Nieuwe COSO 2017

Elke organisatie heeft een strategie met de intentie haar doelen te verwezenlijken en toegevoegde waarde te creëren. Door COSO 2017 ERM te integreren bij de vorming van een strategie, ontstaat waardevol inzicht in het risicoprofiel dat verbonden is met die strategie en daarmee ook met de kans op succes.

coso-2017

COSO 2017 Principe 6 Context

De context waarin een organisatie opereert bepaalt voor een belangrijk gedeelte het huidige risicoprofiel. Deze context is het gevolg van strategische keuzes uit het verleden.

De context waarin een organisatie zich bevindt kan dynamisch, turbulent of onvoorspelbaar zijn. De externe risico’s waar ik al eerder over blogde zorgen ervoor dat organisaties in toenemende mate hun strategie- of businessmodel moeten aanpassen.

De externe context kan worden bepaald door de PESTLE-methodiek

  • Politiek: stabiliteit
  • Economisch: rente, inflatie, aandelenkoersen
  • Sociaal: klantbehoeften, doelgroepen, opleiding en inkomensverschillen
  • Technologisch
  • Legal: wetgeving en normen
  • Milieu: demografisch, natuurrampen

De interne context kan worden bepaald door te kijken naar

  • Kapitaal: eigendommen, geld, intellectueel eigendom
  • Mensen: kennis, ervaring, waarden, cultuur
  • Processen: taken, procedures, primaire en secundaire processen
  • Technologie: nieuwe gebruikte of gemaakte technologie

Risicocapaciteit

Naast het huidige risicoprofiel is ook de risicocapaciteit van belang hij het bepalen van je risk appetite. Immers, als je krap bij kas zit zal je niet teveel risico’s op je schouders kunnen nemen. Het berekenen van je risicoreserve is belangrijk om te bepalen hoeveel tegenslag je kunt dragen.

COSO 2017 Principe 7 Vaststellen van de risk appetite

Risk appetite (hier bewust niet vertaald naar risicobereidheid) is de mate waarin de organisatie bereid is risico’s te nemen bij het behalen van haar doelstellingen. De input hiervoor is de context en de mate waarin de organisatie risico’s kan opvangen (risicocapaciteit).

De risk appetite wordt vaak vastgesteld door de directie of het bestuur op basis van missie, visie en eerdere strategieën. Deze kan zowel kwalitatief als kwantitatief worden gedefinieerd. Kwalitatief wordt de risk appetite bepaald op basis van duurzaamheid en personeelsbeleid. Kwantitatief gebeurt ditzelfde op basis van groei, return en risico’s.

De risk appetite dient de cultuur van de organisatie weer te geven, en kan zelfs een leidraad voor een cultuurverandering zijn. Veel organisaties zullen de risk appetite breed binnen de organisatie communiceren als leidraad voor de risicohouding en gedrag. Ook kan het statement geheel of gedeeltelijk extern worden gecommuniceerd, in een zogenaamd risk appetite statement.

De risk appetite geeft richtlijnen hoe de middelen en investeringen worden verdeeld. Bij een doelstelling met een lage risk appetite zullen meer middelen voor risicobeheersing ingezet moeten worden.

Uiteindelijk is het essentieel dat risk appetite geïntegreerd wordt in de besluitvormingsprocessen rondom bepaling van de strategie, doelstellingen en sturing van de organisatie.

COSO 2017 Principe 8 Vaststellen van de strategie

Elke organisatie dient een aantal alternatieve strategieën (plan B) neer te zetten. Vanuit het oogpunt van risicomanagement dient er bij elk plan B gekeken te worden naar het alignement met de kernwaarden van de organisatie en de risk appetite.

Bij het afwegen van verschillende strategieën dient per alternatief te worden gekeken wat de consequenties zijn op het risicoprofiel. Hiervoor zijn verschillende technieken, SWOT-analyses en scenario analyses. Het management neemt dit soort instrumenten en de eventuele consequenties mee in het bepalen van de beste strategie. En uiteraard dient deze ook te passen bij de risk appetite van de organisatie. Als dat niet het geval is dat moet òf de strategie aangepast worden, òf de risk appetite.

COSO 2017 Principe 9 Vaststellen van doelstellingen

Bij het bepalen van de doelstellingen op meerdere niveaus worden de risico’s meegenomen. De doelstellingen zijn onder andere meetbaar en relevant en leggen de verbinding van de strategie naar de praktijk. De individuele- of bedrijfsdoelstellingen die niet aan de strategie gekoppeld kunnen worden zorgen voor niet-noodzakelijke risico’s.

Risicotolerantie en Sturing

Bij het bepalen van de doelstellingen moet men wel redelijkerwijs kunnen verwachten dat deze haalbaar zijn binnen de risk appetite. En tevens dat deze doelstellingen realiseerbaar zijn met de aanwezige middelen en kwaliteit van de organisatie.

Om doelen te realiseren moet er per definitie gestuurd worden. Daarom worden aan de hand van de doelen vaak prestatieafspraken en targets vastgesteld. Dit proces zelf kan het risicoprofiel beïnvloeden; hoge targets leiden immers tot meer risiconemend gedrag en daarmee verhoogt het risicoprofiel van de organisatie.

Bij het sturen speelt de risicotolerantie een belangrijke rol.

Risicotolerantie gaat over de acceptabele afwijking in de prestaties van de organisatie bij het behalen van de doelstellingen en binnen de risk appetite.

Het gaat bij risicotolerantie dus niet zozeer over risico’s, maar meer over doelstellingen en prestaties. Het is een gebied dat beter meetbaar is, en uit te rollen naar de hele organisatie. Het geeft een bandbreedte in bijvoorbeeld prestatiesturing en targets. Bijvoorbeeld: groeidoelstelling ROI/ Target + 5%/ tolerantie 3%-7%. Hoe kleiner de tolerantie, hoe hoger de beheerskosten die hiermee gemoeid zijn.

Tot slot

Na het lezen van dit hoofdstuk blijft de notie in me hangen dat ik de hoofdstructuur mis. Om voor opheldering te zorgen heb ik daarom onderstaand schema gemaakt.

LinkedIn
Twitter
Facebook
Email
Print
risicomanagement due diligence foutencultuur COSO 2017 Cultuur Governance

In het kort:

Meer artikelen: