Het COSO-ERM-model in je scriptie | Uitleg & voorbeelden
Het COSO-ERM-model uit 2004 is een risicomanagementmodel waarmee je de relaties tussen risicocategorieën kunt identificeren om te bepalen in hoeverre een organisatie controle heeft over de situatie, oftewel in control is. Op basis van dit model kun je aanbevelingen doen om het risicomanagement te verbeteren.
De focus ligt hierbij op interne controle en beheersing. De vraag die in dit model centraal staat, luidt dan ook: Is het bedrijf met het huidige risicomanagementsysteem in control, en zo niet, waaraan ligt dat?
Om deze vraag te beantwoorden, bestudeer je met het COSO-model de relaties tussen organisatiedoelstellingen, beheerscomponenten en de eenheden waarvoor interne beheersing nodig is. Je gebruikt dit model voor je risicoanalyse.
Inhoudsopgave
- Visualisatie COSO-ERM-model
- Vier organisatiedoelstellingen
- Acht beheerscomponenten (management components)
- Een overzicht van verschillende organisatieniveaus
- Relaties tussen doelstellingen, componenten en niveaus bepalen
- Conclusies en aanbevelingen op basis van het COSO-model
- Andere interessante artikelen over modellen
- Veelgestelde vragen over het COSO-ERM-model
Visualisatie COSO-ERM-model
COSO staat voor The Committee of Sponsoring Organizations of the Treadway Commission en ERM staat voor Enterprise Risk Management. Het model wordt weergegeven als een kubus die de relatie tussen de individuele onderdelen aantoont.
Vier organisatiedoelstellingen
Op de bovenkant van de kubus staan de soorten doelstellingen die een organisatie kan hebben. Je brengt deze doelstellingen in kaart om vervolgens te analyseren wat er mogelijk voor zorgt dat deze doelstellingen niet behaald (kunnen) worden.
- Strategische doelstellingen (strategic): doelen die zijn bedoeld om je missie en visie te verwezenlijken.
- Bijvoorbeeld: zo duurzaam mogelijk produceren met gerecycled plastic.
- Operationele doelstellingen (operations): de effectiviteit en efficiëntie van processen.
- Bijvoorbeeld: orders binnen 24 uur afhandelen.
- Doelstelling met betrekking tot de informatievoorziening (reporting): de betrouwbaarheid van de interne en externe informatievoorziening.
- Bijvoorbeeld: transparant zijn naar klanten over de service.
- Doelstellingen met betrekking tot de naleving van wet- en regelgeving en richtlijnen (compliance): in hoeverre relevante wet- en regelgeving worden nageleefd.
- Bijvoorbeeld: persoonsgegevens behandelen in overeenstemming met de AVG-wet.
Welke doelstellingen heeft het bedrijf dat je onderzoekt?
Je kunt achterhalen wat deze doelstellingen zijn door bijvoorbeeld je opdrachtgever of het management van het bedrijf hierover te interviewen. Deskresearch is vaak ook een goede methode om de doelstellingen te achterhalen, bijvoorbeeld door de website en businessplannen te raadplegen.
Als je de doelstellingen weet, kun je zelf al eens nadenken voor welke doelstellingen de meeste risico’s aanwezig zijn. Waarschijnlijk heb je hier naar aanleiding van de probleemstelling van je scriptie al een goed idee van.
Acht beheerscomponenten (management components)
De acht componenten aan de voorkant van de kubus weergeven wat nodig is om de doelstellingen te behalen. Het kan echter voorkomen dat een component niet naar deze doelstellingen toewerkt of niet in overeenstemming is met andere componenten.
Mocht dit voorkomen, dan vormt deze component een bedreiging voor het interne beheerssysteem van risico’s van de organisatie. Een bedrijf is dan mogelijk niet in control. In dat geval kun je aanbevelingen doen om je opdrachtgever te helpen in control te komen door het risicomanagementsysteem te verbeteren.
- Interne omgeving (internal environment): De interne omgeving van een bedrijf bepaalt de houding van een organisatie ten opzichte van risicobereidheid, ideeën over risicomanagement en ethische waarden.
- Doelenformulering (objective setting): De directie van een bedrijf moet doelen stellen die de missie van het bedrijf ondersteunen en die consistent zijn met de risicobereidheid.
- Identificatie van gebeurtenissen (event identification): De organisatie moet interne en externe gebeurtenissen identificeren die risico’s of kansen kunnen vormen voor de doelen van de organisatie.
- Risicobeoordeling (risk assessment): De grootte en invloed van risico’s worden beoordeeld om te bepalen hoe de risico’s kunnen worden gemanaged.
- Reactie op risico’s (risk response): Het management stuurt op gerichte acties om risico’s te beperken, accepteren, overdragen of voorkomen in lijn met de risicotolerantie en -bereidheid van het bedrijf.
- Beheersingsmaatregelen (control activities): Richtlijnen en procedures moeten in werking worden gesteld om ervoor te zorgen dat de reacties op risico’s effectief zijn.
