan

ERMplus onderkent een integraal beheersingskader waarbij expli-ciet een instrumentarium wordt geboden voor het verzilverenvan kansen. Hierbij wordt nauw aansluiting gezocht met de bete-kenis van de planning- en controlcyclus en de rol van personeelen organisatie. Aanvullend maakt ERMplus onderscheid tusseninterne beheersing voor strategische en procesrisico’s

3. Smalle definitie van interne beheersing

Het onderhoud van risicoprofielen en beheersingskaders is binnenEMRplus uitgewerkt aan de hand van een vijftal rollen, te weten

4. Permanente actualisering

materiedeskundige, management, risicomanager, controller enauditor. Een of meer van deze rollen kunnen, in onderlinge sa-menwerking, zorgdragen voor het actualiseren van risicomanage-ment

Hoewel veel tijd en energie geïnvesteerd is in het uitwerken van deze methodiek,zullen in de loop der tijd ongetwijfeld nieuwe inzichten ontstaan die de kwaliteitvan deze aanpak verder zal verbeteren. Zo bezien is dit boek dan ook geen statischdocument. Mocht u bij het lezen van dit boek hiertoe suggesties willen doen, danbent u van harte uitgenodigd.

1.3.2 uitgangspunten

Voor het uitwerken van de ERMplus-methodiek is een aantal uitgangspunten ge-definieerd. Deze uitgangspunten vormen belangrijke principes voor de aard enwijze van invulling van de methodiek. Deze uitgangspunten zijn:– Binnen dit boek wordt corporate governance bezien vanuit twee aandachtsge-

bieden: goed bestuur en het afleggen van verantwoording.

22

h o o f d s t u k 1

– Risicomanagement wordt binnen dit boek eveneens gezien als een onderdeelvan goed bestuur. De toepassing van risicomanagement, als onderdeel vancorporate governance, is in de praktijk veelal gericht op getrouwe (financiële)verantwoording en een deugdelijke interne beheersing.

– De kern van risicomanagement zoals beschreven in dit boek, is het bevorderenvan waardecreatie en het verbeteren van prestaties. Daarbij richten we onsop de totstandkoming en het realiseren van bedrijfsdoelen, het beoordelenen ontwikkelen van medewerkers en het afleggen van verantwoording aanstakeholders.

– Risicomanagement is een proces, bewerkstelligd door mensen op elk niveauvan de organisatie, en gericht op het herkennen van potentiële gebeurtenissendie van invloed zijn op de organisatie en op het beheersen van het risicobinnen de risicoacceptatiegraad.

– Risicomanagement is erop gericht om een redelijke, maar geen absolute,mate van zekerheid te bieden aan het management dat organisatiedoelstellin-gen worden gerealiseerd.

– Risicomanagement en integraal risicomanagement worden in dit boek alssynoniemen gebruikt. Integraal heeft hierbij betrekking op enerzijds eengeïntegreerde beheersing van strategische, operationele, financiële en com-pliancerisico’s; deze risico’s worden niet enkel vanuit aparte specialistischefuncties en afdelingen beheerst. Anderzijds heeft integraal betrekking op deorganisatiebrede betrokkenheid van mensen.

– Risicomanagement wordt onderverdeeld in strategisch risicomanagementen procesrisicomanagement. Dit onderscheid is van belang in verband methet beschikbare instrumentarium voor het management van risico’s en hetverbeteren van prestaties.

– Verantwoording heeft binnen dit boek betrekking op het afleggen van reken-schap aan ‘stakeholders’ omtrent gerealiseerde prestaties alsmede de effecti-viteit van het interne risicomanagement en beheersingssysteem. Verantwoor-ding over prestaties is gekoppeld aan de (beloofde) bedrijfsdoelstellingen.Verantwoording over interne beheersing heeft betrekking op de getrouwheidvan de (financiële) verantwoording en effectiviteit van de interne beheersing.

– Risicomanagement is zowel een zaak van het (top)management, de toezicht-houder, de interne en externe auditor als de uitvoerder zelf. Zowel het ma-nagement, de auditor als de medewerker hebben een expliciete verantwoor-delijkheid in het beheersen van risico’s en het leveren van prestaties. Ditwordt in dit boek geduid als de eerste tot en met de vijfde verdedigingslinievan risicomanagement.

– Raad van commissarissen en raad van toezicht worden in dit boek als syno-niemen gebruikt. Beide termen duiden op de rol van een toezichthoudendorgaan. Het gebruik van deze termen verschilt in de praktijk per branche.

23

i n l e i d i n g

1.4 Voor wie is dit boek geschreven?

Dit boek is geschreven voor operationele medewerkers, managers, adviseurs enauditors die in de praktijk betrokken zijn bij risicomanagement. Dit boek heeft alsdoel hen te voorzien van praktische handvatten en inzichten om risicomanagementaan de hand van het COSO ERM-model te ontwerpen en te implementeren. Vooroperationele medewerkers wordt een nadere uitleg gegeven rondom de betekenis vanspecifieke documenten en richtlijnen rondom risicomanagement. Daarnaast treffenzij in dit boek handvatten aan op welke wijze risico’s en beheersingsmaatregelenkunnen worden geïdentificeerd, geanalyseerd en worden getest. Voor managersbevat het boek handreikingen om van hoger hand sturing te geven aan risicoma-nagement binnen hun organisatie. Aanvullend biedt het boek een kapstok voorde inrichting van een intern beheersingskader voor het doen functioneren vaninterne beheersing binnen de lijnorganisatie. Voor adviseurs biedt het boek eenpassende methodiek voor het adviseren van cliënten bij het ontwerp en inrichtenvan risicomanagement. Auditors kunnen met dit boek hun voordeel doen bij hetontwerpen en inrichten van een risicogebaseerde auditaanpak.

