Magazine

Waarom iets anders dan COSO?

Anders dan Ruud Pruijm ('de Accountant' januari 2007) vindt Fred de Koning dat er niets mis is met het COSO-model voor interne beheersing. Dat het doel niet altijd wordt bereikt ligt niet aan het model 'maar hoogstens aan de interpretatie ervan door de PCAOB'.

Dit artikel is verschenen in de Accountant nr. 7, 2007

Bekijk alle artikelen uit dit nummer

» Download dit artikel in pdf

Fred de Koning

In het januarinummer van ‘de Accountant’ uit collega Ruud Pruijm zijn verbazing over de populariteit van COSO als raamwerk voor de interne beheersing. Pruijm wijst erop dat zowel de Security and Exchange Commission als de commissie Tabaksblat nooit enig raamwerk voor interne beheersing hebben voorgeschreven. Dat is juist, zelfs de Amerikaanse toezichthouder op het accountantsberoep PCAOB heeft dat nooit gedaan. In paragraaf 13 van Auditing Standard nr. 2 wordt gesteld dat het management de interne beheersing rond de financiële rapportage moet baseren op een passend en erkend beheersingsraamwerk, dat is vastgesteld door een lichaam van experts en dat op een zorgvuldige wijze tot stand is gekomen, waarbij het raamwerk in ruime kring verspreid is ter becommentariëring.

Het door Pruijm bepleite EFQM-model (of het vergelijkbare INK-model) voldoet niet aan die voorwaarden, al was het alleen maar omdat het niet gericht is op interne beheersing, laat staan op interne beheersing rond de financiële rapportage.

De code Tabaksblat stelt in paragraaf II.1.4: ‘Het ligt in de rede dat het bestuur in de verklaring over de interne risicobeheersings- en controlesystemen aangeeft welk raamwerk of normenkader (zoals bijvoorbeeld het COSO-raamwerk voor interne beheersing) hij heeft gehanteerd bij de evaluatie van het interne risicobeheersingsen controlesysteem”. De code Tabaksblat hanteert - in navolging van het COSO-raamwerk - een ruime invulling van het begrip interne beheersing. Het COSO-raamwerk onderscheidt de volgende doelstellingen van interne beheersing:

  • effectiveness and efficiency of operations;
  • reliability of financial reporting;
  • compliance with applicable laws and regulations.

Het EFQM-model is bijzonder geschikt om vorm te geven aan de eerstgenoemde doelstelling, maar is geenszins gericht op de twee andere. Het is derhalve niet bruikbaar als raamwerk of normenkader in het kader van de code Tabaksblat.

Pruijm constateert terecht dat het COSO-raamwerk inmiddels de internationale de facto standaard is geworden voor interne beheersing. Het wijkt op twee belangrijke punten af van de traditionele opvattingen. Ten eerste wordt de control environment beschouwd als de basis voor de interne beheersing. Dat is een zinvolle toevoeging. Analyse van de belangrijkste rapporteringschandalen leidt tot de conclusie dat de oorzaak van de misstanden veelal moet worden gezocht in een gebrek aan integriteit bij het topmanagement.

Ten tweede speelt risk assessment een centrale rol in het raamwerk. Ook dat is een verbetering. Relevante risico’s moeten bekend zijn en beperkt worden, voor zover dat bedrijfseconomisch zinvol is. Uitgangspunt daarbij is dat de kosten van de beheersingsmaatregelen in een goede verhouding moeten staan tot de gerealiseerde risicobeperking.

De Amerikaanse Sarbanes-Oxley-wetgeving is vooral gericht op het voorkomen van frauduleuze ingrepen in de financiële rapportage door het topmanagement. Ik ben het met Pruijm eens dat dit soort fraudes moeilijk is te bestrijden met de traditionele beheersingsmaatregelen. Wij zien nu in de praktijk dat (mede onder invloed van Auditing Standard nr. 2) uitgebreide documentatie- en testwerkzaamheden worden uitgevoerd, waarbij het de vraag is of daarmee het gestelde doel wordt bereikt.

Dat ligt echter niet aan het COSO-raamwerk, hoogstens aan de interpretatie daarvan door de PCAOB. Ook de recente COSO Guidance for Smaller Public Companies wijkt af van de uitgangspunten van het oorspronkelijke COSO Framework: de componenten control environment en risk assessment worden onderbelicht, de control activities krijgen alle aandacht.

Dat sluit overigens wél aan op de behoeften van accountants: auditing is het toetsen aan normen, accountants hebben dus normen nodig. Het COSO-raamwerk biedt daarvoor mogelijk te weinig houvast. De mate van risicoacceptatie (risk appetite) van het management bepaalt bij toepassing van dit raamwerk of risico’s wel of niet zullen worden afgedekt. Dat leidt tot situatieafhankelijke normen ten aanzien van de te nemen beheersingsmaatregelen. Een oplossing is wellicht om eisen te stellen aan de mate van risicoacceptatie. Ook zou gedacht kunnen worden aan het expliciteren van de risicoacceptatie, in de rapportage over het systeem van interne beheersing.

Conclusie: Er is niets mis met het COSO-raamwerk. Het is een kader, waarbinnen veel organisaties een passende vorm van interne beheersing kunnen realiseren. Het raamwerk biedt voldoende ruimte om daarin gekoesterde Nederlandse opvattingen over interne beheersing in te kunnen passen. Maar het biedt ook de ruimte om lossere opvattingen na te volgen, waarbij risico-analyse het uitgangspunt blijft. Accountants doen er goed aan om op deze punten met hun cliënten mee te denken.

Noot
Fred de Koning is hoogleraar bestuurlijke informatieverzorging aan Business Universiteit Nyenrode en voorzitter van de vakgroep BIV van de NIVRA-Nyenrode School of Accountancy and Controlling.

Naschrift Ruud Pruijm: Waarom niet?

Dank aan collega Fred de Koning voor zijn reactie. Maar ik ben het op een groot aantal punten met hem oneens.

Allereerst dit: EFQM voldoet op alle punten aan Auditing Standard nummer 2: internationaal erkend, vastgesteld door experts en op zorgvuldige wijze tot stand gekomen enz. Het is naar mijn mening ook onjuist om zo specifiek te wijzen op het ontbreken van het aspect financiële rapportage in EFQM.

Het voert te ver om hier de hele theorie achter dit systeem te behandelen. In ieder geval is wel duidelijk dat in dit model geen enkel onderdeel van de organisatie kan ontsnappen aan de aandacht van het kwaliteitsmanagementsysteem. Sterker nog, het is bedoeld als besturingsmodel. Iedereen en alle processen doen mee, met als doel de gehele organisatie te laten evolueren, waardoor het bedrijfsresultaat verbetert. Excelleren noemt men dat.

Het is ook juist de grote aandacht voor de processen die er toe bijdraagt dat de betrouwbaarheid van de financiële rapportage toeneemt. Evaluatie van bedrijfsrisico’s is eveneens een wezenlijk onderdeel van het model, evenals compliance met regelgeving.

Dat de term internal control niet expliciet wordt gebruikt wil nog niet zeggen dat EFQM niet geschikt zou zijn als model om een onderneming beter beheersbaar te maken.

Gerelateerd

Aanmelden nieuwsbrief

Ontvang elke werkdag (maandag t/m vrijdag) de laatste nieuwsberichten, opinies en artikelen in uw mailbox.

Bent u NBA-lid? Dan kunt u zich ook aanmelden via uw ledenprofiel op MijnNBA.nl.