COSO 2017 / COSO ERM / iso31000

Van “tone at the top” naar “actie aan de top” Risicomanagement leiderschap en commitment.

Geplaatst door

Voor risicomanagement is de steun van de directie een absolute voorwaarde. Oorzaak hiervan is dat goed bestuur (governance) niet zonder risicomanagement kan in deze onzekere tijden. Het is juist nu belangrijk om succesvol risico’s te blijven managen en kansen te benutten.

Als je kijkt naar de governance code uit bedrijfsleven, dan vraag ik me af of risicomanagement eigenlijk wel te delegeren valt.

  • Bestuur moet risicoanalyses doen
  • Risk appetite vaststellen
  • Aantoonbaar risicobeheerssysteem hebben
  • Juiste cultuur & incidenten melding

In deze blog kijken we vanuit COSO en  ISO 31000 naar wat er van de directie mag worden verwacht. Hierbij meer aandacht voor de echte acties. De noodzakelijke tone at the top is leuk maar actie aan de top is belangrijker.  

draagvlak risicomanagement Governance en riskmanagement
tone at the top

Acties op basis van COSO en ISO 31000

Op basis van COSO en ISO31000 heb ik 7 acties geselecteerd;

  1. Initiëren en vaststellen risicomanagement beleid
  2. Risicomanagement systeem en raamwerk faciliteren
  3. Beschikbaarstelling budget voor risicomanagement team of stuurgroep
  4. Mandaat voor de risicomanagers. Heldere communicatie van dit mandaat en escalatie lijn als een organisatie-onderdeel niet meewerkt door oprichting stuurgroep of risk committee
  5. Commitment in woord en daad, dus het onderwerp zelf regelmatig op de agenda zetten (bijvoorbeeld zelf risk appetite of strategische risico’s in beeld brengen) maar ook communicatie van de uitkomsten en commitment naar de rest van de organisatie
  6. Transparantie en open gesprek- en meld-cultuur organiseren.
  7. Integrale risicomanagement benadering faciliteren door integrale vastlegging van risk en controls vanuit bedrijfsvoering disciplines bijv. door aanbieden standaard risicodialogen.

Hieronder in de blog de relevante teksten vanuit ISO31000 en COSO welke ik als bron heb gebruikt.

ISO31000

De directie en toezichthoudende organen behoren te bewerkstelligen dat risicomanagement wordt geïntegreerd in alle activiteiten van de organisatie, besluitvorming en behoren blijk te geven van leiderschap en commitment door:

  • Het op maat maken en implementeren van alle componenten van het raamwerk
  • Een beleid uit te vaardigen waarmee een benadering, plan of handelswijze voor risicomanagement wordt vastgesteld
  • Ervoor te zorgen dat de benodigde middelen aan het managen van risico’s worden toegewezen
  • Bevoegdheid, verantwoordelijkheid en verantwoordingsplicht op geëigende niveaus binnen de organisatie toe te wijzen.

De directie dient te zorgen voor de toewijzing van de passende middelen voor risicomanagement. Denk hierbij aan budget voor:

  • Personeel, vaardigheden, ervaring en bekwaamheid
  • Processen, methode en hulpmiddelen die de organisatie gebruikt om risico’s te managen
  • Gedocumenteerde processen en procedures
  • Systemen voor informatie- en kennismanagement
  • Behoeften aan professionele ontwikkeling en training

COSO

Vanuit coso zijn er twee principes die het meest concreet zijn in de acties. Principe 2 : Neerzetten van een operationele structuur en 4: Aantoonbaar commitment kernwaarden.

Principe 2: Neerzetten van een operationele structuur

Dit principe gaat over het neerzetten van een operationele structuur, die in staat is de strategie en doelstellingen uit te kunnen voeren. Er dient kortom binnen de organisatie een duidelijke sturingsfilosofie aanwezig te zijn, die door structuur en reporting wordt ondersteund. Ook dienen de taken en verantwoordelijkheden helder te zijn. Voor een goede sturing is het belangrijk dat er integrale risico- informatie vanuit de organisatie ontstaat die naar boven opgerold (of geconsolideerd) kan worden.

Principe 4  Bij dit principe gaat het om het consistent gebruiken van de kernwaarden in relatie tot de missie en visie, ook al zijn er verschillen in de organisatie. De boodschap wordt herhaald en de organisatie wordt aangemoedigd om het gewenste gedrag te laten zien.

  • Omarmen van risicobewuste cultuur; Hier gaat het vooral om sterk (risico)leiderschap en voorbeeldgedrag om het risicobewustzijn binnen de organisatie te vergroten. Medewerkers worden aangemoedigd mee te denken (het bespreken van risico’s in relatie tot strategie en doelstellingen). Daarnaast wordt het risicobewustzijn verbonden met besluitvorming en worden prestaties en beloningen gekoppeld aan kernwaarden. Uiteindelijk wordt de open en eerlijk gevoerde risicodialoog verankerd in de besluitvorming.
  •  Afdwingen van verantwoordelijkheden; De directie is verantwoordelijk voor de risico’s en heeft als taak een risicomanagement raamwerk en werkwijze neer te zetten die ondersteunt bij het behalen van de strategie.  Deze verantwoordelijkheid is vertaald naar de organisatiestructuur van de organisatie.
  •  De verantwoordelijkheid evalueren; Of de prestaties daadwerkelijk worden gehaald wordt op meerdere niveaus in de organisatie geëvalueerd. Hierbij wordt sterk gekeken of de prestatie past binnen de waarden van de organisatie.
  • Open communicatie; Het management zorgt regelmatig voor interne transparantie over risico’s, door duidelijk naar de organisatie te communiceren dat risico’s onderdeel zijn van ieders dagelijkse verantwoordelijkheden. Voorbeelden van informatie die gedeeld dient te worden zijn: veranderingen in de aannamen die onder de strategie of doelstellingen liggen of de adequaatheid van risicobeheersing. Op deze wijze kan de directie vaststellen of het risicomanagement in de praktijk werkt, en kunnen er disciplinaire maatregelen worden getroffen.

One comment

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

Gravatar
WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

Annuleren

Verbinden met %s