COSO model (GB)
COSO, the Committee of Sponsoring Organizations of the Treadway Commission, is a private sector initiative established in 1985 by five financial professional associations.
COSO (ICF 2013)
Vanuit de vraagstelling (OAT) :
De vragen kunnen variëren en kunnen gericht zijn op:
- De organisatie als geheel (herken je de 17 COSO ICF principes in de casus en zo ja beschrijf deze)
- Eén of enkele doelstellingen (KSF) : beschrijf hoe de COSO principes bijdragen aan het behalen van de doelstellingen
- Principes van COSO (of een deel van COSO) koppelen aan doelstellingen (KSF)
- Enkele specifieke COSO principes herkennen in de casus en beschrijven (wel of niet voldaan ?).
Het COSO model met de 17 principes wordt als bijlage bij het examen verstrekt.
Voorbeelden per principe (NIET LIMITATIEF ! naar voorbeeld van “OAT” examens)
CONTROL ENVIRONMENT
Control environment : de omgeving voor het beheersen van de organisatie. Dit ziet sterk op cultuur en gedrag en verdeling van bevoegdheden binnen de organisatie en de manier waarop de organisatie de (kern-)waarden toepast en uitstraalt. Het is het fundament van de interne beheersing.
1. Demonstrates commitment to integrity and ethical values
Toewijding (tonen) aan integriteit en morele / ethische waarden. Er worden kernwaarden vastgesteld en levend gehouden. Bewustwording van het bestaan van deze kernwaarden staat centraal. Voorbeeldgedrag van de hoogste leiding is van groot belang (“een vis begint aan de kop te stinken…”). RvC heeft een cruciale rol om het bestuur scherp te houden.
VOORBEELD :
De organisatie heeft expliciet ethische normen in haar doelstellingen opgenomen (milieu, steekpenningen verbieden e.d.). Nieuwe medewerkers worden opgeleid om deze “Code of conduct” te leren en er bewust naar te handelen.
2. Exercises oversight responsibility
Onafhankelijk bestuur en toezicht op het management en het houden van onafhankelijk toezicht op inrichting en werking van de interne beheersing van de organisatie. (Soms is dit zelfs wettelijk geregeld, bijvoorbeeld bij woningcorporaties). De RvC moet voldoende expertise in huis hebben om haar toezicht te kunnen uitoefenen.
VOORBEELD :
Er is bij onderneming XYZ een onafhankelijke en evenwichtig samengestelde raad van bestuur en raad van commissarissen aangesteld (Aan principe 2 wordt voldaan).
Andere kant van de medaille : in de raad van bestuur van bedrijf ABC zitten de oom en de schoonzus van de algemeen directeur. Er is geen financiële kennis binnen de RvB. (Aan principe 2 wordt
niet voldaan : niet onafhankelijk, onvoldoende kennis).
3. Establishes structure, authority, and responsibility
Er is sprake van een structuur waarbij verantwoordelijkheden, taken en bevoegdheden helder zijn. De structuur moet logisch zijn. (Hoe het niet moet : Denk aan volstrekt ondoorzichtige Panama achtige BV-structuren die inzicht en transparantie onmogelijk maken).
VOORBEELD :
Er is een duidelijke structuur en er zijn heldere rapportage lijnen binnen de onderneming. Het is glashelder wie waarvoor verantwoordelijk is. Dit staat tegenover een organisatie met rommelige
lijnen en een management dat interne beheersing alleen maar ziet als rem op de creativiteit. (Dit laatste zie je nogal eens terug bij jonge snelgroeiende organisaties in de IT sferen (booking.com
als voorbeeld…).
4. Demonstrates commitment to competence
Er is een adequate HRM afdeling die zorg draagt voor opleiding van mensen binnen de organistie.
Om doelstellingen te halen is een bepaald niveau van medewerkers in de organisatie nodig. Er wordt gezorgd voor (aannemen van) voldoende geschoold personeel en er wordt voor gezorgd dat personeel zich kan blijven ontwikkelen.
VOORBEELD :
Er is een uitgebreid trainingsprogramma. Iedere medewerker heeft een opleidingsbudget en moet een aantal “PE” punten halen.
5. Enforces accountability
Er is een lijnverantwoordelijkheid binnen de organisatie voor de bevordering van de interne beheersing.
Het bestuur zorgt ervoor dat ook het lijnmanagement zich zeer bewust is van het belang van een adequate interne beheersing. Lijnmanagers blijven bewust “in control”. Ze weten dat ze verantwoordelijk zijn voor het behalen van doelen.
VOORBEELD :
Managers /projectleiders worden aangesproken tijdens beoordelingsgesprekken op het behalen van resultaten en op het adequaat bijhouden van hun rapportages.
RISK ASSESSMENT
Risico bewustzijn. In hoeverre is de organisatie en de mensen binnen de organisatie zich bewust van de risico’s die invloed hebben op het behalen van de doelen van de organisatie.
6. Specifies suitable objectives
De doelen van de organisatie worden/zijn SMART geformuleerd. De te behalen doelen zijn helder en meetbaar. Lijnmanagers kunnen dan ook verantwoordelijk worden gehouden. Ook door externe regelgeving opgelegde doelen worden helder (smart) vertaald.
VOORBEELD :
Er zijn heldere normen (begroting, voorcalculaties, tarieven) en kritieke succesfactoren worden gemeten (prestatie indicatoren). De strategie (doelen) wordt vertaald naar meetbare cijfers.
7. Identifies and analyzes risk
Risico’s met betrekking tot de realisatie van de doelen worden geïdentificeerd en geanalyseerd. Interne en externe factoren en gebeurtenissen kunnen worden vertaald naar risico’s die een bedreiging voor het behalen van de doelstellingen kunnen vormen.
VOORBEELD :
Door management en directie worden risico’s in beeld gebracht en geanalyseerd. Er is wellicht zelfs een risk manager in de onderneming.
8. Assesses fraud risk
Bewust zijn van en specifiek in beeld brengen van fraude risico’s. Fraude kan nooit worden uitgesloten maar er kan wel zeer gericht en bewust naar gezocht worden. Zwakke plekken worden geanalyseerd en bijvoorbeeld perverse prikkels worden uit het systeem gehaald.
VOORBEELD :
Denk aan organisaties met bonussen voor het behalen van de hoogste omzet waarbij het niet (meer) uit maakt hoe die omzet behaald wordt (zo zijn woekerpolissen ooit geboren en is de kredietcrisis
ooit ontstaan…).
Het bestaan van een specifieke fraude manager is een indicatie dat er zeer bewust naar deze risico’s wordt gekeken.
9. Identifies and analyzes significant change
Veranderingen (binnen en buiten de organisatie) worden geïdentificeerd en er wordt beoordeeld of deze veranderingen invloed hebben op de interne beheersing.
Veranderingen in visie missie en strategie van de organisatie en veranderingen in wet- en regelgeving, politieke opvattingen of veranderingen in het business model worden vastgesteld en doorvertaald naar de organisatie.
VOORBEELD :
Denk aan VW die volledig elektrisch gaan vanaf 2030 en tot nu toe alleen maar benzine en diesel auto’s hebben gebouwd. Een totaal andere organisatie zal ontstaan.
Denk ook aan de gevolgen van de Europese regelgeving op het gebied van Privacy (Wet AVG).
CONTROL ACTIVITIES
Maatregelen van (interne) beheersing. Dit deel ligt het dichtste aan tegen “onze” benadering van AO BIV. Het nemen van maatregelen van interne beheersing (preventief en repressief) en deze ook toepassen en opvolgen.
10. Selects and develops control activities
Selecteren en ontwikkelen van beheersingsmaatregelen (die risico’s beperken). Maatregelen van interne beheersing moeten aansluiten op de gemaakte keuzes (doelen) en de aanwezige risico tolerantie. Het moet ook passen binnen de relevante bedrijfsprocessen (dus ook niet met een kanon op een mug schieten).
VOORBEELD :
Alle maatregelen van interne beheersing (preventie en repressief) zoals we die kennen (zie elders in deze site : maatregelen van interne beheersing).
11. Selects and develops general controls over technology
Maatregelen van beheersing van specifieke ICT risico’s (general / application controls)
Het bekende beheersen vanuit de “general” en “application” controls (zie elders in deze website).
VOORBEELD :
Moet ik die nog uitleggen ?
12. Deploys through policies and procedures
Beheersingsmaatregelen gericht op (uitvoering van) beleid en de uitwerking daarvan in richtlijnen en procedures.
Het gaat er hier om dat de genomen beheersingsmaatregelen ook worden ingebed in de organisatie. Er worden dus procedures en richtlijnen uitgevaardigd gericht op het beheersen van risico’s (bekend van leerjaar 3 raamwerk AO). Ook adequate functiescheiding kun je hiertoe rekenen.
VOORBEELD :
Alle maatregelen van interne beheersing (preventie en repressief) zoals we die kennen (zie elders in deze site : maatregelen van interne beheersing) WORDEN OOK TOEGEPAST.
INFORMATION & COMMUNICATION
Informatie en communicatie. Is de informatie betrouwbaar (zie ook “control activities”) en wordt de meest relevante informatie verzameld en gebruikt ? Wordt deze informatie voldoende gecommuniceerd in maar ook buiten de organisatie.
13. Uses relevant information
Inrichten van een systeem dat de interne beheersing voedt vanuit betrouwbare informatie. Betrouwbare informatie ondersteund de interne beheersing.
VOORBEELD :
De informatie moet passend zijn. Niet te veel maar ook niet te weinig informatie (Een rapport van 300 kantjes of één A4-tje…). De informatie moet uiteraard juist, tijdig, volledig en relevant zijn.
14. Communicates internally
Inrichten van een ondersteunende interne communicatiestructuur.
Hier moet je denken aan de “zenuwbanen” tussen de diverse organisatie onderdelen (de communicatiekanalen). Ook moet de vertrouwelijkheid van de communicatie gewaarborgd zijn (“Wet op de privacy” “AVG” Klantgegevens etc.).
VOORBEELD
Interne communicatie middels een nieuwsbrief of nieuwsborden of voorlichting voor personeel etc.
15. Communicates externally
Inrichten van een externe communicatiestructuur.
Stakeholders (externe belanghebbenden) moeten ook voorzien worden van informatie. Denk aan internet, voorlichtingsavonden, persvoorlichting etc.
VOORBEELD :
Denk aan een protocol hoe om te gaan met social media. De inrichting van de website en het beheer van de content op die website.
MONITORING
Het geheel van maatregelen die moeten zorgen dat vastgesteld kan worden dat het geheel van interne beheersingsmaatregelen nog (steeds) goed werken.
16. Conducts ongoing and/or separate evaluations
Periodiek en/of continu evalueren van bestaan en werking van de interne beheersingsmaatregelen, Het bestuur moet hiertoe periodieke geïnformeerd worden (Management Informatie Systemen en Rapportage).
VOORBEELD :
Een strak management informatie rapportage systeem. Een cyclisch opgebouwd informatie proces (maandelijks cijfers bespreken, halfjaarcijfers bespreken, jaarcijfers bespreken, begroting opstellen en bespreken etc.)
17. Evaluates and communicates deficiencies
Tijdig rapporteren van tekortkomingen in de interne beheersing aan de verantwoordelijk partijen die corrigerend kunnen optreden.
De resultaten van de evaluaties en rapportages moeten worden vastgelegd en gerapporteerd aan het hoogste bestuur. Voortgang van (te nemen of genomen) maatregelen van interne beheersing moet worden bewaakt.
VOORBEELD :
Met het management worden de analyses en uitkomsten van de management informatie rapportage ook geëvalueerd. Dat geldt ook voor de bevindingen uit de analyse van norm – werkelijkheid.
