COSO 2013 framework

Op 15 december 2014 is de transitieperiode voor de overgang naar het COSO 2013 framework afgelopen. Wat zijn de mogelijkheden en risico's die hierbij ontstaan? Het COSO Internal Control Integrated Framework (ICIF) 2013 is een volledige update van het COSO ICIF 1992 model. Het COSO 1992 framework is door vrijwel alle SOx-filers toegepast als interne beheersingsframework. Vanaf 15 december 2014 mag niet meer naar het 1992 framework gerefereerd worden, dus feitelijk is dan COSO 2013 verplicht. Waarschijnlijk zal dit een grote impact hebben op alle interne beheersing raamwerken, zoals de AIFMD, FIRM en de interpretatie van de ISAE3402 standaard.

COSO ICIF 2013

COSO is toch al een aantal keer geüpdatet? Ja, dat is juist. Deze updates hadden maar een beperkte impact op bijvoorbeeld SOx 404. Waarom? Omdat de 2004 update van het COSO ERM update te breed was voor SOx 404. ERM staat voor Enterprise Risk Management. Wat is dan de impact van de COSO 2013 update en wat is de relatie met voorgaande COSO framework updates, zoals ERM?

COSO II

Naar COSO ERM wordt vooral op het internet veel gerefereerd als COSO II. COSO II is geen officiële COSO term. De COSO ERM update was vooral gericht op (een oplossing voor) de kritiek op de beperkingen van COSO ICIF framework. COSO was voornamelijk gericht op financiële bedrijfsprocessen, maar boodt geen raamwerk voor strategische bedrijfsrisico's. In het COSO ERM framework werden deze risico's wel benoemd.

Een goed voorbeeld hiervan is het security incident bij Diginotar wat impact had op heel Nederland.

COSO ERM

Naast de benoeming van strategische risico's, is het risicoanalyse proces in het COSO ERM framework in detail uitgewerkt. Waarbij gebeurtenissen (events) worden geidentificeerd die een mogelijke bedreiging vormen voor het behalen van organisatierisico's. Op basis van deze events worden risico's geanalyseerd (kans x impact) en wordt vervolgens de risicohouding bepaald (bijvoorbeeld beheersen, ontwijken, delen). Indien ervoor gekozen wordt om het risico te beheersen dan dient een control ingericht te worden in het interne beheersingssysteem die dit specifieke risico mitigeert (beheerst). Het risicoanalyse proces in COSO 2013 is op een vergelijkbare wijze ingericht, maar dan uitsluitend gericht op operationele, rapportage en compliance processen. Waarom dan een nieuw COSO framework?

Waarom COSO 2013?

Een aantal maatschappelijke- en technologische ontwikkelingen liggen ten grondslag aan de ontwikkeling van het nieuwe COSO 2013 framework. De verwachtingen ten aanzien van governance zijn als gevolg van de kredietcrisis groter geworden, markten zijn global, het vertrouwen in en de afhankelijkheid van technologie is toegenomen. Door de globalisering wordt ook de bedrijfsvoering complexer. Deze complexitieit gecombineerd met een toegenomen afhankelijkheid van technologie; door technologie kunnen we meer klanten bereiken, maar zijn we ook meer afhankelijk van infrastructuur en bijvoorbeeld security risico's. Een goed voorbeeld hiervan is het security incident bij Diginotar wat impact had op heel Nederland. Op welke wijze geeft COSO 2013 hier nu een antwoord op?

COSO 2013 heeft impact op het security framework, de volledige IT organisatie, fraudebeheersing en de governance structuur.

COSO 2013 is een verbetering van het COSO ICIF framework. 700 respondenten hebben gereageerd op een onderzoek van de COSO board onder stakeholders; geen wijziging, maar vooral toepassing van het COSO ICIF framework.

De kracht van COSO 2013?

De belangrijkste conclusie van het onderzoek onder 700 respondenten was dat een update van het framework wenselijk was, maar dat het volledige framework qua structuur niet herzien moest worden. Het COSO bestuur heeft de vijf componenten uit het oorspronkelijke framework niet gewijzigd. Wijzigingen betroffen voornamelijk handreikingen voor toepassing van de componenten. Daarnaast heeft de board 17 principes geformuleerd. Deze 17 principes zijn een uitwerking van de componenten en moeten verplicht worden toegepast. Deze principes zijn weer uitgewerkt in een aantal focus punten, dit zijn concrete handreikingen over hoe de principes moeten worden toegepast. De kracht van het nieuwe framework is dat het verder bouwt op het bestaande solide COSO framework, dat technologie en fraude in een belangrijk deel van de principes als expliciete factor wordt benoemd en doordat de nieuwe documentatie erg praktisch en toegankelijk is.

Meer informatie over de gevolgen van het COSO 2013 framework voor uw organisatie? Neem dan contact op met één van onze consultants

Share this post