COSO-herziening als vliegwiel voor heroriëntatie op internal control

COSO-herziening als vliegwiel voor heroriëntatie op internal control Voldoen de internal controls nog aan de eisen van deze td? Juist vanwege deze vraag verdient het in 2013 vernieuwde COSO-framework de aandacht van ons allemaal. Het biedt ondernemingen de perfecte gelegenheid om internal control duurzaam te verbeteren en te verankeren, als onderdeel van de veranderingen in de business voor operational excellence. Pieter Haex - Consulting Finance, Advisory Marcel Prinsenberg - Consulting Risk, Advisory Martn Niekus - Consulting Risk, Advisory

1. Belangrkste punten COSOherziening

e ia

tin om

Control Environment Risk Assessment Control Activities Information & Communication Monitoring Activities

48

Spotlight Jaargang 21 - 2014 uitgave 1

Entity Level Division Operating Unit Function

C

R

ep

pl

or

tio ra pe O

nc

g

ns

Figuur 1. De COSO-kubus

In 2013 is het COSO-framework vernieuwd. Het weerspiegelt belangrke veranderingen ten opzichte van de originele publicatie in 1992, die sindsdien breed is geaccepteerd en over de hele wereld wordt toegepast. De herziening is relevant voor ondernemingen: z kunnen hiermee hun internal controls verder versterken en zo (meer) vertrouwen krgen dat z hun doelstellingen bereiken. Bovendien kunnen ze hiermee hun verborgen risico’s in kaart brengen en bbehorende mitigerende maatregelen nemen. Ook laat de herziening zien hoe controldefecten door werknemers en technologie voorkomen kunnen worden, en hoe de onderneming het internal-controlsysteem kan aanpassen op mogelke veranderingen. Daarover nu meer.

2. Vergaande veranderingen sinds lancering framework De omgeving waarin bedrven ondernemen en zaken doen is de afgelopen twintig jaar drastisch veranderd. De diverse belanghebbenden zoals aandeelhouders, OR en wetgever willen nauwer betrokken zn en (nog beter) kunnen begrpen hoe het internal-controlsysteem de organisatie ondersteunt b het nemen van beslissingen en het besturen van de onderneming. De belangrkste veranderingen in de omgeving zn: • toename van het bestuurlk toezicht en bbehorende controle; • globalisering van markten; • toenemende complexiteit in bedrfsmodellen en onderling zakendoen tussen bedrven; • meer wet- en regelgeving, voorschriften en standaarden, ook voor niet-nanciële rapportages; • hogere eisen aan bevoegdheden en verantwoordelkheden van bestuurders;

Even opfrissen: internal control en het COSOframework De traditionele opvatting is niet langer houdbaar. Internal control gaat niet alleen maar over terugkken of rigide procedures. Internal control helpt organisaties haar (belangrkste) doelstellingen te bereiken en haar prestaties te consolideren, dan wel te verbeteren. Een eectief internalcontrolsysteem geeft behoorlke zekerheid over het behalen van de gestelde doelen en reduceert het risico van het niet behalen tot een acceptabel niveau, waarb geldt dat de keten zo sterk is als de zwakste schakel.

COSO-website

• •

gebruik en afhankelkheid van technologieën die zich steeds sneller ontwikkelen; fraude, imagoschade of cyber crime komen veel voor, maar worden steeds minder getolereerd.

Samenvatting In de afgelopen twintig jaar is de omgeving waarin organisaties opereren drastisch veranderd. Zakendoen is complexer geworden, meer technologie-gedreven en meer op wereldwde schaal. Hierdoor zn aanpassingen in het framework van internal control van bedrven noodzakelk. De COSOherziening faciliteert daarb. Het framework weerspiegelt het huidige ondernemingsklimaat, is toepasbaar op bedrfsdoelstellingen in brede zin en is exibel en aanpasbaar. De componenten in het COSO-framework hebben een heldere link met elkaar en het is eenvoudiger om veranderingen te vertalen naar aanpassingen in het internal-controlsysteem. Bedrven bepalen daarb zelf hoe kritisch z naar (de adequaatheid van) hun bedrfsvoering kken en hoe hoog z hun eigen lat leggen.