ALTERNATIEVE BENADERING : COSO PER DOEL :
VOORBEELD GERICHT OP DOEL / KSF (TIP : Loop de 17 principes door voor andere KSF in de diverse casussen).
Stel Doel : CO2 reductie tot CO2 neutraliteit over tien jaar.
Dus KSF/PI : CO2 uitstoot van de onderneming wordt jaarlijks verminderd met 10 % steeds gemeten van
tijdstip T ten opzichte van het voorgaande jaar ongeacht omzet ontwikkeling
(Dus T+1 = -10 %, T+2 = -20% …. T+10 = -100 %).
COSO :
Principe 1 : de PC hooft straat tractoren van de directie worden vervangen door dienstfietsen. Directie komt door weer en wind op de fiets naar het werk. (En binnen Europa gaan ze met de trein ipv het vliegtuig).
Principe 2 : Er wordt een milieu specialist toegevoegd aan de RvB.
Principe 3 : Er is geen ondoorzichtig gedoe met kopen van CO2 rechten in Mexico om zo de CO2 uitstoot te compenseren in Nederland…. Gewoon recht toe recht aan eerlijk verminderen van uitstoot !
Principe 4 : medewerkers krijgen een interne cursus zuinig rijden met de bedrijfsauto’s waardoor ze een lager verbruik kunnen realiseren (en dus minder CO2 uitstoot).
Principe 5 : In de doelstellingen wordt voor elke lijnmanager opgenomen dat zij voor CO2 reductie verantwoordelijk zijn.
Principe 6 : De doelstelling is helder en meetbaar geformuleerd.
Principe 7 : Het niet toepassen van de dienstfiets regel wordt als risico benoemd en er wordt scherp gecontroleerd op geboekte vliegtickets…
Principe 8 : Fraude met CO2 rapportages gericht zoeken
Principe 9 : In feite is deze doelstelling al een vertaling van de veranderende wereld.
Principe 10 : er zijn maatregelen van interne beheersing gericht op het bereiken van deze doelstelling. (Dus meten CO2 uitstoot per afdeling en geheel, analyseren, richtlijnen uitvaardigen).
Principe 11 : Inbouwen geautomatiseerde waarschuwingssignalen bij boeken vliegtickets of overschrijden gemiddeld verbruik bedrijfswagens etc.
Principe 12 : Richtlijnen controleren op naleving. Verbandscontrole verbruik en CO2 uitstoot bedrijfswagens. Verband tussen vliegticket en niet EU reis vaststellen. Etc.
Principe 13 : Rapportage van het CO2 cijfer per maand en per afdeling. De ontwikkeling van de uitstoot wordt maandelijks gevolgd,
Principe 14 : Maandelijks een groot beeldscherm met daarop het gerealiseerde percentage vermindering uitstoot.
Principe 15 : Website en social media geven informatie over de ontwikkeling van de CO2 reductie. Successen worden als persbericht de deur uit gedaan.
Principe 16 : In de management rapportage wordt specifiek aandacht besteed aan de CO2 reductie. De KSF /PI is opgenomen in de kernrapportages en de voortgangsrapportages aan directie.
Principe 17 : Managers worden afgerekend op behaalde resultaten (vermindering uitstoot). Niet behaalde doelen worden geëvalueerd en de organisatie wordt zo nodig aangepast. (Bijvoorbeeld Bedrijfswagens (zuinige diesels) worden geleidelijk maar vervangen door volledig elektrische wagens om zo het uiteindelijk doel (zero emission) toch te halen.
Op deze manier kun je in feite nagenoeg ieder principe ook los laten op een specifiek doel. Je redeneert niet vanuit de organisatie maar vanuit de doelen. Het idee (beheersing in de brede zin) blijft hetzelfde.
UITDAGING : HEB JE BETERE VOORBEELDEN ? MAIL ZE SVP !
LINK : www.coso.org
Andere risicomanagement modellen
SImons
Levers of Control (voorlopig zie link)