COSO Internal Control Financial Reporting voor de kleinere Nederlandse onderneming: een case studie.

COSO Internal Control Financial Reporting voor de kleinere

Nederlandse onderneming: een case studie.

Naam: L.A.H.C. Holterman

Studentnummer: 1322567

Begeleider: Dhr. S. Bruinsma

Datum: januari 2008

Rijksuniversiteit Groningen

Msc Accountancy

Voorwoord

Het leven is als een risicomanagement model.

Van tevoren bepaal je de doelstellingen welke je wilt behalen in jouw leven. Naast gelukkig worden met familie en vrienden zijn er meerdere doelstellingen na te streven als het behalen van een studie en het krijgen van een leuke baan. Deze doelstellingen zijn de basis van het leven als een risicomanagement model.

Je hele leven bouw je aan het zogenaamde control environment. Uiteraard is opvoeding en jeugd hierbij een belangrijk onderdeel. De band met je ouders, vrienden en het sociale leven. Ook studie is hierbij belangrijk, hoe is jouw ontwikkeling en in welke dingen wordt je goed en welke dingen moet je nog leren.

Zo nu en dan is het goed even stil te staan bij de risico’s die je neemt in je leven. Een leven zonder enige vorm van risico zou saai zijn, enig risico nemen is gewenst. Wel moet beoordeelt worden welke risico’s te nemen en welke risico’s te reduceren. Maatregelen worden dan ook genomen om de risico’s te reduceren.

Het laatste onderdeel van het risicomanagement model is monitoring. Hier wil ik even bij stil staan, want het schrijven van dit voorwoord is naar mijn mening een mooi moment even stil te staan bij mijn doelstellingen en risico’s van mijn eigen risicomanagement model. Tot nu zijn alle doelstellingen met veel zekerheid behaald, zonder veel grote risico’s te moeten nemen. De studie accountancy is bijna afgerond en de leuke baan heb ik gevonden. Al zeg ik het zelf, een geslaagde toepassing van een risicomanagement model op het behalen van de doelstellingen van mijn leven.

Tenslotte wil ik iedereen bedanken die mij heeft geholpen met mijn tocht door het risicomanagement model van het leven! Met de hulp van velen is de tocht een zeer gezellige en succesvolle tocht geworden.

Dan rest mij nu u veel plezier te wensen met het lezen van mijn afstudeerwerkstuk. Dat iedere persoon en iedere onderneming zich bewuster mag worden van de doelstellingen en risico’s in het leven.

Linda Holterman

Management Samenvatting

COSO heeft in juni 2006 een nieuw raamwerk uitgebracht, Internal Control over Financial Reporting – Guidance for Smaller Public Companies (COSO – ICFR). COSO ICFR onderscheidt zich van de andere COSO risicomanagement modellen door betrekking te hebben op de kleinere ondernemingen en door uit te gaan van de financiële verslaggeving doelstelling van deze kleinere ondernemingen.

Het advies voor kleinere ondernemingen omtrent het risicomanagement model wordt gegeven aan de hand van de vijf fundamentele concepten van het Framework, te weten: Control Environment, Risk Assessment, Control Activities, Information Communication en Monitoring, hieraan worden twintig basis principes gekoppeld (COSO ICFR 2006).

In dit onderzoek is de implementatie van het COSO ICFR risicomanagement model onderzocht bij een willekeurige kleinere Nederlandse onderneming aan de hand van een case studie. Allereerst is voor deze onderneming X de doelstelling met betrekking tot financiële verslaggeving opgesteld. Voor onderneming X is dit de doelstelling:

Het opzetten van een betrouwbaar informatiesysteem, dat tot gevolg heeft het verkrijgen en verstrekken van betrouwbare informatie. Deze betrouwbare informatie kan dan leiden tot het nemen van juiste management beslissingen.

Onderneming X heeft de karakteristieken van een kleinere onderneming, mede hierdoor heeft het management van de onderneming vooral de operationele doelstellingen van de onderneming, als continuïteit en winstmaximalisatie, voor ogen tijdens de dagelijkse activiteiten. De financiële verslaggeving doelstellingen van de onderneming blijven hierbij achter.

De grootste toegevoegde waarde voor onderneming X wat betreft de eventuele implementatie van een risicomanagement model is dat het management gaat nadenken over de financiële verslaggeving doelstellingen die gelden voor de onderneming. Wanneer het management gaat nadenken over deze doelstellingen, komen er risico’s naar voren die de onderneming loopt wat betreft deze doelstellingen. Het management zal dan nadenken over het inrichten van de financiële processen en hier eventueel verbeteringen en wijzigingen in aanbrengen. Deze dienen ervoor te zorgen dat met een redelijke mate van zekerheid deze doelstellingen binnen de onderneming gehaald worden.

Hoewel waarschijnlijk niet een compleet risicomanagement model geïmplementeerd zal kunnen worden, is de onderneming zich bewuster van de risico’s en zullen er enkele beheersingsmaatregelen genomen worden, welke in ieder geval de belangrijkste risico’s voor het behalen van deze doelstellingen reduceren. Dit om te zorgen dat de

onderneming de vooraf gestelde financiële verslaggeving doelstelling met een redelijke mate van zekerheid zal behalen.

Voor een kleinere onderneming is het naar mijn mening niet haalbaar een volledig werkend risicomanagement systeem te implementeren, althans niet op een korte termijn. Wel is het mogelijk enkele onderdelen van een risicomodel te implementeren, iets wat voor een kleinere onderneming al van grote waarde kan zijn. Dit aangezien de onderneming op deze manier geconfronteerd wordt met de gelopen risico’s en beheersingsmaatregelen zal moeten instellen om deze risico’s te reduceren. Dit om de vooraf gestelde doelstellingen omtrent financiële verslaggeving met een redelijke mate van zekerheid te behalen.

Aanbevelingen die ik voor het implementeren van het COSO ICFR risicomanagement model bij kleinere Nederlandse ondernemingen wil doen is het in gebruik nemen van de twintig principes als leidraad voor het risicomodel. Wel moet hierbij in gedachten worden gehouden dat niet aan elk principe kan worden voldaan door de kleinere onderneming. Iedere kleinere onderneming moet specifiek die principes invullen die bij de betreffende onderneming passen. Hierbij moet in de gaten gehouden worden dat wel elk van de vijf componenten beschreven dient te worden voor een goede en adequate werking van het risicomodel.

Samengevat kan een kleinere onderneming naar mijn mening veel baat hebben bij implementatie van het COSO ICFR model. Wel moet iedere onderneming het model specifiek benaderen, naar eigen wensen en behoeften, eventueel volgens een kosten baten analyse.

Inhoudsopgave Hoofdstuk 1 Introductie ... 7 1.1 Inleiding... 7 1.2 Onderzoeksvraag / probleemstelling ... 9 1.3 Relevantie ... 13 1.4 Opbouw onderzoek ... 13

