Op 1 juni 2017 is het Committee of Sponsoring Organizations of the Treadway Commission (COSO) Enterprise Risk Management-model (ERM-model) uit 2004 aangepast. In het nieuwe model is een koppeling gemaakt tussen risicomanagement, strategie en prestatiemanagement. Dit artikel schetst een beeld over de veranderingen van het ERM-model en de toegevoegde waarde van het model voor auditors.
Om te kunnen beschrijven hoe groot de veranderingen binnen het COSO ERM-model zijn, wordt kort de geschiedenis van het model beschreven. Het COSO-model is ontwikkeld in de jaren tachtig met het idee om organisaties te assisteren bij uitdagingen omtrent risico-management, interne controle en het tegengaan van fraude. Jaren later, in 2004, ontwikkelde het COSO-model zich tot het ERM-model.
In de tussentijd is veel veranderd op het gebied van risicomanagement; organisaties moesten hun benadering wat betreft het managen van risico’s verbeteren om te kunnen blijven voldoen aan de eisen van deze tijd. Organisaties moeten reageren op ontwikkelingen vanuit de technologie, economische markt en demografie. Dit brengt ons op de eerste vraag: wat zijn de veranderingen van het nieuwe ERM-model?
Wat meteen opvalt, is dat het nieuwe model volledig anders is dan het oude model. In dit nieuwe model, dat op 1 juni van dit jaar is uitgebracht, is zowel rekening gehouden met de hierboven beschreven ontwikkelingen als nagedacht over de toepasbaarheid van het model in de toekomst. Risicomanagement kan niet alleen worden verbeterd, risico’s kunnen ook beter worden begrepen en gekoppeld aan de prestaties van het bedrijf (COSO, 2017) . Hiermee hoopt men dat het model nog een tijd relevant blijft en toepasbaar is voor zowel private bedrijven als publieke organisaties. Het oude model dat schematisch kon worden weergegeven als een organisatiematrix (zie figuur 1) is veranderd naar een raamwerk met vijf onderling verbonden thema’s (zie figuur 2).
In het nieuwe model is de wisselwerking tussen risico, prestatie, strategie en waarde benadrukt. Deze wisselwerking mondt uit in vijf onderling verbonden thema’s:
- Governance en cultuur: de missie, visie en kernwaarden van de organisatie;
- Strategie en doelstelling: de ontwikkeling van de strategie;
- Prestatiemanagement: het toetsen van risico’s aan gevolgen voor strategie en doelen;
- Review en herziening: het lerend vermogen van de organisatie;
- Informatie, communicatie en rapportage.
In het model is meer ruimte voor governance en cultuur. Dit is de eerste stap in het beheersen van risico’s. Deze thema’s waren in het oude model enkel beheers-elementen. Daarnaast wordt gekeken naar de doelbereiking van de organisatie; risicobeheersing alleen betekent namelijk niet dat de organisatie haar doelen behaalt. Zoals het INK-model de werking van de organisatie koppelt aan de behaalde resultaten, doet het nieuwe COSO ERM-model dit ook. Ook biedt het nieuwe model, net als het INK-model, ruimte voor het lerende vermogen van een organisatie.
Dit brengt ons op de tweede en laatste vraag: wat is de toegevoegde waarde van dit nieuwe model voor auditors? Een vaak gehoord kritiekpunt op auditors is dat ze procedureel te werk gaan en formele adviezen geven zonder deze te koppelen aan de doelen en het leervermogen van de organisatie. Volgens Chambers (2017) biedt het nieuwe model meer inzicht in de waarde van de risicobeheersing bij het opzetten en het uitvoeren van de strategie. De auditor kan hierdoor een meer volledig oordeel geven over de interne beheersing en risicomanagement door het oordeel te koppelen aan de resultaten van de organisatie. Met dit meer volledige oordeel worden managers geholpen en zullen auditors steeds meer als business partner fungeren. Doordat het nieuwe COSO ERM-model daarnaast ruimte biedt voor maatwerk, cultuur, corporate governance, leren en verbeteren en technologische ontwikkelingen is het model een goede basis voor audits in een complexe, snel veranderende wereld.
Femke Dik & Yanna Hoogenraad. Femke en Yanna zijn audit trainees bij AuditPeople
Bronnen:
COSO (2004). Enterprise Risk Management – Integrated Framework. Executive summary. https://www.coso.org/Publications/ERM/COSO_ERM_ExecutiveSummary.pdf
Chambers, R. (2017, 6 september). COSO ERM Update: A Vital Tool in 21st Century Risk Management. IAonline. https://iaonline.theiia.org/blogs/chambers/2017/Pages/COSO-ERM-Update-A-Vital-Tool-in-21st-Century-Risk-Management.aspx