Enterprise Risk Management (ERM) is een doorlopend bedrijfsproces dat risico’s voor de financiële en operationele gezondheid van een organisatie beoordeelt, identificeert en plant, terwijl het zich ook richt op marktkansen. Risico’s maken vaak deel uit van de Governance, Risk and Compliance (GRC) -strategie van een organisatie en kunnen in grote lijnen interne zorgen omvatten, zoals de bedrijfscultuur, maar ook externe factoren, zoals gegevensprivacyregelgeving zoals GDPR en CCPA, rampen, een pandemie of een cyberaanval.
ERM is een proactieve bedrijfsstrategie die in de meeste bedrijfssectoren wordt toegepast, hanteert een holistische benadering voor het evalueren en beheren van risico’s binnen een hele organisatie en biedt een gestructureerd proces voor het beheer van die risico’s. Naast het afweren van potentiële bedreigingen, kan ERM ook concurrentievoordelen bieden.
Doelstellingen van Enterprise Risk Management
ERM is gericht op het behalen van organisatiedoelstellingen in plaats van alleen potentiële problemen in kaart te brengen. Het is de implementatie van een reeks acties en activiteiten die richting geven aan hoe een organisatie risico’s zal beoordelen en beheersen.
Risicomanagers gebruiken een combinatie van beleidslijnen, praktijken en procedures om kaders voor risicobeheer te creëren, te beginnen met drie belangrijke stappen:
- Risicobeheer tot stand brengen onder leiding van een raad van bestuur die ervoor zorgt dat beslissingen worden genomen in overeenstemming met de doelstellingen en strategieën van de organisatie, een team van senior managers gericht op risicobeheer met toezicht op de raad, en een onafhankelijk risicobeheerteam dat verantwoordelijk is voor de uitvoering van bedrijfsplannen die in lijn zijn met het risicomanagementraamwerk van de organisatie
- Evaluatie van het risiconiveau dat een organisatie bereid is te accepteren voordat actie moet worden ondernomen
- Implementatie van risicobeheertechnieken die risico’s voor producten en bedrijven meten en die naleving van het beleid en de richtlijnen van een organisatie garanderen
Kaders voor Enterprise Risk Management
In de afgelopen jaren zijn er verschillende ERM-frameworks ontstaan die elk een verschillende aanpak bieden voor het identificeren, analyseren en beheren van bedrijfsrisico’s. Hier zijn drie van de meest populaire ERM-frameworks:
- ARENA (Het Comité van sponsorende organisaties). COSO, opgericht in 1985, is een gezamenlijk initiatief van vijf Amerikaanse verenigingen: de American Accounting Association (AAA), het American Institute of Certified Public Accountants (AICPA), Financial Executives International (FEI), The Institute of Internal Auditors (IIA) en de Institute of Management Accountants (IMA) om bedrijfsfraude te bestrijden. Het doel van COSO is om innovatief leiderschap te bieden dat zich bezighoudt met drie onderling samenhangende onderwerpen: bedrijfsrisicobeheer, interne controle en fraudebestrijding. Het COSO ERM-raamwerk bestaat uit vijf componenten:
-
- Governance en cultuur
- Strategie en doelstellingen
- Performance
- Herziening en herziening
- Informatie, communicatie en rapportage
- is een groep normen voor risicobeheer die is opgesteld door de Internationale Organisatie voor Standaardisatie. Als een reeks richtlijnen biedt ISO 31000 principes, een raamwerk en een proces voor risicobeheer, met als doel de identificatie van kansen en bedreigingen en best practices voor het toewijzen en gebruiken van middelen voor risicobeheer te verbeteren.
- De Casualty Actuary Society s (CAS) Enterprise Risk Management Committee heeft in 2003 besloten om ERM te definiëren met een tweeledige benadering voor het conceptualiseren van een raamwerk: het definiëren van het risicotype gevolgd door een risicobeheerproces dat risico’s identificeert, analyseert, integreert en prioriteert voordat risicobeheerstrategieën worden geïmplementeerd naast voortdurende monitoring en evaluatie van het proces om te bepalen wat werkt en wat niet.