COSO-herziening als vliegwiel voor heroriëntatie op internal control Voldoen de internal controls nog aan de eisen van deze t d? Juist vanwege deze vraag verdient het in 2013 vernieuwde COSO-framework de aandacht van ons allemaal. Het biedt ondernemingen de perfecte gelegenheid om internal control duurzaam te verbeteren en te verankeren, als onderdeel van de veranderingen in de business voor operational excellence. Pieter Haex - Consulting Finance, Advisory Marcel Prinsenberg - Consulting Risk, Advisory Mart n Niekus - Consulting Risk, Advisory Figuur 1. De COSO-kubus Operations Reporting Control Environment Risk Assessment Control Activities Information & Communication Monitoring Activities Compliance Entity Level Division Operating Unit Function 1. Belangr kste punten COSOherziening In 2013 is het COSO-framework vernieuwd. Het weerspiegelt belangr ke veranderingen ten opzichte van de originele publicatie in 1992, die sindsdien breed is geaccepteerd en over de hele wereld wordt toegepast. De herziening is relevant voor ondernemingen: z kunnen hiermee hun internal controls verder versterken en zo (meer) vertrouwen kr gen dat z hun doelstellingen bereiken. Bovendien kunnen ze hiermee hun verborgen risico s in kaart brengen en b behorende mitigerende maatregelen nemen. Ook laat de herziening zien hoe controldefecten door werknemers en technologie voorkomen kunnen worden, en hoe de onderneming het internal-controlsysteem kan aanpassen op mogel ke veranderingen. Daarover nu meer. 48 Spotlight Jaargang 21-2014 uitgave 1
2. Vergaande veranderingen sinds lancering framework De omgeving waarin bedr ven ondernemen en zaken doen is de afgelopen twintig jaar drastisch veranderd. De diverse belanghebbenden zoals aandeelhouders, OR en wetgever willen nauwer betrokken z n en (nog beter) kunnen begr pen hoe het internal-controlsysteem de organisatie ondersteunt b het nemen van beslissingen en het besturen van de onderneming. De belangr kste veranderingen in de omgeving z n: toename van het bestuurl k toezicht en b behorende controle; globalisering van markten; toenemende complexiteit in bedr fsmodellen en onderling zakendoen tussen bedr ven; meer wet- en regelgeving, voorschriften en standaarden, ook voor niet- nanciële rapportages; hogere eisen aan bevoegdheden en verantwoordel kheden van bestuurders; gebruik en afhankel kheid van technologieën die zich steeds sneller ontwikkelen; fraude, imagoschade of cyber crime komen veel voor, maar worden steeds minder getolereerd. 3. Aanpassingen aan het framework Vertrouwde uitgangspunten bl ven Voordat we ingaan op de veranderingen, staan we even stil b wat al bekend is en onveranderd bl ft. Het vernieuwde COSO-framework bl ft vasthouden aan de kernde nitie van internal control en de b behorende v f componenten (zie kader). De noodzaak om deze te gebruiken om de e ectiviteit van een internal-controlsysteem te beoordelen bl ft ongew zigd. De oordeelsvorming van het management bl ft van cruciaal belang als het gaat om het ontwerpen, implementeren en doorvoeren van internal control en het beoordelen van de e ectiviteit ervan binnen de organisatie. Samenvatting In de afgelopen twintig jaar is de omgeving waarin organisaties opereren drastisch veranderd. Zakendoen is complexer geworden, meer technologie-gedreven en meer op wereldw de schaal. Hierdoor z n aanpassingen in het framework van internal control van bedr ven noodzakel k. De COSOherziening faciliteert daarb. Het framework weerspiegelt het huidige ondernemingsklimaat, is toepasbaar op bedr fsdoelstellingen in brede zin en is exibel en aanpasbaar. De componenten in het COSO-framework hebben een heldere link met elkaar en het is eenvoudiger om veranderingen te vertalen naar aanpassingen in het internal-controlsysteem. Bedr ven bepalen daarb zelf hoe kritisch z naar (de adequaatheid van) hun bedr fsvoering k ken en hoe hoog z hun eigen lat leggen. Even opfrissen: internal control en het COSOframework De traditionele opvatting is niet langer houdbaar. Internal control gaat niet alleen maar over terugk ken of rigide procedures. Internal control helpt