Hoofdstuk 2 Internal control en wet- en regelgeving ... 15

2.1 Inleiding... 15

2.2 Gebruikte definities... 15

2.3 Internal control ... 16

2.4 Internal control bij kleinere ondernemingen ... 18

2.5 Wet- en Regelgeving... 19

2.5.1 Corporate Governance ... 19

2.5.2 SOx 404 ... 20

2.5.3 Code Tabaksblat ... 21

2.6 Beantwoording deelvragen hoofdstuk twee ... 22

Hoofdstuk 3 COSO Risicomanagement modellen ... 24

3.1 Inleiding... 24

3.2 COSO risicomanagement model ... 24

3.2.1 COSO Algemeen ... 24

3.2.2 COSO Internal Control Integrated Framework... 26

3.2.3 COSO Enterprise Risk Management ... 28

3.3 COSO Internal Control Financial Reporting ... 30

3.4 COSO model implementeren in een onderneming ... 35

3.5 Geschikte ondernemingen voor toepassen COSO ICFR ... 38

3.6 Beantwoording deelvragen hoofdstuk drie ... 40

Hoofdstuk 4 Het COSO ICFR model voor onderneming X... 42

4.1 Inleiding... 42

4.2 Onderzoeksopzet ... 42

4.3 Case beschrijving onderneming X ... 43

4.3.1 Historie en beschrijving onderneming X ... 43

4.3.2 Typologie en Structuur onderneming X ... 44

4.3.3 Doelstellingen onderneming X ... 46

4.3.4 Kritische succesfactoren onderneming X ... 47

4.3.5 Verrichte onderzoek ... 47

4.4 COSO ICFR bij onderneming X ... 48

4.4.1 Inleiding ... 48

4.4.2 Doelstelling onderneming X ... 49

4.4.3 Control Environment onderneming X ... 49

4.4.4 Risk assessment onderneming X ... 52

4.4.5 Control Activities onderneming X ... 53

4.4.6 Information en Communication onderneming X ... 55

4.4.7 Monitoring onderneming X ... 56

4.5 Risico’s binnen onderneming X ... 57

4.5.1. Inleiding ... 57

4.5.2 Risico’s selecteren... 57

4.5.3 Risico analyse... 59

4.5.4 Controle maatregelen ... 62

Hoofdstuk 5 Resultaten ... 68

5.1 Inleiding... 68

5.2 Toegevoegde waarde van het implementeren van het COSO ICFR model bij onderneming X ... 68

5.3 Eventuele problemen bij het implementeren van het COSO ICFR model bij onderneming X ... 70

5.4 Beantwoording deelvragen hoofdstuk vijf ... 71

5.5 Beantwoording hoofdvraag onderzoek ... 72

Hoofdstuk 6 Conclusie ... 74

6.1 Inleiding... 74

6.2 Implementatie COSO ICFR model bij kleinere ondernemingen ... 74

6.3 Conclusie – is de doelstelling van het onderzoek behaald? ... 76

6.4 Aanbeveling vervolg onderzoek ... 77

6.4 Aanbeveling COSO ICFR risicomanagement model ... 78

6.5 Beantwoording deelvragen hoofdstuk zes ... 79

Hoofdstuk 7 Literatuurlijst... 81

7.1 Artikelen ... 81

7.2 Boeken... 82

Hoofdstuk 1 Introductie

1.1 Inleiding

ri—si—co (het, de ~ (m.), ~'s)

1 gevaar voor schade of verlies

Iedereen heeft te maken met risico’s. Wat te denken van het oversteken op een zebrapad, in het vliegtuig stappen, op vrijdag de dertiende onder een ladder doorlopen of een heel maandsalaris in één aandeel beleggen op de Amsterdamse aandelenbeurs. Iedereen waardeert de risico’s die ze lopen anders. De risico’s weet je voor jezelf te managen zodat ze handelbaar worden. De risico’s zo klein mogelijk houden, zonder veel moeite te doen is hierbij het belangrijkste.

Ook iedere onderneming heeft te maken met risico’s. Deze doen zich zowel binnen als buiten de onderneming voor. Iedere onderneming loopt andere risico’s en waardeert deze risico’s op een andere manier. Het management van de onderneming wil deze risico’s uiteraard managen. De risico’s het meeste verkleinen tegen de laagste kosten, dat is het credo.

Theorie rondom de accountancy kwam begin 20e eeuw tot stand, mede door de Amsterdamse hoogleraar Th. Limperg. Rond 1930 ontwikkelde deze de zogenaamde vertrouwenstheorie, de “Leer van het gewekte vertrouwen”. De kern van deze theorie is dat accountants hun functie moeten uitoefenen ten behoeve van het maatschappelijk verkeer. Hierbij is het essentieel dat de maatschappij vertrouwen houdt in de werkzaamheden van de accountant. Allereerst mag de accountant hierbij geen groter vertrouwen wekken dan hij kan waarmaken. Ten tweede mag hij de terechte verwachtingen niet beschamen, daarom moet de accountant deugdelijk werk leveren (Limperg).

De controle op de jaarrekening is van groot belang bij een onderneming. Zowel bij het aantrekken van kapitaal via kapitaalverstrekkers of via nieuwe aandeelhouders. De controle van de jaarrekening vervult daarom al een lange tijd een belangrijke rol in het economisch verkeer. De accountantsverklaring is hierbij cruciaal, deze geeft een redelijke mate van zekerheid omtrent de betrouwbaarheid van de jaarrekening. Deze zekerheid aan informatie heeft economisch nut en is goed voor de werking van de kapitale markten (Dassen et al. 2002).

Bij het controleren van de jaarrekening wordt internal control voor de accountant steeds belangrijker. Internal control zorgt ervoor dat processen binnen de onderneming efficiënt en effectief worden uitgevoerd. Voor de controle van de jaarrekening door de accountant is het van belang dat de processen binnen de onderneming effectief zijn. Wanneer de accountant ervan verzekerd is dat dit het geval is, kan de accountant steunen op de bestaande processen binnen de organisatie en met een redelijke mate van zekerheid een verklaring over de jaarrekening afgeven.

Begin twintigste eeuw waren er enkele financiële incidenten, waaronder fraudeschandalen, die ervoor zorgden dat het vertrouwen van het maatschappelijk verkeer in de financiële verslaggeving ernstig daalde. De maatschappij had minder vertrouwen in de betrouwbaarheid van informatie en een daling van dergelijk vertrouwen heeft gevolgen voor de werking van de kapitaalmarkten en de arbeidsmarkten (Dassen et al. 2002 en Emanuels 2005).

Om het vertrouwen te herwinnen moet er aan de kwaliteit van informatie gewerkt worden evenals aan de reputatie van de accountant die een verklaring afgeeft over de kwaliteit van informatie. Naast het geven van een oordeel over de getrouwheid van verantwoordingen dient de accountant meer zekerheid te geven. Wet- en regelgeving is vervolgens ingevoerd om een standaard op te leggen voor het naar buiten brengen van financiële informatie (Dassen et al. 2002). Hoofdstuk 2 van dit onderzoek gaat verder in op de begrippen en literatuur omtrent deze wet- en regelgeving.

Vanuit de Verenigde Staten is in 2002 de Sarbanes Oxley Act (SOx 2002) ingevoerd. SOx, dan met name sectie 404, verplicht ondernemingen te rapporteren over de effectiviteit van de internal control van de financiële rapportage. In Nederland is er naar aanleiding van deze wetgeving een commissie ingesteld. Hier komt de code Tabaksblat uit voort. Zowel SOx als Tabaksblat stellen dat de onderneming een oordeel dient te geven over de in control status van de onderneming. De accountant dient vervolgens een verklaring te geven over dit oordeel van de onderneming (Dassen et al. 2002).

De Committee of Sponsoring Organizations (COSO) heeft in 1992 al een raamwerk geïntroduceerd, Internal Control – Integrated Framework (COSO ICIF), om bedrijven en ondernemingen te helpen bij het implementeren van een internal control framework binnen de onderneming. Dit raamwerk is een internationale standaard geworden voor het toepassen van internal control binnen een onderneming (Dassen et al. 2002).

In september 2004 bracht COSO een nieuw raamwerk uit, COSO Enterprise Risk Management (COSO ERM). Dit raamwerk is ontwikkeld en geschreven naar aanleiding van de SOx wetgeving en dus het geven van een oordeel over de internal control status binnen een onderneming. Beursgenoteerde ondernemingen in met name de Verenigde Staten moeten sinds 2002 namelijk voldoen aan de SOx wetgeving.

COSO ERM is een uitbreiding op het eerdere raamwerk uit 1992 en geeft een onderneming een model om risicomanagement volledig in de onderneming te implementeren (COSO ERM 2004).

COSO heeft sinds juni 2006 een nieuw raamwerk uitgebracht, Internal Control over Financial Reporting – Guidance for Smaller Public Companies (COSO – ICFR). Het is een aanvulling op het oudere raamwerk COSO ICIF uit 1992 en zeker geen vervanging van het laatst uitgebrachte risicomanagement model COSO ERM. Het document geeft begeleiding over hoe internal control, dan met name een risicomanagement model, het beste kan worden geïmplementeerd bij de kleinere ondernemingen. Ook enkele kleinere ondernemingen moeten in de Verenigde Staten voldoen aan de SOx wetgeving. Het model is echter ook geschikt voor andere kleinere ondernemingen.

Het advies wordt gegeven aan de hand van twintig basis principes, die gekoppeld zijn aan de vijf fundamentele concepten van het Framework, te weten: Control Environment, Risk Assessment, Control Activities, Information Communication en Monitoring (COSO ICFR). De oplossingen die (deels) door COSO voor ondernemingen worden geboden worden in hoofdstuk 3 aan de hand van de bestaande literatuur toegelicht.

Mijn komende onderzoek gaat over managen van risico’s bij de kleinere onderneming, in dit onderzoek kijk ik naar de risico’s specifiek bij de case studie onderneming X. Onder een kleinere onderneming versta ik een onderneming die voldoet aan de eisen gesteld aan een kleinere onderneming volgens het Burgerlijk Wetboek artikel 2:396. Hoewel grote en kleinere ondernemingen veel gelijke risico’s lopen zullen beiden anders omgaan met deze risico’s. Ik ga onderzoeken of het mogelijk is het laatste COSO model, COSO ICFR, in een kleinere onderneming te implementeren aan de hand van een case studie.

