Risicomanagementsysteem

Bij de beoordeling van het risicomanagementsysteem en risicomanagementproces in een organisatie kan gebruik worden gemaakt van het COSO ERM-model (enterprise risk management). Dit model kan als theoretisch kader fungeren en vormt een hulpmiddel bij het opzetten en beoordelen van het risicomanagement van een organisatie. 

Een goed opgezet risicomanagementsysteem kan op basis van de naaststaande Coso-kubus voor elk blokje in de kubus plaatsvinden. Zo kunnen bijvoorbeeld voor een organisatie-eenheid (businessunit) de controle-activiteiten met betrekking tot reporting worden uitgewerkt. Welke controle-activiteiten worden onderkend die moeten zorgdragen voor actuele en betrouwbare maand- en kwartaalrapportages? Zijn er uberhaupt controle-activiteiten gedefinieerd? Een ander voorbeeld van een coso-analyse is welke risico's en maatregelen worden onderkend voor de informatie en communicatie van een divisie of werkmaatschappij op het vlak van compliance? Een voorbeeld hiervan betreft de risico's die organisaties hebben vanaf 1 mei 2018 met betrekking tot de nieuwe wetgeving "General Data Protection Regulation" (GDPR). Deze stelt nieuwe eisen aan organisaties over de gegevensbeveiliging van persoonsgegevens.    

In een grondige analyse beslaat 8 risicogebieden (horizontaal), 4 aandachtsgebieden en 4 organisatieniveaus, kortom: 128 combinaties. In de praktijk zullen niet alle 128 combinaties worden geanalyseerd. Sommige aspecten zijn relevanter dan andere zullen zijn. Het framework en model moet dus gezien worden als een soort checklist van onderwerpen.