- Informatie- en communicatievoorziening (information and communication): Informatiesystemen zorgen ervoor dat data wordt geïdentificeerd, geregistreerd en gecommuniceerd in het juiste format en binnen een bepaalde tijd. Dit stelt managers en het personeel in staat om hun verantwoordelijkheden uit te voeren.
- Monitoring: Het managementsysteem moet worden gemonitord en indien nodig worden aangepast.
Hoe zijn deze componenten ingericht bij het bedrijf dat je onderzoekt?
Nu je weet wat deze acht componenten inhouden, kun je in beeld brengen hoe deze componenten zijn ingericht bij de organisatie die jij onderzoekt. Ga dus na hoe de interne omgeving eruitziet, hoe en wat voor doelen worden gesteld, hoe risico’s worden geïdentificeerd en hoe hierop wordt gereageerd, et cetera.
Hiervoor kun je gebruikmaken van diverse onderzoeksmethoden, zoals interviews, observaties, literatuuronderzoek, enquêtes en focusgroepen.
Kijk tot slot of de acht componenten in overeenstemming zijn met elkaar of dat bepaalde componenten nog onvoldoende werken (ook met het oog op de verschillende doelstellingen). Zodra je dit weet, kun je onderzoeken op welk niveau het precies fout gaat.
Een overzicht van verschillende organisatieniveaus
De derde kant van de kubus geeft de eenheden van de organisatie weer. Hiermee focust dit model zowel op delen van de organisatie als de gehele organisatie. Het doel is om te achterhalen voor welke niveaus van de organisatie interne controle nodig is.
- Dochteronderneming (subsidiary company): een onderneming die tot een grotere onderneming behoort. Dove is bijvoorbeeld een dochteronderneming van Unilever.
- Bedrijfseenheid (business unit): bijvoorbeeld een bepaalde locatie, zoals een specifieke vestiging van Starbucks.
- Afdeling (division): een specifieke afdeling binnen een bedrijf, zoals PR, Administratie, of HR.
- Entiteiten (entities): zoals specifieke diensten, producten of medewerkers.
Interne-controlerisico’s voor de bedrijfsniveaus bepalen
Ga hiervoor na op welke niveaus de organisatie niet volledig in controle is. Hierbij kan het voorkomen dat je maar onderzoek kunt doen naar drie niveaus indien de organisatie die je onderzoekt geen dochterondernemingen heeft.
Relaties tussen doelstellingen, componenten en niveaus bepalen
Bepaal per doelstelling die niet in control is, welke componenten hiervan de oorzaak zijn en op welke niveaus dit zich afspeelt. Dit doe je omgekeerd ook: je kijkt per component die niet in control is op welke doelstelling en niveau dit een effect heeft.
Je kunt ook vanuit de wetenschap dat een bepaald niveau niet in control is onderzoeken welke problemen binnen de componenten dit veroorzaakt hebben en wat voor invloed dit heeft op de afzonderlijke doelstellingen.
Analyseer ook hoe de componenten in relatie tot elkaar staan door bijvoorbeeld te achterhalen of er wel beheersingsmaatregelen worden ingezet nadat een reactie op een risico bepaald is.
Conclusies en aanbevelingen op basis van het COSO-model
Zodra je de relaties tussen de doelstellingen, componenten en niveaus in kaart hebt gebracht en hebt ontdekt op welke punten een bedrijf nog niet in control is, kun je hier je conclusies over trekken.
Op basis hiervan kun je beheersmaatregelen aandragen in je aanbevelingen, adviesrapport of risicoanalyse om de organisatie te helpen bij de interne controle en beheersing.
Andere interessante artikelen over modellen
Ben je op zoek naar informatie over andere modellen in je scriptie? Kijk dan ook eens naar onderstaande artikelen met een uitgebreide uitleg, afbeeldingen en voorbeelden!
Marketingplan en marketingstrategie
Markt- en concurrentieanalyses
Afnemersanalyses
Veelgestelde vragen over het COSO-ERM-model
- Wat is het COSO-ERM model?
-
Het COSO-ERM-model uit 2004 is een risicomanagementmodel waarmee je de relaties tussen risicocategorieën kunt identificeren om te bepalen in hoeverre een organisatie controle heeft over de situatie, oftewel in control is. Op basis van dit model kun je aanbevelingen doen om het risicomanagement te verbeteren.
- Wat zijn de vier soorten organisatiedoelstellingen?
-
Er zijn vier organisatiedoelstellingen:
- Strategische doelstellingen (strategic): doelen die zijn bedoeld om je missie en visie te verwezenlijken.
- Operationele doelstellingen (operations): de effectiviteit en efficiëntie van processen.
- Doelstelling met betrekking tot de informatievoorziening (reporting): de betrouwbaarheid van de interne en externe informatievoorziening.
- Doelstellingen met betrekking tot de naleving van wet- en regelgeving en richtlijnen (compliance): in hoeverre relevante wet- en regelgeving worden nageleefd.
Citeer dit Scribbr-artikel
Als je naar deze bron wilt verwijzen, kun je de bronvermelding kopiëren of op “Citeer dit Scribbr-artikel” klikken om de bronvermelding automatisch toe te voegen aan onze gratis Bronnengenerator.