COSO ERM 2017 koppelt risicomanagement aan strategie en prestatiemanagement

De  standaard Enterprise Risk Management  - Integrating with Strategy and Performance – die door COSO nieuw uitgegeven is, heeft veel te bieden voor jouw organisatie. De standaard geeft managers, controllers, risicomanagers en internal auditors nieuwe handvatten voor de inrichting van risicomanagement. 

Er is immers veel veranderd in risicomanagementland sinds het oorspronkelijke COSO ERM-kader in 2004 werd ingevoerd. De wereld is sinds die tijd sterk getransformeerd. De technologische vooruitgang bracht geweldige nieuwe kansen maar ook risico’s als cybercriminaliteit met zich mee. Daarnaast nam de informatiesnelheid in een razendsnel tempo toe. Ketens van dienstverlening werden complexer, er ontstond versplinterde compliance  en ga zo maar door. 

Maar ook kreeg de COSO-kubus zelf kritiek te verduren. Ondanks dat de COSO-kubus een handvat bood voor organisaties, bleken veel risico’s niet zo geweldig gemanaged. Zo schreef Power een artikel “risk management is the management of nothing” waarin hij de kritiekpunten bespreekt over het model. Tot slot ontstond er ook concurrentie door andere normen als  ISO31000  en ISO9001. 

Koppeling met de strategie

Binnen deze kritiek werd de bal nadrukkelijk bij het C-level gelegd. In deze tijd van disruptie dient het C-level namelijk te beseffen dat risico’s de strategie, maar ook de prestaties van organisaties beïnvloeden en dat dit onderwerp serieus genomen moet worden. Zij zouden moeten erkennen dat het hier om meer gaat dan een checklist of afdeling (die makkelijk zijn te delegeren). Het gaat namelijk om een  cultuur die aansluit bij de waarden en de strategie van de organisaties. Ook de governance code van Van Maanen legt de nadruk op de  risicocultuur. De nieuwe COSO gaat over strategie, effectiviteit en efficiëntie van de bedrijfsprocessen en de naleving van wet- en regelgeving en dat allemaal risico gestuurd. De nieuwe COSO biedt een kapstok voor het in kaart brengen, implementeren en verbeteren van al deze GRC-processen.

coso-2017

5 thema’s

Het nieuwe COSO-raamwerk legt de nadruk op de wisselwerking tussen risico, prestatie, strategie en waarde. Ze is opgebouwd uit vijf onderling verbonden thema’s (uitgewerkt in principes) die essentieel zijn voor modern enterprise risk management.

5-themas-coso

2principes enterpriser risk management

  • Governance en cultuur: 1-5 heldere taken en verantwoordelijkheden en aandacht voor cultuur, integriteit en risicobewustzijn. Hierbij reeds een uitwerking van de eerste 5 principes. 
  • Strategie en doelstelling: 6-9 risico’s meewegen in de strategische keuzes en het vaststellen van risk appetite. Doelstellingen dienen als basis voor het identificeren, beoordelen en reageren op risico’s. Hier een uitwerking van de principes. 
  • Prestatiemanagement10-14 Risico’s die invloed kunnen hebben op het behalen van strategie en doelstellingen moeten worden geïdentificeerd en beoordeeld. Deze principes geven richting aan het analyse proces. Aan risico’s wordt prioriteit gegeven afhankelijk van de ernst in de context van risicobereidheid. De resultaten van dit proces worden gerapporteerd en geven de focus aan voor interne controls en de beheersing hiervan. 
  • Review en herziening15-17 goed kijken en herzien of het werkt; zijn er inderdaad betere prestaties en worden risico’s efficiënt gemanaged? 
  • Informatie, communicatie en rapportage: 18-20 het delen van kennis intern en extern vanuit de organisatie. Dit geldt zowel top down als bottom up. 

NARIS GRC software 

Onze NARIS GRC software is helemaal COSO-proof. We hebben inmiddels 300 klanten van pensioenfondsen, overheden, transportbedrijven. Is jouw organisatie geïnteresseerd in de NARIS GRC-software? Neem dan contact met ons op voor een demo.  

Robert ’t Hart, docent aan de VU en universiteit van Twente en eigenaar van NARIS (GRC software en training) . Daarnaast auteur van No Risk No Fun.

Over de auteur
Over de auteur

Robert ’t Hart is directeur van Naris. Hij is een veel gevraagde spreker op congressen vanwege zijn positieve kijk op het onderwerp risicomanagement. Daarnaast is hij een enthousiaste blogger over de nieuwste ontwikkelingen. Als docent is Robert verbonden aan de Universiteit Twente en Haagse Hogeschool en tevens is hij trainer aan de Naris Risk Academy. Hij is thuis op het gebied van governance en risicomanagement en helpt organisaties bij het daadwerkelijk implementeren daarvan. Risico-cultuur en het creëren van draagvlak behoort tot zijn expertise.

Meer artikelen: