Het COSO-ERM model is een internationaal erkend raamwerk voor integraal risicomanagement. In dit artikel lees je hoe je dit model toepast binnen je SIRA en bredere integriteitsbeleid. Inclusief praktische voorbeelden en koppelingen met Wwft, SKM en risicobereidheid.
Wat is COSO-ERM?
COSO-ERM staat voor het Enterprise Risk Management Framework van het Amerikaanse COSO-consortium. Het biedt organisaties een logische structuur om:
- risico’s te koppelen aan doelstellingen,
- risicobereidheid expliciet te maken,
- en beheersmaatregelen, monitoring en cultuur goed te organiseren.
Het COSO-ERM model uit 2017 is opgebouwd rond vijf hoofdelementen en wordt veel gebruikt binnen de publieke sector, financiële instellingen en grotere mkb-organisaties.
Waarom is COSO-ERM relevant voor SIRA?
De SIRA (Systematische Integriteitsrisicoanalyse) is verplicht voor veel Wft-instellingen, en sterk aanbevolen voor Wwft-plichtige instellingen zoals accountantskantoren. In essentie is een SIRA een vorm van integriteitsgericht risicomanagement. Het COSO-ERM model helpt je om dit:
- systematisch op te bouwen,
- te verbinden aan je strategie, doelstellingen en organisatiecultuur,
- én goed te laten aansluiten op je SKM of bredere risicobeheersing.
COSO-ERM is dus geen vervanging van je SIRA, maar een stevig raamwerk om je SIRA-inrichting te verdiepen. Ook kun je de componenten uit COSO-ERM verbinden aan componenten uit ISQM 1 (SKM 1 NL).
De 5 componenten van COSO-ERM toegepast op de SIRA
| Component | Wat dit o.a. betekent in de SIRA-context |
| 1. Governance & cultuur | Bevorder risicobewust gedrag. Zorg voor duidelijke rollen, meldstructuren en aanspreekcultuur. |
| 2. Strategie en doelstellingen | Koppel risico’s aan je organisatiedoelen. Wat zijn je integriteitsgrenzen? |
| 3. Risico-identificatie en beoordeling | Analyseer dreigingen en kwetsbaarheden per risicogebied. Werk met kans × impact. |
| 4. Risicorespons | Bepaal per risico of je het accepteert, vermijdt, beheerst of overdraagt. |
| 5. Informatie, communicatie & monitoring | Zorg dat signalen worden opgevolgd en jaarlijks wordt geëvalueerd. |
Praktische toepassing: SIRA in COSO-ERM structuur
Voorbeeld 1 – Governance & cultuur:
Een mkb-kantoor met jonge medewerkers besluit om intervisiesessies te organiseren waarin risicodilemma’s worden besproken. Niet verplicht, wel effectief. Het verhoogt signaleringskracht en bewustwording.
Voorbeeld 2 – Risico-identificatie en -beoordeling:
Bij klanten met buitenlandse structuren beoordeelt het kantoor de risico’s op integriteitsvervalsing met een score van 4 (kans) × 5 (impact) = 20. De risicorespons is: verscherpt cliëntenonderzoek en vaktechnisch overleg bij acceptatie.
Voorbeeld 3 – Risicorespons en monitoring:
Het kantoor accepteert geen crypto-gerelateerde ondernemingen. In het SIRA-document staat dat dit risico als “onaanvaardbaar” is geclassificeerd. Jaarlijks wordt gecontroleerd of er afwijkingen zijn — en zo ja, hoe die zijn gemotiveerd en gemeld.
Voordelen van COSO-ERM in je SIRA
- Verankert risicomanagement in je organisatie, niet alleen op papier
- Sluit aan op governance en strategie, wat essentieel is voor toetsing
- Maakt je SIRA onderdeel van bredere PDCA-cyclus, samenhangend met SKM
- Stimuleert bewustzijn en consistentie, ook in gedrag en besluitvorming
Vooral als je SIRA integreert met het kwaliteitsdenken in SKM 1, wordt het compliance en integriteitsmanagement volwaardig onderdeel van je bedrijfsprocessen.
Veelgestelde vragen
Is COSO-ERM verplicht bij het opstellen van een SIRA?
Nee. Er is geen verplicht model. Maar COSO-ERM is breed geaccepteerd en sluit goed aan bij de eisen uit Wwft, ISQM 1 en toezichtsnormen.
Is het niet te abstract voor kleinere organisaties?
Nee, zolang je het model praktisch en passend invult. Zie het als structuur voor het stellen van de juiste vragen – het voedt je denkexercitie – niet als extra administratie.
Hoe combineer ik COSO-ERM met mijn SKM?
Zoals gezegd past COSO-ERM perfect in de PDCA-benadering van ISQM 1. Je kunt dezelfde risicomethodiek gebruiken voor SIRA én kwaliteitsdoelstellingen, mits je risico’s thematisch scheidt (gezien de soms grote verschillen op inhoud en doelstellingen).
Verder lezen
- Wat is een SIRA? Zo leg je een stevig fundament onder je risicobeheersing
- Component 8. Risicobeheersing onder ISQM 1 (SKM 1 NL)
- Kwaliteitsmanagement onder ISQM 1 (SKM 1 NL) volgens de PDCA-cyclus van Deming
- Risicobereidheid in de SIRA: hoe bepaal je wat je nog acceptabel vindt?
Assurvia helpt je risicostructuur versterken met COSO-ERM
Wij helpen organisaties bij het toepassen van COSO-ERM als raamwerk voor SIRA, SKM en compliance. Van analyse tot strategie, van integriteitssessie tot rapportagestructuur. Altijd praktisch en passend.
Mail ons op info@assurvia.com of bekijk onze kennisbank voor aanvullende inzichten.
