COSO-herziening als vliegwiel voor heroriëntatie op internal control



Vergelijkbare documenten
Nieuw model voor omzetverantwoording vraagt om t dige implementatie

CobiT. Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni /2/2005 1

Advies inzake Risicobenadering

Verschillen en overeenkomsten tussen SOx en SAS 70

Een terugblik na één jaar exwet

Slide 1. Slide 2 Introduktie. Slide 3 Deze les: 2 onderwerpen. Les 1 Definities en belang Informatie Technologie. Intro docent Opzet/tentamenstof

Internal audit draagt bij aan comfort van commissarissen

Meer duidelijkheid over samenstellingsopdrachten met komst Standaard 4410

De jaarrekening op liquidatiegrondslagen, hoe kun je dat doen?

Gedragseffecten in de (internal) audit-professie. 25-jarig jubileum Internal Auditing & Advisory 29 juni 2018

Montae kennissessie 4 juli Rob Kragten

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag

Multi-curvewaarderingen voor collateralised derivaten

Verantwoordingsdocument Code Banken over 2014 Hof Hoorneman Bankiers NV d.d. 18 maart Algemeen

De essentie van de nieuwe ISO s. Dick Hortensius, NEN Milieu & Maatschappij

SIS FINANCE. voor professionals door professionals. consulting. interim management. finance professionals. SIS finance

Wim Eysink Deloitte IIA Raad van Advies. Voorstellen herziene Corporate Governance Code

Spotlight Vaktechnisch bulletin van PwC Accountants Jaargang uitgave 1

Remuneratierapport 2015 Loyalis N.V.

Business as (un)usual

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Informatiebeveiliging the next level!

De nieuwe ISO-normen: meer dan KAM-management alleen!

De transparante compliance keten. De maatschappelijke betekenis van XBRL / SBR

Beoordelingskader Informatiebeveiliging DNB

Rechtmatigheidsverantwoording Annemarie Kros RA (PWC) & Marieke Wagemakers RA (gemeente Uden)

Meer Business mogelijk maken met Identity Management

Generieke systeemeisen

Geïntegreerd jaarverslag Gasunie 2013

OPERATIONEEL RISKMANAGEMENT. Groningen, maart 2016 Wim Pauw

ISO/IEC Governance of InformationTechnology. Yvette Backer ASL BiSL Foundation. 16 juni ISO Governance of Information Technoloy 1

RISICOMANAGEMENT IN DE PRAKTIJK

Privacy & Data event Johan Rambi 18 Mei 2017

Langetermijndenken - De toekomst van Verantwoord Beleggen. IM seminar, Amstelveen 10 mei Lars Kurznack, Senior Manager KPMG Sustainability

2 e webinar herziening ISO 14001

SIS FINANCE. voor professionals door professionals. consulting. interim management. finance professionals SIS. finance

The GDPR General Data Protection Regulation PRIVACY

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system!

5-daagse bootcamp IT Risk Management & Assurance

Governance, Risk and Compliance (GRC) tools

Risico s managen is mensenwerk

Remuneratierapport 2014 Loyalis N.V.

Uitvoering van rechtstreeks verzekerde regelingen

COMPLIANCE RADAR HET MEEST COMPLETE BESTURINGSSYSTEEM VOOR GEMEENTEN.

Rollen in Risk Management

The Road to Working Capital Excellence. Werken aan structurele verbeteringen door het tussen de oren krijgen van werkkapitaal

IT risk management voor Pensioenfondsen

Matrix Comply-or-Explain Code Banken 2017

Winstbelastingen in de jaarrekening: het is tijd voor verandering

Maturiteitsmodel financieel professional 2022:

Een brug slaan tussen Enterprise Risk. systemen. Guus Koomen, senior adviseur Milieu & Veiligheid - Industrie

Beloningsbeleid van DAS Nederlandse Rechtsbijstandsverzekering N.V.

Opdrachtgeverschap 2.0. Toezien op de afspraken in de verwerkersovereenkomst

Programma uur Introductie door de dagvoorzitter

REGLEMENT RISICOCOMMISSIE

Bent u 100% in Compliance?

