Wat is Enterprise Risk Management?
Enterprise-risicobeheer, ook wel ERM genoemd, is een concept met een vrij eenvoudige definitie en een veel complexere implementatie. Het is een zakelijke financiële term die de methoden van risicobeheer beschrijft - het identificeren van risico's en opportuniteiten - binnen een bedrijf. Dit concept is breed en kan behoorlijk complex zijn voor grote bedrijven. Voorafgaand aan de Sarbanes-Oxley-wet in de Verenigde Staten en later de internationale norm voor risicobeheer (ISO 31000) was ondernemingsrisicobeheer grotendeels optioneel en hoewel veel bedrijven strategieën gebruikten om risico's te beheren, waren de richtlijnen veel vager. Aspecten van ondernemingsrisicobeheer kunnen het identificeren van bedrijfsdoelstellingen en het opstellen van een strategisch plan zijn om deze te bereiken; beoordelen hoe waarschijnlijk het is dat het plan, of delen van het plan, zullen slagen; en het opstellen van een respons- en voortgangsevaluatieplan.
Strategische planning kan worden gedefinieerd als de formulering en implementatie van een organisatiebreed plan, waardoor degenen binnen het plan beslissingen kunnen nemen die uitsluitend gericht zijn op het bereiken van de doelstellingen die door de organisatie zijn vastgelegd. In het bedrijfsleven moeten doorgaans risico's worden genomen om de maximale doelen van het bedrijf te helpen bereiken. Enterprise risk management is hoe bedrijven en organisaties deze risico's beheren. Onderdeel van het nemen van een risico op een kans is weten dat het niet loont; alle geïnvesteerde tijd, geld en middelen kunnen verloren gaan. De Sarbanes-Oxley Act stelt bijvoorbeeld controlewetten in, zodat bedrijven in gedachten kunnen houden wat een aanvaardbaar risiconiveau is. Het doel van de controlewetten is om belanghebbenden te beschermen en ervoor te zorgen dat corruptie binnen een organisatie kan worden gestopt voordat onherstelbare schade wordt aangericht.
Enkele voorbeelden van veelvoorkomende soorten risico's waarmee een bedrijf kan worden geconfronteerd, zijn krediet-, verzekerings-, juridische, boekhoudkundige, audit-, kwaliteits- en andere soorten risico's. De Sarbanes-Oxley Act vereist van Amerikaanse bedrijven dat zij een enterprise risk management systeem hebben, en zo zijn er een aantal frameworks gecreëerd. De twee belangrijkste kaders in de Verenigde Staten zijn samengesteld door de Casualty Actuarial Society (CAS) en het Committee of Sponsoring Organisations (COSO). Het kader van de COSO wordt meer algemeen aangenomen. Het stelt dat enterprise risk management een proces is van interne controles dat door het hele bedrijf moet worden gedeeld en dat de mensen binnen het bedrijf het aanvaardbare risiconiveau moeten kennen. De hoofdlijnen van de CAS zijn meer gericht op het risicobeheer, zodat de waarde van de onderneming voor haar stakeholders wordt verhoogd. Door vele aversieve gebeurtenissen in het bedrijfsleven zijn wetgevers en zakenmensen zich gaan realiseren dat een enterprise-risicobeheersysteem dat alle afdelingen van een organisatie omvat, de beste manier is om belanghebbenden te beschermen en zichzelf dus te beschermen.