Wat is COSO?
COSO staat voor de Committee of Sponsoring Organizations of the Threadway Commission.
In Amerika werd The National Commission on Fraudulent Financial Reporting (The Threadway Commission) opgericht,
na verschillende grote fraudegevallen - Het doel van deze commissie was het onderzoeken van de oorzaken van
boekhoudfraude om te zorgen dat deze in de toekomst konden worden voorkomen.
Ze brachten het eerste COSO-rapport uit, Het COSO Internal Control - Integrated Framework (ICIF).
Door de grote fraudezaken werd de Sarbanes-Oxley Act ingevoerd, om aandeelhouders te beschermen tegen
frauduleuze financiële verslaggeving.
Een van de bepalingen in die wet, artikel 404, schrijft voor dat het management moet zorgen voor een effectief intern
beheersingssysteem en dat activiteiten van interne controle worden vastgelegd en moeten voldoen aan een algemeen
geaccepteerd normenkader, zoals COSO.
In Nederland niet z’n strikt normenkader zoals genoemd in de Corporate Governance Code. Wel wordt er genoemd dat
het bestuur verantwoording moet afleggen over de effectiviteit van de opzet en de werking van de interne beheersings-
en controlesystemen (Principle 1.4)
Pas is de toelichting bij de best practice-bepalingen wordt aangegeven dat het logisch is dat het bestuur ook aangeeft
welk raamwerk of normenkader (bijv. het COSO-raamwerk voor IB) wordt gebruikt.
Enterprise Risk Management Framework (ERM) is vooral gericht op de strategie van organisaties, de risico’s die
daarmee samenhangen en het managen van die risico’s
COSO-raamwerken:
- ICIF
- ERM
- Internal Control over Financial Reporting - Guidance for Smaller Public Companies.
- Internal Control over Financial Reporting gaat vooral over beheersing van financiële informatieverzorging door
kleinere bedrijven.
Het Internal Control - Integrated Framework
Internal Control volgens COSO: Interne beheersing is een proces, uitgevoerd door de directie van een organisatie,
het management of ander personeel, gericht op het verkrijgen van een redelijke mate van zekerheid over het bereiken
van doelstellingen met betrekking tot de bedrijfsprocessen (operations), informatieverzorging (reporting) en wet- en
regelgeving (compliance).
Er zijn dus doelstellingen op drie gebieden:
- Effectieve en efficiënte bedrijfsprocessen: Het gaat hier om het
behalen van de bedrijfsdoelstellingen (effectiviteit) op een doelmatige
(efficiënte) manier. Ook gaat het om het bewaken van activa tegen verlies.
- Informatieverzorging: De doelstellingen zien toe op zowel financiële als
niet financiële rapportagen en gaan o.a. over betrouwbaarheid, tijdigheid,
transparantie etc.
- Voldoen aan wet- en regelgeving voor alle wet- en regelgeving waaraan
een onderneming zich moet houden
Om de genoemde redelijke mate van zekerheid te bereiken rondom het halen van
doelstellingen, zal de IB uit 5 componenten moeten bestaan volgens COSO (voorkant
kubus)
Boven op de kubus staan de drie doelstellingen en het rechtervlak de vier niveaus
waarop het raamwerk binnen organisaties kan/moet worden aangehouden.
Elk component van IB is uitgewerkt in principes, het raamwerk is namelijk principle-
based
AI vragen
Volgens COSO zijn
deze principes nodig om efficiënte systemen van
Internal Control op te zetten. Als een principe niet
goed is opgepakt werkt de component waar dit
principe bij hoort over het algemeen niet optimaal
De componenten en principes
Control Environment
De Control Environment vormt de basis van IB. Het
gaat om standaarden, processen en structuren die
richting geven aan hoe de organisatie werkt en zich
gedraagt. De directie en het hogere management
bepalen hierbij de tone at the top: zij laten zien hoe
belangrijk IB en gewenst gedrag zijn. Dit raakt ook
thema’s als ethiek, integriteit en cultuur, die veel
invloed hebben op de andere onderdelen van BI.
Belangrijke onderdelen van de Control Environment zijn:
- Hoe het toezicht op het management is geregeld.
- Het vastleggen en toedelen van verantwoordelijkheden binnen de organisatie.
- Het opstellen van een duidelijke rapportagestructuur die aansluit bij de taakverdeling.
- Personeelsbeleid, beloningsstructuur en verantwoording.
, Principe 1: The organization demonstrates a commitment to integrity and ethical values
- De organisatie toont commitment aan integer en ethisch gedrag
- Het management geeft zelf het goede voorbeeld, binnen en buiten de organisatie
- Er is een formele gedragscode die in de hele organisatie geldt.
