Het COSO-ERM-model toepassen voor je risicoanalyse

Het COSO-ERM-model uit 2004 is een risicomanagementmodel waarmee je de relaties tussen risicocategorieën kunt identificeren om te bepalen in hoeverre een organisatie controle heeft over de situatie, oftewel in control is. Op basis van dit model kun je aanbevelingen doen om het risicomanagement te verbeteren.

De focus ligt hierbij op interne controle en beheersing. De vraag die in dit model centraal staat, luidt dan ook: Is het bedrijf met het huidige risicomanagementsysteem in control, en zo niet, waaraan ligt dat?

Om deze vraag te beantwoorden, bestudeer je met het COSO-model de relaties tussen organisatiedoelstellingen, beheerscomponenten en de eenheden waarvoor interne beheersing nodig is. Je gebruikt dit model voor je risicoanalyse.

Visualisatie COSO-ERM-model

COSO staat voor The Committee of Sponsoring Organizations of the Treadway Commission en ERM staat voor Enterprise Risk Management. Het model wordt weergegeven als een kubus die de relatie tussen de individuele onderdelen aantoont.

COSO ERM Model

Vier organisatiedoelstellingen

Op de bovenkant van de kubus staan de soorten doelstellingen die een organisatie kan hebben. Je brengt deze doelstellingen in kaart om vervolgens te analyseren wat er mogelijk voor zorgt dat deze doelstellingen niet behaald (kunnen) worden.

  1. Strategische doelstellingen (strategic): doelen die zijn bedoeld om je missie en visie te verwezenlijken.
    • Bijvoorbeeld: zo duurzaam mogelijk produceren met gerecycled plastic.
  1. Operationele doelstellingen (operations): de effectiviteit en efficiëntie van processen.
    • Bijvoorbeeld: orders binnen 24 uur afhandelen.
  1. Doelstelling met betrekking tot de informatievoorziening (reporting): de betrouwbaarheid van de interne en externe informatievoorziening.
    • Bijvoorbeeld: transparant zijn naar klanten over de service.
  1. Doelstellingen met betrekking tot de naleving van wet- en regelgeving en richtlijnen (compliance): in hoeverre relevante wet- en regelgeving worden nageleefd.
    • Bijvoorbeeld: persoonsgegevens behandelen in overeenstemming met de AVG-wet.

Welke doelstellingen heeft het bedrijf dat je onderzoekt?

Je kunt achterhalen wat deze doelstellingen zijn door bijvoorbeeld je opdrachtgever of het management van het bedrijf hierover te interviewen. Deskresearch is vaak ook een goede methode om de doelstellingen te achterhalen, bijvoorbeeld door de website en businessplannen te raadplegen.

Als je de doelstellingen weet, kun je zelf al eens nadenken voor welke doelstellingen de meeste risico’s aanwezig zijn. Waarschijnlijk heb je hier naar aanleiding van de probleemstelling van je scriptie al een goed idee van.

Ontvang feedback op taal, structuur, lay-out en bronvermelding

Professionele Scribbr-editors kijken je scriptie na op:

  • Academisch taalgebruik
  • Onduidelijke zinnen
  • Grammaticale fouten
  • Interpunctie
  • Verboden woorden

Bekijk het voorbeeld

Acht beheerscomponenten (management components)

De acht componenten aan de voorkant van de kubus weergeven wat nodig is om de doelstellingen te behalen. Het kan echter voorkomen dat een component niet naar deze doelstellingen toewerkt of niet in overeenstemming is met andere componenten.

Mocht dit voorkomen, dan vormt deze component een bedreiging voor het interne beheerssysteem van risico’s van de organisatie. Een bedrijf is dan mogelijk niet in control. In dat geval kun je aanbevelingen doen om je opdrachtgever te helpen in control te komen door het risicomanagementsysteem te verbeteren.

  1. Interne omgeving (internal environment): De interne omgeving van een bedrijf bepaalt de houding van een organisatie ten opzichte van risicobereidheid, ideeën over risicomanagement en ethische waarden.
  1. Doelenformulering (objective setting): De directie van een bedrijf moet doelen stellen die de missie van het bedrijf ondersteunen en die consistent zijn met de risicobereidheid.
  1. Identificatie van gebeurtenissen (event identification): De organisatie moet interne en externe gebeurtenissen identificeren die risico’s of kansen kunnen vormen voor de doelen van de organisatie.
  1. Risicobeoordeling (risk assessment): De grootte en invloed van risico’s worden beoordeeld om te bepalen hoe de risico’s kunnen worden gemanaged.
  1. Reactie op risico’s (risk response): Het management stuurt op gerichte acties om risico’s te beperken, accepteren, overdragen of voorkomen in lijn met de risicotolerantie en -bereidheid van het bedrijf.
  1. Beheersingsmaatregelen (control activities): Richtlijnen en procedures moeten in werking worden gesteld om ervoor te zorgen dat de reacties op risico’s effectief zijn.
  1. Informatie- en communicatievoorziening (information and communication): Informatiesystemen zorgen ervoor dat data wordt geïdentificeerd, geregistreerd en gecommuniceerd in het juiste format en binnen een bepaalde tijd. Dit stelt managers en het personeel in staat om hun verantwoordelijkheden uit te voeren.
  1. Monitoring: Het managementsysteem moet worden gemonitord en indien nodig worden aangepast.

