COSO ERM

COSO ERM staat voor “Enterprise Risk Management” en verwijst naar een raamwerk voor het beheren van risico’s binnen een organisatie. “COSO” staat voor het “Committee of Sponsoring Organizations of the Treadway Commission,” een samenwerkingsverband van vijf professionele Amerikaanse organisaties op het gebied van accountancy en financiën.

Het COSO ERM-raamwerk biedt richtlijnen en best practices voor het identificeren, beoordelen, beheersen en monitoren van risico’s die van invloed kunnen zijn op de doelstellingen van een organisatie. Het raamwerk is bedoeld om organisaties te helpen hun risicobeheerprocessen te verbeteren en beter te integreren in hun dagelijkse bedrijfsactiviteiten.

Het COSO ERM-raamwerk bestaat uit acht onderling verbonden componenten:

1. Interne omgeving: Dit verwijst naar de cultuur, normen, waarden en de algehele houding ten opzichte van risicobeheer binnen de organisatie.

2. Doelstellingen vaststellen: Het identificeren van duidelijk gedefinieerde doelstellingen die de basis vormen voor het beoordelen van risico’s.

3. Risico-identificatie: Het proces van het identificeren en vaststellen van relevante interne en externe risico’s die de organisatie kan beïnvloeden.

4. Risico-assessment: Het beoordelen van de aard, omvang, waarschijnlijkheid en potentiële impact van geïdentificeerde risico’s.

5. Risicoreactie: Het ontwikkelen van strategieën om met de geïdentificeerde risico’s om te gaan, zoals risico’s vermijden, verminderen, accepteren of overdragen.

6. Controleactiviteiten: Het implementeren van interne controles om de kans op risico-incidenten te verminderen en de impact ervan te beperken.

7. Informatie en communicatie: Het waarborgen van tijdige, relevante en betrouwbare informatie om effectieve besluitvorming over risico’s mogelijk te maken.

8. Monitoring: Het voortdurend evalueren van het risicobeheerproces en ervoor zorgen dat het blijft aangepast aan veranderingen in de omgeving van de organisatie.

Het COSO ERM-raamwerk is niet specifiek beperkt tot een bepaalde sector of regio en kan worden toegepast in organisaties van verschillende groottes en complexiteit. Het is bedoeld om een integrale benadering van risicobeheer te bevorderen en te zorgen voor een betere integratie van risicomanagement in de strategische besluitvorming van een organisatie.