Whitepaper. Ligt u s nachts ook wakker van alle commotie rondom nieuwe regelgeving of normering? Compliance Management

IORP II IMPLEMENTATIE RISK GOVERNANCE RONALD HAMAKER 27 SEPTEMBER 2018

De remuneratie disclosure is conform artikel 25 van de RBB.

ISO9001:2015, in vogelvlucht. Door Tjarko Vrugt

Risk & Compliance Charter Clavis Family Office B.V.

BNG Compliance Charter

Intro ISO. Finance. Wie zijn wij? Producten. Programma

De logica achter de ISA s en het interne controlesysteem

Corporate presentation. Risicomanagement Jeroen Baart

Berry Kok. Navara Risk Advisory

Variabel beloningsbeleid Identified Staff Kempen & Co

Consultatiedocument Aanpassingen vertaling Standaarden NV COS in verband met Non-Compliance with Laws and Regulations (NOCLAR) 09 februari 2018

ISO 14001:2015 Readiness Review

Beleidsmedewerker Onderwijs

NBA Waardecreatie, Integrated Thinking en Integrated Reporting. 17 januari 2017 Paul Hurks

REGLEMENT RISICOCOMMISSIE VAN LANSCHOT N.V. EN F. VAN LANSCHOT BANKIERS N.V.

II. VOORSTELLEN VOOR HERZIENING

Inleiding Grondslagen voor klachtenbehandeling en management bij de politie

KENNISSESSIE. How Shared Service Centers (SSC) can use Big Data

Dit document maakt gebruik van bladwijzers. Consultatiedocument Gewijzigde Standaard 3000 en Stramien 4 juni 2015

De nieuwe ISO norm 2015 Wat nu?!

Uitvoering van rechtstreeks verzekerde regelingen

De onmisbare actuaris. VSAE congres 20 september 2011 Sabijn Timmers

De definitieve Code Corporate Governance, enige beschouwingen vanuit risicoperspectief.

DATAKWALITEIT IN DE NEDERLANDSE VERZEKERINGSSECTOR

Functiebeschrijving: Projectportfoliobeheerder

HET GAAT OM INFORMATIE

Risicomanagement functie verzekeraars onder Solvency II

BluefieldFinance. BluefieldFinance. Sense Template. Toegevoegde waarde vanuit inhoud

It s CMMI Jim, but not as we know it! CMMI toegepast op een Compliance organisatie Door Jasper Doornbos Improvement Focus

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Reglement Audit & Risk Committee van de Raad van Commissarissen (het Reglement )

EXB 360 MOBILE App. Bevorder betrokkenheid. Veel onderdelen; veel mogelijk

Bestuur en management in control

Ad Hoc rapportage of constante sturing. Presentatie door: Paul Brands Regional Account Executive

Academy. pen inschrijving NAJAAR. Programma. Ons Open Inschrijving cursusaanbod voor najaar 2018 bestaat uit: Beheersing van uitbesteding.

BluefieldFinance. BluefieldFinance. Toegevoegde waarde vanuit inhoud

Voor vandaag. Balanced Scorecard & EFQM. 2de Netwerk Kwaliteit Brussel 22-apr Aan de hand van het 4x4 model. De 3 facetten.

Biedt de WOPT ruimte voor interpretatie?

REGLEMENT AUDITCOMMISSIE TELEGRAAF MEDIA GROEP N.V.

Unified Enterprise Security wordt geleverd door onze strategische partner Masergy, de wereldspeler in global communications en security.

Risicomanagement voor het MKB. Remko Renes Ruud Snoeker

FUNCTIEFAMILIE 5.3 Projectmanagement

Risicomanagement en NARIS gemeente Amsterdam

Compliance risicoanalyse

Transcriptie:

