6.1 Inleiding
In voorgaande hoofdstukken stond de implementatie van het COSO ICFR risicomanagement model bij onderneming X centraal. In dit laatste hoofdstuk zal ik de conclusie trekken voor implementatie van het COSO ICFR risicomanagement model binnen de kleinere ondernemingen in het algemeen. Aangezien dit onderzoek is verricht aan de hand van een case studie plaats ik hier nog wel een kanttekening bij.
Verder worden in dit hoofdstuk de laatste deelvragen beantwoord en beoordeel ik of de doelstelling van het onderzoek is behaald. Tenslotte doe ik een aanbeveling voor eventueel vervolg onderzoek en een aanbeveling voor het COSO ICFR risicomanagement model.
6.2 Implementatie COSO ICFR model bij kleinere ondernemingen
In de komende paragraaf geef ik een aanbeveling over het implementeren van het COSO ICFR model binnen kleinere ondernemingen in het algemeen. Onder kleinere ondernemingen versta ik hier het begrip kleine onderneming volgens het Burgerlijk Wetboek 2:396. Dit begrip is al eerder uitgelegd in hoofdstuk drie.
De toegevoegde waarde bij eventuele implementatie van het COSO ICFR risicomanagement model wordt besproken, evenals eventueel ontstane problemen voor deze kleinere ondernemingen. Tenslotte zal ik enkele aanbevelingen geven voor het gebruik van het COSO ICFR risicomanagement model.
Voorafgaand aan de conclusie van dit onderzoek wil ik hier een kanttekening bij plaatsen. Dit onderzoek is gedaan aan de hand van een case studie. Dat wil zeggen dat er een diepte onderzoek is verricht bij één enkele onderneming, in dit geval onderneming X. In de komende paragraaf ga ik een conclusie trekken over de algemene gang van zaken bij kleinere ondernemingen, waarbij gezegd moet worden dat dit lastig is aan de hand van de bestudering van één enkel geval. De volgende conclusie over het COSO ICFR model bij kleinere ondernemingen zal daarom met deze melding in het achterhoofd gelezen moeten worden.
Voor een kleinere onderneming is de kosten baten analyse wat betreft implementatie van een COSO risicomanagement model van groot belang. Voor een kleinere onderneming is het namelijk, in verhouding met grotere ondernemingen, kostbaarder in zowel moeite als in geld een dergelijk risicomanagement systeem te implementeren. Met name adequate
functiescheidingen en goed werkende informatietechnologie zijn binnen een kleine onderneming moeilijk kosten efficiënt te realiseren, terwijl ze van groot belang zijn. Ook wanneer hier volgens het risicomanagement systeem wijzigingen in aangebracht dienen te worden zijn deze dan ook vaak lastig te realiseren.
Ook het management van een kleinere onderneming speelt een grote rol in de implementatie van een COSO ICFR risico model. Deze moet, zoals in het vorige hoofdstuk toegelicht, volledig achter het model staan om de gehele onderneming en alle afdelingen volledig achter de implementatie van het risico proces te krijgen.
Het COSO ICFR model, of een ander risicomanagement model, kan van grote invloed zijn op de kleinere onderneming. Zoals gezegd tijdens het bespreken van de resultaten voor onderneming X, denkt een kleinere onderneming vaak niet voldoende na over de vooraf te stellen doelstellingen binnen de onderneming. Via het implementeren van een COSO ICFR risicomanagement model wordt het management bewuster van de doelstellingen van de onderneming omtrent de financiële verslaggeving. Aan de hand van deze doelstellingen worden eventuele risico’s opgesteld welke de onderneming loopt ten aanzien van de financiële verslaggeving. Door het juist implementeren van de vijf componenten van het COSO ICFR model, aan de hand van de twintig principes, kan met een redelijke mate van zekerheid de vooraf gestelde financiële verslaggeving doelstelling gehaald worden.
Voor een kleinere onderneming is het naar mijn mening niet haalbaar een volledig werkend risicomanagement systeem te implementeren aan de hand van de twintig principes en vijf componenten, althans niet in een korte termijn. Wel is het mogelijk om enkele onderdelen van een risicomodel te implementeren, wat voor een kleinere onderneming al van grote toegevoegde waarde kan zijn.
Naar mijn mening moet elke onderneming, dus ook de kleinere onderneming, aan een zekere vorm van risicomanagementdoen. Dit aangezien de onderneming op deze manier geconfronteerd wordt met de vooraf gestelde doelstellingen omtrent financiële verslaggeving en de gelopen risico’s. Tevens zal de kleinere onderneming beheersingsmaatregelen moeten instellen om deze risico’s te reduceren. Dit om de gestelde doelstellingen omtrent financiële verslaggeving met een redelijke mate van zekerheid te behalen.
Hierbij wil ik vermelden dat naar mijn mening kleinere ondernemingen niet alleen voor financiële verslaggeving doelstellingen een risicomodel moeten implementeren. Ook voor de andere doelstellingen; strategische, operationele en wet- en regelgeving doelstellingen, kan het zeer nuttig blijken de doelstellingen en risico’s daarbij behorend vast te stellen om de doelstellingen te behalen met een redelijke mate van zekerheid.
Een aanbeveling die ik voor het implementeren van het COSO ICFR risicomanagement model bij kleinere ondernemingen doe is het in gebruik nemen van de twintig principes welke horen bij de vijf componenten uit het COSO ICFR risicomanagement model. Wel moet hierbij in gedachten worden gehouden dat niet aan elk principe kan worden voldaan door de kleinere onderneming. Iedere kleinere onderneming moet specifiek de principes invullen die bij de betreffende onderneming passen en die ingevuld kunnen worden. Hierbij moet wel in gedachten worden gehouden dat elke van de vijf componenten beschreven dient te worden voor een goede werking van het COSO ICFR risicomanagement model.
De kleinere onderneming moet allereerst zeer goed nadenken over de doelstellingen van de ondernemingen wat betreft financiële verslaggeving. Na een kosten baten analyse zal namelijk blijken dat niet een geheel risicomanagement systeem geïmplementeerd kan worden in de onderneming, de kleinere onderneming moet er dan in ieder geval voor waken dat de belangrijkste doelstelling betreffende financiële verslaggeving met een redelijke mate van zekerheid behaald wordt. Dit door naar de bijbehorende risico’s te kijken en deze te reduceren aan de hand van wijzigingen in de financiële processen.
6.3 Conclusie – is de doelstelling van het onderzoek behaald?
Evenals bij een risicomanagement model wordt er tijdens dit onderzoek gewerkt vanuit de doelstelling. De doelstelling van dit onderzoek is voorafgaand aan het werkelijke onderzoek opgesteld. De doelstelling van dit onderzoek is het in kaart brengen van de mogelijkheden hoe bij een kleinere onderneming een risicomanagement model te implementeren. In deze paragraaf ben ik aangekomen bij het monitoring gedeelte van het risicomanagement model. Terugkijkend op het onderzoek bepaal ik of de doelstelling met een redelijke mate van zekerheid is behaald en waar zich eventuele tekortkomingen bevinden.
Dit onderzoek begon met een literatuuronderzoek, waar de basis is gelegd voor verder onderzoek. Hier is onder andere de wet- en regelgeving toegelicht welke (deels) aanleiding is voor de ontwikkeling van de risicomanagement modellen. Ook is er aandacht besteed aan de begrippen internal control en interne controle. Vervolgens is beoordeeld in hoeverre het mogelijk is het COSO ICFR model te implementeren bij de case studie, onderneming X. Aan de hand van deze resultaten is getracht iets te zeggen over de eventuele implementatie van het COSO ICFR risicomanagement model bij onderneming X specifiek en bij kleinere ondernemingen in het algemeen.
In hoofdstuk vijf zijn de resultaten voor onderneming X besproken. Hier komt naar voren dat eventuele implementatie van het COSO ICFR model een goede zaak zou zijn voor deze onderneming. Hierbij zal het waarschijnlijk niet mogelijk blijken het volledige model te implementeren, voor onderneming X zal het voldoende zijn enkele onderdelen van het model in aanmerking te nemen. Dit om er wel voor te zorgen dat de vooraf gestelde financiële verslaggeving doelstellingen met een redelijke mate van zekerheid worden behaald.
In de vorige paragraaf van dit hoofdstuk is de eventuele implementatie van het COSO ICFR model bij kleinere ondernemingen in het algemeen besproken. Hier komt naar voren dat een kleinere onderneming veel baat kan hebben bij de implementatie van het COSO ICFR model. Wel moet iedere onderneming het model specifiek benaderen, naar eigen wensen en behoeften volgens een kosten baten analyse.
De doelstelling voor onderneming X is naar mijn mening behaald, het onderzoek zegt zeker iets over de mogelijkheden wat betreft eventuele implementatie van het COSO ICFR risicomanagement model bij onderneming X. Wanneer ik echter kijk naar de algemene doelstelling kan ik concluderen dat slechts in bepaalde mate een oordeel gegeven kan worden over de mogelijkheden wat betreft de implementatie van een COSO ICFR risicomanagement model bij kleinere ondernemingen in het algemeen.
Voor een conclusie over de mogelijkheden wat betreft implementatie van het COSO ICFR risicomanagement model bij kleinere ondernemingen moet ik, in verband met het onderzoek in de vorm van een case studie, terugvallen op een onderzoek bij slechts één onderneming. Er kan een conclusie getrokken worden over kleinere ondernemingen in het algemeen, maar deze is niet sterk wetenschappelijk onderbouwd. De mededeling over de case studie moet hierbij in het achterhoofd gehouden worden.
De doelstelling van dit onderzoek is samengevat deels behaald, aangezien er voor een gedeelte in kaart is gebracht wat de mogelijkheden zijn bij een kleinere onderneming om eventueel een COSO ICFR risicomanagement model te implementeren.
6.4 Aanbeveling vervolg onderzoek
In de vorige paragraaf heb ik toegelicht waarom de doelstelling van het onderzoek deels is behaald. Naar mijn mening kan met enige vorm van vervolg onderzoek wel de gehele doelstelling behaald worden.
Een aanbeveling welke ik doe voor vervolg onderzoek is het onderzoeken van de mogelijkheid van de implementatie van het COSO ICFR risicomanagement model bij meerdere kleinere ondernemingen. Dit om dan tot een algemene conclusie te kunnen komen over de mogelijkheden die bestaan met betrekking tot het implementeren van het COSO ICFR risicomanagement model bij kleinere ondernemingen.
Een dergelijk onderzoek kost erg veel tijd, maar is naar mijn mening wel de enige wijze waarop de volledige doelstelling behaalt gaat worden. Pas na dergelijk onderzoek kan er met enige vorm van zekerheid iets gezegd worden over de mogelijkheden van het implementeren van een COSO ICFR risicomanagement model bij kleinere ondernemingen in het algemeen.
6.4 Aanbeveling COSO ICFR risicomanagement model
In de komende paragraaf doe ik enkele aanbevelingen voor het COSO ICFR risicomanagement model. Hierbij maak ik een vergelijking van het COSO ICFR model met eerdere risicomanagement modellen van COSO en kijk ik naar de bruikbaarheid van het COSO ICFR risicomanagement model.
Naar mijn mening is het COSO ICFR risicomanagement model een veel beter toepasbaar model bij kleinere ondernemingen dan de andere twee COSO modellen, ICIF en ERM. Dit komt omdat er in het COSO ICFR risicomanagement model wordt gewerkt aan de hand van twintig principes, welke als handvat kunnen dienen voor de kleinere ondernemingen. Door deze twintig principes specifiek in te vullen voor de specifieke kleinere onderneming wordt elk van de vijf componenten van het risicomanagement model ingevuld. Volgens het risicomanagement model dienen elk van deze vijf componenten beschreven te worden voor een onderneming, voor een optimale werking van het risicomanagement systeem.
Hier zit gelijk een keerzijde aan het gebruik van het COSO ICFR risicomanagement model door kleinere ondernemingen. Een onderneming moet zelf het model implementeren. Dit begint met het opstellen van de financiële verslaggeving doelstellingen van een onderneming, de bijbehorende risico’s analyseren en beheersingsmaatregelen in het
werk stellen om deze risico’s te reduceren.
Wanneer een onderneming de doelstelling vooraf verkeerd beoordeeld en vaststelt, zal de implementatie van een risicomanagement systeem weinig zin hebben. Dit aangezien er gestreefd wordt naar het met redelijke mate van zekerheid behalen van de “verkeerde” doelstellingen.
