Risicomanagementsysteem

Het risicomanagementsysteem volgens Coso

Bij de beoordeling van het risicomanagementsysteem en risicomanagementproces in een organisatie kan gebruik worden gemaakt van het COSO ERM-model (enterprise risk management). Dit model kan als theoretisch kader fungeren en vormt een hulpmiddel bij het opzetten en beoordelen van het risicomanagement van een organisatie. 

Een goed opgezet risicomanagementsysteem kan op basis van de naaststaande Coso-kubus voor elk blokje in de kubus plaatsvinden. Zo kunnen bijvoorbeeld voor een organisatie-eenheid (businessunit) de controleactiviteiten met betrekking tot reporting worden uitgewerkt. Welke controleactiviteiten worden onderkend die moeten zorgen voor actuele en betrouwbare maand- en kwartaalrapportages? Zijn er überhaupt controleactiviteiten gedefinieerd? Een ander voorbeeld van een coso-analyse is: welke risico's en maatregelen worden onderkend voor de informatie- en communicatievoorzieningen van een divisie of werkmaatschappij op het vlak van compliance? Een voorbeeld hiervan betreft de risico's die organisaties sinds 1 mei 2018 hebben met betrekking tot de nieuwe wetgeving "General Data Protection Regulation" (GDPR). Dit stelt nieuwe eisen aan organisaties met betrekking tot de gegevensbeveiliging van persoonsgegevens.    

In een grondige analyse beslaat dit 8 risicogebieden (horizontaal), 4 aandachtsgebieden en 4 organisatieniveaus; kortom: 128 combinaties. In de praktijk zullen niet alle 128 combinaties worden geanalyseerd. Sommige aspecten zullen relevanter zijn dan andere. Het framework en model moeten dus worden gezien als een soort checklist van onderwerpen.