donderdag 28 februari 2013

COSO vernieuwd: concept 2012


In de Nederlandse Corporate Governance Code wordt in de Best practice bepaling II.1.4 verlangd dat het bestuur een beschrijving geeft van de opzet en werking van de interne risicobeheersings- en controle systemen. In de toelichting valt te lezen dat het bestuur aangeeft welk raamwerk of normenkader (bijvoorbeeld het COSO raamwerk voor interne beheersing) hij heeft gehanteerd. Ook in de Sarbanes-Oxley wet is al eerder een dergelijke bepaling opgenomen. Sinds die tijd is dan ook over de hele wereld COSO als referentie gehanteerd als het gaat om een maatstaf voor goede interne beheersing. 

Na ruim twintig jaar heeft COSO een nieuwe stap gezet op de weg van de inrichting en beoordeling van de beheersing van organisaties. Het concept raamwerk en ondersteunende documenten dateren van september 2012 zijn te verkrijgen op de website www.coso.org.
Het definitieve raamwerk wordt het eerste kwartaal van 2013 verwacht.

Het nieuwe raamwerk bouwt voort op het interne beheersingsraamwerk uit 1994 en dat is ook te zien in de nieuwe kubus.
In deze kubus valt overigens op dat “’financial reporting” in de oude kubus nu is vervangen door “reporting” om aan te geven dat het nu ook gaat om verslaggeving in ruimere betekenis dan alleen de jaarrekening.

Belangrijke Veranderingen
De belangrijkste veranderingen zijn dat men allereerst heeft geprobeerd het raamwerk de verhelderen en te verbeteren zodat het makkelijker kan worden toegepast.
Zo zijn voor de vijf componenten van het internal control-systeem  de fundamentele internal control concepten van het oude raamwerk vertaald naar zeventien onderliggende principes. Dit geeft meer duidelijkheid en richting bij het ontwerpen en invoeren van systemen voor interne beheersing.
Daarbij heeft men de principes verder vorm gegeven door het beschrijven van bijna 90 “Points of Focus’ waarin typisch belangrijke karakteristieken van de principes verder worden uitgewerkt.
Het doel ervan is om het management van een onderneming te helpen bij het ontwerpen, invoeren en operationeel maken van een goed systeem van interne beheersing en bij het vaststellen of de relevante principes feitelijk aanwezig zijn en goed functioneren.
Alhoewel het raamwerk verwacht dat de 5 componenten en onderliggende principes bij een onderneming aanwezig zijn en functioneren, geldt dat niet voor alle “Points of Focus.’
Het is uiteindelijk aan het management zelf om geschikte en relevante Points of Focus voor een specifieke onderneming vast te stellen

Daarbij is er ook nog een apart Compendium uitgebracht waar “Approaches” (benaderingen) en “Examples” (voorbeelden) te vinden zijn hoe men de verschillende aspecten van de principes verder vorm kan geven.
·       Approaches: beschrijven in kort bestek de activiteiten die organisaties kunnen uitvoeren om de principes vorm te geven
·       Examples: geven specifieke praktijkvoorbeelden van de toepassing van principes.


Een tweede verandering is dat het raamwerk nu erkend dat verslaggeving op veel manieren plaatsvindt en niet alleen beperkt blijft tot de jaarrekening. Ondernemingen dienen er zorg voor te dragen dat er in de gestegen informatiebehoefte van allerlei stakeholders tijdig en effectief wordt voorzien, los van het feit of het gaat om operationele, financiële, grafisch i.p.v. cijfermatig of prospectief is. Principes 13, 14 en 15 geven deze gewijzigde doelstellingen duidelijk aan.

IT-ontwikkelingen
In het rapport komen ook de ingrijpende veranderingen op IT-gebied in beeld. Bij alle control-componenten wordt technologie als belangrijk aspect gezien. Een van de zeventien principes (principle 11 onder control activities) gaat specifiek over technologie en behandelt de keuze en ontwikkeling van technology general controls in samenhang met transaction controls. Dit zijn aangepaste termen voor het oudere begrippenpaar general controls en application controls.
Beleggers en andere stakeholders verwachten dat ondernemingen meer aandacht besteden aan fraude. Daarvoor is een nieuw principe (Principle 8 “Fraud Risk Assessment”) toegevoegd. In combinatie met de bijbehorende Points of Focus dient er stelselmatig aandacht te worden besteed aan het risico van fraude en het voorkomen daarvan.

Alhoewel de principes en onderliggende Points of Focus niet zijn bedoeld als een checklist, verwacht COSO zelf dat zij zullen helpen bij het begrijpen van welke controles noodzakelijk zijn om tot een effectief systeem van interne beheersing te kunnen komen.
Een apart rapport “Illustrative Tools for Assessing Effectiveness of a System for Internal Control” is bedoeld om daarbij te helpen. Illustrative Tools bevat “Templates’ en “Scenarios.’
De Templates zijn in feite controlelijsten waarmee top-down een analyse kan worden gedaan van de aanwezigheid en het functioneren van de principes en points of focus in de verschillende componenten van interne beheersing.