- Afwijkingen worden besproken: medewerkers en managers worden aangesproken op gedrag dat niet past
- De gedragscode wordt periodiek herzien om te controleren of deze nog aansluit bij het gewenste gedrag.
Principe 2: The board of directors demonstrates independence from management and exercises
oversight of the development and performance of internal control
- Het toezicht op het bestuur (bijv. door RvC of Raad van Toezicht) moet onafhankelijk en deskundig zijn
- Toezichthouders moeten hun rol en verantwoordelijkheden kennen en accepteren
- Bij de benoeming en evaluatie wordt gekeken naar kennis en vaardigheden
- Principe geldt ook voor de opzet, werking en prestaties van het interne beheersingssysteem.
Principe 3: Management establishes, with board oversight, structures, reporting lines, and
appropriate authorities and responsibilities in the pursuit of objectives
- Het management zorgt voor een duidelijke structuur en taakverdeling, met toezicht van de raad
- Op elk niveau moet helder zijn wie waarvoor verantwoordelijk is
- Bij uitbesteding aan derden worden taken en verantwoordelijkheden vastgelegd in contracten of Service
Level Agreements (SLA’s)
- De rapportagestructuur sluit aan op de taakverdeling, zodat overal verantwoording kan worden afgelegd over
doelen en resultaten.
- De structuur van de organisatie moet effectief zijn en passen bij de doelen en activiteiten van de organisatie.
Principe 4: The organization demonstrates a commitment to attract, develop and retain competent
individuals in alignment with objectives
- Gaat over het personeelsbeleid.
- Er zijn procedures voor werving, beoordeling, ontwikkeling en behoud van medewerkers
- Voor elke rol zijn er competenties vastgesteld die periodiek worden geëvalueerd.
- Opleiding en training krijgen structureel aandacht
- Tekortkomingen worden besproken in functionering- en beoordelingsgesprekken.
Principe 5: The organization holds individuals accountable for their internal control responsibilities
in the pursuit of objectives
- Iedereen in de organisatie wordt verantwoordelijk gehouden voor IB
- Taken, verantwoordelijkheden en bevoegdheden zijn duidelijk vastgelegd.
- Er zijn prikkels en beloningssystemen die goed gedrag stimuleren, en die periodiek worden geëvalueerd
- Er wordt opgelet dat systemen geen onnodige druk veroorzaken, zodat medewerkers eerlijk blijven
rapporteren.
Risk Assessment
Een risico: Is de kans dat een gebeurtenis plaats vindt met negatieve gevolgen voor het halen van de doelstellingen
van de organisatie.
Risk assessment (risicobeoordeling) is een dynamisch proces: risico’s worden steeds opnieuw geïdentificeerd,
beoordeeld en afgezet tegen de risicotolerantie. Zo kan bepaald worden hoe de organisatie met risico’s omgaat.
Principe 6: The organization specifies objectives with sufficient clarity to enable the identification
and assessment of risks relating to objectives
- Het management moet doelstellingen zo helder formuleren dat risico’s die deze doelen kunnen bedreigen,
goed kunnen worden geïdentificeerd en beoordeeld.
- Er zijn vier soorten doelstellingen:
o Operationele doelstellingen:
Welke resultaten moeten de bedrijfsprocessen behalen?
Welke middelen worden toegewezen aan welke processen?
o Financiële verslaggevingsdoelstellingen:
Voldoen aan de geldende verslaggevingsstandaarden
Waarborgen van de kwaliteit van de financiële rapportages
o Niet-financiële verslaggevingsdoelstellingen:
Rapportages voer niet financiële onderwerpen (bijv. duurzaamheid of MVO-informatie)
o Compliance doelstellingen:
Voldoen aan wet- en regelgeving die voor de organisatie geldt.
- Daarnaast moet het management vaststellen welke risicotolerantie acceptabel is.
Principe 7: The organization identifies risks to the achievement of its objectives across the entity
and analyzes risks a a basis for detirmining how the risks should be managed.
- Risico’s worden in kaart gebracht voor de hele organisatie, rekening houdend met zowel interne als externe
factoren
- Er wordt een risicomatrix opgesteld (kans x impact). Hiermee worden risico’s ingedeeld in hoog, medium of
laag.
- Voor elke categorie risico moet duidelijk zijn hoe de organisatie deze gaat beheersen of accepteren.
Principe 8: The organization considers the potential for fraud in assessing risks
- Bij risk assessment moet ook het risico op fraude worden beoordeeld:
o Welke vormen van fraude zijn denkbaar binnen de organisatie?
o Welke prikkels en drukfactoren kunnen leiden tot fraude?
o Welke mogelijkheden bestaan er voor medewerkers om fraude te plegen?
