1. COSO-ICFR
The Committee of Sponsoring Organizations of the Treadway Commission (COSO) komt in 2006 met een uitwerking van het raamwerk ‘Internal Control’ uit 1992 naar aanleiding van de grote uitdagingen die kleinere bedrijven ervaren bij het implementeren van de SOX sectie 404 = COSO - Internal Control over Financial Reporting – Guidance for Smaller Public Companies.
“The focus is on businesses that have many of the following characteristics: • Fewer lines of business and fewer products within lines
• Concentration of marketing focus, by channel or geography
• Leadership by management with significant ownership interest or rights • Fewer levels of management, with wider spans of control
• Less complex transaction processing systems and protocols • Fewer personnel, many having a wider range of duties
• Limited ability to maintain deep resources in line as well as support staff positions such as legal, human resources, accounting and internal auditing”
The most important advantages are: the strengthened ability of companies to access the capital markets, providing capital which drives innovation and economic growth. Other benefits include reliable and timely information supporting management’s decision-making, consistent mechanisms for processing transactions across an organization enhancing speed and reliability, and ability to accurately communicate business performance with partners and customers. Further advantage can be gained by utilizing software that comes with a variety of built-in application controls that can improve consistency of operation, automate reconciliations, facilitate reporting of exceptions for management review, and support proper segregation of duties.
By focusing on monitoring activities already in place or that might be added with little additional effort, management can identify significant changes to the financial reporting system since the prior year, thereby gaining insight into where to target more detailed testing. Highly effective monitoring activities can both offset certain shortcomings in other components and sharpen targeting of assessment work with resulting overall efficiency.
Efficiencies are gained by focusing on only those objectives directly applicable to the business and related to its activities and circumstances that are material to the financial statements. Experience shows that this can be most efficiently accomplished by beginning with a company’s financial statements and identifying supporting objectives for those business activities, processes and events that can materially affect the financial statements. In this way, a basis is formed for giving attention only to what is truly relevant to the reliability of financial reporting for that company. Whatever approach is followed, efficiencies are gained when attention is directed to the objectives management has established specific to the company’s business activities and circumstances.
Afstudeerscriptie
Sanne Lentelink 120 Augustus 2010
Effective documentation assists in communicating what is to be done, and how, and creates expectations of performance. Documentation also provides evidence to support reporting on internal control effectiveness.
The internal control process begins with management setting financial reporting objectives relevant to the company’s particular business activities and circumstances. Once set, management identifies and assesses a variety of risks to those objectives, determines which risks could result in a material misstatement in financial reporting, and determines how the risks should be managed through a range of control activities. Management implements approaches to capture, process and communicate information needed for financial reporting and other components of the internal control system. All this is done in context of the company’s control environment, which is shaped and refined as necessary to provide the appropriate tone at the top of the organization and related attributes. These components all are monitored to help ensure that controls continue to operate properly over time. When the five components are present and functioning, to the extent that management has reasonable assurance that financial statements are being prepared reliably, internal control can be deemed effective.
A deficiency in one component might be mitigated by other controls in that component or by controls in another component strong enough such that the totality of control is sufficient to reduce the risk of misstatement to an acceptable level (COSO-ICFR).
2. NEN-ISO 31000
NEN-ISO 31000: 2009 biedt een aanpak voor effectief risicomanagement, die geschikt is voor alle typen organisaties en voor alle denkbare soorten risico’s. ISO 31000 geeft de principes en praktische richtlijnen voor de implementatie van risicomanagement en helpt bij het zicht krijgen op en beheersen van die risicofactoren en vormt daarmee een belangrijke basis voor succesvol ondernemen (Mallens, 2009).
In figuur B5.1 is het risicoconcept volgens ISO Guide 73 weergegeven. De beoogde reikwijdte van risicomanagement volgens ISO 31000 is: alle typen risico’s op alle denkbare niveaus van een organisatie. Risicomanagement is erop gericht goed inzicht te krijgen in die componenten van risico’s en maatregelen te treffen om de negatieve gevolgen tegen te gaan en de kansen optimaal te benutten. Het is de bedoeling dat het ‘risk management framework’ ingebed wordt in de complete strategische en operationele activiteiten van een organisatie (Hortensius, 2009).
Afstudeerscriptie
Sanne Lentelink 121 Augustus 2010
Figuur B5.1: Risicoconcept volgens ISO Guide 73
Deze nieuwe standaard helpt organisaties van alle soorten en maten om de risico’s effectief te managen. De standaard adviseert dat organisaties een risicomanagement model ontwerpen, implementeren en continue verbeteren als een integraal onderdeel van het managementsysteem.
