Een zelfbeoordeling van risico's en controle (RCSA) is een bedrijfspraktijk die het topmanagement van een bedrijf helpt om significante risico's die inherent zijn aan de activiteiten van het bedrijf te identificeren en te beoordelen. Een RCSA-programma instrueert ook afdelingsmanagers en medewerkers op sectieniveau over hoe ervoor kan worden gezorgd dat interne controles, beleidsregels en procedures functioneel en adequaat zijn.
doeleinden
Een RCSA-programma omvat twee bedrijfsfuncties: zelfevaluatie van risico's en zelfbeoordeling van de controle. Risk self-assessment is een praktijk die afdelingshoofden in staat stelt verschillende bedrijfsrisico's te analyseren en ze te classificeren als "hoog", "gemiddeld" of "laag" op basis van potentiële verliezen. Een controle zelfevaluatieprogramma helpt senior managers ervoor te zorgen dat interne controles, procedures en mechanismen adequaat en functioneel zijn en voldoen aan de aanbevelingen van topmanagement, branchepraktijken, professionele normen en wettelijke richtlijnen. (Een controle is een instructie die door het management wordt ingevoerd om verliezen te voorkomen.)
Types
Een RCSA-initiatief richt zich op vier soorten risico's: operationeel, technologie, financieel en compliance. Het operationele risico is afkomstig van menselijke fouten of fraude (bijvoorbeeld als een medewerker geld steelt). Technologierisico is een gevolg van storingen in communicatiesystemen, zoals hardwarestoringen. Financieel risico kan kredietgerelateerd zijn (wanneer een zakenpartner niet in staat is om een lening terug te betalen) of marktrisico (wanneer de beveiligingsprijzen ongunstig veranderen). Compliancerisico heeft betrekking op nadelige regelgevingsacties wanneer een bedrijf zich niet aan de wet houdt.
Kenmerken
Een RCSA-schema kan betrekking hebben op sommige of alle vier soorten bedrijfsrisico's, afhankelijk van de bedrijfsbehoeften, bedrijfsgrootte, personeelsvaardigheden en wettelijke vereisten. Stel dat een op South Dakota gebaseerde wereldwijde bank financiële risico's wil identificeren, waarderen en beheren die impliciet zijn in de activiteiten van haar effectenbeurzen. De bank kan een RCSA opstellen met betrekking tot financiële risicoprocessen en haar marktrisico's als "medium" beschouwen. Een in New York gevestigde retailer van sportkleding kan de risico's die inherent zijn aan zijn activiteiten beoordelen en het operationeel risico in sommige gebieden als "laag" classificeren.
Voordelen
Een zelfbeoordelingsraamwerk voor risico's en beheersing is van cruciaal belang in de interne mechanismen van een bedrijf, omdat het potentiële verliezen die kunnen voortvloeien uit bedrijfsactiviteiten voorkomt of vermindert. Af en toe kunnen deze verliezen aanzienlijk zijn, zoals een werknemer die miljoenen dollars steelt of een bank die grote regelgevende boetes ontvangt wegens niet-naleving. Als een in New York gevestigde bank bijvoorbeeld geen RCSA uitvoert in de activiteiten van haar tradingdesks en een toezichthouder, zoals de Financial Industry Regulatory Authority (FINRA), onregelmatigheden ontdekt, kan FINRA de bank en haar handelaren boeten.
Expert Insight
Een RCSA-initiatief kan vaak betrekking hebben op moeilijke onderwerpen of gebieden waarin het personeel van een onderneming geen expertise heeft. In deze gevallen kan het topmanagement van een bedrijf een consultant inhuren om het bedrijf te helpen de risico's goed te evalueren. Een olie- en gasbedrijf kan bijvoorbeeld een gecertificeerde openbare accountant (CPA) inhuren om zijn marktrisicobeleid te herzien en aanbevelingen te doen.