Hoewel COSO ICFR een goed risicomanagement model zal zijn, ligt de eindverantwoordelijkheid bij het management van de kleinere onderneming. De kans op succes van het risicomanagement model, oftewel met een redelijke mate van zekerheid het behalen van de vooraf doelstellingen, ligt aan de competenties en de bereidheid van het management van de kleinere onderneming.
COSO ICFR is oorspronkelijk speciaal ontwikkeld voor de kleinere ondernemingen in de Verenigde Staten welke moeten voldoen aan de SOx wetgeving. Mede hierdoor zal dit model niet volledig passen bij de kleinere Nederlandse ondernemingen.
Zoals gezegd zijn de twintig principes niet toepasbaar binnen iedere kleinere onderneming, dit is een nadeel van het COSO ICFR model. Tenminste, als ondernemingen dit wensen van een model. Een kleinere onderneming zal specifiek de twintig principes moeten beoordelen welke van toepassing zijn voor de onderneming. Deze specifieke principes kunnen dan ingevuld gaan worden voor de kleinere onderneming. Wanneer deze opmerking algemeen gaat gelden bij het COSO ICFR risicomanagement model, zullen naar mijn mening veel kleinere ondernemingen hier bat bij hebben.
6.5 Beantwoording deelvragen hoofdstuk zes
In het vorige hoofdstuk zijn de resultaten voor de mogelijke implementatie van het COSO ICFR risicomanagement model bij onderneming X besproken. In dit hoofdstuk bespreek ik de mogelijke implementatie van het COSO ICFR risicomanagement model bij kleinere ondernemingen in het algemeen. Hiermee beantwoord ik de laatste twee deelvragen van het onderzoek. In de komende paragraaf beantwoord ik dan ook deelvragen zeven en acht.
(7) Wat zijn aanbevelingen voor de implementatie van het COSO ICFR model bij een kleinere onderneming in het algemeen?
Naar mijn mening kan iedere kleinere onderneming veel baat hebben bij het implementeren van een risicomanagement model, dit aangezien het management van de onderneming veel bewuster wordt van de doelstellingen van de onderneming. Wel moet hierbij gezegd worden dat het voor een kleinere onderneming, in verhouding met een grote onderneming, meer tijd en moeite zal kosten een model te implementeren. Het management van de kleinere onderneming zal als eerste stap de belangrijkste financiële verslaggeving doelstellingen van de onderneming moeten bepalen.
Het beste kan het management van de kleinere onderneming een kosten baten analyse uitvoeren met betrekking tot de implementatie van een risicomanagement model. De uitkomst hiervan zal naar alle waarschijnlijkheid zijn dat de kleinere onderneming niet een volledig risicomanagement systeem kan implementeren. Er zullen “slechts” enkele onderdelen van het systeem geïmplementeerd worden.
Als aanbeveling geldt dat de kleinere onderneming aan de hand van de twintig principes het risicomanagement systeem kan implementeren. Enkel de principes die specifiek gelden voor de kleinere onderneming zullen worden ingevuld, met de voorwaarde dat alle vijf de componenten van het model worden meegenomen. Op deze wijze kan ook de kleinere onderneming met een redelijke mate van zekerheid de voorafgestelde financiële verslaggeving doelstellingen behalen.
(8) Wat zijn eventuele aanbevelingen voor het risicomanagement model COSO ICFR?
Samengevat heeft het COSO ICFR risicomanagement model voor- en nadelen. Hoewel het model in beginsel niet ontworpen is voor de kleinere ondernemingen, zullen deze wel veel baat hebben bij de implementatie van dit risicomanagement model.
Hierbij moet in gedachten worden gehouden dat de kleinere onderneming niet aan alle twintig principes kan voldoen en dit ook niet moet willen. Het management van de kleinere onderneming kiest die principes die specifiek bij de onderneming passen; zo voldoet de onderneming aan de vijf componenten van het risicomanagement model. Op deze wijze kan waarschijnlijk het COSO ICFR model ook bij kleinere Nederlandse ondernemingen een adequaat risicomanagement systeem opgezet worden, zodat de vooraf gestelde financiële verslaggeving doelstellingen met een redelijke mate van zekerheid behaald gaan worden.