Rapport van de National Commission
Committee of Sponsoring Organizations (COSO) | 1987
Dit rapport door Committee of Sponsoring Organizations (COSO) van de Treadway Commission, was het resultaat van een initiatief in 1985 om vanuit de privésector de oorzakelijke factoren te onderzoeken die leidden tot frauduleuze financiële rapportering na een aantal boekhoudschandalen in de jaren 70 en midden jaren 80. Dit rapport werd gepubliceerd in 1987. De Commissie had drie belangrijke doelstellingen met dit onderzoek: [citaat]
-
- De mate waarin frauduleuze financiële verslaggeving de integriteit van de financiële verslaggeving ondermijnt; de krachten en de mogelijkheden, milieu, institutioneel of individueel, die kunnen bijdragen aan deze daden; de mate waarin frauduleuze financiële verslaggeving kan worden voorkomen of ontmoedigd en waarin het eerder kan worden ontdekt nadat het heeft plaatsgevonden; in welke mate, indien van toepassing, incidenten van dit type fraude het gevolg kunnen zijn van een afname in professionaliteit van financiële functionarissen en interne auditors van bedrijven; en in welke mate, indien van toepassing, de regelgevende en wetshandhavingsomgeving onbewust dit type fraude kan hebben getolereerd of eraan kan hebben bijgedragen.
- Onderzoek de rol van de onafhankelijke openbare accountant bij het opsporen van fraude, met bijzondere aandacht voor de vraag of het opsporen van frauduleuze financiële verslaglegging is verwaarloosd of onvoldoende aandacht heeft gekregen en of het vermogen van de onafhankelijke openbare accountant om dergelijke fraude op te sporen kan worden vergroot, en ga na of wijzigingen in controlestandaarden of -procedures – intern en extern – de omvang van frauduleuze financiële verslaglegging zouden kunnen verminderen.
- Kenmerken van de bedrijfsstructuur identificeren die kunnen bijdragen aan frauduleuze financiële verslaglegging of aan het niet tijdig ontdekken van dergelijke handelingen. [einde citaat]
Drie relevante factoren
Hoewel precieze kwantificering onmogelijk bleek, concludeerde de Commissie dat drie andere factoren relevant zijn: [citaat]
-
- Gevolgen van frauduleuze financiële verslaglegging. Ten eerste heeft frauduleuze financiële verslaglegging ernstige gevolgen. De schade die ontstaat is wijdverspreid, met soms een verwoestend rimpeleffect. De getroffenen kunnen variëren van de directe slachtoffers – de aandeelhouders en crediteuren van het bedrijf – tot de verder weg gelegen personen – die geschaad worden wanneer het vertrouwen van beleggers in de aandelenmarkt geschokt wordt. Tussen deze twee uitersten in kunnen vele anderen worden getroffen: werknemers die hun baan verliezen of hun pensioenfonds minder waard wordt; spaarders in financiële instellingen; de verzekeraars, accountants, advocaten en verzekeraars van het bedrijf; en zelfs eerlijke concurrenten wiens reputatie eronder lijdt.
- Risico van optreden. Om het risico van frauduleuze financiële verslaglegging te beoordelen, analyseerde de Commissie de oorzaken. We hebben geconcludeerd dat de oorzakelijke factoren, de krachten en mogelijkheden die aanwezig waren in talrijke SEC-handhavingszaken, in zekere mate aanwezig zijn in alle ondernemingen. Geen enkel bedrijf, ongeacht de grootte of het bedrijf, is immuun voor de mogelijkheid van frauduleuze financiële verslaglegging. Die mogelijkheid is inherent aan zakendoen.
- Realistisch potentieel voor risicovermindering. Wij geloven dat er een realistisch potentieel bestaat om het risico van frauduleuze financiële verslaggeving te verminderen, op voorwaarde dat het probleem als multidimensionaal wordt beschouwd en aangepakt. De multidimensionale aard van het probleem wordt duidelijk als we alleen al kijken naar de vele deelnemers die het proces van financiële verslaggeving vormgeven: het bedrijf en het management, de onafhankelijke accountant, regelgevende en wetshandhavende instanties en zelfs opvoeders. Ieder van hen heeft het potentieel om de uitkomst van het financiële verslaggevingsproces te beïnvloeden. Daarom zijn wij van mening dat een multidimensionale aanpak die de rol van elke deelnemer analyseert en aanpakt, het maximale potentieel heeft om het aantal frauduleuze financiële rapportages te verminderen. [einde citaat]
Op weg naar een raamwerk
In het verlengde en op basis van de gerichte aanbevelingen van dit rapport en om te voldoen aan haar missie om de financiële verslaglegging te verbeteren, heeft COSO een aantal richtlijnen opgesteld voor het beheer van een systeem van interne controles over de financiële verslaglegging.
In 1992 werd Internal Control – Integrated Framework gepubliceerd en in 2004 volgde Enterprise Risk Management – Integrated Framework. Diverse aanpassingen volgden.
Relevante koepelorganisaties inzake bestempelden dit raamwerk als een acceptabele en bruikbare benadering van Enterprise Risk Management (ERM). De commissie ontwikkelde daarbij ook aanbevelingen voor openbare bedrijven en hun onafhankelijke accountants, en regelgevende instanties, en onderwijsinstellingen.
