COSO Internal Control Financial Reporting

Het COSO ERM model is zoals gezegd in vrijwel alle ondernemingen toepasbaar. Wel dienen ondernemingen indien gewenst (met name als er gekeken wordt naar de kleinere ondernemingen) aanpassingen te maken bij het gebruik van de acht componenten. Wanneer elke component meegenomen wordt bij de implementatie van het ERM risico model en volledig kan functioneren werkt het model optimaal (COSO 2004). Uit onderzoek blijkt tevens dat het invoeren van een risicomodel in een onderneming vrijwel altijd mogelijk is. Het ligt niet aan het ontbreken van de benodigde middelen, maar de onderneming moet volledig achter de implementatie staan (Rittenberg et al. 2007).

Kleine beursgenoteerde ondernemingen in de Verenigde Staten hebben moeite met het voldoen aan de wetgeving van SOx 404. Het is voor deze ondernemingen lastig de gewenste interne beheersing rondom financiële verslaggeving te behalen op een effectieve en efficiënte wijze (De Groot 2006). Een reden waarom kleinere ondernemingen het COSO ERM model niet implementeren is het feit dat het te tijdrovend is om alle onderdelen van het model juist en volledig in de processen van de onderneming in te voeren. Daar komt bij dat in veel ondernemingen de totale cultuur omgegooid dient te worden om te voldoen aan het risicomodel (Ballou et al. 2005).

In Nederland staat het rapporteren over risicomanagement in de schijnwerpers sinds de invoering van de code Tabaksblat, de Nederlandse corporate governance code (zie

hoofdstuk 2.5.3). De Nederlandse beursgenoteerde ondernemingen dienen naast een adequate beschrijving van de risico’s in het jaarverslag te verklaren in-control te zijn wat betreft de beheersing van financiële verslaggevingsrisico’s. Hierbij kan de nieuwe leidraad van COSO behulpzaam zijn (De Groot 2006).

11 Juli 2006 heeft de Committee of Sponsoring Organizations of the Treadway Commission (COSO) een nieuwe publicatie uitgebracht. Vanuit de Securities and Exchange Commission (SEC) kwam er de vraag een leidraad te ontwikkelen die kleinere ondernemingen helpt bij het voldoen aan SOx sectie 404.

Deze publicatie, Internal Control over financial reporting: guidance for smaller public companies (COSO ICFR), is geschikt voor alle ondernemingen die de interne beheersing in de onderneming willen inrichten en in stand willen houden (Rittenberg 2006).

Het doel van de COSO ICFR is dat kleine ondernemingen de leidraad gebruiken bij het ontwerpen en implementeren van processen die de onderneming beter laten functioneren en die helpen bij het beoordelen van de interne beheersing binnen die ondernemingen (Wilkins and Gupta 2007). Het model moet door het management en de externe accountant niet gezien worden als een check-list. Het management weet welke onderdelen de onderneming het beste kan toepassen en zo kan er een model ontwikkeld worden welke specifiek het beste werkt voor de betreffende onderneming (Rittenberg et al. 2007).

COSO ICFR is zoals eerder gezegd speciaal ontwikkeld voor de kleinere beursgenoteerde ondernemingen in de Verenigde Staten die ook moeten voldoen aan de SOx wetgeving. Deze ondernemingen hebben veelal moeite te voldoen aan de wetgeving en dan met name gelet op de kosten en efficiëntie. De nieuwe COSO leidraad helpt deze ondernemingen aan de hand van een twintigtal principes, met onderliggende attributen en benaderingen (De Groot 2007). Het begrip kleine ondernemingen behandel ik in hoofdstuk 3.5.

De eerdergenoemde twintig principes van COSO ICFR zijn ook zeer bruikbaar voor de Nederlandse onderneming. Deze ondernemingen hebben veelal niet te maken met SOx, met uitzondering van de Nederlandse dochtermaatschappijen van Amerikaanse beursgenoteerde ondernemingen. De Nederlandse onderneming dient te voldoen aan de code Tabaksblat, beursgenoteerde ondernemingen dienen in het jaarverslag te verklaren in-control te zijn, ten aanzien van de effectieve werking van het interne beheersingssysteem.

Ook de externe accountant heeft baat bij COSO ICFR aangezien deze volgens de Handleiding Regelgeving Accountants (HRA) 315 de beheersing bij een onderneming

dient te beoordelen (De Groot 2007). Het COSO ICFR raamwerk is hier beter toepasbaar dan het COSO ICIF model. Aangezien steeds meer ondernemingen naar aanleiding van risicomanagement de interne beheersingssystemen zullen aanpassen, wordt van de externe accountant verwacht de controleaanpak te zullen aanpassen (De Groot 2006).

COSO ICFR is een toevoeging op het al eerder uitgebrachte COSO ICIF model. Een voordeel van de nieuwe publicatie is de duidelijk uitgewerkte aandachtspunten in de vorm van de twintig principes. Voor de kleinere onderneming is het nu overzichtelijk aan welke punten gewerkt moet worden ten aanzien van de interne beheersing rondom financiële verslaggeving. In de onderstaande figuur vindt er een vergelijking plaats tussen COSO ICIF en COSO ICFR.

