
In juni 2017 lanceerde COSO de update van de in 2004 gelanceerde ERM standaard. Deze update bevat enkele interessante aanpassingen die voor controllers niet alleen noodzakelijk zijn om hun kennis op dit terrein uit te breiden, maar die hen ook een kans bieden om het vakgebied in de praktijk beter in te bedden in de bedrijfsvoering. Wat houdt deze update in en wat is de betekenis daarvan voor uw werk?
In 2004 lanceerde het Committee of Sponsoring Organisations of the Treadway Commission (COSO) het Enterprise Risk Management Framework-Integrated Framework. Inmiddels is deze standaard de meest geaccepteerde risicostandaard ter wereld. Vanaf de lancering is door velen het belang benadrukt dat effectief risicomanagement idealiter stevig vervlochten moet zijn met de gewone bedrijfsvoering vanaf de strategische discussie tot met de prestatiemeting.
Om dit belang nog beter tot z’n recht te laten komen is in juni 2017 een update van de standaard gelanceerd, geheten Enterprise Risk Management-Integrating with Strategy and Performance. De bekende ‘COSO-kubus’ is vervangen door een nieuwe figuur in de vorm van een dynamische pijl.

De nieuwe standaard is opgebouwd uit vijf componenten, namelijk:
- Governance en cultuur;
- Strategie en doelstellingen;
- Prestatie;
- Review en herziening;
- Informatie, communicatie en rapportage.
Naast de vijf componenten zijn 20 beginselen geformuleerd, zie figuur 2.

Onderbouwde toepassing en beoordeling
De vijf gerelateerde componenten worden ondersteund door een aantal meer concrete beginselen die, meer dan in de oude versie, bij kunnen dragen aan een beter onderbouwde toepassing en beoordeling. De algemene bewoordingen maken het mogelijk de standaard in elke organisatie toe te passen. Dit betekent uiteraard nog steeds dat een vertaalslag moet worden gemaakt tussen standaard en daadwerkelijke opzet van het risicomanagementsysteem in een organisatie.
COSO benadrukt dat de vernieuwde standaard er aan bij kan dragen dat:
- er een duidelijker verbinding wordt gelegd tussen risicomanagement en de verwachtingen van verschillende groepen belanghebbenden;
- risicomanagement steeds meer een onderdeel wordt van de kernactiviteit van een organisatie en minder een geïsoleerde activiteit;
- beter geanticipeerd wordt op potentiële risico’s en dat veranderingen niet alleen in potentie crises met zich mee kunnen brengen, maar juist ook kansen.
Flinke herziening
De standaard is op een aantal punten flink herzien. Zo valt op dat risicomanagement duidelijker vervlochten is met het strategisch en prestatiemanagement proces. Bovendien is er veel meer aandacht voor de realiteit en noodzaak van verandering.
Vervlechting met het strategisch en prestatiemanagement proces
Deze duidelijker vervlechting zorgt er volgens COSO voor dat twee belangrijke risico’s eerder en beter kunnen worden behandeld. Zo is er eerder aandacht voor het gevaar van onvoldoende aandacht voor de aansluiting van een strategische verandering op de bestaande waarden, visie en missie van een organisatie, of dat onvoldoende aandacht is voor het belang van een goede implementatie en uitvoering van de gekozen strategie. Risicomanagement is niet langer een proces dat volgt op de strategische discussie, maar er een onlosmakelijk onderdeel van.
Realiteit en noodzaak van verandering
De omgeving van organisaties, organisaties zelf (producten, processen, structuren en technologie) en dus ook risico’s veranderen steeds sneller en heftiger. Belangrijk is dat dit in een organisatie niet alleen (h)erkend maar ook gefaciliteerd wordt.
In de nieuwe standaard is er dan ook meer aandacht voor de organisatiecultuur, communicatie en het belang van verandering en verbetering van risicomanagement. Dit kan alleen als in een organisatie duidelijkheid is over welke en hoeveel risico genomen kan worden en hoe de afweging tussen ‘risk’ en ‘return’ door medewerkers kan worden gemaakt. De rol van het bestuur en de toezichtsorganen op dit punt wordt in de standaard zwaarder benadrukt en belicht.
Rol van de controller en ERM
De controller is van oudsher betrokken bij en mede verantwoordelijk voor de financieel economische berichtgeving, de besluitvorming over belangrijke investeringen en desinvesteringen en de strategierealisatie in een organisatie. Op al deze terreinen spelen risico’s een belangrijke rol.
Bewustzijn en de wetenschap dat risico’s in zekere mate ‘gemanaged’ kunnen en moeten worden maken dat de controller zich bij uitstek moet verdiepen in ontwikkelingen op dit gebied. Vooral de nu in de standaard meer zichtbare vervlechting van risicomanagement met het strategische en prestatiemanagementproces maken dat een controller zijn toegevoegde waarde in het proces verder kan vergroten.
Niet alleen de update, maar ook de herziening van de Nederlandse Corporate Governance Code in 2016, waarin de eisen ten aanzien van de externe rapportage door beursgenoteerde ondernemingen over het risicomanagement systeem verder zijn aangescherpt, maken dat de persoonlijke update van kennis op dit gebied ook vanuit een ander meer extern perspectief, noodzakelijk is.
Meer lezen
Nederlande Corporate Governance Code, 2016.
COSO Enterprise Risk Management-Integrating with Strategy and Perfomance, Executive Summary, Juni 2017.
Spoor L.L., COSO Enterprise Risk Management Framework: de vernieuwde standaard voor risicomanagement, Vakmedianet, 2018.
Dit artikel is verschenen in cm: 2018, afl. 4
Auteur: Louis Spoor
L.L. Spoor RA is werkzaam als docent risicomanagement aan de EMFC opleiding van de Vrije Universiteit te Amsterdam.
The Finance Academy
Wilt u hier meer over weten? Een meer diepgaande behandeling van de update van de COSO ERM standaard is opgenomen in The Finance Academy. Het lezen van die bijdrage en het beantwoorden van de bijhorende vragen levert naast 2 PE-punten, vooral weer een verrijking op van uw kennis over dit boeiende vakgebied. Meer informatie: thefinanceacademy.nl