1.2 Onderzoeksvraag / probleemstelling

Voorgaand onderzoek op het gebied van risico management ging met name over de eerdere COSO modellen, ICIF uit 1992 en ERM uit 2004, welke in Amerikaanse beursgenoteerde ondernemingen worden geïmplementeerd. Er wordt dan gekeken naar de verschillen tussen beide modellen en het implementatie proces bij ondernemingen.

Er zijn zowel voor- als tegenstanders van het gebruik van COSO risicomanagement modellen in ondernemingen. Waar ze het beiden vaak echter wel over eens zijn is het idee achter het ERM risicomodel, welke een hele verbetering is ten opzichte van het COSO ICIF model. De toepasbaarheid van dergelijke modellen levert in de praktijk echter nog vaak problemen op (Quinn 2006).

Wat ik in het komende onderzoek ga onderzoeken is of het nieuwe COSO model, COSO ICFR, geïmplementeerd kan worden in een kleinere Nederlandse onderneming. Ik zal kijken naar de gevolgen voor de onderneming en in hoeverre deze implementatie succesvol is en waar de implementatie voor situaties en eventuele problemen zorgt. Naar aanleiding van dit onderzoek zullen er aanbevelingen gedaan worden aan de betreffende onderneming. Ook zullen er aanbevelingen gedaan worden voor de toepasbaarheid van het COSO ICFR model in kleinere ondernemingen in het algemeen.

Probleemstelling (definitie volgens De Leeuw 2001): de zorgvuldig geformuleerde weergave van de vragen die men door onderzoek poogt te beantwoorden. De eisen die gesteld worden aan de probleemstelling zijn: doelmatigheid, relevantie en deugdelijkheid (onderzoekbaarheid). De probleemstelling bestaat uit drie onderdelen:

- doelstelling - vraagstelling - randvoorwaarden

Doelstelling

De doelstelling van dit onderzoek is het in kaart brengen van de mogelijkheden bij een kleinere onderneming een risicomanagement model te implementeren. Allereerst zal ik het COSO ICFR model in kaart brengen, daarna zal er gekeken worden naar de mogelijkheden een dergelijk model te implementeren in de geselecteerde onderneming X en de situaties en eventuele problemen die hierbij zouden kunnen ontstaan.

Vraagstelling

Voor het onderzoek naar het implementeren van het COSO model bij onderneming X zijn de volgende onderzoeksvragen opgesteld. Door het verrichten van onderzoek zullen de verschillende deelvragen beantwoord worden. Uiteindelijk leiden deze samen naar de beantwoording van de hoofdvraag en het behalen van de doelstelling.

Hoofdvraag

• In hoeverre is het mogelijk het COSO ICFR 2006 model voor kleinere ondernemingen op een goede en adequate manier te implementeren in onderneming X?

Deelvragen

• (1) Wat is internal control? Wat is interne controle? Wat is het verschil tussen deze beide begrippen?

• (2) Welke wet- en regelgeving hebben (deels) tot ontwikkeling van de COSO modellen geleid?

• (3) Wat houdt het COSO ICFR model precies in en voor welke ondernemingen is het geschikt?

• (4) Wat zijn de aanbevelingen voor onderneming X aangaande het eventueel implementeren van het COSO ICFR model?

• (5) Wat is de toegevoegde waarde van de eventuele implementatie van het COSO ICFR model bij onderneming X?

• (6) Welke problemen ontstaan bij de eventuele implementatie van het COSO ICFR model bij onderneming X?

• (7) Wat zijn aanbevelingen voor de implementatie van het COSO ICFR model bij een kleinere onderneming in het algemeen?

• (8) Wat zijn eventuele aanbevelingen voor het risicomanagement model COSO ICFR?

Bij het opstellen van de hoofdvraag en de deelvragen is er vanuit gegaan dat het onderzoek wordt verricht aan de hand van een case studie. Tijdens deze case studie zal het onderzoek zich richten op één onderneming, onderneming X. Resultaten gelden in beginsel voor onderneming X. Bij de laatste deelvragen en de conclusie worden de resultaten breder beoordeeld voor kleinere ondernemingen in het algemeen.

De verdeling van de deelvragen over de verschillende hoofdstukken is als volgt:

In hoofdstuk twee worden de deelvragen één en twee beantwoord aan de hand van de bestaande literatuur. Hier ga ik verder in op het begrip internal control en de wet- en regelgeving welke (deels) aanleiding zijn voor de ontwikkeling van risicomanagement modellen. In hoofdstuk drie beantwoord ik deelvraag drie aan de hand van bestaande literatuur. Hier bespreek ik de verschillende risicomanagement modellen van COSO, waarbij de verschillen tussen de modellen duidelijk naar voren komen.

Het COSO ICFR model wordt voor zover dat mogelijk is voor onderneming X ingevuld in hoofdstuk vier. Hiermee begint het daadwerkelijke onderzoek naar eventuele

implementatie van het COSO ICFR model bij onderneming X. De deelvraag vier beantwoord ik aan het einde van dit hoofdstuk.

In hoofdstuk vijf worden de resultaten van het onderzoek voor onderneming X besproken. Ik bespreek de voordelen voor onderneming X welke zich voordoen, evenals de eventuele problemen die ontstaan bij een dergelijke implementatie van een risicomanagement model bij de onderneming. Dit alles leidt tot beantwoording van de deelvragen vijf en zes.

Ten slotte wordt in hoofdstuk zes de conclusie getrokken van het onderzoek. Ik beoordeel of implementatie van het COSO ICFR model wenselijk is bij kleinere ondernemingen in het algemeen. Tevens doe ik aanbevelingen voor een eventuele implementatie van COSO ICFR bij een kleinere onderneming. Deelvraag zeven en acht worden beantwoord evenals de hoofdvraag van het gehele onderzoek.

Randvoorwaarden

De onderneming X waar het onderzoek is uitgevoerd is de belangrijkste randvoorwaarde van het onderzoek. Er is gekozen voor het uitvoeren van een zogenaamde case studie, hier wordt slechts bij één enkele onderneming zeer uitvoerig onderzoek verricht. Er is dan sprake van een zogenaamd diepteonderzoek. Hierdoor moet eraan gedacht worden dat er geen conclusie gegeneraliseerd kan worden. De uitkomst voor deze betreffende onderneming X hoeft in principe niet iets te zeggen over risicomanagement bij de kleinere onderneming in het algemeen. Toch zal er aan de hand van de uitkomst van het onderzoek enkele uitspraken gedaan worden over het implementeren van een risicomanagement model in een kleinere ondernemingen in het algemeen.

Tijdens het onderzoek heb ik meerdere werknemers van onderneming X geïnterviewd over de processen binnen de onderneming. Er is voor gekozen om onderzoek te doen bij één enkele onderneming, maar bij deze onderneming is wel uitvoerig onderzoek gedaan waarin alle processen binnen de onderneming zijn meegenomen. Van deze processen is een administratieve organisatie beschrijving gemaakt. Naar aanleiding hiervan zijn processchema’s opgesteld, aan de hand van de doelstellingen van de onderneming zijn bestaande risico’s en de bijbehorende beheersingsmaatregelen geïdentificeerd. Deze risico’s en beheersingsmaatregelen worden meegenomen bij het implementeren van het risicomanagement model in onderneming X.

1.3 Relevantie

Om te beginnen kijk ik naar de relevantie van het onderzoek in de algemene zin. Er zijn zoals eerder gezegd al vele onderzoeken gedaan naar de toepassing van het COSO model in ondernemingen (Beasley et al. 2005 en Walker et al. 2003 en Kleffner et al. 2003). Veelal wordt er tijdens deze onderzoeken gekeken naar de implementatie van het risicomanagement model binnen verschillende sectoren en vindt deze implementatie plaats binnen grote beursgenoteerde ondernemingen in de Verenigde Staten. Ik kan met dit onderzoek bijdragen door te kijken naar de implementatie en werking van een COSO raamwerk bij kleinere ondernemingen of ondernemingen die niet beursgenoteerd zijn.

Ten tweede kijk ik naar de relevantie wat betreft de bestaande COSO risicomanagement modellen. Eerdere onderzoeken beoordelen enkel de al langer bestaande COSO modellen. Vooral naar het COSO ERM model is al veel onderzoek verricht. Door te kijken naar de nieuwe versie van COSO wil ik bijdragen aan de kennis over het COSO ICFR model en risicomanagement in het algemeen.