ISO 31000 is ontworpen om organisaties te helpen:
• De kans te vergroten op het behalen van de gestelde doelen • Pro-actief management aanmoedigen
• Bewust zijn van het identificeren en behandelen van risico’s door de hele organisatie • Het identificeren van kansen en bedreigingen verbeteren
• Voldoen aan relevante wet en regelgeving en internationale normen • Financiële rapportage te verbeteren
• Governance te verbeteren
• Vertrouwen van de belanghebbenden verbeteren
• Een geloofwaardige basis voor het maken van beslissingen en de planning creëren • Controles verbeteren
• Het effectief vastleggen en gebruiken van resources voor de behandeling van risico’s • Operationele effectiviteit en efficiency verbeteren
• Gezondheids- en veiligheidsomstandigheden verbeteren, zo ook bescherming tegen de omgeving • Verbeteren preventie van verlies en incident management
• Minimaliseren van verliezen
• Verbeteren van ‘organizational learning’
• Verbeteren van de weerstand van de organisatie. (www.iso.org)
ISO 31000 is een richtlijn die de basis moet vormen van alle ISO-normen en managementsystemen en daarnaast sturing moet geven aan organisaties die invulling willen geven aan risicomanagement.
Afstudeerscriptie
Sanne Lentelink 122 Augustus 2010
Risicomanagement is pas effectief als het een integraal onderdeel uitmaakt van alle processen binnen de organisatie (Du Floo, 2009).
3. COSO-ERM
“ERM differs from a traditional risk management approach where risks are often managed in isolation”.
Waarde wordt gemaximaliseerd als het management een strategie formuleert en doelen stelt om een optimale balans tussen groei, resultaat en gerelateerde risico’s te realiseren en daarbij op effectieve en efficiënte wijze middelen inzetten om de ondernemingsdoelstellingen te realiseren. ERM omvat:
• Afstemmen van risico acceptatiegraad en strategie
• Versterken van de beslissingen ten aanzien van de reactie op risico • Vermindering operationele verrassingen en verliezen
• Identificeren en beheersen van meervoudige en dwars door de organisatie lopende ondernemingsrisico’s
• Kansen benutten
• Verbeteren van de inzet van kapitaal
ERM helpt een onderneming te komen daar waar het heen wil waarbij verassingen en verliezen gedurende de weg worden vermeden. ERM is een proces dat bewerkstelligd wordt door het bestuur van de onderneming, het management en ander personeel en wordt toegepast bij het formuleren van de strategie en binnen de gehele onderneming, ontworpen om potentiële gebeurtenissen die invloed zouden kunnen hebben op de onderneming te identificeren en om risico’s te managen zodat deze binnen de risico acceptatiegraad vallen, om een redelijke zekerheid te bieden ten aanzien van het behalen van de ondernemingsdoelstellingen. Toepassing in kleine en middelgrote organisaties zal minder formeel en gestructureerd plaatsvinden. Kleine ondernemingen kunnen desalniettemin beschikken over effectief ERM, zolang de acht componenten aanwezig zijn en adequaat functioneren (zie figuur B5.2).
Afstudeerscriptie
Sanne Lentelink 123 Augustus 2010
4. Solvency II
Solvency II is de Europese richtlijn die verzekeraars dwingt voldoende kapitaal aan te houden voor de risico’s waar zij aan blootgesteld staan. Zowel Solvency als Basel hebben als doel spaarders en polishouders te beschermen tegen de risico’s die banken en verzekeraars lopen. Het economische risico wordt hierbij als uitgangspunt genomen. Dit houdt in dat risico’s, en de kapitaaleisen die hieruit volgen, worden berekend op basis van mogelijke verliezen aan marktwaarde (economische waarde). Risicoberekeningen mogen uitgevoerd worden met behulp van zelf ontwikkelde modellen. Deze bieden een betere reflectie van het risicoprofiel en het risicomanagement proces.
Solvency II omvat de hele balans met alle daaruit volgende risico’s. Solvency II kent de volgende risicotypes: markt-, krediet-, operationeel-, liquiditeits- en verzekeringsrisico. Interne modellen bieden meer mogelijkheden voor het meenemen van diversificatie dan de standaardmodellen.
Verzekeraars hebben grofweg de keuze tussen twee paden die zij kunnen bewandelen. Zij kunnen Solvency II zien als een lastige, tijd- en geldrovende eis van de toezichthouder of als waardevol instrument dat risicomanagement een essentiële, op waardecreatie gerichte rol geeft in hun bedrijfsvoering (Solvency II).