Het COSO raamwerk helpt organisaties bij het ontwerpen en implementeren van interne controles, verbreedt de toepassing van interne controles bij het aanpakken van operationele en rapportagedoelstellingen en verduidelijkt de vereisten voor het bepalen van effectieve interne controle. Het raamwerk biedt een toegepaste risicomanagementbenadering voor interne controles.
Het COSO-raamwerk is van toepassing op externe financiële verslaglegging en interne controleactiviteiten. Zij richt zich daarbij op de onderlinge relaties tussen belanghebbenden en processen en op het opstellen van een risicobeoordeling die begint met bedrijfsdoelstellingen en vervolgens plannen implementeert op basis van risicobereidheid.
Dit geïntegreerde raamwerk richtte zich aanvankelijk op een effectief intern controlesysteem van vijf geïntegreerde componenten die samenwerken om de missie, strategieën en gerelateerde bedrijfsdoelstellingen van een organisatie te ondersteunen
1. Controleomgeving
De controleomgeving zet de toon van een organisatie en beïnvloedt het controlebewustzijn van de mensen. Het is de basis voor alle andere componenten van interne controle en zorgt voor discipline en structuur.
Factoren in de controleomgeving zijn onder andere de integriteit, ethische waarden en competentie van de mensen van de entiteit; de filosofie en de manier van werken van het management; de manier waarop het management autoriteit en verantwoordelijkheid toewijst en zijn mensen organiseert en ontwikkelt; en de aandacht en richting die de raad van bestuur geeft.
2. Risicobeoordeling
Risicobeoordeling is de identificatie en analyse van relevante risico’s voor het bereiken van de doelstellingen en vormt de basis voor het bepalen hoe de risico’s moeten worden beheerd. Omdat de economische, industriële, regelgevende en operationele omstandigheden zullen blijven veranderen, zijn er mechanismen nodig om de speciale risico’s die gepaard gaan met verandering te identificeren en aan te pakken.
3. Controleactiviteiten
Controleactiviteiten zijn de beleidslijnen en procedures die ervoor zorgen dat de richtlijnen van het management worden uitgevoerd. Ze helpen ervoor te zorgen dat de nodige acties worden ondernomen om risico’s voor het bereiken van de doelstellingen van de entiteit aan te pakken.
Controleactiviteiten komen voor in de hele organisatie, op alle niveaus en in alle functies. Ze omvatten een scala aan activiteiten zoals goedkeuringen, autorisaties, verificaties, aansluitingen, beoordelingen van operationele prestaties, beveiliging van activa en scheiding van taken.
4. Informatie en communicatie
Relevante informatie moet worden geïdentificeerd, vastgelegd en gecommuniceerd in een vorm en binnen een tijdsbestek die mensen in staat stellen hun verantwoordelijkheden uit te voeren. Informatiesystemen produceren rapporten met operationele, financiële en compliancegerelateerde informatie die het mogelijk maken om het bedrijf te leiden en te controleren. Ze hebben niet alleen betrekking op intern gegenereerde gegevens, maar ook op informatie over externe gebeurtenissen, activiteiten en omstandigheden die nodig zijn voor geïnformeerde zakelijke besluitvorming en externe verslaggeving.
Effectieve communicatie moet ook in bredere zin plaatsvinden, naar beneden, over en boven in de organisatie. Al het personeel moet een duidelijke boodschap krijgen van het topmanagement dat controleverantwoordelijkheden serieus moeten worden genomen. Ze moeten hun eigen rol in het interne controlesysteem begrijpen, evenals hoe individuele activiteiten verband houden met het werk van anderen. Ze moeten een middel hebben om belangrijke informatie stroomopwaarts te communiceren.
Er moet ook effectieve communicatie zijn met externe partijen, zoals klanten, leveranciers, regelgevers en aandeelhouders.
5. Monitoring
Interne controlesystemen moeten worden gecontroleerd – een proces dat de kwaliteit van de prestaties van het systeem in de loop van de tijd beoordeelt. Dit gebeurt door voortdurende controleactiviteiten, afzonderlijke evaluaties of een combinatie van beide.
Voortdurende controle vindt plaats tijdens de activiteiten. Het omvat regelmatige management- en toezichtactiviteiten en andere acties die het personeel onderneemt bij het uitvoeren van hun taken. De reikwijdte en frequentie van afzonderlijke evaluaties zal voornamelijk afhangen van een beoordeling van de risico’s en de effectiviteit van de lopende monitoringprocedures.
Ten slotte
Volgens COSO is de ‘Raad van bestuur’ het startpunt voor al het risicotoezicht. Zij is uiteindelijk verantwoordelijk voor het beoordelen van risicotolerantieniveaus en het creëren van een cultuur die gericht is op het minimaliseren van risico’s in de dagelijkse activiteiten.
Bibliografie
National Commission on Fraudulent Financial Reporting (1987). Report of the National Commission on Fraudulent Financial Reporting. Committee of Sponsoring Organizations van de Treadway Commission (COSO).
Selectie en Nederlandse vertaling: Jack Kruf.
PRIMO Res Publica 