Ten slotte kijk ik naar de relevantie voor onderneming X, welke de case studie in het onderzoek is. Het onderzoek is voor het betreffende bedrijf zeer relevant. Zo heeft elke onderneming doelstellingen die behaald dienen te worden. Hiervoor moeten de processen binnen de onderneming efficiënt en effectief werken. Het is dan ook nodig de bestaande processen te beschrijven en vast te leggen.

Bij de analyse van de processen komen eventuele verbeterpunten aan het licht en kan de organisatie hier waar nodig op inspelen. Ook komen bij het kijken naar de organisatie via het COSO risicomanagement model de risico’s en kansen binnen de onderneming duidelijk naar voren. Sommige risico’s zullen makkelijk op te lossen zijn, andere risico’s moeten projectmatig opgelost worden, iets wat meer tijd zal vergen en in sommige gevallen niet zal lukken. Wanneer alle risico’s zijn geïdentificeerd en beoordeeld zal het voor de onderneming makkelijker worden de bedrijfsprocessen op een effectieve en efficiënte wijze in te richten en zo de gewenste doelstellingen te behalen.

1.4 Opbouw onderzoek

De opbouw van mijn onderzoek is als volgt: allereerst wordt de plaats van het onderzoek in de bestaande literatuur bepaald. Er is een literatuuronderzoek verricht waarin de

bestaande literatuur wordt bestudeerd, dit is de basis die gelegd is voor het verdere onderzoek. Aan de hand van de gevonden literatuur zal ik de begrippen verder toelichten en enkele deelvragen beantwoorden. Zo zal in hoofdstuk twee de wet- en regelgeving besproken worden, welke aanleiding is geweest voor de ontwikkeling en het schrijven van de verschillende COSO modellen. In hoofdstuk drie worden deze risicomanagement modellen ieder besproken.

Na het literatuuronderzoek volgt de case studie in hoofdstuk vier. In de case studie wordt één enkel geval, hier onderneming X, indringend bestudeert waaraan later conclusies worden gehangen. Het onderzoek zal van kwalitatieve aard zijn en zal gebeuren aan de hand van de gegevens van onderneming X.

Tijdens mijn stage heb ik praktijkonderzoek gedaan bij een willekeurige kleinere onderneming. Hierbij zijn interviews afgenomen van iedere manager in de onderneming. Deze gegevens zijn vastgelegd in een administratieve organisatie beschrijving. Aan de hand van de doelstellingen die de onderneming wenst te behalen kwamen de risico’s binnen de onderneming naar voren. Hierop zijn aanbevelingen gedaan, in de vorm van interne beheersingsmaatregelen binnen de verschillende processen.

Aan de hand van deze doelstellingen en risico’s kan het COSO ICFR model ingevuld worden voor onderneming X. Onderzocht wordt op welke wijze dat het beste gedaan kan worden.

In hoofdstuk vijf komen de resultaten van het onderzoek aan de orde. Ik bespreek de situaties en eventuele problemen waar tegenaan gelopen wordt bij het implementeren van het COSO ICFR model in onderneming X.

Hierna volgt er in hoofdstuk zes een discussie over de implementatie van het COSO ICFR model bij kleinere ondernemingen in het algemeen. Het probleem van een case studie is het generaliseren van één enkele case in een algemeen geldende theorie (Yin 2003). Toch zal ik uiteindelijk naar aanleiding van het onderzoek een analyse maken een conclusie trekken die voor kleinere ondernemingen in het algemeen geldend is.

Ook komen in dit hoofdstuk de beperkingen van het onderzoek aan bod en volgen er aanbevelingen voor eventueel volgend onderzoek.

Hoofdstuk 2 Internal control en wet- en regelgeving

2.1 Inleiding

Dit hoofdstuk is het eerste deel van de literatuurbespreking. Hier bespreek ik allereerst de begrippen internal control, interne beheersing en interne controle. Daarna komt de wet- en regelgeving aan de orde welke (deels) aanleiding is van de ontwikkeling van de COSO modellen. De COSO modellen worden in het volgende hoofdstuk besproken.

2.2 Gebruikte definities

Om te beginnen zal ik de definities die in het komende hoofdstuk gebruikt worden toelichten, dit om eventuele verwarring te verkomen.

Allereerst het begrip internal control. In het Nederlands is deze term vertaald door het begrip interne beheersing. Bij internal control en interne beheersing gaat het om een systeem dat geïmplementeerd wordt in de onderneming, welke de vier doelstellingen van het COSO Enterprise Risk Management (ERM) model in de onderneming ondersteunen. Het systeem dient ervoor te zorgen dat met een hogere mate van zekerheid deze doelstellingen door de onderneming behaald worden. De vier doelstellingen welke het COSO ERM model onderkent zijn strategic, operations, reporting en compliance. Onderstaand in de figuur worden deze doelstellingen grafisch weergegeven aan de bovenkant van de kubus.

Deze begrippen worden eenvoudig verward met het begrip interne controle. Bij interne controle wordt er ook een systeem in de onderneming geïmplementeerd. Hier gaat het echter niet om de vier doelstellingen van COSO ERM welke de onderneming ondersteunen, maar enkel om de financiële doelstellingen (reporting). Deze financiële verslaggeving doelstellingen, welke betrekking hebben op de kwaliteit van informatie, dienen door een dergelijk systeem in een onderneming met een hogere mate van zekerheid behaalt te worden.

Het verschil tussen internal control en interne controle is dan ook, in het kort gezegd, dat het internal control begrip veel ruimer kan worden toegepast dan het interne controle begrip. Het begrip internal control omvat dan ook veel meer dan interne controle. Bij internal control dienen alle activiteiten en processen binnen een onderneming beheerst te worden en wordt er naast de betrouwbaarheid van informatie bijvoorbeeld veel aandacht besteed aan de effectiviteit en efficiency binnen de processen van een onderneming. Interne controle richt zich echter enkel op de betrouwbaarheid van informatie.

Zo zal bijvoorbeeld binnen een onderneming bij internal control ook gekeken worden naar de operationele doelstellingen van de onderneming, voor wat betreft de efficiency van de bestaande processen zoals bijvoorbeeld productie van goederen. Maar bij dezelfde onderneming zal er bij interne controle enkel gekeken worden naar de betrouwbaarheid van informatie, aan de hand van de financiële processen binnen de onderneming.

Het gehele risicomanagement proces in een kleinere onderneming, waarbij COSO ICFR begeleiding biedt, wordt geïnitieerd door het vaststellen van de doelstellingen van de onderneming wat betreft financiële verslaggeving (reporting). Bij het COSO ICFR model worden de andere drie doelstellingen die wel in het COSO ERM model worden behandeld, niet aangehaald en worden deze risico’s ook niet geïdentificeerd.

Hoewel het in het COSO ICFR model met name gaat om de financiële verslaggeving doelstellingen in een onderneming, zal ik in het komende hoofdstuk aandacht besteden aan de begrippen internal control en interne beheersing, aangezien deze de basis vormen voor de gedachtegang. Hierbij moet dan wel in aanmerking worden genomen dat deze systemen gelden voor het behalen van de algemene doelstellingen van de onderneming.

2.3 Internal control

Meerdere schandalen en incidenten bij beursgenoteerde ondernemingen hebben er in het begin van de twintigste eeuw in de financiële wereld toe geleid dat het vertrouwen van de maatschappij in financiële verslaggeving is afgenomen. Hierbij is getoond hoe belangrijk maatschappelijk vertrouwen in informatieverstrekking is (vertrouwenstheorie

van Th. Limperg). Om het vertrouwen van de maatschappij in de betrouwbaarheid van de kwaliteit van financiële informatie terug te winnen zijn er meerdere mogelijkheden. Ten eerste is er sprake van het invoeren van meer wet- en regelgeving. Ten tweede worden er andere eisen gesteld aan accountants en accountantsorganisaties. Op deze wijze wordt getracht de getrouwheid van financiële verslagen te garanderen.

Stakeholders van ondernemingen eisen vaker van de ondernemingen een overzicht van de risico’s waaraan een onderneming is blootgesteld (Beasley et al. 2005). Ook is de wijze waarop ondernemingen omgaan met deze risico’s belangrijk voor de stakeholders van de onderneming (Gates et al. 2006).

De risicomanagement modellen Internal Control Integrated Framework (ICIF) en Enterprise Risk Management (ERM) zijn door COSO ontwikkelt om het management van de onderneming te helpen bij het maken van een overzicht van de verschillende risico’s binnen en buiten een onderneming. Pas sinds de komst van het COSO risicomanagement model ERM implementeren een groot aantal ondernemingen een risicomanagement model. Toch blijft het de vraag waarom de ene onderneming het risicomodel wel implementeert en de andere onderneming dit niet doet (Beasley et al. 2005).

