Regulering Flashcards
Hoe definieert COSO ICIF (2013) ‘in control’?
Wanneer management, bestuur en toezichthouders (RvC) redelijke mate van zekerheid hebben over:
- Bereiken van operationele effectiviteit en efficiency.
- Gepubliceerde financiële verslagen en interne rapportages zijn betrouwbaar.
- Van toepassing zijnde wetgeving en regels, alsmede interne regels en procedures zijn nageleefd.
Hoe definieert Paape ‘in control’?
Een organisatie is ‘in control’, als zij beschikt over een Management Control Systeem (MCS) dat haar in staat stelt binnen een vooraf gedefinieerde periode in x% van de tijd binnen een vooraf gedefinieerde risicotolerantie te blijven. Indien buiten die risicotolerantiegrens wordt getreden stelt het MCS de organisatie in staat dat tijdig te constateren en dit te herstellen. Praktisch is het probleem, dat de risicotolerantie moeilijk te kwantificeren is en dat zich verschijnselen kunnen voordoen (bijvoorbeeld een recessie), die de ondernemer niet voorzien heeft.
Hoe definieert COSO ICIF (2013) ‘interne beheersing’?
Interne beheersing is een proces dat wordt beïnvloed door het bestuur, management en medewerkers met als doel het verkrijgen van een redelijke mate van zekerheid dat de doelstellingen met betrekking tot bedrijfsactiviteiten (operations), rapportage (reporting) en het voldoen aan wet- en regelgeving (compliance) worden behaald. De onderneming kan effectieve interne beheersing creëren door het toepassen van alle 17 principes die in als fundament van het raamwerk in het artikel zijn beschreven.
Uit welke verticale elementen bestaat COSO ICIF
- Control environment: Het geheel aan standaarden, processen en structuren die de basis vormen voor de uitvoering van internal control binnen de organisatie.
- Risk assessment: Dit houdt een beoordeling in van kans en impact van bestaande risicofactoren.
- Control activities: Dit betreffen de handelingen die worden vastgesteld in de vorm van beleid en procedures, om ervoor te zorgen dat aanwijzingen vanuit het management om risico’s de mitigeren zullen worden opgevolgd. Dit element richt zich o.a. op een balans tussen preventieve en detectieve maatregelen, functiescheiding, authorisatieprocedures, etc.
- Information & Communication: Informatievoorziening is noodzakelijk in de uitvoering van internal control. Communicatie houdt het constante proces in van het delen van benodigde informatie.
- Monitoring activities: Dit houdt in dat de uitvoering van internal control moet worden gemonitord, omdat dit een vereiste is om vast te kunnen stellen of de geïmplementeerde maatregelen ook daadwerkelijk worden uitgevoerd.
Welke doelstellingen heeft COSO ICIF
- Operations objectives (bedrijfsdoelstellingen): Deze hebben betrekking op de effectiviteit en efficiëntie van de bedrijfsactiviteiten, waaronder operationele en financiële doelstellingen en het waarborgen van activa tegen verliezen.
- Reporting objectives (rapportagedoelstellingen): Deze hebben betrekking op interne en externe financiële en niet-financiële rapportage en bevat bijvoorbeeld betrouwbaarheid, tijdigheid, transparantie of andere voorwaarden die gesteld worden door toezichthouders, wetgevers of het bedrijfsbeleid
- Compliance objectives (nakoming wet- en regelgeving): Deze hebben betrekking op wet- en regelgeving waaraan een onderneming onderhevig is.
Wat zijn de three lines of defence (COSO ICIF)
- Mangement controls (opzet)
- Interne checks: security, risk management, compliance etc.
- Internal audit
Uit welke verticaleelementen bestaat COSO ERM
- Internal Environment: toon van organisatie en basis voor hoe risico’s bekeken en aangepakt worden, inclusief risicobereidheid, integriteit en ethische waarden en omgeving waarin ze opereren;
- Objective Setting: voordat management potentiële gebeurtenissen kan identificeren en erop inspelen om te kijken wat de impact is op het realiseren van doelen, moeten er doelstellingen zijn geformuleerd welke de missie ondersteunen en zijn afgestemd op de risicobereidheid;
- Event Identification: risico’s en kansen moeten worden kunnen geïdentificeerd, zowel interne als externe;
- Risk Assessment: likelihood en magnitude van risico’s moet worden ingeschat om als basis te dienen hoe ze worden beheerd;
- Risk Response: de risicoresponse aanpak moet worden gekozen (vermijden, accepteren, verminderen of delen), management ontwikkelt acties om de risico’s af te stemmen op de risicobereidheid en toleranties van het bedrijf;
- Control Activities: beleid en procedures worden opgesteld en geïmplementeerd die waarborgen dat risico’s effectief worden aangepakt;
- Information & Communication: Relevante en kwalitatieve informatie – zowel interne als externe – is nodig voor een bedrijf om interne beheersingsverantwoordelijkheden te kunnen uitoefenen. Communicatie is het continue iteratieve proces omtrent verstrekken, delen en verkrijgen van benodigde informatie. Het gaat hier om interne communicatie (binnen het bedrijf, opwaarts, afwaarts of zijwaarts) en externe communicatie (verkrijgen van informatie van buitenaf + het delen van informatie naar buiten);
- Monitoring: Dit betreft toezichthouden op de aanwezigheid en effectieve werking van de componenten van ERM middels ongoing evaluaties, separate evaluaties of een combinatie daarvan. Bevindingen worden geëvalueerd aan criteria gesteld door toezichthouders, regelgevende instellingen of management en directie. Indien relevant geacht worden ze gedeeld met directie en management.
