Committee of Sponsoring Organizations of the Treadway  Commission (COSO) ontwikkelde een raamwerk voor het beoordelen en verbeteren van interne beheersingssystemen, het zgn. Interne Beheersing Geïntegreerd Raamwerk (Internal control Integrated Framework) Dit raamwerk geldt als een belangrijke standaard voor het beheersen van de activiteiten die erop gericht zijn een redelijke zekerheid (assurance) te verkrijgen dat een organisatie erin slaagt haar doelen te realiseren. Hieronder een aantal fragmenten uit de managementsamenvatting die COSO geeft van haar eigen raamwerk:

De achterliggende gedachte bij ondernemingsrisicomanagement is dat iedere onderneming bestaat om waarde te creëren voor haar aandeelhouders. Alle ondernemingen worden geconfronteerd met onzekerheden, en de uitdaging voor het management is om vast te stellen hoeveel onzekerheid acceptabel is, terwijl er gestreefd wordt naar groeiende aandeelhouderswaarde. Onzekerheid biedt zowel risico als kansen, met de potentie om zowel waarde te verhogen als uit te hollen. Ondernemingsrisicomanagement stelt het management in staat om op een efficiënte wijze met deze onzekerheid en de hieraan verbonden risico's en kansen om te gaan, en daarbij de capaciteit om waarde te creëren te versterken.

Gebeurtenissen - Risico's en kansen Gebeurtenissen kunnen negatieve of positieve effecten of een combinatie van beide met zich meebrengen. Gebeurtenissen met een negatief effect vertegenwoordigen risico's, die waardecreatie kunnen voorkomen of bestaande waarde kunnen uithollen. Gebeurtenissen met een positief effect kunnen negatieve effecten compenseren of vertegenwoordigen kansen. Kansen zijn de mogelijkheid dat een gebeurtenis zich voordoet die op positieve wijze het behalen van doelen kan beïnvloeden waarbij de creatie of het behoud van waarde wordt versterkt. Management verwijst kansen terug naar het proces van strategie - of doelstellingformulering, waarbij plannen worden geformuleerd om de kansen te benutten.

(...)

Definitie van Ondernemingsrisicomanagement

Ondernemingsrisicomanagement behandelt risico's en kansen die creatie of het behoud van waarde beïnvloeden en wordt als volgt gedefinieerd: Ondernemingsrisicomanagement is een proces dat bewerkstelligd wordt door het bestuur van de onderneming, het management en ander personeel en wordt toegepast bij het formuleren van de strategie en binnen de gehele onderneming, ontworpen om potentiële gebeurtenissen die invloed kunnen hebben op de onderneming te identificeren en om risico's te beheren zodat deze binnen de risicoacceptatie graad vallen, om een redelijke zekerheid te bieden ten aanzien van het behalen van de ondernemingsdoelstellingen.

Het behalen van doelen

Binnen de context van de door de onderneming geformuleerde missie of visie, formuleert het management strategische doelstellingen, selecteert het een strategie en stelt het afgeleide doelstellingen voor de gehele onderneming. Dit raamwerk voor ondernemingsrisicomanagement is opgesteld om de ondernemingsdoelstellingen te behalen, en is in gedeeld in vier categorieën:

1. Strategisch: betreft globale doelen en is afgestemd op de missie.

2. Operationeel : betreft effectief en efficiënt gebruik van de middelen.

3. Rapportage: betreft betrouwbaarheid van verslaggeving.

4. Toezicht: betreft naleving van wet - en regelgeving.

Deze indeling van de ondernemingsdoelstellingen maakt een focus op individuele aspecten van ondernemingsrisicomanagement mogelijk. Deze onderscheiden maar overlappende categorieën - een bepaalde doelstelling kan in meerdere categorieën vallen - pakken verschillende behoeften van een onderneming aan en kunnen tot de verantwoordelijkheid behoren van verschillende directieleden. Deze indeling in categorieën laat ook onderscheid toe tussen dat wat verwacht kan worden van iedere categorie van doelstellingen. ... Omdat doelstellingen die gerelateerd zijn aan de betrouwbaarheid van rapportage en naleving van wet - en regelgeving binnen de macht van een onderneming liggen, kan men verwachten dat ondernemingsrisicomanagement redelijke zekerheid kan bieden als het
gaat om het behalen van de door onderneming gestelde doelen.