Om deze vraag te beantwoorden begin ik met het bespreken van de toegenomen wet- en regelgeving. In 2002 is er in de Verenigde Staten een wet van kracht gegaan, de Sarbanes Oxley Act (SOx). Deze wet heeft als belangrijkste doel het expliciet naar buiten brengen van de verantwoordelijkheid van het management van een onderneming. Het management van de onderneming moet verklaren dat de financiële rapportages regelmatig worden geëvalueerd en dat tekortkomingen worden gemeld. De accountant dient vervolgens deze in-control verklaring te controleren.

In Nederland is de Code Tabaksblat (december 2003) ingevoerd om het vertrouwen van de kapitaalmarkten terug te winnen. Deze code geldt voor Nederlandse beursfondsen en gaat in op de verantwoordelijkheid van de bestuurders van een onderneming. Deze verantwoordelijkheid geldt niet alleen voor de financiële verantwoording, maar ook voor de interne beheersing in een onderneming. Hoewel de code veel breder kan worden toegepast dan de SOx wetgeving is het slechts een code. Dit wil zeggen dat niet toepassen van de code niet wordt gestraft, maar slechts door de onderneming dient te worden uitgelegd (Emanuels 2005).

Accountants dienen voldoende kennis te hebben van de huishouding van een onderneming en haar omgeving, met inbegrip van de interne beheersing, om zo het risico voor afwijkingen van materieel belang in te schatten (Handleiding Regelgeving Accountancy 315 Kennis van de entiteit en haar omgeving). Verder is deze kennis van de

onderneming van belang voor de accountant bij het opzetten van verdere controlewerkzaamheden.

De accountant dient dus zoals gezegd verschillende inzichten te krijgen in een onderneming. Hieronder vallen onder meer de beheersingsomgeving, het informatiesysteem en de daarbij behorende financiële verslaggeving en het toezicht op de beheersingsmaatregelen.

Hieronder volgen definities van interne beheersing binnen een onderneming:

Interne beheersing is het systeem dat het management in staat stelt om de risico’s, die het behalen van doelstellingen van de organisatie bedreigen, te identificeren, te prioriteren, te analyseren en te beheersen (Emanuels 2005).

Interne beheersing is een proces uitgevoerd door de directie van de organisatie, het management of ander personeel, gericht op het verkrijgen van een redelijke mate van zekerheid omtrent het bereiken van doelstellingen in de volgende categorieën:

- effectiviteit en efficiëntie van bedrijfsprocessen - betrouwbaarheid van financiële informatievoorziening - naleving van relevante wet- en regelgeving

Voorheen werd bij het begrip internal control voornamelijk gesproken over de betrouwbaarheid en de kwaliteit van informatie. Nu is het begrip internal control veel breder, zo gaat internal control over de efficiënte en effectieve uitvoering van de interne processen binnen een organisatie. Voorheen was internal control iets voor binnen de onderneming, tegenwoordig is het onder de maatschappelijke aandacht komen te staan. Deze groeiende aandacht heeft geleid tot meer regulering op dat gebied (Dassen et al. 2002).

2.4 Internal control bij kleinere ondernemingen

Internal control wordt in een onderneming ontworpen en geïmplementeerd om de altijd doorgaande bedrijfsactiviteiten te ondersteunen. Tevens is het interne beheersingssysteem in zekere zin verantwoordelijk voor het behalen van de doelstellingen van de onderneming. Dit geldt voor zowel de grote als de kleinere ondernemingen.

Interne beheersing is, zoals eerder gezegd, het identificeren en anticiperen op bedrijfsrisico’s in een onderneming. Begrippen als ethische normen en waarden en leiding van het management gelden in elke onderneming, toch zullen deze begrippen anders

worden behandeld in een kleinere dan in een grote onderneming. Als voorbeeld geldt de raad van bestuur in een grote onderneming. In een dergelijke ondernemingsstructuur zal iedere bestuurder zijn / haar eigen taken hebben, met verantwoordelijke afdelingsmanagers. Een kleinere onderneming heeft een dergelijke structuur niet, bij de interne communicatie zal de directie van de onderneming veelal rechtstreeks communiceren met de werknemers. De ondernemingsstructuur zal hierbij van een grote onderneming vragen om het vastleggen van formele bijeenkomsten, terwijl dit bij een kleine onderneming vaak informeel geregeld is. Ook zullen de risico’s die een onderneming loopt veranderen als een onderneming groeit in omvang. Eerder onderzoek (Colquitt et al. 1999) concludeerde dat grote ondernemingen eerder een risico management model zullen implementeren dan kleinere ondernemingen (Beasley et al 2005).

Ondernemingen hebben veel uitdagingen wat betreft de interne beheersing in de onderneming. Wanneer er een goed systeem ontstaat kunnen deze uitdagingen beheerst worden. Een dergelijk systeem kan ervoor zorgen dat een onderneming ofwel voldoet aan de SOx 404 ofwel dat ondernemingen via het beheersingssysteem in redelijke mate verzekerd zijn van het halen van de ondernemingsdoelstellingen.

2.5 Wet- en Regelgeving

2.5.1 Corporate Governance

Hieronder volgen allereerst de definities die gelden voor corporate governance:

Corporate governance is de Engelstalige term voor ondernemingsbestuur. Tevens het aanduiden van hoe een onderneming goed, efficiënt en verantwoord geleid moet worden (www.wikipedia.nl).

Corporate governance is het proces van beïnvloeding door belanghebbenden (stakeholders) van de gang van zaken bij ondernemingen, zowel ter zake van de besluitvorming als van de uitvoering (Dassen et al. 2002).

Good corporate governance is een stelsel van bestuur en toezicht in de onderneming dat in afdoende mate rekening houdt met de belangen van de aandeelhouders, kredietverleners, werknemers en anderen in de omgeving van de onderneming (Dassen et al. 2002).

In de theorie rondom corporate governance is een belangrijk uitgangspunt dat er belangentegenstellingen kunnen bestaan tussen de onderneming zelf en de stakeholders van de onderneming. Deze theorie wordt ook wel agency theorie genoemd.

Om tot good corporate governance te komen binnen een onderneming dienen er maatregelen genomen te worden die bewaken dat de onderneming verplichtingen ten aanzien van de belanghebbenden (stakeholders) nakomt. Deze maatregelen worden beschouwd als onderdeel van de interne beheersingsmaatregelen van de onderneming. De leiding van een onderneming heeft als taak het opzetten en onderhouden van een goed werkend interne beheersingssysteem (Dassen et al. 2002).

2.5.2 SOx 404

Na verschillende fraude incidenten en het herhaaldelijk falen van het interne beheersingssysteem in ondernemingen is het vertrouwen van de maatschappij in de betrouwbaarheid van de kwaliteit van informatie geschaad. In de Verenigde Staten is hierop gereageerd door de invoering van de Sarbanes-Oxley Act (SOx 2002). Deze wetgeving dient ervoor te zorgen dat de standaarden voor corporate governance van de top van raad van bestuur tot door de gehele organisatie worden ingevoerd. De Verenigde Staten zijn hiermee de eersten die een dergelijke wetgeving invoeren.

Vooral SOx sectie 404 is van grote invloed op de publieke organisaties. Hierin moet het management van de onderneming verklaren dat de interne beheersing van financiële verslaggeving binnen de organisatie effectief is, oftewel dat de interne beheersing binnen de financiële verslaggeving van de organisatie werkt. Hier komt bij dat SOx sectie 404 van de externe accountant een onafhankelijke verklaring wil dat de interne beheersing van de financiële verslaggeving in de onderneming inderdaad effectief werkt (Wilkins and Gupta 2007).

Hoewel de wetgeving nu al enkele jaren geldig is in de Verenigde Staten, is het voldoen aan de SOx sectie 404 een tijdrovende en dure zaak voor veel ondernemingen. Voor zowel de grote als de kleinere ondernemingen is het lastig te voldoen aan SOx 404. Het implementeren en volhouden van dergelijke interne beheersing is lastig en heeft veel invloed op de hele onderneming. Grote ondernemingen zullen in veel gevallen beter voorbereid zijn op deze maatregelen, vooral de kleinere ondernemingen vinden het lastig te voldoen aan de wetgeving (Wilkins and Gupta 2007).

2.5.3 Code Tabaksblat

Sinds juli 2003 is de Nederlandse Corporate Governance code ingevoerd: code Tabaksblat. De commissie corporate governance, welke verantwoordelijk is voor het ontwerp en implementatie van de code, werd geleid door Morris Tabaksblat. Op initiatief van enkele organisaties is deze commissie ingesteld met als doel het opstellen van een gedragscode voor behoorlijk bestuur.

De commissie kon verder werken met de uitkomsten van de commissie Peters uit 1997. Deze commissie heeft een aantal aanbevelingen gedaan naar aanleiding van enkele boekhoudschandalen in de jaren negentig. Het vertrouwen in de bestuurders van beursgenoteerde ondernemingen was hierbij ernstig geschaad en diende hersteld te worden. Hierbij werd er vanuit gegaan dat het voornamelijk de bestuurders waren die hadden gefaald.

De code is opgesteld met het doel het verbeteren van transparantie in de jaarrekening. Hierbij zal de Raad van Commissarissen van een onderneming zich beter moeten verantwoorden en krijgen de aandeelhouders meer zeggenschap en bescherming.

De code bevat regels over de taak, werkwijze, hoogte van de beloning en samenstelling van de beloning van bestuurders en commissarissen. De code Tabaksblat werkt volgens het “pas toe of leg uit” principe. Dit wil zeggen dat beursgenoteerde ondernemingen in het jaarverslag moeten toelichten of ze de code toepassen. Indien ze de code niet toepassen moeten ze uitleggen waarom deze niet wordt toegepast. De “pas toe of leg uit” regel is wettelijk vastgelegd.

In december 2004 is er een monitoring commissie ingesteld, de commissie Frijns. Deze commissie gaat na in hoeverre beursgenoteerde ondernemingen de code naleven. Tevens is deze commissie Frijns ingesteld om de actualiteit en de bruikbaarheid van de code Tabaksblat te bevorderen (www.commissiecorporategovernance.nl).

Het belangrijkste verschil tussen SOx en de code Tabaksblat is de focus die beiden leggen op de doelstellingen van een onderneming. SOx gaat specifiek over de financiële verslaggevingsdoelstellingen binnen een onderneming en beoordeelt hiermee de betrouwbaarheid van informatie. Hier is dan ook wel een accountantsverklaring van toepassing.

De code Tabaksblat heeft echter een veel bredere focus en richt zich op alle vier de doelstellingen zoals in het COSO risicomanagement model ERM. Het is niet mogelijk hier een accountantsverklaring toe te passen. Wel moet hier bij vermeld worden dat met de instelling van de commissie Frijns, de monitoring commissie op de code Tabaksblat, de

focus van de code Tabaksblat steeds meer is komen te liggen op de financiële verslaggevingsdoelstellingen binnen een onderneming. Hierbij neemt de rol van de accountant, bij de naleving van de code door Nederlandse beursgenoteerde ondernemingen, toe. Dit mede door de smallere focus die de code Tabaksblat heeft gekregen, onder andere door de instelling van de commissie Frijns.

Het eerstgenoemde verschil tussen SOx en code Tabaksblat kan vergeleken worden als het verschil tussen internal control en interne controle zoals besproken in hoofdstuk 2.2 ten aanzien van de focus op de doelstellingen van een onderneming.

2.6 Beantwoording deelvragen hoofdstuk twee

De begrippen internal control en interne controle zijn in dit hoofdstuk besproken, evenals de wet- en regelgeving welke (deels) aanleiding zijn voor het ontstaan van risicomanagement modellen. Hiermee zijn de eerste twee deelvragen van het onderzoek beantwoord aan de hand van de bestaande literatuur.

(1): Wat is internal control? Wat is interne controle? Wat is het verschil tussen beide begrippen?

Internal control (interne beheersing) binnen een onderneming gaat over de efficiënte en effectieve uitvoering van de interne processen binnen die onderneming. Internal control gaat over het implementeren van een systeem in een onderneming, welke de vier doelstellingen van het COSO ERM model binnen een onderneming ondersteunt. Het gaat hierbij om de doelstellingen strategic, operations, reporting en compliance. Het systeem dient ervoor te zorgen dat met een hogere mate van zekerheid deze vooraf gestelde doelstellingen door de onderneming behaald worden.

Bij interne controle wordt er, net als bij internal control, ook een risicomanagement systeem in de onderneming geïmplementeerd. Hier gaat het echter niet om de vier doelstellingen van COSO ERM welke de onderneming ondersteunen, maar enkel om de financiële doelstellingen (reporting). Deze financiële verslaggeving doelstellingen, welke betrekking hebben op de kwaliteit van informatie, dienen door een dergelijk systeem in een onderneming met een hogere mate van zekerheid behaalt te worden. Oftewel bij interne controle wordt de focus gelegd op de financiële doelstellingen en de kwaliteit van informatie, bij internal control is deze focus veel breder en spelen ook effectiviteit en efficiency van de processen een rol.

(2) Welke wet- en regelgeving hebben (deels) tot de ontwikkeling van de COSO modellen geleid?

Internal control staat tegenwoordig onder maatschappelijke aandacht, wat heeft geleid tot meer regulering op het gebied van corporate governance. Zo is in de Verenigde Staten de SOX wetgeving ingevoerd in 2002. In SOx sectie 404 moet het management van de onderneming verklaren dat de interne beheersing van de onderneming effectief is. SOx heeft betrekking op de financiële verslaggeving doelstellingen van een onderneming. De externe accountant moet deze in-control verklaring dan ook controleren.

In Nederland is de code Tabaksblat ingevoerd in 2003. Via de “pas toe of leg uit” regel worden er regels opgelegd aan de bestuurders van ondernemingen. Het betreft hier regels over de taak, werkwijze, hoogte en samenstelling van de beloningen. De code heeft een veel bredere focus dan SOx en richt zich namelijk op alle vier de doelstellingen van een onderneming volgens COSO ERM.

Deze wet- en regelgeving hebben er (deels) toe geleid dat er risicomanagement modellen voor ondernemingen zijn ontwikkeld waardoor de onderneming met een hogere mate van zekerheid de vooraf gestelde doelstellingen kan behalen.

Hoofdstuk 3 COSO Risicomanagement modellen

3.1 Inleiding

Dit hoofdstuk is het tweede deel van de literatuurbespreking in dit onderzoek. Allereerst kijk ik naar het begrip COSO in het algemeen, daarna bespreek ik de verschillende COSO risicomanagement modellen die in de loop van de jaren zijn ontwikkeld. Hierbij komen de verschillen tussen de modellen duidelijk naar voren.

3.2 COSO risicomanagement model

3.2.1 COSO Algemeen

Ondernemingen die onderworpen zijn aan de Amerikaanse SOx wetgeving dienen verantwoording af te leggen over het in-control zijn van de onderneming. Dat wil zeggen dat de onderneming een verklaring aflegt over de effectiviteit van de interne beheersing binnen de onderneming. Hoewel niet verplicht maken de meeste ondernemingen hierbij gebruik van de richtlijnen volgens het COSO risicomanagement model (Dassen et al. 2002).

De Committee Of Sponsoring Organisations of the Treadway Commission (COSO) is een organisatie die als volgt is omschreven:

COSO is a voluntary private sector organization dedicated to improving the quality of financial reporting through business ethics, effective internal controls, and corporate governance. COSO was originally formed in 1985 to sponsor the National Commission on Fraudulent Financial Reporting, an independent private sector initiative which studied the causal factors that can lead to fraudulent financial reporting and developed recommendations for public companies and their independent auditors, for the SEC and other regulators, and for educational institutions (www.coso.org).

COSO maakt bij het ontwikkelen van de risicomanagement modellen gebruik van het zogenaamde kubusmodel (zie hiervoor de figuren in de volgende paragrafen). De COSO kubus geeft de directe relatie weer tussen de doelstellingen van een onderneming, de controlecomponenten van het risicomanagement model en de activiteiten/ eenheden waarvoor de interne controle nodig is.

De basis voor het COSO model zijn de doelstellingen van een onderneming, welke behaald dienen te worden. Hiernaast wil een onderneming de waarde voor haar stakeholders maximaliseren.

Feit is dat iedere onderneming hierbij te maken heeft met onzekerheid. Onzekerheid kan zowel leiden tot kansen als tot risico’s. Beiden hebben invloed op de waarde van een onderneming. Risicomanagement zorgt ervoor dat het management van een onderneming op die manier met risico’s kan omgaan, zodat de waarde van de onderneming wordt gemaximaliseerd en de doelstellingen van de onderneming worden behaald.

De volgende definities gelden hierbij:

Risico = Kans x Effect x Blootstelling (Wikipedia 2007)

Risico is de kans dat een gebeurtenis zal voorkomen en dat deze gebeurtenis nadelig is voor de onderneming in het behalen van de gestelde ondernemingsdoelstellingen (COSO 2004).

Risico is de kans dat een gebeurtenis plaatsvindt vermenigvuldigd met het effect van die gebeurtenis en de kans dat een bepaald scenario waarin de eerder genoemde kans plaatsvindt voorkomt (dit in tegenstelling tot het begrip onzekerheid waarbij de kansen niet bekend zijn). Dit effect kan positief dan wel negatief zijn (Wikipedia 2007).

Risico ligt besloten in onzekerheid en blijkt uit risicofactoren (gebeurtenissen) en de gevolgen hiervan voor risico objecten en de omvang van de schade (volgens Louman en Steens 1994 uit Dassen et al. 2002).

Kans is de kans dat een gebeurtenis zal voorkomen en dat deze gebeurtenis positief is voor de onderneming in het behalen van de gestelde ondernemingsdoelstellingen (COSO 2004).

Kans of waarschijnlijkheid is een basisbegrip uit de kansrekening en statistiek dat in de theorie axiomatisch is gedefinieerd. De kans is altijd een getal tussen 0 en 1, of in procenten uitgedrukt tussen 0 en 100% (Wikipedia 2007).

Gebeurtenis is een intern of extern incident dat het behalen van de ondernemingsdoelstellingen kan beïnvloeden (COSO 2004).

In dit onderzoek wordt de voorkeur gegeven aan de definities zoals gegeven door COSO in het COSO Enterprise Risk Management model (COSO ERM 2004).

In hoeverre het COSO model een effectieve manier is om de internal control binnen een onderneming te waarderen hangt af van de mate waarin de acht componenten van het model effectief functioneren. Hierbij is het van groot belang dat alle risico’s van de onderneming in kaart worden gebracht en dat deze risico’s zo worden behandeld dat ze binnen de risicotolerantievan de onderneming vallen.

Het implementeren van een risicomanagement model in een onderneming is niet een momentopname. Er is sprake van een altijd doorlopend en wijzigend proces (Zie ook de COSO kubus en figuur). Net als risico’s en processen door de tijd heen zullen veranderen, geldt dit ook voor de bijpassende interne beheersingsmaatregelen. De onderneming moet de ontwikkelingen in de processen en risico’s bijhouden en het systeem hierop aanpassen. Ook moet de werking en de effectiviteit van het risicomanagement bij gehouden worden door het management van de onderneming (Rittenberg et al. 2007).

Hoewel het risicomanagement model bruikbaar is in veel ondernemingen bestaan er ook beperkingen aan de bruikbaarheid. Bij het beoordelen van de internal control en het behalen van de doelstellingen in een onderneming is er veel sprake van menselijk handelen en van menselijke beoordeling. Bekend is dat bij menselijk handelen fouten ontstaan, ook kunnen gegevens bij menselijke beoordeling eenvoudig verkeerd geïnterpreteerd worden. Mede door deze beperkingen heeft de leiding van de onderneming nooit volledige zekerheid over het in-control zijn van de onderneming en het behalen van de vooraf gestelde doelstellingen.

3.2.2 COSO Internal Control Integrated Framework

COSO Internal Control Integrated Framework (ICIF) is het eerste risicomanagement model dat door COSO in 1992 is ontwikkeld. Hieronder is de zogenaamde COSO kubus behorende bij dit model te zien.

Figuur 2. COSO model – Internal Control Integrated Framework (COSO ICIF 1992).

In het COSO ICIF model zijn drie doelstellingen te onderscheiden, deze zijn te zien bovenop de kubus:

- operations: effectief en efficiënt gebruik van de middelen binnen de processen van de onderneming

- compliance: processen binnen de onderneming dienen in overeenstemming met de bestaande wet- en regelgeving te zijn

- financial reporting: betrouwbaarheid van financiële verslaggeving

Er zijn vijf componenten in de COSO kubus te onderscheiden, deze zijn te vinden aan de voorkant van de kubus:

- control environment: het besturingskader is in feite de interne omgeving van de onderneming. Hieronder vallen onder andere begrippen als tone at the top, risico filosofie, bereidheid tot het nemen van risico’s, integriteit, waarden en normen en de externe omgeving van een onderneming.

- risk assessment: risico’s worden geïdentificeerd en geanalyseerd. Aan de hand van kans en impact wordt bepaald hoe er met de risico’s moet worden omgegaan.

- control activities: procedures en maatregelen die ervoor zorgen dat er adequaat gereageerd kan worden op de risico’s binnen de onderneming.

- information and communication: relevante informatie is geïdentificeerd en wordt gecommuniceerd naar de verantwoordelijke medewerkers binnen de onderneming. Effectieve communicatie is een heel breed begrip, de communicatie vindt plaats in en door de gehele onderneming.

- monitoring: het gehele proces van risicomanagement wordt achteraf en tijdens het proces beoordeeld. Hierbij kunnen indien nodig aanpassingen worden gemaakt.

Monitoring is een doorgaand proces, iets wat op elk moment in de onderneming dient plaats te vinden.

Deze componenten in het risicomanagement model zijn niet los van elkaar te zien, als geheel vormen ze het systeem dat ervoor zorgt dat de onderneming kan reageren op veranderingen in de (interne en externe) ondernemingsomgeving. Het is een doorlopend geheel aangezien na monitoring weer vooraan in het proces begonnen wordt.

Tenslotte laat het COSO figuur, aan de zijkant, zien welke afdelingen binnen de onderneming betrokken zijn bij risicomanagement. De figuur laat tevens de directe relatie zien tussen de doelstellingen van een onderneming en de risicomodel componenten (COSO 1992 en Dassen et al. 2002).

3.2.3 COSO Enterprise Risk Management

In 2004 bracht COSO naar aanleiding van de invoering van de SOx wetgeving in 2002 een nieuw raamwerk uit, het COSO Enterprise Risk Management (ERM) model. Het COSO ERM model is hieronder te vinden als de zogenaamde COSO kubus.

Figuur 3. Coso model – Enterprise Risk Management (www.wikipedia.nl en COSO 2004).

In het COSO ERM model zijn vier doelstellingen te onderscheiden, deze zijn bovenop de kubus te vinden:

- strategic: strategische doelstellingen als de missie en visie van een onderneming; vaak vastgelegd voor de langere termijn.

- compliance: processen dienen in overeenstemming met de bestaande wet- en regelgeving te zijn.

- reporting: betrouwbaarheid van financiële verslaggeving.

Doelstellingen gerelateerd aan de betrouwbaarheid van financiële verslaggeving en het voldoen aan de geldende wet- en regelgeving zijn te behalen binnen de interne controle van een onderneming, oftewel hier kan de onderneming veel invloed op uitoefenen. Het COSO ERM model kan een redelijke mate van zekerheid bieden over het behalen van deze risico’s.

Doelstellingen van strategische en operationele aard zijn voor de onderneming moeilijker te behalen. Dit komt door het feit dat onderneming te maken heeft met externe omstandigheden. Hierop kunnen ze geen invloed uitoefenen, maar deze beïnvloeden wel de activiteiten en resultaten van de onderneming beïnvloeden. COSO ERM kan wel een redelijke mate van zekerheid bieden over de mate waarin de onderneming in de buurt komt van het behalen van de doelstellingen en het minimaliseren van de risico’s.

Er zijn acht componenten in de COSO kubus te onderscheiden, deze zijn te zien aan de voorkant van de kubus:

- control environment: begrippen als tone at the top, risicofilosofie, bereidheid tot het nemen van risico’s, integriteit, waarden en normen en de externe omgeving van een onderneming vallen onder de interne omgeving.

- objective setting: doelstellingen van de onderneming moeten vooraf duidelijk vaststaan. Pas daarna kunnen de gebeurtenissen vastgesteld worden.

- event identification: interne en externe gebeurtenissen vaststellen welke het behalen van de doelstellingen van de onderneming beïnvloeden. Hierbij wordt er een onderscheid gemaakt tussen risico’s en kansen voor de onderneming.

- risk assessment: risico’s worden geïdentificeerd en geanalyseerd. Aan de hand van kans en impact wordt bepaald hoe er met de risico’s moet worden omgegaan.

- risk response: het management selecteert een reactie op risico’s: vermijden, accepteren, verminderen of delen. Hierbij worden acties ondernomen die ervoor zorgen dat het risico valt binnen de risico tolerantie binnen de onderneming.