Hoe zijn deze componenten ingericht bij het bedrijf dat je onderzoekt?

Nu je weet wat deze acht componenten inhouden, kun je in beeld brengen hoe deze componenten zijn ingericht bij de organisatie die jij onderzoekt. Ga dus na hoe de interne omgeving eruitziet, hoe en wat voor doelen worden gesteld, hoe risico’s worden geïdentificeerd en hoe hierop wordt gereageerd, et cetera.

Hiervoor kun je gebruikmaken van diverse onderzoeksmethoden, zoals interviews, observaties, literatuuronderzoek, enquêtes en focusgroepen.

Kijk tot slot of de acht componenten in overeenstemming zijn met elkaar of dat bepaalde componenten nog onvoldoende werken (ook met het oog op de verschillende doelstellingen). Zodra je dit weet, kun je onderzoeken op welk niveau het precies fout gaat.

Voorbeeld: Analyse beheerscomponenten

Casus: Offline marketingbureau Mark-up

Kernactiviteit: Reclameplekken (voor posters en billboards) aanbieden langs snelwegen en in en rondom openbaar vervoer.

Interne omgeving: Er is sprake van een sterk hiërarchische organisatiestructuur, waardoor accountmanagers weinig vrijheid hebben om koud nieuwe klanten te werven.

Doelenformulering: Het bedrijf wil de grootste partij in Nederland zijn voor offline reclame langs wegen en in openbaar vervoer. Daarnaast heeft het als doel dat 95% van de reclameplekken altijd bezet zijn.

Identificatie van gebeurtenissen: Met een concurrentieanalyse, SWOT-analyse en confrontatiematrix is vastgesteld dat de interactieve reclameborden die gebruikt worden door concurrenten zowel een bedreiging als een kans vormen.

Risicobeoordeling: Uit de risicoanalyse blijkt dat het bedrijf Mark-up het gebruik van reclameborden door concurrenten vooral als een groot risico beschouwt, omdat de verkoop van reclameplekken sinds de opkomst van de interactieve reclameborden in 2010 sterk is teruggelopen.

Reactie op risico’s: Mark-up heeft tot op heden niet op dit risico gereageerd.

Beheersingsmaatregelen: Er zijn nog geen beheersingsmaatregelen in gang gezet om de huidige risico’s te beperken. In het verleden heeft Mark-up actief campagne gevoerd voor het eigen bedrijf op de eigen reclameplekken. Deze strategie houdt het bedrijf aan als reclameplekken niet bezet zijn.

Informatie- en communicatievoorziening: Informatiesysteem Contact4You wordt gebruikt voor de logistieke uitvoering van de werkzaamheden. Echter, de vorige logistieke medewerker is vertrokken voordat zij haar kennis heeft kunnen overdragen aan de nieuwe medewerker. Daarom worden vaak fouten gemaakt, waardoor de bezetting van de reclameplekken van 90% naar 70% is gedaald. Ook is het vanwege interne logistieke problemen vaak onduidelijk hoeveel reclameplekken kunnen worden aangeboden.

Monitoring: Het Hoofd Administratie is verantwoordelijk voor de activiteiten van de accountmanagers en logistieke medewerkers. Zij heeft echter onvoldoende kennis van het huidige informatiesysteem Contact4You om de benodigde aanpassingen door te voeren, voor te stellen of om de nieuwe medewerker voldoende te begeleiden.

Een overzicht van verschillende organisatieniveaus

De derde kant van de kubus geeft de eenheden van de organisatie weer. Hiermee focust dit model zowel op delen van de organisatie als de gehele organisatie. Het doel is om te achterhalen voor welke niveaus van de organisatie interne controle nodig is.