COSO-herziening als vliegwiel voor heroriëntatie op internal control Voldoen de internal controls nog aan de eisen van deze t d? Juist vanwege deze vraag verdient het in 2013 vernieuwde COSO-framework de aandacht van ons allemaal. Het biedt ondernemingen de perfecte gelegenheid om internal control duurzaam te verbeteren en te verankeren, als onderdeel van de veranderingen in de business voor operational excellence. Pieter Haex - Consulting Finance, Advisory Marcel Prinsenberg - Consulting Risk, Advisory Mart n Niekus - Consulting Risk, Advisory Figuur 1. De COSO-kubus Operations Reporting Control Environment Risk Assessment Control Activities Information & Communication Monitoring Activities Compliance Entity Level Division Operating Unit Function 1. Belangr kste punten COSOherziening In 2013 is het COSO-framework vernieuwd. Het weerspiegelt belangr ke veranderingen ten opzichte van de originele publicatie in 1992, die sindsdien breed is geaccepteerd en over de hele wereld wordt toegepast. De herziening is relevant voor ondernemingen: z kunnen hiermee hun internal controls verder versterken en zo (meer) vertrouwen kr gen dat z hun doelstellingen bereiken. Bovendien kunnen ze hiermee hun verborgen risico s in kaart brengen en b behorende mitigerende maatregelen nemen. Ook laat de herziening zien hoe controldefecten door werknemers en technologie voorkomen kunnen worden, en hoe de onderneming het internal-controlsysteem kan aanpassen op mogel ke veranderingen. Daarover nu meer. 48 Spotlight Jaargang 21-2014 uitgave 1

2. Vergaande veranderingen sinds lancering framework De omgeving waarin bedr ven ondernemen en zaken doen is de afgelopen twintig jaar drastisch veranderd. De diverse belanghebbenden zoals aandeelhouders, OR en wetgever willen nauwer betrokken z n en (nog beter) kunnen begr pen hoe het internal-controlsysteem de organisatie ondersteunt b het nemen van beslissingen en het besturen van de onderneming. De belangr kste veranderingen in de omgeving z n: toename van het bestuurl k toezicht en b behorende controle; globalisering van markten; toenemende complexiteit in bedr fsmodellen en onderling zakendoen tussen bedr ven; meer wet- en regelgeving, voorschriften en standaarden, ook voor niet- nanciële rapportages; hogere eisen aan bevoegdheden en verantwoordel kheden van bestuurders; gebruik en afhankel kheid van technologieën die zich steeds sneller ontwikkelen; fraude, imagoschade of cyber crime komen veel voor, maar worden steeds minder getolereerd. 3. Aanpassingen aan het framework Vertrouwde uitgangspunten bl ven Voordat we ingaan op de veranderingen, staan we even stil b wat al bekend is en onveranderd bl ft. Het vernieuwde COSO-framework bl ft vasthouden aan de kernde nitie van internal control en de b behorende v f componenten (zie kader). De noodzaak om deze te gebruiken om de e ectiviteit van een internal-controlsysteem te beoordelen bl ft ongew zigd. De oordeelsvorming van het management bl ft van cruciaal belang als het gaat om het ontwerpen, implementeren en doorvoeren van internal control en het beoordelen van de e ectiviteit ervan binnen de organisatie. Samenvatting In de afgelopen twintig jaar is de omgeving waarin organisaties opereren drastisch veranderd. Zakendoen is complexer geworden, meer technologie-gedreven en meer op wereldw de schaal. Hierdoor z n aanpassingen in het framework van internal control van bedr ven noodzakel k. De COSOherziening faciliteert daarb. Het framework weerspiegelt het huidige ondernemingsklimaat, is toepasbaar op bedr fsdoelstellingen in brede zin en is exibel en aanpasbaar. De componenten in het COSO-framework hebben een heldere link met elkaar en het is eenvoudiger om veranderingen te vertalen naar aanpassingen in het internal-controlsysteem. Bedr ven bepalen daarb zelf hoe kritisch z naar (de adequaatheid van) hun bedr fsvoering k ken en hoe hoog z hun eigen lat leggen. Even opfrissen: internal control en het COSOframework De traditionele opvatting is niet langer houdbaar. Internal control gaat niet alleen maar over terugk ken of rigide procedures. Internal control helpt organisaties haar (belangr kste) doelstellingen te bereiken en haar prestaties te consolideren, dan wel te verbeteren. Een e ectief internalcontrolsysteem geeft behoorl ke zekerheid over het behalen van de gestelde doelen en reduceert het risico van het niet behalen tot een acceptabel niveau, waarb geldt dat de keten zo sterk is als de zwakste schakel. COSO-website COSO-framework kent drie dimensies COSO kent een brede acceptatie en kwaliteitsassociatie. Het framework werkt als een referentiekader om te bepalen wanneer een onderneming in control is én hoe dat wordt gemeten. Het COSOframework stelt bedr ven in staat om systemen en processen in te richten die zich kunnen aanpassen aan wisselende omstandigheden, die risico s mitigeren en die het nemen van beslissingen en besturen van een organisatie ondersteunen. Het framework kent drie dimensies: De organisatiedoelstellingen, ingedeeld in drie categorieën De dagel kse operatie (e ciënt en e ectief), het rapporteren over deze activiteiten (intern en extern) en de b behorende compliance (voldoen aan wet- en regelgeving). De componenten die gaan over hoe je deze doelstellingen bereikt Control-omgeving, risicobeoordeling, control-activiteiten, informatie en communicatie en toezicht op activiteiten. Aan de componenten liggen 17 principes en 81 aandachtspunten ten grondslag die het concept achter deze v f bestanddelen verder invullen. De organisatiestructuur Entiteit, divisies, werkmaatschapp en en functies. Meer informatie? Voor meer informatie over het COSOframework en de herziening verw zen w graag naar het COSO-document Internal Control - Integrated Framework (mei 2013) en naar de COSO-website (www.coso.org). Spotlight Jaargang 21-2014 uitgave 1 49

