Column, geschreven door Tahira van der Meulen en verschenen op Managementsite

In 2004 lanceerde de Treadwell committee het COSO ERM Framework, dat uitgroeide tot het meest geaccepteerde risico framework ter wereld. Echter, de wereld is er de afgelopen dertien jaar anders uit gaan zien: de kijk op risicomanagement is veranderd, er zijn nieuwe risico’s ontstaan en management is de urgentie van risicomanagement in gaan zien. Om in te spelen op de veranderingen, is op 6 september 2017 een nieuw framework gelanceerd. Van de bekende ‘COSO-kubus’ is afscheid genomen, voor het nieuwe COSO ERM framework is een ‘pijl’ geïntroduceerd.

Het nieuwe ERM framework

Het nieuwe framework bestaat uit twintig principes. Het uitgangspunt is dat, als alle principes worden opgevolgd, de organisatie in control zou moeten zijn. De twintig principes zijn verdeeld over vijf componenten, namelijk:

1. Governance & Cultuur
2. Strategie & Doelstellingen
3. Prestatie
4. Review & Herziening
5. Informatie, Communicatie & Rapportage



Wat valt op aan het nieuwe framework

Als je goed naar het nieuwe framework kijkt, valt ten opzichte van het oude framework, een tweetal zaken op:

1. Risicomanagement is veel steviger neergezet als verbindende schakel tussen strategiebepaling en performance
Veel managers en werknemers zien risicomanagement als een extra administratieve handeling, als een bureaucratische ballast. Echter door risicomanagement goed in te richten, kan het juist een verbindende schakel zijn tussen strategie en de performance van de organisatie. Enterprise risk management zorgt er bovendien voor dat de strategie aansluit op de missie en de visie van de organisatie. Door deze verbinding van missie en visie, naar strategie en performance zorgt risk management (met de juiste invulling) dus voor een verbeterde performance.

Door risicomanagement op deze manier in te richten, vormt het een onderdeel van de organisatie en zal het minder een losse rol zijn. Dit leidt tot integratie van risicomanagement in de dagelijkse werkzaamheden en dus tot minder lijstjes die afgevinkt moeten worden. Risicomanagement zal gaan bijdragen aan de missie van de organisatie, het waarom bestaan wij?

2. Er is veel meer aandacht voor de softe kant van risico management
Niet alleen COSO ERM, maar ook de nieuwe corporate governance code en andere risicomanagement gerelateerde richtlijnen, zien een grotere rol voor organisatiecultuur als het gaat om risicomanagement. Organisatiecultuur speelt een belangrijke rol bij het behalen van de gestelde strategie. Dat is de reden dat, vanuit de verbindende functie tussen strategie en performance, COSO ERM meer aandacht besteedt aan organisatiecultuur. Om optimale prestaties te behalen, is het belangrijk dat werknemers beslissingen nemen die passen bij de risk appetite van de organisatie.

Gedrag en cultuur kunnen gestuurd worden. Dit kan bijvoorbeeld door compensatie en incentives van werknemers. Indien een werknemer een grote kans op een bonus heeft, zal hij meer risico aangaan, wellicht meer risico dan wenselijk is (vallend buiten de ‘risk appetite’ van de organisatie). Als een risicovolle kans weinig of niets oplevert, zal de werknemer er sneller voor kiezen deze kans niet aan te grijpen, waardoor kansen voor de organisatie blijven liggen.

Om tot een optimum te komen, is het nodig dat het management duidelijk is over haar ‘risk appetite’ en dat hierover gecommuniceerd wordt.

Binnen het nieuwe framework wordt in het eerste component ‘Governance & Culture’ aandacht besteed aan cultuur en gedrag. Het framework schrijft niet voor hoe je ervoor zorgt dat dit op de juiste manier bijdraagt aan gewenst gedrag binnen de organisatie. Dit maakt COSO ERM framework toepasbaar op alle organisaties, of het nu gaat om een bakkerij met vijf winkels of om een grote multinational. Dit betekent echter ook dat er veel onduidelijkheid bestaat over de wijze waarop ondernemingen invulling moeten geven de component ‘Governance & Cultuur’.

Enkel positieve veranderingen?
In het framework schuilt dus zowel een kracht als een zwakte. De kracht is dat het framework principes voorschrijft, maar de zwakte is dat de invulling hiervan aan de onderneming zelf wordt overgelaten. Er wordt geen richting gegeven voor invulling, en nog steeds geen richtlijn voor juiste of niet juiste invulling. De omvang van het framework is ook niet mis, 20 principes die, in theorie, allemaal opgevolgd moeten worden.

In de praktijk blijkt dat veel organisaties risico management nog een lastig onderwerp vinden. Ze zijn vooral op zoek naar wat wettelijk voorgeschreven is, of wat vanuit de regelgeving verwacht wordt. Dit geldt vooral voor het risicomanagement rond (projectmatige) veranderingen. Als een organisatie al aandacht besteedt aan risico management, is dat vaak voornamelijk aan financiële risico’s. “Onderzoek uit 2014 door de CEB, een Amerikaans onderzoeksinstituut, laat zien dat er een rechtstreeks verband zit tussen managementaandacht en de kans dat een risico zich voordoet. In datzelfde onderzoek is ook gekeken hoé managers hun aandacht verdelen over verschillende risico categorieën. Het bleek dat managementaandacht voor het onderwerp de aansturing van ‘strategische veranderingen’ slechts 6% was, terwijl grote risico’s zich daar juist het vaakst voordoen. 86% van de grote risico’s vinden hier plaats. Aan ‘financial reporting risks’ besteedt het management maar liefst 39% van zijn risicotijd, terwijl de kans dat zich daar een groot risico voordoet ‘maar’ 2% is.”

COSO ERM had een handvat kunnen bieden voor juist die strategische verandertrajecten, maar schiet hierin tekort. Een gemiste kans.

Het is wel goed dat COSO ERM met een update van haar framework is gekomen, er zijn veel positieve verbeteringen. Het nieuwe framework kan een zinnig handvat bieden bij de invulling van risicomanagement, maar het vergt ook nog veel eigen inbreng en invulling.