3. Aanpassingen aan het framework Vertrouwde uitgangspunten blven Voordat we ingaan op de veranderingen, staan we even stil b wat al bekend is en onveranderd blft. Het vernieuwde COSO-framework blft vasthouden aan de kerndenitie van internal control en de bbehorende vf componenten (zie kader). De noodzaak om deze te gebruiken om de eectiviteit van een internal-controlsysteem te beoordelen blft ongewzigd. De oordeelsvorming van het management blft van cruciaal belang als het gaat om het ontwerpen, implementeren en doorvoeren van internal control en het beoordelen van de eectiviteit ervan binnen de organisatie.

COSO-framework kent drie dimensies COSO kent een brede acceptatie en kwaliteitsassociatie. Het framework werkt als een referentiekader om te bepalen wanneer een onderneming in control is én hoe dat wordt gemeten. Het COSOframework stelt bedrven in staat om systemen en processen in te richten die zich kunnen aanpassen aan wisselende omstandigheden, die risico’s mitigeren en die het nemen van beslissingen en besturen van een organisatie ondersteunen.

•

De componenten die gaan over hoe je deze doelstellingen bereikt Control-omgeving, risicobeoordeling, control-activiteiten, informatie en communicatie en toezicht op activiteiten. Aan de componenten liggen 17 principes en 81 aandachtspunten ten grondslag die het concept achter deze vf bestanddelen verder invullen.

•

De organisatiestructuur Entiteit, divisies, werkmaatschappen en functies.

Het framework kent drie dimensies:

Meer informatie?

•

De organisatiedoelstellingen, ingedeeld in drie categorieën De dagelkse operatie (eciënt en eectief), het rapporteren over deze activiteiten (intern en extern) en de bbehorende compliance (voldoen aan wet- en regelgeving).

Voor meer informatie over het COSOframework en de herziening verwzen w graag naar het COSO-document ‘Internal Control - Integrated Framework’ (mei 2013) en naar de COSO-website (www.coso.org).

Spotlight Jaargang 21 - 2014 uitgave 1 49

Figuur 2. COSO-herziening

Original Framework

Enhancements to ease use and application

COSO’s Internal Control–Integrated Framework (1992 Edition)

Fundamental concepts relating to effective internal control

Changes in business, operating, and regulatory environments

Internal and nonfinancial reporting objectives

Formalizes Principles Underlying Points of Focus

Updates Context

Expands Application

Updated Framework

De weg naar de herziening Figuur 2 laat zien wat de belangrkste veranderingen zn geweest en hoe deze tot aanpassingen hebben geleid met het vernieuwde COSO-framework als resultaat. Frameworkveranderingen Een van de belangrkste wzigingen is het formaliseren van de belangrke concepten die geïntroduceerd werden in het originele framework, waarb de lat hoger ligt voor het ‘COSO Compliant’ statement. In het vernieuwde COSO-framework zn deze concepten uitgangspunten geworden, waarmee het een principle based framework is geworden. Z verbreden, actualiseren en concretiseren het framework. Daarnaast zn wzigingen rondom de volgende onderwerpen doorgevoerd:

•

breder spectrum van rapporteren: ook rapportages over niet-nanciële informatie (risico’s, kwaliteit operationele proces, maatschappelke impact en dergelke) vallen binnen de reikwdte van het framework;

•

verbinding tussen risico, prestatie en beloning;

•

oog voor ‘tone in the middle’: werknemers aansporen om verantwoordelkheid te durven nemen

50

Spotlight Jaargang 21 - 2014 uitgave 1

COSO’s Internal Control–Integrated Framework (Draft, 2013 Edition)

en verantwoording af te willen leggen. Zo zn cultuur en gedrag binnen de gehele onderneming in beeld;

•

wze van (be)sturing (rol van commissies, aansluiting met businessmodel);

•

deniëren van de drie ‘verdedigingslinies’: het operationeel management is verantwoordelk voor haar eigen processen (eerste ln), de ondersteunende afdelingen adviseren, coördineren en bewaken of het management zn verantwoordelkheden ook neemt (tweede ln) en internal audit controleert of het samenspel tussen de eerste en tweede ln soepel functioneert en velt daar een onderdeel over (3e ln). Zie ook het artikel over internal audit van Jan Driessen in Spotlight 4/2013;

•

successieplanning (identiceren en ontwikkelen van medewerkers met carrièrepotentie) en talent management;

•

meer expliciete aandacht voor werkzaamheden die derden uitvoeren en die het internal-controlsysteem kunnen raken (bvoorbeeld committeren aan gedragscode of verwachtingen die verder gaan dan kunnen vertrouwen op wat deze part rapporteert);

•

beter aanpassingsvermogen en toereikendheid van internalcontrolsysteem b veranderingen in de business (processen, rollen, structuren, IT, shared services en dergelke).

