Magazine

Waarom COSO?

De nieuwe COSO-leidraad voor kleinere ondernemingen is zeer goed bruikbaar, schrijft Jos de Groot in deze ‘de Accountant’ (pagina 34). Ruud Pruijm vraagt zich af of COSO wel de juiste keuze is.

Dit artikel is verschenen in de Accountant nr. 5, 2007

Bekijk alle artikelen uit dit nummer

» Download dit artikel in pdf

De voorkeur voor COSO heeft mij altijd verbaasd. Zowel de Amerikaanse Securities and Exchange Commission als Tabaksblat hebben nooit enig raamwerk voor interne beheersing voorgeschreven. De SEC heeft zelfs nadrukkelijk aangegeven dat er een keuze gemaakt kan worden uit COSO, het raamwerk van het Canadese Instituut voor registeraccountants of het raamwerk zoals beschreven in het Turnbull rapport. De SEC laat dat aan de ondernemingen zelf over. Ook Tabaksblat noemt COSO slechts als een voorbeeld en niet als het enige beschikbare raamwerk. Verbazingwekkend genoeg heeft echter iedereen bijna unaniem voor COSO gekozen. Ik noem dat bewust verrassend: allereerst omdat het niet is voorgeschreven en ten tweede omdat er betere alternatieven zijn dan de genoemde modellen, zoals bijvoorbeeld het in Europa bekende EFQM-model en de Nederlandse variant, het INK-model.

Mijn enige verklaring is dat met name in Amerika de grote accountantskantoren in hun adviesen controlepraktijk van het begin af aan voor COSO hebben gekozen voor het voldoen aan de Sarbanes-Oxley-wetgeving en met name sectie 404 daarvan. Alle handleidingen van deze kantoren, checklists, voorbeelden en dergelijke zijn op dit raamwerk gebaseerd. Het is dan ook niet verwonderlijk dat iedereen op basis hiervan aan de slag is gegaan om binnen de gestelde termijn aan SOx te kunnen voldoen. Een soortgelijke beweging heeft zich ook buiten Amerika voltrokken voor ondernemingen met een Amerikaanse beursnotering. COSO is daarnaast zonder enige discussie een de facto standaard geworden voor andere ondernemingen die door nieuwe nationale wetgeving of gedragsregels een systeem voor interne beheersing dienden in te richten.

Wat we mogelijk vergeten is dat het voornaamste doel van de SOx-wetgeving het voorkomen van fraude was. Volgens de Amerikaanse wetgever, en ook Tabaksblat, is het belangrijkste middel hiervoor het hebben van een goed systeem van interne beheersing. Met deze aanname gaat het al mis. In werkelijkheid is de effectiviteit van dit middel niet groot. Fraude wordt er slechts in negentien procent van de gevallen door ontdekt en voorkomen. Veel effectiever zijn tips door klokkenluiders (34 procent), toeval (25 procent) en interne accountantsdienst (twintig procent), blijkt uit een recent rapport van de Association of Certified Fraud Examiners.

Een tweede probleem met COSO en ook COSO-light (ik praat maar niet over COBIT) zijn de hoge kosten die met de invoering ervan gepaard gaan, met name voor kleinere ondernemingen. Een derde probleem is dat ook het aantonen van de werking ervan met hoge kosten gepaard gaat. COSO leidt in de praktijk tot extra gedetailleerde vastleggingen van bedrijfsgebeurtenissen, met als invalshoek een ingebouwd wantrouwen ten opzichte van degenen die in een onderneming werkzaam zijn. We zien een alsmaar uitdijend keurslijf van voorschriften en checklists ontstaan waar men zich aan moet houden. Tegelijkertijd weet iedereen dat dit ook de maatlat zal zijn die men zal gaan hanteren in civiele of strafrechtelijke processen en in de nieuw ingerichte toezichtorganen. Dat leidt dan in de praktijk tot het zo goed en volledig mogelijk voldoen aan de nieuwe maatstaven en het zo compleet mogelijk invoeren daarvan. Het is niet voor niets dat het woord compliance tegenwoordig elke bestuurder zenuwachtig maakt. Dat dit tot hogere kosten, meer bureaucratie en verstarring zal leiden is welhaast onontkoombaar.

Het klimaat van show me en proof me is daarmee een nieuw cultuurelement aan het worden in ondernemingen. Het tijdperk van vertrouwen (trust me) lijkt aan zijn eind te komen. Interne controle als dominant thema lijkt me voor het ontwerpen en inrichten van organisatiestructuren en werkprocessen een slechte invalshoek. Terugkomend op mijn stellingname dat er betere modellen zijn dan COSO is het goed om de belangrijkste verschillen met bijvoorbeeld het INK-model eens kort weer te geven. COSO richt zich in de hedendaagse toegepaste versie vooral op de betrouwbaarheid van de financiële informatieverzorging en het voorkomen van fraude door extra aandacht te geven aan interne controle. Het INK-managementmodel richt zich vooral op verbetering van de kwaliteit van de gehele bedrijfsvoering en is daardoor een veel betere invulling van het begrip interne beheersing.

Ik begrijp niet dat niet elke organisatie zo'n model als dat van het INK hanteert om gestructureerd en systematisch aan verbetering te werken. Het biedt zoveel mogelijkheden. Je kunt het helemaal naar eigen inzicht inzetten. Van simpel en niet al te diepgaand tot op het bot. Een ander pluspunt is dat het alle kanten van de bedrijfsvoering raakt. COSO heeft een geheel andere en beperkte invalshoek die van het in control krijgen van een onderneming en is vooral bedacht voor grotere ondernemingen. ‘Leren excelleren’ lijkt me een veel beter model voor het management.

Voor veel van mijn vakbroeders is het ter discussie stellen van COSO als vloeken in de kerk. Ik denk echter dat we fundamenteel de vraag moeten stellen waarom we zo massaal op COSO zijn overgegaan en of er geen betere alternatieven zijn.

Noot
Ruud Pruijm is emeritus hoogleraar administratieve techniek aan de Erasmus Universiteit Rotterdam en werkzaam als zelfstandig adviseur, interim-manager en commissaris van ondernemingen.

Gerelateerd

Aanmelden nieuwsbrief

Ontvang elke werkdag (maandag t/m vrijdag) de laatste nieuwsberichten, opinies en artikelen in uw mailbox.

Bent u NBA-lid? Dan kunt u zich ook aanmelden via uw ledenprofiel op MijnNBA.nl.