organisaties haar (belangr kste) doelstellingen te bereiken en haar prestaties te consolideren, dan wel te verbeteren. Een e ectief internalcontrolsysteem geeft behoorl ke zekerheid over het behalen van de gestelde doelen en reduceert het risico van het niet behalen tot een acceptabel niveau, waarb geldt dat de keten zo sterk is als de zwakste schakel. COSO-website COSO-framework kent drie dimensies COSO kent een brede acceptatie en kwaliteitsassociatie. Het framework werkt als een referentiekader om te bepalen wanneer een onderneming in control is én hoe dat wordt gemeten. Het COSOframework stelt bedr ven in staat om systemen en processen in te richten die zich kunnen aanpassen aan wisselende omstandigheden, die risico s mitigeren en die het nemen van beslissingen en besturen van een organisatie ondersteunen. Het framework kent drie dimensies: De organisatiedoelstellingen, ingedeeld in drie categorieën De dagel kse operatie (e ciënt en e ectief), het rapporteren over deze activiteiten (intern en extern) en de b behorende compliance (voldoen aan wet- en regelgeving). De componenten die gaan over hoe je deze doelstellingen bereikt Control-omgeving, risicobeoordeling, control-activiteiten, informatie en communicatie en toezicht op activiteiten. Aan de componenten liggen 17 principes en 81 aandachtspunten ten grondslag die het concept achter deze v f bestanddelen verder invullen. De organisatiestructuur Entiteit, divisies, werkmaatschapp en en functies. Meer informatie? Voor meer informatie over het COSOframework en de herziening verw zen w graag naar het COSO-document Internal Control - Integrated Framework (mei 2013) en naar de COSO-website (www.coso.org). Spotlight Jaargang 21-2014 uitgave 1 49
Figuur 2. COSO-herziening Original Framework COSO s Internal Control Integrated Framework (1992 Edition) Enhancements to ease use and application Fundamental concepts relating to effective internal control Changes in business, operating, and regulatory environments Internal and nonfinancial reporting objectives Formalizes Principles Underlying Points of Focus Updates Context Expands Application Updated Framework COSO s Internal Control Integrated Framework (Draft, 2013 Edition) De weg naar de herziening Figuur 2 laat zien wat de belangr kste veranderingen z n geweest en hoe deze tot aanpassingen hebben geleid met het vernieuwde COSO-framework als resultaat. Frameworkveranderingen Een van de belangr kste w zigingen is het formaliseren van de belangr ke concepten die geïntroduceerd werden in het originele framework, waarb de lat hoger ligt voor het COSO Compliant statement. In het vernieuwde COSO-framework z n deze concepten uitgangspunten geworden, waarmee het een principle based framework is geworden. Z verbreden, actualiseren en concretiseren het framework. Daarnaast z n w zigingen rondom de volgende onderwerpen doorgevoerd: breder spectrum van rapporteren: ook rapportages over niet- nanciële informatie (risico s, kwaliteit operationele proces, maatschappel ke impact en dergel ke) vallen binnen de reikw dte van het framework; verbinding tussen risico, prestatie en beloning; oog voor tone in the middle : werknemers aansporen om verantwoordel kheid te durven nemen en verantwoording af te willen leggen. Zo z n cultuur en gedrag binnen de gehele onderneming in beeld; w ze van (be)sturing (rol van commissies, aansluiting met businessmodel); de niëren van de drie verdedigingslinies : het operationeel management is verantwoordel k voor haar eigen processen (eerste l n), de ondersteunende afdelingen adviseren, coördineren en bewaken of het management z n verantwoordel kheden ook neemt (tweede l n) en internal audit controleert of het samenspel tussen de eerste en tweede l n soepel functioneert en velt daar een onderdeel over (3e l n). Zie ook het artikel over internal audit van Jan Driessen in Spotlight 4/2013; successieplanning (identi ceren en ontwikkelen van medewerkers met carrièrepotentie) en talent management; meer expliciete aandacht voor werkzaamheden die derden uitvoeren en die het internal-controlsysteem kunnen raken (b voorbeeld committeren aan