COSO staat voor de Committee of Sponsoring Organizations of the Threadway Commission.
In Amerika werd The National Commission on Fraudulent Financial Reporting (The Threadway Commission) opgericht,
na verschillende grote fraudegevallen - Het doel van deze commissie was het onderzoeken van de oorzaken van
boekhoudfraude om te zorgen dat deze in de toekomst konden worden voorkomen.
Ze brachten het eerste COSO-rapport uit, Het COSO Internal Control - Integrated Framework (ICIF).
Door de grote fraudezaken werd de Sarbanes-Oxley Act ingevoerd, om aandeelhouders te beschermen tegen
frauduleuze financiële verslaggeving.
Een van de bepalingen in die wet, artikel 404, schrijft voor dat het management moet zorgen voor een effectief intern
beheersingssysteem en dat activiteiten van interne controle worden vastgelegd en moeten voldoen aan een algemeen
geaccepteerd normenkader, zoals COSO.
In Nederland niet z’n strikt normenkader zoals genoemd in de Corporate Governance Code. Wel wordt er genoemd dat
het bestuur verantwoording moet afleggen over de effectiviteit van de opzet en de werking van de interne beheersings-
en controlesystemen (Principle 1.4)
Pas is de toelichting bij de best practice-bepalingen wordt aangegeven dat het logisch is dat het bestuur ook aangeeft
welk raamwerk of normenkader (bijv. het COSO-raamwerk voor IB) wordt gebruikt.
Enterprise Risk Management Framework (ERM) is vooral gericht op de strategie van organisaties, de risico’s die
daarmee samenhangen en het managen van die risico’s
COSO-raamwerken:
- ICIF
- ERM
- Internal Control over Financial Reporting - Guidance for Smaller Public Companies.
- Internal Control over Financial Reporting gaat vooral over beheersing van financiële informatieverzorging door
kleinere bedrijven.
Het Internal Control - Integrated Framework
Internal Control volgens COSO: Interne beheersing is een proces, uitgevoerd door de directie van een organisatie,
het management of ander personeel, gericht op het verkrijgen van een redelijke mate van zekerheid over het bereiken
van doelstellingen met betrekking tot de bedrijfsprocessen (operations), informatieverzorging (reporting) en wet- en
regelgeving (compliance).
Er zijn dus doelstellingen op drie gebieden:
- Effectieve en efficiënte bedrijfsprocessen: Het gaat hier om het
behalen van de bedrijfsdoelstellingen (effectiviteit) op een doelmatige
(efficiënte) manier. Ook gaat het om het bewaken van activa tegen verlies.
- Informatieverzorging: De doelstellingen zien toe op zowel financiële als
niet financiële rapportagen en gaan o.a. over betrouwbaarheid, tijdigheid,
transparantie etc.
- Voldoen aan wet- en regelgeving voor alle wet- en regelgeving waaraan
een onderneming zich moet houden
Om de genoemde redelijke mate van zekerheid te bereiken rondom het halen van
doelstellingen, zal de IB uit 5 componenten moeten bestaan volgens COSO (voorkant
kubus)
Boven op de kubus staan de drie doelstellingen en het rechtervlak de vier niveaus
waarop het raamwerk binnen organisaties kan/moet worden aangehouden.
Elk component van IB is uitgewerkt in principes, het raamwerk is namelijk principle-
based
AI vragen
Volgens COSO zijn
deze principes nodig om efficiënte systemen van
Internal Control op te zetten. Als een principe niet
goed is opgepakt werkt de component waar dit
principe bij hoort over het algemeen niet optimaal
De componenten en principes
Control Environment
De Control Environment vormt de basis van IB. Het
gaat om standaarden, processen en structuren die
richting geven aan hoe de organisatie werkt en zich
gedraagt. De directie en het hogere management
bepalen hierbij de tone at the top: zij laten zien hoe
belangrijk IB en gewenst gedrag zijn. Dit raakt ook
thema’s als ethiek, integriteit en cultuur, die veel
invloed hebben op de andere onderdelen van BI.
Belangrijke onderdelen van de Control Environment zijn:
- Hoe het toezicht op het management is geregeld.
- Het vastleggen en toedelen van verantwoordelijkheden binnen de organisatie.
- Het opstellen van een duidelijke rapportagestructuur die aansluit bij de taakverdeling.
- Personeelsbeleid, beloningsstructuur en verantwoording.
, Principe 1: The organization demonstrates a commitment to integrity and ethical values
- De organisatie toont commitment aan integer en ethisch gedrag
- Het management geeft zelf het goede voorbeeld, binnen en buiten de organisatie
- Er is een formele gedragscode die in de hele organisatie geldt.