Figuur 2. COSO-herziening Original Framework COSO s Internal Control Integrated Framework (1992 Edition) Enhancements to ease use and application Fundamental concepts relating to effective internal control Changes in business, operating, and regulatory environments Internal and nonfinancial reporting objectives Formalizes Principles Underlying Points of Focus Updates Context Expands Application Updated Framework COSO s Internal Control Integrated Framework (Draft, 2013 Edition) De weg naar de herziening Figuur 2 laat zien wat de belangr kste veranderingen z n geweest en hoe deze tot aanpassingen hebben geleid met het vernieuwde COSO-framework als resultaat. Frameworkveranderingen Een van de belangr kste w zigingen is het formaliseren van de belangr ke concepten die geïntroduceerd werden in het originele framework, waarb de lat hoger ligt voor het COSO Compliant statement. In het vernieuwde COSO-framework z n deze concepten uitgangspunten geworden, waarmee het een principle based framework is geworden. Z verbreden, actualiseren en concretiseren het framework. Daarnaast z n w zigingen rondom de volgende onderwerpen doorgevoerd: breder spectrum van rapporteren: ook rapportages over niet- nanciële informatie (risico s, kwaliteit operationele proces, maatschappel ke impact en dergel ke) vallen binnen de reikw dte van het framework; verbinding tussen risico, prestatie en beloning; oog voor tone in the middle : werknemers aansporen om verantwoordel kheid te durven nemen en verantwoording af te willen leggen. Zo z n cultuur en gedrag binnen de gehele onderneming in beeld; w ze van (be)sturing (rol van commissies, aansluiting met businessmodel); de niëren van de drie verdedigingslinies : het operationeel management is verantwoordel k voor haar eigen processen (eerste l n), de ondersteunende afdelingen adviseren, coördineren en bewaken of het management z n verantwoordel kheden ook neemt (tweede l n) en internal audit controleert of het samenspel tussen de eerste en tweede l n soepel functioneert en velt daar een onderdeel over (3e l n). Zie ook het artikel over internal audit van Jan Driessen in Spotlight 4/2013; successieplanning (identi ceren en ontwikkelen van medewerkers met carrièrepotentie) en talent management; meer expliciete aandacht voor werkzaamheden die derden uitvoeren en die het internal-controlsysteem kunnen raken (b voorbeeld committeren aan gedragscode of verwachtingen die verder gaan dan kunnen vertrouwen op wat deze part rapporteert); beter aanpassingsvermogen en toereikendheid van internalcontrolsysteem b veranderingen in de business (processen, rollen, structuren, IT, shared services en dergel ke). Jan Driessen: 'Internal Audit: cruciaal voor internal governance' Goed gevulde toolkit B de herziening heeft COSO ook verhelderende sjablonen en scenario s toegevoegd, gebundeld in een soort gereedschapskist. Bedr ven kunnen dit gebruiken om de huidige stand van zaken van hun internal control te evalueren. Daarnaast heeft de commissie ook een handboek uitgebracht, het Compendium of Approaches and Examples for External Financial Reporting. Dit z n benaderingen en voorbeelden die de componenten en beginselen verder handen en voeten geven, speci ek gericht op de externe nanciële rapportage. Tabel 1 is hier een voorbeeld van. 50 Spotlight Jaargang 21-2014 uitgave 1