Welke doelstellingen heeft COSO ERM
- Strategisch: hoog-over doelen die afgestemd zijn op de missie en deze ook ondersteunen;
- Operations: gaan in op effectiviteit en efficiëntie van de activiteiten – financiële en operationele doelstellingen en waarborgen van activa tegen verliezen;
- Reporting: gaan in op interne en externe, financiële en niet-financiële rapportage – betrouwbaarheid, tijdigheid, transparantie en overige voorwaarden die worden gesteld door het bedrijfsbeleid, toezichthouders of wetgevers;
- Compliance: gaan in het op naleven van de wet- en regelgeving die gelden voor de organisatie.
Hoe kan je volgens Paape de balans weer herstellen als je out of control bent?
- Het uitbreiden van de beheersingsmaatregelen om met nieuwe of grotere risico’s om te gaan. Beheersmaatregelen kosten geld en als we niet bereid zijn om dit uit te geven, dan dient hiervoor een andere oplossing gezocht te worden.
- Die oplossing is dan het vergroten van de bereidheid om risico’s te accepteren (risicotolerantie). Risicotolerantie is bij voorkeur in een geldbedrag uit te drukken en geeft kwantificering van fluctuaties van resultaten die acceptabel geacht worden.
Welke signalen constateert de NBA in haar managementletter m.b.t. risicomanagement en welke aanbevelingen doet zij?
Signaal 1: Risico’s managen is mensenwerk
Aanbeveling 1: Vergeet cultuur en gedrag niet, verkrijg inzicht in de cultuur en het gedrag van medewerkers.
Signaal 2: Risicobereidheid is niet helder
Aanbeveling 2: Maak risicobereidheid concreet, koppel de risicobereidheid aan de strategie op lange termijn.
Signaal 3: Verankering in de onderneming is onvoldoende
Aanbeveling 3: Zie risicomanagement niet als een geïsoleerd thema, zorg ervoor dat risicomanagement wordt geïntegreerd met de planning en control cyclus. Het vaststellen en monitoren van risico’s is niet alleen een taak van het risicomanagement, maar in feite van elke manager.
Signaal 4: Risicoparagraaf schiet tekort
Aanbeveling 4: Geef de lezer de risicoparagraaf die hij wil, beschouw de risicoparagraaf niet als een verplichte verantwoordingsrapportage, maar als een communicatiemiddel om de stakeholders te informeren.
Signaal 5: Accountants hebben weinig oog voor risicomanagement
Aanbeveling 5: Accountants, doe uw mond open, investeer in kennis. Neem in het controleteam een specialist op met kennis van risicobeheersing. Besteed bij de controle aandacht aan de wijze waarop de cliënt risico’s onderkent, beheerst en verwerkt in de risicoparagraaf.
Wat zijn de fasen van risicomangement?
- Risico identificatie
- Risico assessment
Kwantitatief
Kwalitatief - Risico agility (aanpassen van risicomangement in veranderende omgevingen)
- Risico behandeling (elimineren, verzekeren etc.)
- Risico monitoring en review
Wat is Risk appetite?
De risicobereidheid, de hoeveelheid en type risico een onderneming bereid is om te nemen om een doelstelling te behalen.
Wat zijn de voordelen van COSO ERM?
- Vergroten van kansen
- Entiteit breed risico’s identificeren en beheren
- Positieve uitkomsten stimuleren / verrassingen verkleinen
- Beter inspelen op veranderingen
- Verbeteren inzet middelen
- Verbeteren veerkracht entiteit
Naar welke elementen van het COSO framework heeft Hermanson et al. onderzoek naar gedaan? En wat waren de uitkomsten?
- Control environment elements
- Risk assessment elements
- Monitoring activities elements
Bevindingen:
De tone at the top wordt onvoldoende getoetst, terwijl bij bijna 90% van de fraudes de CEO of CFO betrokken is
- Weinig toezicht op het naleven van de interne beheersing (richtlijnen en procedures)
- Er is te weinig aandacht voor het doorbreken van de interne beheersing door het management
- Geen van de interne beheersingsmaatregelen scoort hier hoog
Wat is het doel van COSO ICIF? En wat is de conclusie van de schrijvers?
Het framework biedt toegevoegde waarde voor zowel het management van organisaties en het bestuur als voor external stakeholders. Voor organisaties kan het framework o.a. dienen als middel om risico’s te identificeren en te analyseren, en om passende maatregelen voor deze risico’s te implementeren. Voor stakeholders biedt de implementatie van het framework bijvoorbeeld meer vertrouwen in de effectiviteit van de interne beheersing.
De conclusie van de schrijvers is als volgt: Om bedrijfsdoelstellingen te kunnen realiseren moet elk van de 17 principes van alle 5 de componenten goed zijn geïmplementeerd en goed werken, ze werken als 1 geheel en niet los van elkaar.
