COSO model
Het COSO-model, oftewel het Committee of Sponsoring Organizations of the Treadway Commission, biedt een raamwerk voor interne controle en risicobeheer. Het wordt ook wel COSO ERM (Enterpise Risk Management) genoemd. Zoals de naam al aangeeft, COSO is een model. Het COSO-model en een digitaal managementsysteem is dan een mooie combinatie dat helpt bij het identificeren, evalueren en beheren van risico's die specifiek zijn voor de eigen organisatie en alle relevante processen. Met het digitale managementsysteem is een COSO framework op te zetten én te gebruiken.
Wat is COSO
COSO beschrijft en definieert de verschillende elementen van een intern beheersingssysteem. Een organisatie die haar doelstellingen wil bereiken dient goed om te gaan met risico's en zorgen voor een goede risicobeheersing.
Het model geeft in de COSO-kubus de directe relatie weer tussen:
- de doelstellingen van een organisatie
- de beheersingscomponenten
- de entiteiten / eenheden waarvoor de interne beheersing benodigd is
De 8 beheercomponenten van COSO
In de COSO kubus komen 8 beheercomponenten voor:
- Interne omgeving (cultuur, stijl van leiding geven, integriteit, ethiek, verdeling van taken en bevoegdheden, de mate waarin risico’s worden genomen (de risicobereidheid van een organisatie wordt hierin gedefinieerd, ook wel risk appetite genoemd))
- Bepaling van doelstellingen (objective setting)
- Identificatie van de gebeurtenissen (kansen/risico's die een positieve of negatieve invloed kunnen hebben op het behalen van de doelstellingen)
- De risico-inschatting of de beoordeling van de geïdentificeerde risico’s (waarschijnlijkheid dat risico zich zal voordoen en de gevolgen indien het zich voordoet)
- De risicobeheersingsmaatregelen (risk response) - (risico’s vermijden, aanvaarden, delen of verminderen)
- Beheersmaatregelen (bv. sloten op de deur, brandslangen, wachtwoorden voor de pc's functiescheiding etc.)
- Informatie en communicatie
- Monitoring (periodieke evaluatie van het hele systeem van interne beheersing en de samenhang ervan)
COSO en het Metaware platform
Met een digitaal managementsysteem platform als het Metaware platform, is een COSO model in te richten én toe te passen. Een volwassen managementsysteem ingericht op het Metaware platform, biedt als veel aanknopingspunten voor het COSO model.
Een overzicht van functionaliteiten van een volwassen managementsysteem, die direct zijn toe te passen voor een COSO-model:
| Interne omgeving |
- Een duidelijk én actueel overzicht hoe taken en verantwoordelijkheden binnen de organisatie zijn belegd
- Een geïmplementeerd risicomanagement proces: risicomethode, risico-eigenaren, risico-acceptatie, risicobehandelplan
|
| Bepaling van doelstellingen |
- Vastlegging én communicatie van doelstellingen
- Bewaking van doelstellingen (KPI's) obv realisaties
|
| Identificatie van de gebeurtenissen |
- Een dynamisch risicomanagement proces is geïntegreerd in het platform
- Risico en gerelateerde beheersmaatregelen zijn in control framework op te nemen
|
| De risico-inschatting |
- Risico-inschatting is een onderdeel van het risicomanagement proces
- Proces- / risico-eigenaren spelen een actieve rol
|
| De risicobeheersingsmaatregelen |
- Risicorespons is een onderdeel van het risicomanagement proces
- Effectiviteit van risicomaatregelen wordt teruggekoppeld
|
| Beheersmaatregelen |
- Het control framework is uitbreidbaar naar andere beheersmaatregelen
|
| Informatie en communicatie |
- Het managementsysteem platform is een sociaal platform met diverse communicatie-functies
- Gebruikers kunnen actief worden geïnformeerd bij nieuwe informatie
|
| Monitoring |
- Monitoring is een vast onderdeel binnen het control framework
- Workflows zijn zelf te definiëren, ook om bv een monitoring-stap op te nemen
|