- Afwijkingen worden besproken: medewerkers en managers worden aangesproken op gedrag dat niet past
- De gedragscode wordt periodiek herzien om te controleren of deze nog aansluit bij het gewenste gedrag.
Principe 2: The board of directors demonstrates independence from management and exercises
oversight of the development and performance of internal control
- Het toezicht op het bestuur (bijv. door RvC of Raad van Toezicht) moet onafhankelijk en deskundig zijn
- Toezichthouders moeten hun rol en verantwoordelijkheden kennen en accepteren
- Bij de benoeming en evaluatie wordt gekeken naar kennis en vaardigheden
- Principe geldt ook voor de opzet, werking en prestaties van het interne beheersingssysteem.
Principe 3: Management establishes, with board oversight, structures, reporting lines, and
appropriate authorities and responsibilities in the pursuit of objectives
- Het management zorgt voor een duidelijke structuur en taakverdeling, met toezicht van de raad
- Op elk niveau moet helder zijn wie waarvoor verantwoordelijk is
- Bij uitbesteding aan derden worden taken en verantwoordelijkheden vastgelegd in contracten of Service
Level Agreements (SLA’s)
- De rapportagestructuur sluit aan op de taakverdeling, zodat overal verantwoording kan worden afgelegd over
doelen en resultaten.
- De structuur van de organisatie moet effectief zijn en passen bij de doelen en activiteiten van de organisatie.
Principe 4: The organization demonstrates a commitment to attract, develop and retain competent
individuals in alignment with objectives
- Gaat over het personeelsbeleid.
- Er zijn procedures voor werving, beoordeling, ontwikkeling en behoud van medewerkers
- Voor elke rol zijn er competenties vastgesteld die periodiek worden geëvalueerd.
- Opleiding en training krijgen structureel aandacht
- Tekortkomingen worden besproken in functionering- en beoordelingsgesprekken.
Principe 5: The organization holds individuals accountable for their internal control responsibilities
in the pursuit of objectives
- Iedereen in de organisatie wordt verantwoordelijk gehouden voor IB
- Taken, verantwoordelijkheden en bevoegdheden zijn duidelijk vastgelegd.
- Er zijn prikkels en beloningssystemen die goed gedrag stimuleren, en die periodiek worden geëvalueerd
- Er wordt opgelet dat systemen geen onnodige druk veroorzaken, zodat medewerkers eerlijk blijven
rapporteren.
Risk Assessment
Een risico: Is de kans dat een gebeurtenis plaats vindt met negatieve gevolgen voor het halen van de doelstellingen
van de organisatie.
Risk assessment (risicobeoordeling) is een dynamisch proces: risico’s worden steeds opnieuw geïdentificeerd,
beoordeeld en afgezet tegen de risicotolerantie. Zo kan bepaald worden hoe de organisatie met risico’s omgaat.
Principe 6: The organization specifies objectives with sufficient clarity to enable the identification
and assessment of risks relating to objectives
- Het management moet doelstellingen zo helder formuleren dat risico’s die deze doelen kunnen bedreigen,
goed kunnen worden geïdentificeerd en beoordeeld.
- Er zijn vier soorten doelstellingen:
o Operationele doelstellingen:
Welke resultaten moeten de bedrijfsprocessen behalen?
Welke middelen worden toegewezen aan welke processen?
o Financiële verslaggevingsdoelstellingen:
Voldoen aan de geldende verslaggevingsstandaarden
Waarborgen van de kwaliteit van de financiële rapportages
o Niet-financiële verslaggevingsdoelstellingen:
Rapportages voer niet financiële onderwerpen (bijv. duurzaamheid of MVO-informatie)
o Compliance doelstellingen:
Voldoen aan wet- en regelgeving die voor de organisatie geldt.
- Daarnaast moet het management vaststellen welke risicotolerantie acceptabel is.
Principe 7: The organization identifies risks to the achievement of its objectives across the entity
and analyzes risks a a basis for detirmining how the risks should be managed.
- Risico’s worden in kaart gebracht voor de hele organisatie, rekening houdend met zowel interne als externe
factoren
- Er wordt een risicomatrix opgesteld (kans x impact). Hiermee worden risico’s ingedeeld in hoog, medium of
laag.
- Voor elke categorie risico moet duidelijk zijn hoe de organisatie deze gaat beheersen of accepteren.
Principe 8: The organization considers the potential for fraud in assessing risks
- Bij risk assessment moet ook het risico op fraude worden beoordeeld:
o Welke vormen van fraude zijn denkbaar binnen de organisatie?
o Welke prikkels en drukfactoren kunnen leiden tot fraude?
o Welke mogelijkheden bestaan er voor medewerkers om fraude te plegen?