- control activities: procedures en maatregelen die ervoor zorgen dat er adequaat gereageerd kan worden op de risico’s binnen de onderneming.

- information and communication: relevante informatie is geïdentificeerd en wordt gecommuniceerd naar de verantwoordelijke medewerkers binnen de onderneming. Effectieve communicatie is een heel breed begrip, de communicatie vindt plaats in en door de gehele onderneming.

- monitoring: het gehele proces van risicomanagement wordt achteraf en tijdens het proces beoordeeld. Hierbij kunnen indien nodig aanpassingen worden gemaakt. Monitoring is een doorgaand proces, iets wat op elk moment in de onderneming dient plaats te vinden.

Deze componenten in het COSO model zijn niet los van elkaar te zien, als geheel vormen ze het systeem dat ervoor zorgt dat de onderneming kan reageren op veranderingen in de (interne en externe) ondernemingsomgeving (COSO 2004). Het is een doorlopend proces aangezien na monitoring weer begonnen wordt met de beheersingsmaatregelen.

De COSO kubus laat verder aan de zijkant zien, welke afdelingen binnen de onderneming betrokken zijn bij interne controle. De kubus laat tevens de directe relatie zien tussen de doelstellingen van een onderneming en de risico model componenten. Interne controle en het COSO model is op elke afdeling en in elke laag van de onderneming toepasbaar (COSO 2004).

3.3 COSO Internal Control Financial Reporting

Het COSO ERM model is zoals gezegd in vrijwel alle ondernemingen toepasbaar. Wel dienen ondernemingen indien gewenst (met name als er gekeken wordt naar de kleinere ondernemingen) aanpassingen te maken bij het gebruik van de acht componenten. Wanneer elke component meegenomen wordt bij de implementatie van het ERM risico model en volledig kan functioneren werkt het model optimaal (COSO 2004). Uit onderzoek blijkt tevens dat het invoeren van een risicomodel in een onderneming vrijwel altijd mogelijk is. Het ligt niet aan het ontbreken van de benodigde middelen, maar de onderneming moet volledig achter de implementatie staan (Rittenberg et al. 2007).

Kleine beursgenoteerde ondernemingen in de Verenigde Staten hebben moeite met het voldoen aan de wetgeving van SOx 404. Het is voor deze ondernemingen lastig de gewenste interne beheersing rondom financiële verslaggeving te behalen op een effectieve en efficiënte wijze (De Groot 2006). Een reden waarom kleinere ondernemingen het COSO ERM model niet implementeren is het feit dat het te tijdrovend is om alle onderdelen van het model juist en volledig in de processen van de onderneming in te voeren. Daar komt bij dat in veel ondernemingen de totale cultuur omgegooid dient te worden om te voldoen aan het risicomodel (Ballou et al. 2005).

In Nederland staat het rapporteren over risicomanagement in de schijnwerpers sinds de invoering van de code Tabaksblat, de Nederlandse corporate governance code (zie

hoofdstuk 2.5.3). De Nederlandse beursgenoteerde ondernemingen dienen naast een adequate beschrijving van de risico’s in het jaarverslag te verklaren in-control te zijn wat betreft de beheersing van financiële verslaggevingsrisico’s. Hierbij kan de nieuwe leidraad van COSO behulpzaam zijn (De Groot 2006).

11 Juli 2006 heeft de Committee of Sponsoring Organizations of the Treadway Commission (COSO) een nieuwe publicatie uitgebracht. Vanuit de Securities and Exchange Commission (SEC) kwam er de vraag een leidraad te ontwikkelen die kleinere ondernemingen helpt bij het voldoen aan SOx sectie 404.

Deze publicatie, Internal Control over financial reporting: guidance for smaller public companies (COSO ICFR), is geschikt voor alle ondernemingen die de interne beheersing in de onderneming willen inrichten en in stand willen houden (Rittenberg 2006).

Het doel van de COSO ICFR is dat kleine ondernemingen de leidraad gebruiken bij het ontwerpen en implementeren van processen die de onderneming beter laten functioneren en die helpen bij het beoordelen van de interne beheersing binnen die ondernemingen (Wilkins and Gupta 2007). Het model moet door het management en de externe accountant niet gezien worden als een check-list. Het management weet welke onderdelen de onderneming het beste kan toepassen en zo kan er een model ontwikkeld worden welke specifiek het beste werkt voor de betreffende onderneming (Rittenberg et al. 2007).

COSO ICFR is zoals eerder gezegd speciaal ontwikkeld voor de kleinere beursgenoteerde ondernemingen in de Verenigde Staten die ook moeten voldoen aan de SOx wetgeving. Deze ondernemingen hebben veelal moeite te voldoen aan de wetgeving en dan met name gelet op de kosten en efficiëntie. De nieuwe COSO leidraad helpt deze ondernemingen aan de hand van een twintigtal principes, met onderliggende attributen en benaderingen (De Groot 2007). Het begrip kleine ondernemingen behandel ik in hoofdstuk 3.5.

De eerdergenoemde twintig principes van COSO ICFR zijn ook zeer bruikbaar voor de Nederlandse onderneming. Deze ondernemingen hebben veelal niet te maken met SOx, met uitzondering van de Nederlandse dochtermaatschappijen van Amerikaanse beursgenoteerde ondernemingen. De Nederlandse onderneming dient te voldoen aan de code Tabaksblat, beursgenoteerde ondernemingen dienen in het jaarverslag te verklaren in-control te zijn, ten aanzien van de effectieve werking van het interne beheersingssysteem.

Ook de externe accountant heeft baat bij COSO ICFR aangezien deze volgens de Handleiding Regelgeving Accountants (HRA) 315 de beheersing bij een onderneming

dient te beoordelen (De Groot 2007). Het COSO ICFR raamwerk is hier beter toepasbaar dan het COSO ICIF model. Aangezien steeds meer ondernemingen naar aanleiding van risicomanagement de interne beheersingssystemen zullen aanpassen, wordt van de externe accountant verwacht de controleaanpak te zullen aanpassen (De Groot 2006).

COSO ICFR is een toevoeging op het al eerder uitgebrachte COSO ICIF model. Een voordeel van de nieuwe publicatie is de duidelijk uitgewerkte aandachtspunten in de vorm van de twintig principes. Voor de kleinere onderneming is het nu overzichtelijk aan welke punten gewerkt moet worden ten aanzien van de interne beheersing rondom financiële verslaggeving. In de onderstaande figuur vindt er een vergelijking plaats tussen COSO ICIF en COSO ICFR.

COSO ICIF COSO ICFR

Controle doelstellingen - -

Operationeel -

Verslaggeving Verslaggeving Wet- en Regelgeving -

Controle componenten Control environment Control Environment

- -

- -

Risk Assessment Risk Assessment

- -

Control Activities Control Activities

Information & Communication Information & Communication

Monitoring Monitoring

Figuur 4. Vergelijking tussen COSO Internal Control Integrated Framework en COSO Internal Control Financial Reporting (COSO 1992 en COSO 2006)

Een vergelijking tussen het COSO ERM model en het COSO ICFR model is er in de onderstaande figuur gemaakt. Hierin is te zien dat er na een uitbreiding van het COSO model in 2004 door middel van het COSO ERM model, nu weer een stapje terug wordt gedaan. Enkele componenten uit het COSO ERM model zijn verwijderd en het COSO ICFR model lijkt meer op de voorganger uit 1992, het COSO ICIF model. In de onderstaande figuur worden de twee laatste COSO modellen met elkaar vergeleken.

COSO ERM COSO ICFR Controle doelstellingen Strategisch -

Operationeel -

Verslaggeving Verslaggeving Wet- en Regelgeving -

Controle componenten Internal environment Control Environment Objective ssetting -

Event Identification -

Risk Assessment Risk Assessment

Risk Response -

Control Activities Control Activities

Information & Communication Information & Communication

Monitoring Monitoring

Figuur 5. Vergelijking tussen COSO Enterprise Risk Management en COSO Internal Control Financial Reporting (COSO 2004 en COSO 2006).

Wat het COSO ICFR model, naast het feit dat het hier gaat om de financiële verslaggeving, anders maakt dan de voorgaande modellen is het feit dat dit model twintig basis principes presenteert. Met deze twintig principes wordt het risico management model ingevuld. Het gaat hier om enkele fundamentele concepten, welke gerelateerd zijn aan de vijf componenten van het COSO ICIF model. Onderstaand is het COSO ICFR figuur te zien met de vijf componenten. Daarna worden de vijf componenten van de COSO ICFR toegelicht aan de hand van de twintig principes.