1   Wat is Enterprise Risk Management (ERM) en wat is de relatie met Internal Control (IC)?

• Wat is een risico en wat is risicomanagement?
• Wat zijn de kernelementen van een ERM-systeem?
• Hoe verhoudt ERM zich tot Internal Control?
• Hoe past ERM in verschillende governance initiatieven (Tabaksblat, SOx, Basel II)?
• Wat zijn andere standaarden?
• Welke redenen zijn er om dit framework te adopteren?

2   Wat is COSO II en wat is het verschil met COSO?

• COSO II: een overzicht: de componenten en doelen
• Wat is nieuw en wat betekent dit voor uw praktijk?
• Wat is het verschil tussen COSO en COSO II?
• Welke mensen spelen een rol bij ERM?

3   Internal Environment: het fundament van ERM

• Hoe brengt u in kaart welke waarden er in uw organisatie gelden als het gaat om risico's en de manier waarop risico wordt beleefd door de mensen in uw organisatie?
• Hoe bepaalt u de strategie/doelstellingen van uw organisatie omtrent Enterprise Risk Management?
• Hoe legt u vast in welke mate uw organisatie zich wil blootstellen aan risico's (risicobereidheid)?

4   Objective Setting: hoe analyseert u de doelen van uw organisatie?

• Welke eisen dient u te stellen aan de beschrijving van de doelen van uw organisatie?
• Hoe bepaalt u of de doelen in lijn zijn met de strategie en risicobereidheid van uw organisatie?
• Wat is de relatie met de andere componenten?

5   Event Identification: hoe identificeert u bedreigingen en kansen?

• Wat zijn kritieke gebeurtenissen en wat is de relatie met risico's?
• Welke methoden, technieken en instrumenten gebruikt u om kritieke gebeurtenissen te identificeren?
• Hoe draagt u zorg voor de gedegenheid en volledigheid van uw event identification?
• Wie zijn de sleutelfiguren bij het bepalen van kritieke gebeurtenissen en hoe betrekt u deze personen op de juiste manier?

6   Risk Assessment: hoe classificeert u de verschillende risico's waar uw organisatie mee te maken heeft en wat is het nut hiervan?

• Wat is het onderscheid tussen inherent risico en rest risico?
• Hoe prioritiseert u de verschillende risico's en wat is de relatie met de risicobereidheid en risicotolerantie van uw organisatie?
• Hoe valideert u uw risicoprofiel?

7   Risk Response: hoe analyseert u uw risicoprofiel en wat zijn mogelijke technieken?

• Op welke manier kan het management op risico's reageren en wat is de rol van risicobereidheid hierin?
• Hoe bepaalt u of de risk response in lijn is met de risicobereidheid en risicotolerantie en welke rol speelt de internal auditor hierbij?

8   Control Activities: welke rol kunt u spelen in het selecteren en valideren van de control activities?

• Wat zijn control activities?
• Wat hebben control activities voor invloed op het risicoprofiel van uw organisatie?

9   Information & Communication: op welke manier kan information & communication bijdragen aan het effectief implementeren en uitvoeren van ERM?

• Op welke manier zorgt u voor draagvlak binnen uw totale onderneming?
• Hoe zorgt u voor optimale communicatie betreffende Enterprise Risk Management?
• Op welke wijze rapporteert u over ERM en wat is de rol van risico indicatoren hierin?
• Op welke manier maakt u onderscheid tussen interne en externe rapportage over risico's?

10  Monitoring: hoe monitort u Enterprise Risk Management?

• Hoe bepaalt u wanneer aanpassingen nodig zijn?
• Welke activiteiten ondersteunen een optimale monitoring?

11  Hoe richt u uw organisatie in om ERM effectief te laten functioneren en beklijven?

• Hoe integreert u ERM binnen bestaande  processen en structuren?
• Welke rol kunnen de controller, risk manager,internal auditor en accountant spelen bij ERM?
• Wat is de rol van andere belanghebbenden zoals Raad van Bestuur, Raad van Commissarissen, Audit Commitee en  algemeen management bij ERM?
• Wat is de waarde van automatisering bij ERM?
• Wat zijn de kritieke succesfactoren voor succesvolle implementatie van ERM?