De principes van COSO ERM worden in dit boek uitgewerkt aan de hand vangangbare en bekende modellen. Hierdoor stelt het boek, voor iedereen die enigszinsvertrouwd is met organisatiekunde en management control, geen bijzondere eisen.

1.5 Verdere indeling van het boek

Dit hoofdstuk heeft een beschouwing gegeven waarom risicomanagement van nuten toegevoegde waarde is. De reden waarom we aan risicomanagement zoudenmoeten doen, is het veiligstellen van het bestaansrecht van de organisatie: vanuiteen ‘conformance’- en ‘performance’-motief.

In het vervolg van dit handboek zullen we allereerst ingaan op de vraag wat risico-management inhoudt. In hoofdstuk 2 zal hiertoe een introductie worden gegevenvan corporate governance en ontwikkelingen binnen het vakgebied risicomanage-ment. Deze introductie heeft tot doel de achtergrond te schetsen waarlangs belang-rijke principes uit het gedachtegoed in dit boek zijn ontstaan. De ‘wat-vraag’ wordtverder vervolgd door de beschrijving van een gemeenschappelijke taal voor risico-management in hoofdstuk 3.

Op de vraag hoe risicomanagement kan worden uitgevoerd, zal worden ingegaanin de hoofdstukken 4 tot en met 9. Hoofdstuk 4 richt zich hierbij op de randvoor-waardelijke organisatie van risicomanagement. De inhoudelijke uitvoering vanhet risicomanagementproces start in hoofdstuk 5 met het identificeren van risico’s

24

h o o f d s t u k 1

en risicostrategieën, gevolgd door het inrichten van beheersing (hoofdstuk 6),monitoring en continu verbeteren (hoofdstuk 7), verantwoording aan de buiten-wacht (hoofdstuk 8) en de implementatie van risicomanagement (hoofdstuk 9).

De hoofdstukken 10 tot en met 13 vormen tezamen een naslagwerk voor een aantalspecifieke onderwerpen. In hoofdstuk 10 wordt een nadere beschouwing gegevenrondom risicomanagement en de kredietcrisis. Eveneens wordt in dit hoofdstukeen toekomstbeeld geschetst rondom de ontwikkeling van het vak risicomanage-ment. In hoofdstuk 11 wordt een nadere uiteenzetting gegeven van de rol van deraad van commissarissen ten aanzien van risicomanagement en interne beheersing.In hoofdstuk 12 wordt een samenvatting gegeven van de belangrijke wet- en regel-geving in relatie tot risicomanagement in Nederland.

Tot slot treft u in hoofdstuk 13 een nabeschouwing aan in de vorm van eenepiloog.

25

i n l e i d i n g

Dit boek beschrijft een methodiek voor het inrichten van integraal

risicomanagement. Deze methodiek is praktisch van aard en richt

zich op alle betrokkenen binnen het risicomanagementproces. Van

directies tot lijnmanagers en proceseigenaren. Van controllers tot

auditors. Hierdoor beschikken organisaties snel over een professio-

nele gemeenschappelijke taal voor risicomanagement. Dit boek is

gebaseerd op de principes van het COSO ERM-model; wereldwijd het

meest gehanteerde model door zowel organisaties als toezichthou-

ders voor adequaat risicomanagement en interne beheersing.

Ondanks de grote bekendheid van dit model, bestaat er ook kritiek.

Het model is te conceptueel van aard en het ontbreken van een

implementatieplan wordt vaak als een groot gemis ervaren. Binnen

dit boek worden concrete handvatten geboden voor het identificeren

en beheersen van risico’s op strategisch en procesniveau. Eveneens

beschrijft het boek praktische aanvliegroutes voor het implemente-

ren van risicomanagement waarbij aansluiting wordt gezocht bij de

specifieke rollen van betrokken functionarissen en afdelingen. Tot

slot biedt het boek een verfrissende analyse van de kredietcrisis en

de relatie hiervan met risicomanagement en geeft het een duidelijke

toekomstvisie weer rondom de ontwikkeling van het vakgebied.

www.cmweb.nl

Over de auteurDrs. Urjan Claassen RA RE CIA is verbonden als vennoot aan Clascon (www.clascon.nl). Daarnaast is hij universitair docent Advanced Auditing aan de Nyenrode Business Universiteit.

Clascon is een gespecialiseerd adviesbureau op het gebied van risico management, internal audit en comliance. Clascon helpt organisaties in het creëren van waarde middels een op maat gemaakt dienstverleningsconcept, trainingen en onder - steunende risico managementsoftware.