Tabel 1. Voorbeeld van uitbreiding framework met benaderingen en voorbeelden Component Grondbeginsel Benadering Voorbeeld Controlomgeving Toewijding aan integriteit en ethiek 4. Impact kan worden bepaald aan de hand van drie vragen De mogel ke implicaties z n organisatieen ambitieafhankel k. Aan de hand van drie vragen is de daadwerkel ke impact op organisaties te achterhalen. Past de organisatie het framework al toe, of heeft z het vertaald naar haar eigen situatie? - Dit bepaalt de impact van de toepassing van de 2013-herziening. - Formele concepten z n nu principes. Dit zorgt voor exibiliteit in de toepassing op diverse niveaus binnen de onderneming. Het goede voorbeeld geven op het gebied van integriteit en ethiek Een nieuwsbrief versturen om verwachtingen hieromtrent (hernieuwd) kracht bij te zetten COSO: diverse publicaties COSO staat voor Committee of Sponsoring Organizations of the Treadway Commission en is een gezamenl k initiatief van v f private organisaties. Z wil thought leadership leveren door de ontwikkeling van frameworks en richtl nen op het gebied van enterprise risk management, internal control en fraude. In de prakt k bl kt er nogal eens verwarring te z n over de diverse COSO-publicaties. Daarom hier een korte toelichting. 1992: publicatie van het Internal Control Integrated Framework 2004: het Enterprise Risk Management (ERM) Integrated Framework komt erb 2006: na de invoering van SOx-wetgeving volgt de introductie van de Internal Control over Financial Reporting Guidance for Smaller Public Companies, aangezien de oorspronkel ke publicatie uit 92 niet voldeed voor kleinere ondernemingen 2009: de Guidance on Monitoring Internal Control Systems Daarnaast z n er nog diverse korte publicaties die een speci ek onderwerp behandelen op het gebied van enterprise risk management of fraude. De publicatie van mei 2013 is een herziening van het Internal Control Integrated Framework uit 1992, waar de Internal control over Financial Reporting Guidance for Smaller Public Companies in is opgenomen. De ERM Integrated Framework en de Guidance on Monitoring Internal Control Systems bl ven als zelfstandige publicaties bestaan. Omvat het internal-controlsysteem van de organisatie alle 17 COSO-principes? - Zo nee, welke beginselen z n wel aanwezig en actief? - In welke mate is de onderneming SOx 404 en COSO compliant? - In welke mate rapporteert het bedr f op een geïntegreerde manier? Moet alle relevante documentatie (ontwerp, implementatie, beleid en dergel ke) aangepast worden voor een of meerdere COSO-componenten en b behorende bestanddelen? - Heldere doelen vergemakkel ken de identi catie en analyse van risico s. - Nieuwe risico s leiden mogel k tot andere beheersingsmaatregelen. - Neem alt d de kans op fraude in acht. - De impact op het internalcontrolsysteem kan signi cant z n. De lat hoger leggen De herziening van het COSO-framework zorgt ervoor dat bedr ven hun eigen lat hoger kunnen en misschien wel moeten leggen. Maar dat kan alleen als voldaan wordt aan deze drie punten: De internal controls ondersteunen alle v f componenten. De organisatie begr pt dat het voor een e ectieve internal control nodig is dat: - elk component aanwezig is en functioneert, met b behorende relevante aandachtspunten; - de v f componenten op een geïntegreerde w ze operationeel z n. De organisatie handelt proactief. Een onvolkomenheid of defect zorgt ervoor dat niet voldaan wordt aan de eisen voor een e ectieve internal control. Hiermee is duidel k dat er meer dan voldoende mogel kheden z n om herzieningen door te voeren binnen de onderneming. 5. Mogel kheden die de herziening van het framework biedt De mogel kheden voor de onderneming en controlerend accountant van een onderneming z n legio. De lancering van de herziening kan als vliegwiel dienen b de heroriëntatie op internal control. Internal control is meer dan alleen een hygiënefactor. De onderneming doet er goed aan zichzelf de vraag te stellen hoe het huidige systeem er nu echt uitziet. Z n er b voorbeeld (al) mechanismen aanwezig die dienen als feedbackloop om veranderingen te vertalen in systeemaanpassingen? De accountant kan aanbevelingen doen op het gebied van nancial-reportingrisico s, scherper oordelen en b sturen t dens de interim controle, en bevindingen b de jaarrekeningcontrole koppelen aan Spotlight Jaargang 21-2014 uitgave 1 51

