COSO 2017 RvB verplichtingen
In de bijlage van de nieuwe COSO ERM 2017 worden alle verplichtingen voor de RvB en RvC op een rijtje gezet. Op onze tweedaagse gaan we hier uitgebreid op in. Zie hier de slides met de checklist op hoofdlijnen; COSO 2017 slides.
Governance en cultuur
Binnen het gebied van governance en cultuur moet allereerst worden beoordeeld of de strategie past bij de organisatie, en of deze aansluit bij de missie, de visie en de kernwaarden. Hierbij wordt ook rekening gehouden met de risico’s die verbonden zijn aan de strategie. Tevens moeten de risk governance rol en de structuur van het bestuur (inclusief deelcomités zoals auditie) duidelijk worden gedefinieerd.
De volgende stap is dat binnen het gebied van governance en cultuur het management betrokken wordt om een integraal risicomanagementsysteem te bepalen. Een systeem dat aansluit bij de organisatie. Er moet een duidelijk overzicht van de cultuurmetingen (evaluaties) zijn, en duidelijk blijken dat het management alle genoemde lacunes aanpakt.
Hiernaast moet een risicobewuste mentaliteit bevorderd worden, die aansluit bij de volwassenheid van de organisatie en haar cultuur. Belangrijk is daarbij dat men het overzicht heeft over de prestaties en de verbondenheid daarmee vanuit de organisatie. Tevens moet men zicht hebben op de risico’s die genomen worden, en de prikkels of beloning om de balans tussen de lange termijn doelstellingen en korte termijn prestaties te vinden.
Maar dan zijn we er nog niet. Het is hiernaast essentieel dat het management wordt geprikkeld rondom potentiële vooroordelen en organisatorische gebruiken van het management, en dat het zijn rol onafhankelijk en objectief vervult. Maar ook de strategie, het sturingsmodel, de industrie en diens issues en uitdagingen die de organisatie beïnvloeden moeten begrepen worden. Tot slot moet duidelijk zijn hoe het risico wordt gemonitord door het management.
Strategie en doelstelling
Binnen het gebied van strategie en doelstelling worden de verwachtingen vastgesteld voor de integratie van integraal risicomanagement in de strategische managementprocessen. Dit met inbegrip van onder andere strategische planning en kapitaalverdeling. Het is van groot belang dat er begrip ontstaat over de risicobereidheid en dat er tegelijkertijd rekening wordt gehouden of deze wel aansluit bij de verwachtingen.
Met het management moeten de veranderingen in de externe context besproken worden. Maar ook over de impact op de strategie en de relatie met nieuwe, opkomende of manifesterende risico’s moeten gesprekken gevoerd worden. Het management moet aangemoedigd worden om na te denken over de risico’s die verbonden zijn aan de strategie en onderliggende aannames. Dit vereist van het management een goed begrip van de risicoreserve en het vermogen om hiermee grote, onverwachte gebeurtenissen op te kunnen vangen.
Prestatie
Bij het gebied van prestatie beland, is het allereerst kernzaak dat de strategie en de onderliggende aannames in relatie tot het integrale risicoprofiel beoordeeld worden. Maar ook de verwachtingen ten aanzien van de risico-rapportage, inclusief de risico matrix die aan het bestuur is gerapporteerd in relatie tot de risicobereidheid, moeten omschreven worden. Net als de ontsluiting van risico’s en de externe verslaglegging (disclosure) ervan.
Hiernaast is het van groot belang dat er begrip ontstaat over hoe het management vanuit het integrale risicoprofiel de grootste risico’s identificeert en communiceert. Maar ook de beoordeling en het begrip van de top-risico’s (waaronder nieuwe risico’s en belangrijkste stijgers en dalers in het risicoprofiel) verdienen aandacht. Dit geldt ook voor acties die het management neemt. Tot slot is het zaak dat de aannemelijke scenario’s die de portefeuilleweergave kunnen veranderen begrepen worden.
Review en herziening
In het kader van review en herziening is het belangrijk dat het management wordt bevraagd over opgetreden risico’s, die de prestaties zowel positief als negatief beïnvloed hebben. Hiernaast moet er zorg voor worden gedragen dat het management de risicomanagementprocessen evalueert en wordt uitgedaagd om de geschiktheid en de werking van die processen te laten zien.
Identificatie, communicatie en rapporten
Hier is het allereerst essentieel om informatie, onderliggende data en formats (grafieken, risicotrends en ander beeldmateriaal) die nodig zijn voor het integrale beeld van de risico’s te identificeren. Daarnaast moet er toegang worden gegeven tot interne en externe informatie, die een bijdrage kan leveren aan een effectief beeld van de integrale risico’s. Tot slot moet er input verkregen worden vanuit de interne audit, externe auditors en andere onafhankelijke partijen, met betrekking tot management percepties en onderliggende aannames.