COSO ICIF COSO ICFR

Controle doelstellingen - -

Operationeel -

Verslaggeving Verslaggeving Wet- en Regelgeving -

Controle componenten Control environment Control Environment

- -

- -

Risk Assessment Risk Assessment

- -

Control Activities Control Activities

Information & Communication Information & Communication

Monitoring Monitoring

Figuur 4. Vergelijking tussen COSO Internal Control Integrated Framework en COSO Internal Control Financial Reporting (COSO 1992 en COSO 2006)

Een vergelijking tussen het COSO ERM model en het COSO ICFR model is er in de onderstaande figuur gemaakt. Hierin is te zien dat er na een uitbreiding van het COSO model in 2004 door middel van het COSO ERM model, nu weer een stapje terug wordt gedaan. Enkele componenten uit het COSO ERM model zijn verwijderd en het COSO ICFR model lijkt meer op de voorganger uit 1992, het COSO ICIF model. In de onderstaande figuur worden de twee laatste COSO modellen met elkaar vergeleken.

COSO ERM COSO ICFR Controle doelstellingen Strategisch -

Operationeel -

Verslaggeving Verslaggeving Wet- en Regelgeving -

Controle componenten Internal environment Control Environment Objective ssetting -

Event Identification -

Risk Assessment Risk Assessment

Risk Response -

Control Activities Control Activities

Information & Communication Information & Communication

Monitoring Monitoring

Figuur 5. Vergelijking tussen COSO Enterprise Risk Management en COSO Internal Control Financial Reporting (COSO 2004 en COSO 2006).

Wat het COSO ICFR model, naast het feit dat het hier gaat om de financiële verslaggeving, anders maakt dan de voorgaande modellen is het feit dat dit model twintig basis principes presenteert. Met deze twintig principes wordt het risico management model ingevuld. Het gaat hier om enkele fundamentele concepten, welke gerelateerd zijn aan de vijf componenten van het COSO ICIF model. Onderstaand is het COSO ICFR figuur te zien met de vijf componenten. Daarna worden de vijf componenten van de COSO ICFR toegelicht aan de hand van de twintig principes.

Control Environment

- integrity and ethical values: integriteit en ethische normen (met name het top management) bestaan in de gehele onderneming. Deze moeten voor de gehele onderneming bekend zijn.

- board of directors: de directie accepteert en begrijpt de verantwoordelijkheid omtrent de financiële verslaggeving en internal control binnen de onderneming.

- management’s philosophy and operating style: deze zorgen voor het behalen van effectieve internal control omtrent de financiële verslaggeving.

- organizational structure: werkt ondersteunend voor de internal control en financiële verslaggeving binnen de onderneming.

- financial reporting competencies: enkele individuen binnen de organisatie zijn competent in financiële verslaggeving en het bewaren van overzicht over het gehele proces.

- authority and responsibility: management en werknemers hebben de juiste mate van autoriteit en zijn verantwoordelijkheid voor de internal control en financiële verslaggeving binnen de onderneming.

- human resources: procedures zijn ontwikkeld en geïmplementeerd zodat een juist internal control systeem kan worden ingevoerd.

Risk assessment

- financial reporting objectives: management stelt doelstellingen op welke voldoende duidelijk zijn bij het identificeren van risico’s aangaande financiële verslaggeving.

- financial reporting risk: de onderneming identificeert en analyseert mogelijke risico’s bij het behalen van de eerder opgestelde doelstellingen.

- fraud risk: het aanwezig zijn van frauderisico’s wordt uitzonderlijk overwogen bij het identificeren van de risico’s omtrent financiële verslaggeving.

Control activities

- integration with risk assessment: acties worden enkel ondernomen voor risico’s met betrekking tot financiële verslaggeving.

- selection and development of control activities: bij het opstellen van beheersingsmaatregelen worden zowel de kosten als de effectiviteit van de maatregel in overweging genomen.

- policies and procedures: maatregelen worden ontworpen en gecommuniceerd door de gehele onderneming, met inbegrip van de verandering in de bestaande procedures. - information technology: informatie technologie maatregelen worden ontworpen en geïmplementeerd, voor zover van toepassing op de financiële verslaggeving.

Information and communication

- financial reporting information: bruikbare informatie is verzameld in alle lagen van de onderneming en wordt gecommuniceerd in de juiste vorm.

- internal control information: informatie welke nodig is bij het functioneren van een andere component is verzameld in alle lagen van de onderneming en wordt gecommuniceerd in de juiste vorm.

- internal communication: hieronder valt de communicatie welke de internal control doelstellingen ondersteunt. Evenals de processen en verantwoordelijkheden binnen alle lagen van de onderneming.

- external communication: Hieronder valt de communicatie met externe partijen, gerelateerd aan het behalen van de financiële verslaggeving doelstellingen.

Monitoring

- ongoing and separate evaluations: continue en separate evaluatie zorgen ervoor dat het management een beeld krijgt van het functioneren van de internal control componenten.

- reporting deficiencies: tekortkomingen in de internal control zijn geïdentificeerd en gecommuniceerd naar de verantwoordelijkheden. Hierop volgt een correctieve handeling.

In het COSO ICFR model is duidelijk de onderlinge relatie tussen de componenten te zien. Ook is duidelijk dat het een continu proces is, wat internal control is.

Het proces begint met het vaststellen van de doelstellingen binnen de ondernemingen wat betreft de financiële verslaggeving. Wanneer deze doelstellingen vaststaan, zal het management van de onderneming de verschillende risico’s identificeren en analyseren. Er wordt beoordeeld hoe deze risico’s kunnen worden ondervangen door middel van interne beheersingsmaatregelen. Het management zal alle informatie verzamelen en deze door de onderneming communiceren, voor zover dit in het belang is van de financiële verslaggeving. Bij dit alles is de interne omgeving van de onderneming van groot belang. Dit is immers de basis van de onderneming en de basis van het risicomanagement model.

Ten slotte zal het management het gehele proces continu en separaat monitoren om er zeker van te zijn dat de beheersingsmaatregelen (blijven) werken en er geen tekortkomingen zijn.