5. Basel II
De gevolgen van Basel II zijn met name voor kleine en middelgrote bedrijven gunstig, zo blijkt uit onderzoek. Bij ruim driekwart van de middelgrote ondernemingen (50-100 werknemers) is een daling van de kostprijs van kredietverlening te zien. De daling van de kostprijs is toe te schrijven aan een drietal effecten:
1. Een betere acceptatie en beheersing van kredietrisico’s 2. Lagere kapitaalvereisten voor kredietrisico’s
3. Lagere operationele kosten
Per individuele kredietnemer moet een aantal zaken bepaald worden: 1. De kans op het missen van een rentebetaling of aflossing 2. Het uitstaande krediet op het moment van een default
3. Het daadwerkelijke verlies voor de bank in het geval van een default
Onder invloed van Basel II hebben banken hun kredietproces herontworpen, waardoor de operationele kosten van de bank sterk kunnen dalen. In het nieuwe kredietproces staan risicomodellen centraal en is sprake van standaardisatie van processen. De betere acceptatie en beheersing van kredietrisico’s zal zich op de lange termijn vertalen in lagere kredietverliezen en daarmee een lager kapitaalbeslag.
Tevens is in de Basel II formules onder politieke druk een specifiek MKB voordeel ingebouwd door middel van lagere kapitaalsvereisten. Daarbij wordt de marktwerking vergroot als ondernemingen bij de banken transparantie afdwingen over de toegekende kredietscores (Michon, 2006).
Afstudeerscriptie
Sanne Lentelink 124 Augustus 2010
6. Geschiktheid van de modellen
COSO richt zich in de hedendaagse toegepaste versie vooral op de betrouwbaarheid van de financiële informatieverzorging en het voorkomen van fraude door extra aandacht te geven aan interne controle. Het model heeft een beperkte invalshoek, die van het ‘in control’ krijgen van een onderneming en is vooral bedacht voor grotere ondernemingen (Pruijm, 2007). Voor MKB ondernemers staat de betrouwbaarheid van de financiële informatieverzorging vaak niet op de eerste plaats. Voor hen is de continuïteit van de onderneming het belangrijkst.
Zowel de SEC (securities and exchange commission) als Tabaksblat noemen COSO slechts als een voorbeeld en niet als het enige beschikbare raamwerk. Het voornaamste doel van de SOX wetgeving is het voorkomen van fraude. Het belangrijkste middel hiervoor is het hebben van een goed systeem van interne beheersing. In werkelijkheid is de effectiviteit van dit middel niet groot. Fraude wordt er slechts in 19% van de gevallen door ontdekt en voorkomen. Veel effectiever zijn tips door klokkenluiders (34%), toeval (25%) en de interne accountantsdienst (20%), blijkt uit een recent rapport van de Association of Certified Fraud Examiners.
Een probleem met COSO en ook COSO-ICFR zijn de hoge kosten die met de invoering ervan gepaard gaan, met name voor kleinere ondernemingen. Daarbij gaat ook het aantonen van de werking ervan met hoge kosten gepaard. COSO leidt in de praktijk tot extra gedetailleerde vastleggingen van bedrijfsgebeurtenissen. Het tijdperk van vertrouwen lijkt aan zijn eind te komen. Interne controle als dominant thema is volgens de auteur voor het ontwerpen en inrichten van organisatiestructuren en werkprocessen een slechte invalshoek (Pruijm, 2007).
Ten opzichte van het COSO raamwerk voor interne beheersing (1992) is COSO-ERM (2004) meer gericht op het organisatiebreed beheersen van risico’s (Emanuels en De Munnik, 2006).
Volgens de Richtlijnen voor de Accountantscontrole 315 (RAC 315) dienen accountants voor elke cliënt ook de interne beheersingsstructuur te beoordelen. Dit geldt voor zowel kleine, middelgrote als grote ondernemingen, beursgenoteerd en niet beursgenoteerd. De grote winst van de nieuwe COSO publicatie is dat er veel duidelijker en overzichtelijker gemaakt wordt wat kleinere ondernemingen allemaal moeten doen om tot een betrouwbare externe financiële verslaglegging te komen. Een nadeel is dat COSO toch nog vooral lijkt uit te gaan van centraal geleide topdown gestuurde organisaties. Aangezien kleine en familiebedrijven vaak een ‘platte’ structuur hanteren, zal deze COSO leidraad dus waarschijnlijk niet zo effectief voor hen zijn (De Groot, 2007).
De vijf componenten van COSO (1992) zullen wel minder formeel en minder gestructureerd aanwezig zijn in het MKB. Dit hoeft echter niet ten koste te gaan van de effectiviteit van de interne beheersing in het MKB. Verder zal net zoals bij grotere ondernemingen het management een belangrijke rol spelen bij de opzet en werking van het systeem van interne beheersing (Maijoor, 1997).
ISO 31000 kan grote voordelen met zich meebrengen bij organisaties die al werken met normen als ISO 9001, 14001 of 22000. Deze organisaties hebben voor belangrijke categorieën risico’s al een goede systematiek ingevoerd. De richtlijnen voor risicomanagement kunnen helpen om die deelsystemen te integreren,
Afstudeerscriptie
Sanne Lentelink 125 Augustus 2010
(nog) meer risicogericht in te richten en optimaal aan te laten sluiten bij wat het topmanagement vooral bezig houdt: namelijk succesvol en duurzaam ondernemen (Hortensius, 2009).