Ondernemingsbrede risicobeoordeling (EWRA) of eenvoudigweg bedrijfsrisicobeoordeling (ERA) of algemene risicobeoordeling of bedrijfsrisicobeheer (ERM) zijn allemaal termen die hetzelfde proces beschrijven: de identificatie, beoordeling en supervisie van risico's van een entiteit. Een beoordeling helpt bedrijven om hun aanpak van risicobeheer aan te passen aan de eisen van de zich ontwikkelende financiële bedrijfsnormen.
Waarom voeren financiële instellingen algemene risicobeoordelingen uit?
Het gebruik van ERM-programma's is een manier voor bedrijven om een concurrentievoordeel te behalen. Het is niet alleen op grond van een wettelijke verplichting.ERM speelt een fundamentele rol in de prioritering van de risico's (d.w.z. governance, operationeel, reputatie, strategisch, strategisch, financieel, regulerend) en kan daarom worden beschouwd als een essentiële stap in de algemene bedrijfsstrategie en de prestaties van het bedrijf. De risico-evaluatie helpt bedrijven om zakelijke kansen te grijpen in een veranderende omgeving.
EWRA en de risicogebaseerde aanpak (RBA)
Een passende risicogebaseerde benadering begint met het verwerven van een grondige en actuele kennis van de risicopositie van de instelling en een goed begrip van deze risico's. De instelling is zich bewust van de risico's die zij loopt en van de risico's die zij loopt."....de landen moeten een risicogebaseerde benadering (RBA) toepassen om ervoor te zorgen dat de maatregelen ter voorkoming of beperking van het witwassen van geld en de financiering van terrorisme in verhouding staan tot de vastgestelde risico's." en was ook een belangrijk aandachtspunt bij de uitvoering van deze richtlijn de vierde Europese AML-richtlijn.
De RBA is een methode die het mogelijk maakt om de activiteiten van het bedrijf te priotiriseren op basis van een eerdere analyse van gegevens. Volgens RBA is er sprake van proportionaliteit van de genomen maatregelen, afhankelijk van hoe hoog het risico is. Dit betekent dat RBA in situaties met een laag risico minder acties toelaat en dat de nadruk wordt gelegd op hoge risico's, waarbij verbeterde maatregelen verplicht zijn. Hierdoor kan de toewijzing van de beschikbare middelen worden geoptimaliseerd.
Hoe voert u op efficiënte wijze bedrijfsbrede risico-evaluaties uit?
Een succesvolle EWRA-methodologie is consistent op alle gebieden en wordt gewoonlijk opgebouwd door middel van de volgende hoofdfasen: de identificatie van risico's, de analyse van leemten/risicoprioriteiten en de aanpassing (correctie-mitigatie).
Soorten risico's
De entiteit zal de verschillende soorten risico's moeten classificeren. De risico's hebben betrekking op bedrijfsdomeinen zoals Compliance, Governance, Strategie, Planning en Infrastructuur. Deze algemene categorieën zijn opgesplitst in verschillende subcategorieën en de risico's worden voor elke categorie gedetecteerd. Compliance risico's zullen bijvoorbeeld verder worden geanalyseerd in de compliance cultuur, rapportage, management risico's en rapportage. Infrastructuur omvat subcategorieën zoals human resources, training, communicatie, communicatie, IT-systemen en marketingrisico's. De infrastructuur omvat ook subcategorieën zoals human resources, training, communicatie, IT-systemen en marketingrisico's. De infrastructuur wordt in de loop van de tijd steeds verder uitgebreid.
Wanneer de onderneming haar risico's onderzoekt, rekening houdend met de bestaande toepasselijke controles, worden we geconfronteerd met een "Resterend risico". Door deze twee berekende risiconiveaus te onderzoeken, kan een bedrijf zijn bestaande controles beoordelen en evalueren of deze voldoende zijn of niet.
Het grondige inzicht in de onderneming en de risico's waarmee de onderneming wordt geconfronteerd, is essentieel om te bepalen of de onderneming haar algemene doel kan bereiken of dat extra maatregelen nodig zijn. Een EWRA is efficiënter voor een entiteit als de risico's, afhankelijk van hun belang voor de entiteit, een hogere prioriteit krijgen dan de risico's die min of meer dringend zijn.

Bent u op zoek naar meer gedetailleerde informatie over de algemene risicobeoordelingsverplichting van AML? Volg het artikel voor meer inzichten.
Risicobereidheid en risicotolerantie
De risicobereidheid is het bedrag van het risico dat een entiteit bereid is te nemen. De risicobereidheid vormt de doelstellingen die een entiteit nastreeft en het profiel van een bedrijf als een meer risico-agressieve of meer conservatieve entiteit. Een entiteit moet een risicobereidheid ontwikkelen en deze aan haar verschillende eenheden communiceren om de doelstellingen voor elke afdeling vast te stellen. De risicobereidheid zal moeten worden bewaakt en bijgewerkt indien nodig. Om een risicobereidheid te ontwikkelen, zal de onderneming rekening houden met een aantal factoren: het huidige risiconiveau dat de onderneming tot op dat moment heeft, het risico dat de entiteit in staat is te hanteren, haar risicotolerantie en de houding van de entiteit ten aanzien van groei, rendement en risico's. De risicobereidheid van de onderneming zal worden getoetst aan de criteria van IAS 39.Risicotolerantie is meer specifiek in operationele zin en staat voor de toepassing van de risicobereidheid op bepaalde doelstellingen. Het is het risiconiveau dat een entiteit per individueel risico kan hanteren. Een onderneming bepaalt haar risicobereidheid, maar de risicotolerantie is de aanvaardbare actie die zal worden ondernomen op basis van de risicobereidheid.
De noodzaak om de EWRA te documenteren en voortdurend bij te werken
In het algemeen wordt het EWRA gedocumenteerd, geactualiseerd en ter beschikking van de toezichthoudende autoriteiten gehouden (de "EWRA"). Nationale Bank voor België, ("NBB"). De EWRA zal telkens wanneer zich een gebeurtenis voordoet, worden bijgewerkt en kan een aanzienlijke invloed hebben op het risicoprofiel van de entiteit.Het is geen proces dat één keer per jaar plaatsvindt, maar een continu proces dat telkens wanneer zich een belangrijke situatie voordoet, plaatsvindt. De entiteit moet te allen tijde een duidelijk inzicht hebben in de wijze waarop de risico's in verband met de zakelijke relatie zich ontwikkelen.
Naast het kerndocument van de EWRA is een kader vereist waarin het proces voor de voltooiing van de beoordeling wordt beschreven. In dit document zal het toepasselijke wettelijke kader worden vermeld. Bovendien moet worden aangegeven welke methodologie is gebruikt, hoe deze in de beoordeling is geïntegreerd, een beschrijving van de procedures voor het toezicht op en de tijdige actualisering van het risicobeoordelingsproces en een verwijzing naar de mate waarin het verantwoordelijke personeel, de hoogste leiding en eventuele andere partijen bij alle fasen van het proces zijn betrokken.
Tot slot moeten risicoprofessionals niet vergeten dat risicomanagement geen proces van "aanvinken" is. . Het is een heel systeem om de prestaties van een bedrijf te verbeteren. Het is een continu proces dat een diepgaand inzicht vereist in het bedrijfsmodel van de entiteit en de werking ervan in de specifieke bedrijfs- en juridische omgeving.