het bestaande COSO-framework binnen de onderneming en aansturen op het doorvoeren van aanpassingen aan het framework van de klant. Naast aandacht vragen voor het onderwerp kan ook het bestaande internalcontrolsysteem opgeschoond worden. De bestuurders van de onderneming moeten wel eerst vertrouwd raken met de diverse vernieuwde documentatie (te vinden op www.ic.coso.org). Vervolgens kan men eventueel het huidige internalcontrollandschap laten evalueren en afzetten tegen de vernieuwde blauwdruk van het COSO-framework. De COSOupdate maturity assessment van PwC (zie guur 3) b voorbeeld, kan hierb goed van dienst z n. Daarnaast kan er ook op de iets langere term n nog voldoende winst behaald worden. B voorbeeld: Figuur 3. Voorbeeld van een COSO-update maturity assessment Informeer de raad van commissarissen, de raad van bestuur en/of het middenkader over de w zigingen. Start indien wensel k een door hen geïnitieerd bedr fsbreed transitieprogramma. Leer van situaties uit het verleden en sta stil b hoe zaken anders aangepakt hadden kunnen worden. Maak een hernieuwde risico-inschatting om ervoor te zorgen dat alle risico s gede nieerd en gedocumenteerd z n en samenhangen met controls die gekoppeld z n aan de v f componenten van het COSO-framework. Vernieuw beleidsdocumenten, procedures en richtl nen of pas ze aan of breid ze uit, om ze duidel ker in l n te kr gen met de grondbeginselen van het framework. Ontwerp en implementeer nieuwe of veranderde controls gericht op mogel ke hiaten. Richt een proces in voor het identi ceren, vaststellen en implementeren van noodzakel ke veranderingen in controls en b behorende documentatie. W zig bestaande controls om de e ciency te verhogen, met andere woorden: vergroot de helderheid ervan of maak ze meer speci ek zodat ze directer reageren op risico s. 6. Conclusie: COSO-framework exibeler, concreter en beter toepasbaar B het vernieuwen van het framework heeft COSO het bestaande framework als zodanig behouden. Wel heeft z een aantal zaken toegevoegd en het framework exibeler gemaakt om zo beter in te kunnen spelen op veranderingen in de omgeving. Daarnaast maakt COSO het framework levendiger en beter toepasbaar door middel van diverse concrete handvatten. Het vernieuwde COSO-framework moet vooral gezien worden als een mogel kheid om internal control verder te ontwikkelen. Van een noodzakel k ongemak dat alleen de bekende factoren in hun businessomgeving controleert en beheerst, tot een control systeem dat met een grotere reikw dte en bredere k k op risico s z n meerwaarde toont. Een verbeterde internal control kan de creatie van veerkrachtige strategieën ( business resilience ) ondersteunen en de onderneming in staat stellen ook met het onbekende om te gaan. Het is aan de onderneming zelf hoe ambitieus z daarin is en hoe hoog z haar eigen lat legt. Target maturity rating Current maturity rating 52 Spotlight Jaargang 21-2014 uitgave 1

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback