COSO model: de uitleg en toepassen

COSO model: in dit artikel wordt het COSO model, ook bekend als het COSO Enterprise Risk Management Framework praktisch uitgelegd. Naast wat het is, belicht dit artikel ook de wijzigingen in COSO model, de principes en een korte samenvatting. Na het lezen heb je een basiskennis van deze beheertool. Veel plezier met lezen!

Wat is het COSO model?

Het COSO model, COSO ERM Framework of COSO vierkant, definieert de interne controle van een organisatie, uitgevoerd door het management, als een proces. Een proces waarin gebeurtenissen geïdentificeerd worden die mogelijkerwijs de entiteit kunnen beïnvloeden wordt Enterprise Risk Management (ERM) genoemd.

ERM omvat methoden en processen die organisaties gebruiken om risico’s te beheersen en kansen te benutten die ervoor zorgen dat de doelstellingen van het bedrijf worden gehaald.

Het COSO model is oorspronkelijk in 1992 ontwikkeld door the Committee of Sponsoring Organizations of the Treadway Commission (COSO). COSO ontwikkelde dit raamwerk om bedrijven te helpen bij het vaststellen, beoordelen en verbeteren van het controleren van interne processen.

Het belang van interne (risico)beheersing is groot aangezien het al dan niet aanwezig zijn van een dergelijk controlesysteem de kwaliteit van de output in de resultaatoverzichten kan vaststellen.

Een functionerend en accuraat proces van interne controle biedt de gebruikers van de financiële overzichten een redelijke mate van zekerheid dat de resultaatoverzichten juist zijn en gebruikt kunnen worden in een weloverwogen besluitvorming.

COSO model Nederlands

Het COSO model laat de relatie tussen drie elementen van een Internal Control System zien, in het Nederlands ook wel een intern controlesysteem genoemd.

In september 1992 gaf het COSO een rapport vrij met de titel Internal Control – Integrated Framework en in 2004 voerden zij hierin enkele wijzigingen door.

Het rapport beschrijft een gemeenschappelijke definitie van interne controle en biedt een kader voor organisaties om hun interne beheersingssystemen te managen en verbeteren. Sindsdien wordt het COSO model gebruikt als standaard referentiemodel door tal van organisaties.

De drie dimensies van het COSO model

COSO’s ERM is gebaseerd op het uitgangspunt dat elke organisatie in eerste instantie actief is om meerwaarde te creëren voor haar belanghebbenden.

Vaak geldt hoe groter het risico van een genomen besluit is, hoe hoger het rendement. In een snel veranderende omgeving ontstaat vaak onzekerheid en dit biedt zowel risico als kansen.

COSO model uitleg

ERM stelt het management in staat om deze risico’s te identificeren, beoordelen en beheren. Het interne controlekader van COSO wordt over het algemeen gepresenteerd als een kubus, het COSO model, omdat er drie dimensies voor controle zijn samengevoegd in het raamwerk die de directe relatie weergeeft tussen de:

A – Beheersingscomponenten

Interne omgeving

Het management stelt een filosofie op met betrekking tot risico’s en geeft daarmee de risicobereidheid van de organisatie aan. De interne omgeving legt de basis voor het idee hoe risico’s worden bekeken hoe daarop geanticipeerd wordt.

Het is van cruciaal belang dat het hogere management het belang van ERM laat zien op alle niveaus van de organisatie.

Bepalen van doelstellingen

Doelstellingen moeten worden vastgesteld voordat het management potentiële gebeurtenissen kan identificeren die van invloed zijn op de prestaties en resultaten.

ERM zorgt ervoor dat het management beschikt over een proces of tool om doelen te stellen en dat de gekozen doelen aansluiten bij de missie van de organisatie en consistent zijn met de risicobereidheid.

Identificatie van gebeurtenissen

Het is van groot belang dat het vaststellen van gebeurtenissen die mogelijk van invloed zijn op de doelstellingen uitgevoerd wordt voor zowel de interne als de externe omgeving.

Hieronder vallen de gebeurtenissen die risico’s vertegenwoordigen en de gebeurtenissen die mogelijk kansen met zich meebrengen. Gebeurtenissen die beide beïnvloeden moeten met extra zorgvuldigheid afgehandeld worden.

Risicobeoordeling

De geïdentificeerde risico’s moeten worden geanalyseerd voordat vastgesteld kan worden hoe deze moeten worden beheerd. Risico’s worden geassocieerd met doelstellingen die kunnen worden beïnvloed en worden zowel op inherente als op residuele basis beoordeeld.

De beoordelaar dient rekening te houden met het risicogewicht als de impact. Dit is een doorlopend proces wat betekend dat risicoanalyse op continue basis moet worden uitgevoerd.