gedragscode of verwachtingen die verder gaan dan kunnen vertrouwen op wat deze part rapporteert); beter aanpassingsvermogen en toereikendheid van internalcontrolsysteem b veranderingen in de business (processen, rollen, structuren, IT, shared services en dergel ke). Jan Driessen: 'Internal Audit: cruciaal voor internal governance' Goed gevulde toolkit B de herziening heeft COSO ook verhelderende sjablonen en scenario s toegevoegd, gebundeld in een soort gereedschapskist. Bedr ven kunnen dit gebruiken om de huidige stand van zaken van hun internal control te evalueren. Daarnaast heeft de commissie ook een handboek uitgebracht, het Compendium of Approaches and Examples for External Financial Reporting. Dit z n benaderingen en voorbeelden die de componenten en beginselen verder handen en voeten geven, speci ek gericht op de externe nanciële rapportage. Tabel 1 is hier een voorbeeld van. 50 Spotlight Jaargang 21-2014 uitgave 1
Tabel 1. Voorbeeld van uitbreiding framework met benaderingen en voorbeelden Component Grondbeginsel Benadering Voorbeeld Controlomgeving Toewijding aan integriteit en ethiek 4. Impact kan worden bepaald aan de hand van drie vragen De mogel ke implicaties z n organisatieen ambitieafhankel k. Aan de hand van drie vragen is de daadwerkel ke impact op organisaties te achterhalen. Past de organisatie het framework al toe, of heeft z het vertaald naar haar eigen situatie? - Dit bepaalt de impact van de toepassing van de 2013-herziening. - Formele concepten z n nu principes. Dit zorgt voor exibiliteit in de toepassing op diverse niveaus binnen de onderneming. Het goede voorbeeld geven op het gebied van integriteit en ethiek Een nieuwsbrief versturen om verwachtingen hieromtrent (hernieuwd) kracht bij te zetten COSO: diverse publicaties COSO staat voor Committee of Sponsoring Organizations of the Treadway Commission en is een gezamenl k initiatief van v f private organisaties. Z wil thought leadership leveren door de ontwikkeling van frameworks en richtl nen op het gebied van enterprise risk management, internal control en fraude. In de prakt k bl kt er nogal eens verwarring te z n over de diverse COSO-publicaties. Daarom hier een korte toelichting. 1992: publicatie van het Internal Control Integrated Framework 2004: het Enterprise Risk Management (ERM) Integrated Framework komt erb 2006: na de invoering van SOx-wetgeving volgt de introductie van de Internal Control over Financial Reporting Guidance for Smaller Public Companies, aangezien de oorspronkel ke publicatie uit 92 niet voldeed voor kleinere ondernemingen 2009: de Guidance on Monitoring Internal Control Systems Daarnaast z n er nog diverse korte publicaties die een speci ek onderwerp behandelen op het gebied van enterprise risk management of fraude. De publicatie van mei 2013 is een herziening van het Internal Control Integrated Framework uit 1992, waar de Internal control over Financial Reporting Guidance for Smaller Public Companies in is opgenomen. De ERM Integrated Framework en de Guidance on Monitoring Internal Control Systems bl ven als zelfstandige publicaties bestaan. Omvat het internal-controlsysteem van de organisatie alle 17 COSO-principes? - Zo nee, welke beginselen z n wel aanwezig en actief? - In welke mate is de onderneming SOx 404 en COSO compliant? - In welke mate rapporteert het bedr f op een geïntegreerde manier? Moet alle relevante documentatie (ontwerp, implementatie, beleid en dergel ke) aangepast worden voor een of meerdere COSO-componenten en b behorende bestanddelen? - Heldere doelen vergemakkel ken de identi catie en analyse van risico s. - Nieuwe risico s leiden mogel k tot andere beheersingsmaatregelen. - Neem alt d de kans op fraude in acht. - De impact op het internalcontrolsysteem kan signi cant z n. De lat hoger leggen De herziening van het COSO-framework zorgt ervoor dat bedr ven hun eigen lat hoger kunnen en misschien wel moeten leggen. Maar dat kan alleen als voldaan wordt aan deze drie punten: De internal controls ondersteunen alle v f componenten. De organisatie begr pt dat het voor een e ectieve internal control nodig is dat: - elk component aanwezig is en functioneert, met b behorende relevante aandachtspunten; - de v f componenten op een geïntegreerde w ze operationeel z n. De organisatie handelt proactief. Een onvolkomenheid of defect zorgt ervoor dat niet voldaan wordt aan de eisen voor een e ectieve internal control. Hiermee is duidel k dat er meer dan voldoende mogel kheden z n om herzieningen door te voeren binnen de onderneming. 