Het behalen van strategische en operationele doelen is aan externe invloeden onderhevig en ligt niet altijd in de macht van de onderneming. Voor  deze doelstellingen kan het ondernemingsrisicomanagement een redelijke zekerheid bieden dat het management en het bestuur in hun toezichthoudende rol, tijdig op de hoogte worden gesteld van de mate waarin de onderneming zich beweegt in de richting van het  realiseren van de doelstellingen.

Componenten van ondernemingsrisicomanagement

Ondernemingsrisicomanagement bestaat uit acht met elkaar verbonden componenten. Deze componenten zijn afgeleid van de wijze waarop het management een onderneming runt en zijn verbonden met het managementproces. De componenten zijn:

1. Interne omgeving: de interne omgeving omvat de toon van een organisatie en stelt de basis voor hoe risico's worden beschouwd en aangepakt door de mensen van een onderneming, inclusief risicobeheer en risicoacceptatiegraad, integriteit, ethische normen en waarden en de omgeving waarin zij opereren.

2. Formuleren van doelstellingen: doelstellingen moeten bestaan voordat het management potentiële gebeurtenissen die invloed hebben op het behalen van deze doelen kan erkennen. Ondernemingsrisicomanagement bewerkstelligt dat het management een proces heeft dat doelstellingen vastlegt, dat gekozen doelstellingen afgestemd zijn op en de missie onderste unen en consistent zijn met de risicoacceptatiegraad.

3. Identificeren van gebeurtenissen: interne en externe gebeurtenissen die invloed hebben op het behalen van de doelstellingen van de ondernemingen moeten worden geïdentificeerd, daarbij onderscheid makend tussen risico's en en kansen. Kansen worden terug gekoppeld naar het strategie- en/of doelstellingenformuleringsproces.

4. Risicobeoordeling: risico's worden geanalyseerd, rekening houdend met hun waarschijnlijkheid en impact, als basis voor het vaststellen hoe de ze zouden mo eten worden beheerst. De inherente risico's worden geschat.

5. Reactie op risico: het management selecteer de reacties op risico's: vermijden, accepteren, verminderen of delen van risico waarbij een set acties wordt ontwikkeld om risico's af te stemmen op de risicotolerantie en risicoacceptatiegraad.

6. Beheersingsactiviteiten: richtlijnen en procedures worden geformuleerd en geïmplementeerd om te waarborgen dat de reacties op risico effectief worden uitgevoerd.

7. Informatie en Communicatie: relevante informatie wordt geïdentificeerd, verzameld en gecommuniceerd in een vorm en tijdsbestek die mensen in staat stellen hun verantwoordelijkheden uit te voeren. Effectieve communicatie vindt ook in ruimere zin plaats , horizontaal, verticaal en bilateraal binnen een onderneming.

8. Bewaking: de totaliteit van ondernemingsrisicomanagement wordt bewaakt en wijzigingen worden waar nodig aangebracht. Bewaking wordt mogelijk gemaakt door voortdurende managementactiviteiten, afzonderlijke evaluaties of beide.

Relatie tussen doelstellingen en componenten

Er is een directe relatie tussen de doelstellingen die een onderneming tracht te behalen en de componenten van ondernemingsrisicomanagement, die aangeven wat nodig is om deze doelen te realiseren. De relatie is afgebeeld in een driedimensionale matrix, in de vorm van een kubus.

De vier categorieën doelstellingen strategisch, operationeel, rapportage en compliance zijn weergegeven in de verticale kolommen. De acht componenten opgenomen in de horizontale rijen en de onderdelen van de onderneming zijn te vinden in de derde dimensie. Deze afbeelding weerspiegelt de mogelijkheid om te focussen op het risicomanagement van de onderneming in totaliteit of per categorie doelstellingen, per component, per bedrijfsonderdeel of een deel hiervan.

Bron: Risico management van de onderneming Geïntegreerd raamwerk - Enterprise Risk Managemnet Integrated Framework (ERM)