COSO model implementeren in een onderneming

Al voor het ontstaan van de risicomodellen, door onder andere COSO, keken ondernemingen uiteraard al naar de risico’s waar de onderneming aan blootgesteld

wordt. Het probleem was hier echter dat er vaak per afdeling naar de risico’s gekeken werd en dat er onvoldoende een link werd gelegd met de eerder gevormde doelstellingen van de onderneming. Het toepassen van een risicomanagement model zorgt ervoor dat de onderneming een link legt tussen de doelstellingen van de onderneming en de risico’s die hierbij gelopen worden. Ook wordt er integraal, over alle afdelingen van de onderneming, naar de risico’s gekeken. Dit heeft veel voordelen voor de onderneming, ook is er minder kans dat risico’s over het hoofd worden gezien (Kleffner et al. 2003).

Het invoeren van een risicomanagement model in een onderneming is, zoals eerder gezegd, geen eenmalige activiteit maar een continu doorlopend proces. Risicomanagement is een proces waar een planning voor gemaakt moet worden, welke uitgevoerd moet worden en uiteindelijk gemonitord. Het ontwikkelen en implementeren van een dergelijk model behoort tot de taken van alle managers in de onderneming. Risicomanagement is niet alleen een kwestie van het invoeren van regels en procedures. Het implementeren van een risicomanagement model is een veranderingsproces, veelal gaat het hierbij om het veranderen van de gehele cultuur binnen de onderneming (Dassen et al. 2002).

Het COSO risicomanagement model is een belangrijk onderdeel van corporate governance. Effectief management leidt ertoe dat de onderneming een zekere mate van risico moet nemen om de stakeholders tevreden te houden en de waarde voor hen te maximaliseren. Het zou daarom in elke onderneming moeten worden geïmplementeerd (Bowling et al. 2005).

Ook gezien de ontwikkelingen in de externe omgeving waar ondernemingen tegenwoordig in opereren is een risicomanagement model een gepaste oplossing. Ondernemingen komen onvoorspelbare risico’s tegen en opereren in een wereldwijde markt, waar ze aan hevige en terugkerende risico’s worden blootgesteld. Verder is de markt van klanten, leveranciers en concurrenten aan veranderingen onderhevig welke zorgen voor een onstabiele omgeving. De onderneming moet aan haar reputatie blijven denken, mede door incidenten en fraudegevallen in de afgelopen jaren. Een risicomanagement model zorgt ervoor dat er een redelijke mate van zekerheid is over het behalen van de ondernemingsdoelstellingen (Ballou et al 2005).

Er zijn verschillende factoren waar rekening mee moet worden gehouden tijdens het implementeren van een risicomanagement model in een onderneming. Allereerst dient de onderneming de belangrijkste doelstellingen te bepalen. Daarbij is er de definitie van risico. Deze is al eerder gegeven, wel moet er de opmerking bij gemaakt worden dat er eenvoudig over risico’s gedacht moet worden. Zo is het grootste risico dat een

onderneming kan lopen het niet halen van de vooraf opgestelde doelstellingen. Risicomanagement begint dan ook met de doelstellingen van een onderneming (Bowling et al. 2005). Ook is het bij het implementeren van een risicomanagement model van belang dat alle risico’s die het behalen van deze doelstellingen in de weg staan, juist worden geïdentificeerd en geanalyseerd.

Steun van het management van de onderneming is van groot belang bij het implementeren van een risico management model. Zonder de steun van de directie en het management zal het implementeren nooit een succes worden (Bowling et al. 2005). Het risicomodel moet in de gehele onderneming worden geïmplementeerd, wat inhoudt dat vrijwel elke werknemer met het aanpassen van de processen aan het risicomodel te maken krijgt. Wanneer de werknemers merken dat er volledige steun is vanuit het management en dat het management het risicomodel volledig accepteert, zullen zij zich eerder aanpassen aan het geïmplementeerde risicomodel (Ballou et al. 2005).

Implementeren van het COSO model in een organisatie moet op een dergelijke manier gebeuren zodat de karakteristieken van de onderneming niet verloren gaan. Wanneer een onderneming veel creatieve processen heeft, mag het COSO model niet te strak zijn, deze creatieve processen die karakteristiek zijn voor de onderneming moeten blijven bestaan. Het is daarom belangrijk het COSO model niet zondermeer over te nemen, voor elke onderneming dient specifiek een risicomanagement model te worden opgezet (Van Horn 2005).

Drie elementen van de interne omgeving van de organisatie zijn van groot belang voor een geslaagde implementatie van een risicomodel in een onderneming. Het gaat hier om: een risicomanagement filosofie voor de gehele onderneming, de cultuur binnen de onderneming en de organisatiestructuur van de onderneming (Ballou et al. 2005).

Het implementeren van een risicomanagement model in een (zekere iets grotere) onderneming is een proces dat enkele jaren in beslag kan nemen. Het implementeren moet in stappen worden gedaan, waarna monitoring en aanpassingen plaatsvinden. Hierbij zal een onderneming de juiste focus dienen te behouden door de jaren heen. Monitoring en aanpassing van het model zijn hierin ook heel belangrijk (Bowling et al. 2005).

De onderneming dient de doelstellingen van de onderneming vast te stellen voor de langere termijn. Hierbij moet de risk appetite bepaald worden; de gewenste hoeveelheid risico die de onderneming wil nemen (Ballou et al. 2005).

Na het vaststellen van de doelstellingen dient de onderneming de gebeurtenissen die de risico’s veroorzaken in de bedrijfsprocessen te identificeren. Aangezien de kans bestaat dat er belangrijke risico’s vergeten worden dient hier voorzichtig mee om te worden gegaan. De risico’s dienen dan ook via een bepaalde structuur te worden geïdentificeerd.

Er is geen juiste aanpak voor het analyseren van de risico’s binnen een onderneming. De onderneming zal zelf een methode kiezen welke past binnen de onderneming en de bedrijfsprocessen.

Het vaststellen van de aanpak voor risico’s is echter wel de belangrijkste in risicomanagement. Ondernemingen moeten voorzichtig zijn met het bepalen van de impact die een risico heeft op de onderneming en er zal een passende maatregel voor in werking moeten worden gesteld (Ballou et al. 2005).

Communicatie is belangrijk binnen het risicomodel omdat alle werknemers en stakeholders van de onderneming goed geïnformeerd moeten zijn over de doelstellingen en de strategie van de onderneming, maar ook over de risico’s en de aanpak van deze risico’s. Ook moet de onderneming in het bezit zijn van een goed werkend informatiesysteem, zodat de actuele situatie over gebeurtenissen die de onderneming aangaan altijd kunnen worden gegenereerd.

Monitoring is een belangrijk deel van het risicomodel omdat de onderneming op dit punt de resultaten van de implementatie gaat beoordelen. Hier wordt gekeken op elke punten het model niet volledig werkt. Zo zullen er vervolg acties en eventueel uitbreiding op het model ondernomen worden.