5. Mogel kheden die de herziening van het framework biedt De mogel kheden voor de onderneming en controlerend accountant van een onderneming z n legio. De lancering van de herziening kan als vliegwiel dienen b de heroriëntatie op internal control. Internal control is meer dan alleen een hygiënefactor. De onderneming doet er goed aan zichzelf de vraag te stellen hoe het huidige systeem er nu echt uitziet. Z n er b voorbeeld (al) mechanismen aanwezig die dienen als feedbackloop om veranderingen te vertalen in systeemaanpassingen? De accountant kan aanbevelingen doen op het gebied van nancial-reportingrisico s, scherper oordelen en b sturen t dens de interim controle, en bevindingen b de jaarrekeningcontrole koppelen aan Spotlight Jaargang 21-2014 uitgave 1 51
het bestaande COSO-framework binnen de onderneming en aansturen op het doorvoeren van aanpassingen aan het framework van de klant. Naast aandacht vragen voor het onderwerp kan ook het bestaande internalcontrolsysteem opgeschoond worden. De bestuurders van de onderneming moeten wel eerst vertrouwd raken met de diverse vernieuwde documentatie (te vinden op www.ic.coso.org). Vervolgens kan men eventueel het huidige internalcontrollandschap laten evalueren en afzetten tegen de vernieuwde blauwdruk van het COSO-framework. De COSOupdate maturity assessment van PwC (zie guur 3) b voorbeeld, kan hierb goed van dienst z n. Daarnaast kan er ook op de iets langere term n nog voldoende winst behaald worden. B voorbeeld: Figuur 3. Voorbeeld van een COSO-update maturity assessment Informeer de raad van commissarissen, de raad van bestuur en/of het middenkader over de w zigingen. Start indien wensel k een door hen geïnitieerd bedr fsbreed transitieprogramma. Leer van situaties uit het verleden en sta stil b hoe zaken anders aangepakt hadden kunnen worden. Maak een hernieuwde risico-inschatting om ervoor te zorgen dat alle risico s gede nieerd en gedocumenteerd z n en samenhangen met controls die gekoppeld z n aan de v f componenten van het COSO-framework. Vernieuw beleidsdocumenten, procedures en richtl nen of pas ze aan of breid ze uit, om ze duidel ker in l n te kr gen met de grondbeginselen van het framework. Ontwerp en implementeer nieuwe of veranderde controls gericht op mogel ke hiaten. Richt een proces in voor het identi ceren, vaststellen en implementeren van noodzakel ke veranderingen in controls en b behorende documentatie. W zig bestaande controls om de e ciency te verhogen, met andere woorden: vergroot de helderheid ervan of maak ze meer speci ek zodat ze directer reageren op risico s. 6. Conclusie: COSO-framework exibeler, concreter en beter toepasbaar B het vernieuwen van het framework heeft COSO het bestaande framework als zodanig behouden. Wel heeft z een aantal zaken toegevoegd en het framework exibeler gemaakt om zo beter in te kunnen spelen op veranderingen in de omgeving. Daarnaast maakt COSO het framework levendiger en beter toepasbaar door middel van diverse concrete handvatten. Het vernieuwde COSO-framework moet vooral gezien worden als een mogel kheid om internal control verder te ontwikkelen. Van een noodzakel k ongemak dat alleen de bekende factoren in hun businessomgeving controleert en beheerst, tot een control systeem dat met een grotere reikw dte en bredere k k op risico s z n meerwaarde toont. Een verbeterde internal control kan de creatie van veerkrachtige strategieën ( business resilience ) ondersteunen en de onderneming in staat stellen ook met het onbekende om te gaan. Het is aan de onderneming zelf hoe ambitieus z daarin is en hoe hoog z haar eigen lat legt. Target maturity rating Current maturity rating 52 Spotlight Jaargang 21-2014 uitgave 1