COSO en ERM
Door het uitbrengen van dit nieuwe rapport ontstaat er bijzondere situatie ten aanzien van het in 2004 gepubliceerde rapport Enterprise Risk Management (ERM). Risk Assessment is een van de vijf componenten van het COSO-Framework, maar in het COSO-ERM rapport wordt gesteld dat enterprise risk management veel breder en uitgebreider is en dat internal control een onderdeel is van COSO-ERM. Hoe dat precies moet worden geduid wordt echter niet uitgelegd.
Het nieuwe COSO-rapport bevat een bijlage G waarin op de relatie met ERM wordt ingegaan. COSO is van mening dat beide raamwerken apart van elkaar dienen te blijven en dat zij elkaar complementeren. Enterprise risk management is breder dan interne beheersing en bouwt in feite daarop voort door zich vooral op strategievorming en bijbehorende risico’s te richten. Strategievorming hoort volgens COSO niet thuis in een systeem van internal control.
Alles afwegend is het echter nogal merkwaardig om het proces om tot formulering van en keuze van strategische doelstellingen te komen, niet te beschouwen als onderdeel van het beheersingssysteem van de organisatie. Dit te meer omdat de leiding van een organisatie dient te waarborgen dat het proces van strategievorming wordt beheerst.
Het had dan ook voor de hand gelegen om elementen van ERM op te nemen en te integreren in het nieuwe raamwerk voor interne beheersing.

Relatie met Corporate Governance
Het nieuwe Raamwerk besteedt op meerdere plekken aandacht aan de relatie met corporate governance. In de Control Environment is dat terug te zien als er expliciet aandacht wordt gegeven aan de toezichthoudende rol van de board en de verschillende commissies er van (zie bijvoorbeeld pag.  40 tot en met 43 en pag. 145 tot en met 147.
COSO ziet een goed governance proces als een apart vereiste voor goede interne beheersing. Zo kan bijvoorbeeld een slechte benoemingsprocedure voor nieuwe uitvoerende boardleden  er toe leiden dat er onvoldoende goed toezicht wordt gehouden.

Kritiek
In een artikel in de Accountant geven den Boer, Renes en Van Zutphen hun commentaar op de nieuwe versie van COSO.
Zij vinden dat de relatie tussen corporate governance en internal control onvoldoende wordt belicht. Ook wordt er volgens hen onvoldoende aandacht besteed aan "soft controls' en de effecten van IT op het control framework.
Ik deel deze kritiek, met name als het gaat om de beperkte aandacht aan de beheersing van de IT-infrastructuur. Mogelijk denkt men dat dit aan de orde moet komen in het IT-raamwerk van COBIT ( Control Objectives for Information and Related Technologies) dat recent is verschenen, maar het is wel opvallend dat in geen van de documenten een verwijzing naar dit raamwerk is te vinden.

Een veel belangrijker punt van kritiek is dat ook deze nieuwe versie onherroepelijk zal leiden tot het gevreesde afvinkgedrag. De zeventien Principes en de bijbehorende bijna negentig Points of Focus geven een uitgebreid en stringent normenkader dat ongetwijfeld snel zijn weg zal vinden in allerlei checklists. Ook de meegeleverde gereedschapskist "Illustrative Tools' wijst daar op, want het is in feite niets anders dan een verzameling checklists om vast te stellen of Principes en Points of focus aanwezig zijn.

Wil men kunnen spreken van een goede interne beheersing dan dient er volgens COSO in hoofdstuk 3 van het Framework sprake te zijn van een situatie waarbij de vijf componenten van interne beheersing en de relevante bijbehorende principes aanwezig zijn en goed functioneren. Alleen in zeldzame gevallen kan het management daarvan afwijken, maar dan is wel uitleg nodig.
Dat geldt ook voor het ontbreken van de eerder genoemde Points of Focus. Voor het begrip kan men beter spreken van Best Practices want dat zijn het in feite. COSO geeft op pagina 23 van het Framework aan dat deze Points of Focus een belangrijk hulpmiddel zijn voor het management om vast te kunnen stellen dat de principes aanwezig zijn en goed functioneren.
Daarmee wordt volledig voorbij gegaan aan de belangrijke rol van het professioneel oordeel over wat in een specifieke situatie een goed systeem van interne beheersing is.


COSO streeft naar een benadering waarbij een uniform en eenduidig normenkader wordt neergelegd. Dat lijkt logisch, want anders voldoet men niet aan een belangrijke voorwaarde dat het niveau van interne beheersing meetbaar moet zijn en dat men moet kunnen aangeven op welke punten verbetering nodig is. Zo logisch is het echter niet, want er zijn vele factoren die de inrichting van een goed systeem van interne beheersing beïnvloeden, waardoor het feitelijk puur maatwerk wordt.
Als ik aan mijn oude leermeester Erik Jans vroeg wat nu een goed systeem van interne controle was, dan riep hij altijd: dat hangt af van het type onderneming (voor accountants de plaats in de typologie van waarde-activiteiten), de organisatiestructuur en de omvang van de onderneming.
Je kunt die werkelijkheid niet vangen met een rigide sjabloon dat voor iedereen geldt.