Risicobeheersingsmaatregelen

Nadat de risico’s zijn vastgesteld en beoordeeld identificeert en evalueert de risicoanalist mogelijke reacties op de risico’s waaronder het vermijden, accepteren, verminderen of delen van risico’s.

Het management selecteert een reeks acties om risico’s af te stemmen op de risicotolerantie en risicobereidheid van de organisatie.

Controlemaatregelen

Nadat de risico’s, de maatregelen en reacties hierop zijn vastgesteld worden procedures opgesteld of het beleid aangepast om ervoor te zorgen dat de selectie van risicobeheersmaatregelen zorgvuldig en effectief wordt uitgevoerd.

Informatie & communicatie

Relevante informatie met betrekking tot de gelopen risico’s, genomen maatregelen of geaffecteerde organisatie-eenheden wordt vastgelegd en gecommuniceerd naar medewerkers op alle niveaus van de organisatie. Dit gebeurt mogelijk in de vorm van een tijdschema dat het personeel in staat stelt om hun verantwoordelijkheden uit te voeren terwijl ze de risico’s in acht nemen.

Monitoring

Het volledige ERM proces wordt bewaakt en indien nodig gewijzigd. In een hoog dynamische omgeving is adequaat en dynamisch handelen en reageren vereist om schade te beperken of kansen te benutten.

B – Activiteiten

Het COSO model benadrukt dat risicobeheer niet strikt een serieproces is, waar een component alleen invloed heeft op het volgende component, maar dat het een multi directioneel proces is waarin bijna elk onderdeel een ander onderdeel kan beïnvloeden. Het proces moet daarom worden toegepast op alle niveaus van een organisatie:

• Het geheel van de organisatie
• Organisatiedivisies
• Bedrijfseenheden
• Dochterondernemingen

C – Organisatiedoelstellingen

In het COSO model is ERM gericht op het bereiken van de doelstellingen van een organisatie, uiteengezet in de onderstaande vier categorieën.

Het managen van de risico’s binnen deze vier categorieën zal meerwaarde creëren voor de belanghebbenden binnen organisatie omdat het weergeeft hoe het gesteld is met de risicobereidheid van de organisatie.

Strategisch

Deze doelstellingen zijn vastgesteld op hoog niveau en zijn afgestemd op de missie en visie van een bedrijf.

Operations

Deze doelstellingen hebben betrekking op de handelingen die een bedrijf uitvoeren om de vastgestelde goals te behalen en worden getoetst op effectiviteit en efficiëntie.

Rapportage

Deze doelstellingen geven de behoefte weer aan betrouwbare rapportage binnen een entiteit.

Compliance

De doelstellingen onder compliance verwijzen naar de behoefte van een organisatie om te voldoen aan de relevante wet- en regelgeving.

Het COSO model toepassen

Organisaties opereren in een omgeving waar factoren als globalisering, technologie, herstructureringen, veranderende markten, concurrentie en regelgeving onzekerheid kunnen creëren. Deze onzekerheden bieden zowel risico’s als kansen.

COSO’s ERM biedt organisaties:

• De mogelijkheid om risico’s te beheren binnen hun risicobereidheid filosofie
• Waardoor maximale waarde geboden kan worden aan belanghebbenden
• Zekerheid en kennis omtrent risico’s
• De mogelijkheid om bedrijfsmislukkingen en schandalen voorkomen
• Een raamwerk om te voldoen aan de vereisten van wet- en regelgeving

Nu is het jouw beurt

Wat denk jij? Herken jij de uitleg over het ERM raamwerk van COSO? In hoeverre denk jij dat actief vaststellen en beheren van risico’s belangrijk is voor de bedrijfsresultaten? Wat zijn volgens jouw zaken of processen die kunnen bijdragen aan een betrouwbaar risicobeleid?

Deel jouw kennis en ervaring via het commentaar veld onderaan dit artikel.

Meer informatie

1. Coso, I. I. (2004). Enterprise risk management. Integrated Framework.
2. Bowling, D. M., & Rieger, L. (2005). Success factors for implementing enterprise risk management: building on the COSO framework for enterprise risk management to reduce overall risk. Bank Accounting & Finance, 18(3), 21-27.
3. Moeller, R. R. (2007). COSO enterprise risk management: understanding the new integrated ERM framework. John Wiley & Sons.

Citatie voor dit artikel:
Janse, B. (2018). COSO model. Retrieved [insert date] from Toolshero: https://www.toolshero.nl/management-modellen/coso-model/

Oorspronkelijke publicatiedatum: 03/01/2018 | Laatste update: 20/04/2023

Wilt u linken naar dit artikel, dat kan!
<a href=” https://www.toolshero.nl/management-modellen/coso-model/>Toolshero: COSO model</a>