COSO
COSO is een managementmodel dat is ontwikkeld door The Committee of Sponsoring Organizations of the Treadway Commission (COSO). Dit comité, bestaande uit een aantal private organisaties, heeft in 2002 naar aanleiding van een aantal boekhoudschandalen en fraudegevallen aanbevelingen gedaan en richtlijnen aangegeven ten aanzien van interne controle en interne beheersing. In 2004 is daar nog een aanvulling op gekomen en werd dit samengevoegd in het COSO-rapport. Dit rapport is bedoeld om aan organisaties een uniform en gemeenschappelijk referentiekader voor interne controle aan te bieden en om het management te ondersteunen bij de verbetering van het interne controlesysteem. In 2004 werd het model geactualiseerd, werden elementen toegevoegd en aangepast. Dit geactualiseerde model richt zich niet meer alleen op interne controle maar op het gehele interne beheersingssysteem en staat bekend als COSO II of Enterprise Risk Management Framework (ERMF). in 2013 werd dit model opnieuw geactualiseerd. Er werden een aantal lagen uit de kubus samen gevoegd.
COSO is een van de standaard referentiemodellen die door auditors worden gebruikt bij een onderzoek.
Specifiek voor kleinere organisaties heeft COSO in 2006 de zogenaamde "Guidance for Smaller Public Companies" vastgesteld. Deze richtlijn is specifiek bedoeld om de betrouwbaarheid van de financiële informatieverzorging middels het treffen van interne beheersingsmaatregelen te waarborgen.
Wat houdt COSO in?[bewerken | brontekst bewerken]
Als een organisatie haar doelstellingen wil bereiken dan moet ze omgaan met risico’s en moet ze deze risico's proberen te beheersen. COSO beschrijft en definieert hiervoor de verschillende elementen van een intern beheersingssysteem. Het model geeft in de COSO-kubus de directe relatie weer tussen:
- de doelstellingen van een organisatie
- de beheersingscomponenten
- de entiteiten/eenheden waarvoor de interne beheersing benodigd is
Organisatiedoelstellingen[bewerken | brontekst bewerken]
COSO identificeert de relaties tussen de ondernemingsrisico’s en het interne beheersingsysteem. COSO hanteert hierbij de gedachten dat interne beheersing een proces is dat gericht is op het verkrijgen van een redelijke mate van zekerheid omtrent het bereiken van doelstellingen in de categorieën:
- bereiken van de strategische doelstellingen (Strategic)
- effectiviteit en efficiëntie van bedrijfsprocessen (Operations)
- betrouwbaarheid van de (financiële) informatieverzorging (Reporting)
- naleving van relevante wet- en regelgeving (Compliance)
Beheersingscomponenten[bewerken | brontekst bewerken]
Vervolgens definieert het raamwerk de controlecomponenten van een organisatie als:
- Interne omgeving (cultuur, stijl van leiding geven, integriteit, ethiek, verdeling van taken en bevoegdheden, de mate waarin risico’s worden genomen (de risicobereidheid van een organisatie wordt hierin gedefinieerd, ook wel risk appetite genoemd))
- Bepaling van doelstellingen (objective setting)
- Identificatie van de gebeurtenissen (kansen/risico's die een positieve of negatieve invloed kunnen hebben op het behalen van de doelstellingen)
- De risico-inschatting of de beoordeling van de geïdentificeerde risico’s (waarschijnlijkheid dat risico zich zal voordoen en de gevolgen indien het zich voordoet)
- De risicobeheersingsmaatregelen (risk response) - (risico’s vermijden, aanvaarden, delen of verminderen)
- Beheersmaatregelen (bv. sloten op de deur, brandslangen, wachtwoorden voor de pc's functiescheiding etc.)
- Informatie en communicatie
- Monitoring (periodieke evaluatie van het hele systeem van interne beheersing en de samenhang ervan)
Activiteiten[bewerken | brontekst bewerken]
Ten slotte worden de activiteiten weergegeven waarvoor interne controle benodigd is en deze worden onderscheiden in vier niveaus op basis van de geldende organisatiestructuur.
Al deze componenten vormen samen een geïntegreerd systeem dat aan de veranderende omstandigheden kan worden aangepast. COSO heeft in 2017 het COSO II, Enterprise Risk Management Framework (ERMF), geactualiseerd. In het nieuwe framework worden strategie en prestatie geïntegreerd.