  1. Dochteronderneming (subsidiary company): een onderneming die tot een grotere onderneming behoort. Dove is bijvoorbeeld een dochteronderneming van Unilever.
  1. Bedrijfseenheid (business unit): bijvoorbeeld een bepaalde locatie, zoals een specifieke vestiging van Starbucks.
  1. Afdeling (division): een specifieke afdeling binnen een bedrijf, zoals PR, Administratie, of HR.
  1. Entiteiten (entities): zoals specifieke diensten, producten of medewerkers.

Interne-controlerisico’s voor de bedrijfsniveaus bepalen

Ga hiervoor na op welke niveaus de organisatie niet volledig in controle is. Hierbij kan het voorkomen dat je maar onderzoek kunt doen naar drie niveaus indien de organisatie die je onderzoekt geen dochterondernemingen heeft.

Voorbeeld: Risico’s voor verschillende bedrijfsniveaus
Casus: Offline marketingbureau Mark-up
Kernactiviteit: Reclameplekken (voor posters en billboards) aanbieden langs snelwegen en in en rondom openbaar vervoer.Dochteronderneming: Niet van toepassing, want het bedrijf heeft geen dochterondernemingen.Bedrijfseenheid: Marketingbureau Mark-up: de bedrijfsdoelstellingen worden niet behaald en er wordt niet ingespeeld op risico’s.

Afdeling: Logistiek: Doordat kennis verloren is gegaan, worden de werkzaamheden niet voldoende uitgevoerd waardoor de doelstelling om 95% bezetting te waarborgen niet behaald wordt en accountmanagers onvoldoende worden geïnformeerd over verkoopmogelijkheden.

Entiteiten: Hoofd Administratie: Het huidige hoofd van de afdeling Administratie is niet in staat om de afdeling logistiek en accountmanagers voldoende aan te sturen om de bezetting van reclameplekken te verbeteren.

Relaties tussen doelstellingen, componenten en niveaus bepalen

Bepaal per doelstelling die niet in control is, welke componenten hiervan de oorzaak zijn en op welke niveaus dit zich afspeelt. Dit doe je omgekeerd ook: je kijkt per component die niet in control is op welke doelstelling en niveau dit een effect heeft.

Je kunt ook vanuit de wetenschap dat een bepaald niveau niet in control is onderzoeken welke problemen binnen de componenten dit veroorzaakt hebben en wat voor invloed dit heeft op de afzonderlijke doelstellingen.

Analyseer ook hoe de componenten in relatie tot elkaar staan door bijvoorbeeld te achterhalen of er wel beheersingsmaatregelen worden ingezet nadat een reactie op een risico bepaald is.

Voorbeeld: Bepalen wat niet in control is, wat de oorzaak is en waar dit zich afspeelt
Niet behaalde doelstelling:
Strategisch niveau: 95% bezetting van reclameplekken

Wat is niet in control?

  • Interne omgeving & doelenformulering: Als accountmanagers weinig vrijheid hebben om koud te werven door de sterk hiërarchische structuur, is een bezetting van 95% niet haalbaar.
  • Informatievoorziening: Het gebruik van het informatiesysteem om de bezetting van de reclameplekken toe te bedelen en accountmanagers hierover te informeren.
  • Monitoring: Dit proces wordt onvoldoende gemonitord.

Wat is de oorzaak?
Onvoldoende overdracht van kennis met betrekking tot het mogelijke vertrek van cruciale medewerkers en onvoldoende managementkwaliteiten.

Bedrijfsniveau

  • Afdelingen: Accountmanagement en Logistiek
  • Entiteit: Hoofd Administratie

Conclusies en aanbevelingen op basis van het COSO-model

Zodra je de relaties tussen de doelstellingen, componenten en niveaus in kaart hebt gebracht en hebt ontdekt op welke punten een bedrijf nog niet in control is, kun je hier je conclusies over trekken.

Op basis hiervan kun je beheersmaatregelen aandragen in je aanbevelingen, adviesrapport of risicoanalyse om de organisatie te helpen bij de interne controle en beheersing.

Wat vind jij van dit artikel?
Lou Benders

Lou was Scribbrs Product- en Kwaliteitsmanager tot ze naar Italië verhuisde voor de liefde en het lekkere weer. Nu werkt ze op afstand aan Scribbrs diensten en aan handige artikelen over academische teksten.

1 reactie

Lou Benders
Lou Benders (Scribbr Team)
11 december 2020 om 12:07

Ik hoop dat dit artikel je heeft geholpen. Is er nog iets onduidelijk? Ik doe mijn best om vragen en opmerkingen te beantwoorden. :)

Is er iets nog niet helemaal duidelijk of ontbreekt er wat? Laat een opmerking achter.

Please click the checkbox on the left to verify that you are a not a bot.