Jan Driessen: 'Internal Audit: cruciaal voor internal governance'

Goed gevulde toolkit B de herziening heeft COSO ook verhelderende sjablonen en scenario’s toegevoegd, gebundeld in een soort ‘gereedschapskist’. Bedrven kunnen dit gebruiken om de huidige stand van zaken van hun internal control te evalueren. Daarnaast heeft de commissie ook een handboek uitgebracht, het ‘Compendium of Approaches and Examples for External Financial Reporting’. Dit zn benaderingen en voorbeelden die de componenten en beginselen verder handen en voeten geven, speciek gericht op de externe nanciële rapportage. Tabel 1 is hier een voorbeeld van.

Tabel 1. Voorbeeld van uitbreiding framework met benaderingen en voorbeelden Component

Grondbeginsel

Benadering

Voorbeeld

Controlomgeving

Toewijding aan integriteit en ethiek

Het goede voorbeeld geven op het gebied van integriteit en ethiek

Een nieuwsbrief versturen om verwachtingen hieromtrent (hernieuwd) kracht bij te zetten

-

andere beheersingsmaatregelen. Neem altd de kans op fraude in acht. De impact op het internalcontrolsysteem kan signicant zn.

De lat hoger leggen De herziening van het COSO-framework zorgt ervoor dat bedrven hun eigen lat hoger kunnen en misschien wel moeten leggen. Maar dat kan alleen als voldaan wordt aan deze drie punten:

COSO: diverse publicaties COSO staat voor Committee of Sponsoring Organizations of the Treadway Commission en is een gezamenlk initiatief van vf private organisaties. Z wil ‘thought leadership’ leveren door de ontwikkeling van frameworks en richtlnen op het gebied van enterprise risk management, internal control en fraude. In de praktk blkt er nogal eens verwarring te zn over de diverse COSO-publicaties. Daarom hier een korte toelichting. 1992: publicatie van het Internal Control – Integrated Framework 2004: het Enterprise Risk Management (ERM) – Integrated Framework komt erb 2006: na de invoering van SOx-wetgeving volgt de introductie van de Internal Control over Financial Reporting – Guidance for Smaller Public Companies, aangezien de oorspronkelke publicatie uit ’92 niet voldeed voor kleinere ondernemingen 2009: de Guidance on Monitoring Internal Control Systems Daarnaast zn er nog diverse korte publicaties die een speciek onderwerp behandelen op het gebied van enterprise risk management of fraude. De publicatie van mei 2013 is een herziening van het Internal Control – Integrated Framework uit 1992, waar de Internal control over Financial Reporting – Guidance for Smaller Public Companies in is opgenomen. De ERM – Integrated Framework en de Guidance on Monitoring Internal Control Systems blven als zelfstandige publicaties bestaan.

4. Impact kan worden bepaald aan de hand van drie vragen

•

De mogelke implicaties zn organisatieen ambitieafhankelk. Aan de hand van drie vragen is de daadwerkelke impact op organisaties te achterhalen.

•

Past de organisatie het framework al toe, of heeft z het vertaald naar haar eigen situatie? - Dit bepaalt de impact van de toepassing van de 2013-herziening. - Formele concepten zn nu principes. Dit zorgt voor exibiliteit in de toepassing op diverse niveaus binnen de onderneming.

•

Omvat het internal-controlsysteem van de organisatie alle 17 COSO-principes? - Zo nee, welke beginselen zn wel aanwezig en actief? - In welke mate is de onderneming SOx 404 en COSO compliant? - In welke mate rapporteert het bedrf op een geïntegreerde manier? Moet alle relevante documentatie (ontwerp, implementatie, beleid en dergelke) aangepast worden voor een of meerdere COSO-componenten en bbehorende bestanddelen? - Heldere doelen vergemakkelken de identicatie en analyse van risico’s. - Nieuwe risico’s leiden mogelk tot

•

De internal controls ondersteunen alle vf componenten.

