Drs. Urjan Claassen RA RE CIA is verbonden als vennoot aan Clascon (www.clascon.nl). Daarnaast is hij universitair docent Advanced Auditing aan de Nyenrode Business Universiteit.
Meer over Urjan ClaassenHandboek Risicomanagement
Integratie van risico- en prestatiemanagement
Gebonden Nederlands 2019 2e druk 9789462763173Samenvatting
Het beheersen van risico en het verzilveren van kansen houden veel organisaties bezig. Soms gedreven door ambities en soms door complianceverplichtingen. Echter, de implementatie van risicomanagement is geen sinecure. Veel toezichthouders, directeuren en controllers worstelen met de vraag hoe dit het beste kan worden aangepakt.
Dit boek beschrijft een praktische aanpak om risicomanagement effectief en efficiënt te implementeren. Hierbij vormen de principes van het COSO ERM-model, wereldwijd het meest gebruikte model voor risicomanagement, het fundament. De risicomanagementaanpak richt zich op alle functies binnen een organisatie: van toezichthouder tot teamleider en van controllers tot risicomanagers.
Het biedt een uniforme gemeenschappelijke taal en geeft alle betrokkenen concrete handvatten voor het identificeren en beheersen van risico’s (en kansen). Zowel op strategisch, tactisch als operationeel niveau. In deze herziene druk is in het bijzonder aandacht besteed aan de integratie van risicomanagement en prestatiemanagement.
Het management wordt ondersteund bij het maken van de juiste keuzes en het bereiken van doelstellingen door aandacht te besteden aan relevante risico’s. Dit boek is een ‘must have’ voor elke organisatie met ambitie!
Specificaties
Lezersrecensies
Interviews en artikelen (1)
Over Urjan Claassen
Inhoudsopgave
1 Inleiding 13
1.1 Waarom risicomanagement? 13
1.1.1 Conformance- en performance-motief 13
1.1.2 Van risicomanagement naar integraal risicomanagement 15
1.2 Risicomanagementmodellen 15
1.2.1 COSO ERM 16
1.2.2 ISO 31000 20
1.3 Handboek risicomanagement 22
1.3.1 Doelstelling 22
1.3.2 Uitgangspunten 23
1.4 Voor wie is dit boek geschreven? 24
1.5 Verdere indeling van het boek 24
2 Ontwikkelingen en achtergronden 27
2.1 Inleiding 27
2.2 Corporate governance 29
2.3 Evolutie van risicomanagement 30
2.3.1 Traditioneel risicomanagement 31
2.3.2 Bedrijfsrisicomanagement 32
2.3.3 Enterprise Risk Management 32
2.3.4 Conclusie 34
2.4 Risicomanagementmodellen: COSO 34
2.4.1 COSO – Internal Control Integrated Framework (1992) 34
2.4.2 COSO Enterprise Risk Management Framework (2004) 36
2.4.3 COSO ERM – Integrating Strategy with Performance (2017) 39
2.5 Handboek risicomanagement 41
2.6 Samenvatting 43
3 Gemeenschappelijke taal 45
3.1 Belang van een gemeenschappelijke taal 45
3.2 Definitie van het begrip risico 46
3.2.1 Oorzaak en gevolg 47
3.2.2 Risico versus onzekerheid 47
3.3 Risico-universum en risicocategorieën 48
3.3.1 Categorale risico-indeling 50
3.3.2 Functionele risico-indeling 52
3.4 Risicomanagementcyclus 53
3.4.1 Formuleren strategie en strategische doelstellingen 54
3.4.2 Inventariseren risico’s 54
3.4.3 Beoordelen risico’s 54
3.4.4 Keuze risicostrategie 55
3.4.5 Beheersen risico’s 56
3.4.6 Communicatie en monitoren 57
3.5 Samenvatting 57
4 Strategische planning 59
4.1 Onzekerheid en strategische planning 59