•

De organisatie begrpt dat het voor een eectieve internal control nodig is dat: - elk component aanwezig is en functioneert, met bbehorende relevante aandachtspunten; - de vf componenten op een geïntegreerde wze operationeel zn.

•

De organisatie handelt proactief. Een onvolkomenheid of defect zorgt ervoor dat niet voldaan wordt aan de eisen voor een eectieve internal control.

Hiermee is duidelk dat er meer dan voldoende mogelkheden zn om herzieningen door te voeren binnen de onderneming.

5. Mogelkheden die de herziening van het framework biedt De mogelkheden voor de onderneming en controlerend accountant van een onderneming zn legio. De lancering van de herziening kan als vliegwiel dienen b de heroriëntatie op internal control. Internal control is meer dan alleen een hygiënefactor. De onderneming doet er goed aan zichzelf de vraag te stellen hoe het huidige systeem er nu echt uitziet. Zn er bvoorbeeld (al) mechanismen aanwezig die dienen als feedbackloop om veranderingen te vertalen in systeemaanpassingen? De accountant kan aanbevelingen doen op het gebied van nancial-reportingrisico’s, scherper oordelen en bsturen tdens de interim controle, en bevindingen b de jaarrekeningcontrole koppelen aan

Spotlight Jaargang 21 - 2014 uitgave 1 51

het bestaande COSO-framework binnen de onderneming en aansturen op het doorvoeren van aanpassingen aan het framework van de klant. Naast aandacht vragen voor het onderwerp kan ook het bestaande internalcontrolsysteem opgeschoond worden. De bestuurders van de onderneming moeten wel eerst vertrouwd raken met de diverse vernieuwde documentatie (te vinden op www.ic.coso.org). Vervolgens kan men eventueel het huidige internalcontrollandschap laten evalueren en afzetten tegen de vernieuwde blauwdruk van het COSO-framework. De COSOupdate maturity assessment van PwC (zie guur 3) bvoorbeeld, kan hierb goed van dienst zn. Daarnaast kan er ook op de iets langere termn nog voldoende winst behaald worden. Bvoorbeeld:

•

Informeer de raad van commissarissen, de raad van bestuur en/of het middenkader over de wzigingen. Start indien wenselk een door hen geïnitieerd bedrfsbreed transitieprogramma.

•

Leer van situaties uit het verleden en sta stil b hoe zaken anders aangepakt hadden kunnen worden.

•

Maak een hernieuwde risico-inschatting om ervoor te zorgen dat alle risico’s gedenieerd en gedocumenteerd zn en samenhangen met controls die gekoppeld zn aan de vf componenten van het COSO-framework.

•

Vernieuw beleidsdocumenten, procedures en richtlnen of pas ze aan of breid ze uit, om ze duidelker in ln te krgen met de grondbeginselen van het framework.

Figuur 3. Voorbeeld van een COSO-update maturity assessment

•

Ontwerp en implementeer nieuwe of veranderde controls gericht op mogelke hiaten.

•

Richt een proces in voor het identiceren, vaststellen en implementeren van noodzakelke veranderingen in controls en bbehorende documentatie.

•

Wzig bestaande controls om de eciency te verhogen, met andere woorden: vergroot de helderheid ervan of maak ze meer speciek zodat ze directer reageren op risico’s.

6. Conclusie: COSO-framework exibeler, concreter en beter toepasbaar B het vernieuwen van het framework heeft COSO het bestaande framework als zodanig behouden. Wel heeft z een aantal zaken toegevoegd en het framework exibeler gemaakt om zo beter in te kunnen spelen op veranderingen in de omgeving. Daarnaast maakt COSO het framework levendiger en beter toepasbaar door middel van diverse concrete handvatten. Het vernieuwde COSO-framework moet vooral gezien worden als een mogelkheid om internal control verder te ontwikkelen. Van een noodzakelk ongemak dat alleen de bekende factoren in hun businessomgeving controleert en beheerst, tot een control systeem dat met een grotere reikwdte en bredere kk op risico’s zn meerwaarde toont. Een verbeterde internal control kan de creatie van veerkrachtige strategieën (‘business resilience’) ondersteunen en de onderneming in staat stellen ook met het onbekende om te gaan. Het is aan de onderneming zelf hoe ambitieus z daarin is en hoe hoog z haar eigen lat legt.

Target maturity rating Current maturity rating

52

Spotlight Jaargang 21 - 2014 uitgave 1