4.2 Scenarioplanning 61
4.2.1 Wat is scenarioplanning? 61
4.2.2 Gebruik van scenarioplanning 61
4.2.3 Scenarioplanning en andere technieken 62
4.2.4 Uitvoeren van scenarioplanning 63
4.2.5 Grondbeginselen scenarioplanning 64
4.3 Scenarioplanningsproces 64
4.4 Samenvatting 72
5 Organisatiedoelstellingen, -structuur en -cultuur 75
5.1 Tone at the top 75
5.2 Strategische doelstellingen 77
5.2.1 Bedrijfsmodel 78
5.2.2 Onderhoud van het bedrijfsmodel 80
5.2.3 Groei versus beheersing 81
5.3 Procesdoelstellingen 81
5.4 Risicostrategie en risicobeleid 85
5.5 Organisatiestructuur 95
5.5.1 Verdedigingslinies 95
5.6 Psychologische en sociologische aspecten van risicomanagement 99
5.6.1 Beoordelingsvermogen en besluitvorming 100
5.6.2 Besluitvorming in groepsverband 103
5.6.3 Suggesties ten aanzien van psychologische en sociologische invloeden 104
5.7 Samenvatting 105
6 Identificatie van risico’s en risicostrategieën 107
6.1 Risicomanagementcyclus 107
6.2 Inventariseren van risico’s 108
6.2.1 Strategische risico’s 110
6.2.2 Procesrisico’s 113
6.3 Risicogroepen 121
6.3.1 Bowtie-analyse 123
6.3.2 Risicotolerantieanalyse 124
6.4 Beoordelen van het risicoprofiel 124
6.4.1 SWOT-analyse 124
6.4.2 Risico-mapping 129
6.4.3 Beoordelen risicoprofiel 133
6.5 Ontwikkelen van risicohouding, -strategie en -beleid 135
6.5.1 Risicohouding 135
6.5.2 Risicostrategieën 137
6.6 Samenvatting 140
7 Inrichting beheersingsprocessen 143
7.1 Plaats van beheersing binnen risicomanagement 143
7.2 Inrichting beheersingsprocessen: infrastructuur 144
7.3 Integraal beheersingskader 149
7.3.1 (Internal) control versus interne controle 150
7.4 Integraal beheersingskader en verdedigingslinies 150
7.5 Beheersingskader 1: Soft controls 153
7.5.1 Meten van zachte beheersingsmaatregelen 154
7.6 Beheersingskader 2: Governance control 157
7.7 Beheersingskader 3: Strategic control 157
7.8 Beheersingskader 4: Management control 161
7.8.1 Oriëntatie op menselijk gedrag 161
7.8.2 Gedreven door strategie 162
7.9 Beheersingskader 5: Task control 179
7.10 Beheersingskader 6: Operational control 181
7.10.1 Randvoorwaardelijke beheersingsmaatregelen 183
7.10.2 Procesbeheersing 186
7.11 Samenvatting 190
8 Monitoring en continu verbeteren 193
8.1 Monitoring en verbetering van de risicomanagementcyclus 193
8.2 Auditfunctie (derde en vierde verdedigingslinie) 194
8.2.1 Beoordelen van risico’s 195
8.2.2 Totstandkoming van het auditplan 196
8.2.3 Uitvoeren van het auditplan 202
8.2.4 Relatie met risicomanagement binnen de lijnorganisatie 203
8.3 Toezicht door lijnorganisatie (eerste verdedigingslinie) 204
8.3.1 Uitgangspunten voor effectief toezicht 204
8.3.2 Inrichten van toezicht 207
8.3.3 Rol van de interne en externe auditor 222
8.4 Continu verbeteren 225
8.5 Samenvatting 229
9 Verantwoording 231
9.1 In control statements 231
9.2 In control statement nader bekeken 235
9.2.1 Overwegingen bij het gebruik van het in control statement 235
9.2.2 Van een ‘smal’ naar een ‘breed’ in control statement 236
9.3 Weerstandsvermogen 241
9.3.1 Weerstandscapaciteit 242
9.3.2 Inventariseren risico’s 243
9.3.3 Simulatie 245
9.3.4 Bepalen van het weerstandsvermogen en een gemeenschappelijke taal 253
9.4 In control statement versus weerstandsvermogen 255
9.4.1 Verschillen tussen het in control statement en het weerstandsvermogen 256
9.4.2 Overeenkomsten tussen het in control statement en het weerstandsvermogen 257
9.4.3 Wat is beter? 258
9.5 Samenvatting 259
10 Implementatie 261
10.1 Generiek implementatieplan 261
10.2 Aanvliegroutes voor implementatie 264
10.2.1 Vanuit verdedigingslinie 1a 266
10.2.2 Vanuit verdedigingslinie 1b 268
10.2.3 Vanuit verdedigingslinie 1c 271
10.2.4 Vanuit de tweede verdedigingslinie 273
10.2.5 Vanuit de derde verdedigingslinie 274
10.3 Kritieke succesfactoren voor implementatie 276
10.3.1 Leiderschap 276
10.3.2 Rekenschap en betrokkenheid 278
10.4 Veranderkundige aspecten bij de implementatie 279
10.4.1 Veranderstrategie 279
10.4.2 Interventies 285
10.4.3 Communicatie en evaluatie 286
10.5 Samenvatting 288
11 Projectrisicomanagement 291
11.1 Projecten en projectrisico’s 292
11.2 Projectmanagement 293
11.2.1 Projectfasering 293
11.2.2 Beheersingsaspecten 294
11.2.3 Projectrisicoregister 295
11.3 Projectmanagement en beheersingsraamwerk 296
11.3.1 initiatiefase 297
11.3.2 Definitiefase 300
11.3.3 Ontwerpfase 303
11.3.4 Realisatiefase 306
11.3.5 Nazorgfase 308
11.4 Samenvatting 310
12 Risicomanagement in ketenverband 313
12.1 Detecteerbaarheid en beheersbaarheid 313
12.2 Twee ketencasussen 314
12.2.1 De mondiale kredietcrisis 314
12.2.2 Paardenvleesschandaal 316
12.3 Risicoversterkende factoren binnen de keten 318
12.4 Beheersing in ketenverband 321
12.5 Hypegiaphobia 324
12.6 Evolutie in risicomanagement: ketenrisicomanagement 327
12.6.1 Inrichting van ketenrisicomanagement 329
12.8 Samenvatting 332
13 Toezichthouders 333
13.1 Toezicht en de risicomanagementcyclus 333
13.2 Achtergronden van toezicht 335
13.2.1 One-tier- en two-tiergovernance-modellen 336
13.2.2 One-tier- en two-tierontwikkelingen in Nederland 337
13.2.3 Gezagsstructuur 338
13.3 Rollen van commissarissen en bestuurders 339
13.3.1 Agency-theorie 339
13.3.2 Raad van bestuur 340
13.3.3 Raad van commissarissen 341
13.4 Commissies van de raad van commissarissen 343
13.4.1 Gespecialiseerde commissies 343
13.4.2 Audit committee 344
13.5 Operationele processen van de raad van commissarissen 345
13.5.1 Randvoorwaardelijke zaken: statuten, reglementen en werkafspraken 345
13.5.2 Toezicht houden, adviseren en werkgeverschap 346
13.5.3 Afstemming taken en rol van de RvC 347
13.5.4 Omgang met aandeelhouders en belanghebbenden 348
13.5.5 Vergadercyclus van strategisch plan tot uitvoering 348
13.5.6 (Zelf)evaluatie 349
13.5.7 Informatievoorziening 349
13.6 Samenvatting 350
Bijlage I Volwassenheidsscan risicomanagement 353
Bijlage II Quickscan soft controls 367
Literatuur 373
Over de auteur 377
Rubrieken
- advisering
- algemeen management
- coaching en trainen
- communicatie en media
- economie
- financieel management
- inkoop en logistiek
- internet en social media
- it-management / ict
- juridisch
- leiderschap
- marketing
- mens en maatschappij
- non-profit
- ondernemen
- organisatiekunde
- personal finance
- personeelsmanagement
- persoonlijke effectiviteit
- projectmanagement
- psychologie
- reclame en verkoop
- strategisch management
- verandermanagement
- werk en loopbaan