Interne fraude vormt een groot deel van het operationele risico waarmee elke organisatie te maken heeft. Dit geldt in het bijzonder voor multinationals met zakelijke belangen in verschillende landen wereldwijd. Dit komt doordat er duizenden mensen op belangrijke posities namens het bedrijf zakelijke beslissingen nemen. Het is dan ook een lastige opgave om ervoor te zorgen dat al deze medewerkers altijd handelen in overeenstemming met de bedrijfsprincipes.

Deze kwestie werd rond de eeuwwisseling steeds belangrijker. Het Enron-schandaal, dat begin jaren 2000 de wereldeconomie deed schudden, benadrukte eveneens de noodzaak van goede interne controle in elke organisatie. Als reactie op het Enron-schandaal nam de Amerikaanse overheid een baanbrekende wet aan: de Sarbanes-Oxley Act (SOX). Volgens de bepalingen van deze wet zijn het management en de accountants van het bedrijf gezamenlijk verantwoordelijk voor het duidelijk documenteren en laten certificeren van de interne controleprocessen.

Onderzoek heeft uitgewezen dat het ontbreken van goed gedefinieerde interne controles de oorzaak is van meer dan 50% van de interne fraude wereldwijd. Omdat elk bedrijf deze processen moet documenteren, heeft het Committee of Sponsoring Organizations (COSO) een raamwerk ontwikkeld dat door alle organisaties kan worden gevolgd om hun interne controles te ontwikkelen en te documenteren. Dit systeem is ontworpen door experts en kan door elke organisatie worden gebruikt om haar risicomanagementactiviteiten te verbeteren. Het COSO is een comité dat bestaat uit vijf belangrijke verenigingen:

Wat is het COSO-kader?

Het COSO-framework werd voor het eerst ontwikkeld in 1992. In de loop der jaren heeft het verschillende iteraties ondergaan en is het meerdere keren herzien. Het model heeft drie dimensies en wordt daarom vaak op een kubus weergegeven.

De eerste dimensie: de functies

Het COSO-framework noemt acties die binnen drie verschillende functies moeten worden ondernomen. Deze zijn:

1. Operations: Het COSO-raamwerk suggereert dat de activiteiten van de organisatie grondig bestudeerd moeten worden om interne controles te ontwikkelen

2. Rapportage: Het COSO-kader suggereert ook dat elke informatiebron die bijdraagt ​​aan interne of externe rapportage, gecontroleerd moet worden op nauwkeurigheid. Deze controles moeten periodiek plaatsvinden en moeten ervoor zorgen dat het informatiesysteem van het bedrijf tijdig, betrouwbaar en transparant functioneert.

3. Nakoming: Ten slotte moeten de doelstellingen van de interne controle worden afgestemd op de verschillende wetten en regels waaraan het bedrijf zich moet houden.

De tweede dimensies: de niveaus

Het COSO-raamwerk suggereert dat de organisatie moet worden opgedeeld in verschillende niveaus om de interne controle te beheren. De interne controle moet continu worden gemonitord op verschillende niveaus, zoals op het niveau van dochterondernemingen, business units, divisies en entiteiten.

De derde dimensie: het milieu

1. Interne omgeving: De interne omgeving van het bedrijf verwijst naar de cultuur die door het topmanagement wordt uitgedragen. Een van de redenen achter het debacle bij Enron was dat de onethische waarden die door het topmanagement werden uitgedragen, doorsijpelden naar lagere managementniveaus. Daarom wordt van de raad van bestuur, evenals van externe partijen, verwacht dat ze nauwlettend in de gaten houden of het topmanagement zich inzet voor het handhaven van een fraudevrije interne omgeving binnen het bedrijf.

2. Risicobeoordeling: Dit verwijst naar een systeem voor het routinematig identificeren en classificeren van de verschillende soorten risico's. De organisatie dient over een systeem te beschikken om haar omgeving te scannen op mogelijke oorzaken die in de toekomst tot falen kunnen leiden.

3. Controleactiviteiten: Controleprocedures zijn activiteiten die door het management worden vastgelegd om mogelijke bedreigingen te beperken. Dit zijn activiteiten zoals goedkeuringen, reconciliaties en verificaties die worden uitgevoerd om vast te stellen of er risico's over het hoofd worden gezien. Interne controles helpen bij het aanwijzen van tekortkomingen in het systeem.

4. Informatie en communicatie: Deze stap omvat het opbouwen van een sterk intern communicatiesysteem. Dit betekent dat alle interne partijen duidelijk moeten zijn over hun verantwoordelijkheden. Ook moeten de verwachtingen duidelijk zijn naar externe partijen. Protocollen om risico's te escaleren, zowel intern als extern, om een ​​snelle oplossing te garanderen, moeten worden geïmplementeerd.

5. Monitoring: De laatste stap omvat het continu monitoren van alle stappen die in de eerdere stappen zijn genomen. Het monitoren van een systeem voor interne controle is net zo belangrijk als het creëren ervan.

Het COSO-model benadrukt dat alle vijf componenten samenwerken als een geïntegreerd systeem. Een storing van één component heeft ook gevolgen voor alle andere componenten. Het idee achter het raamwerk is om een ​​set tools te bieden die door elk bedrijf gebruikt moeten worden. De specifieke organisatie kan vervolgens zelf bepalen welke methoden ze wil volgen voor controles of informatiebeheer. Het gestandaardiseerde model maakt de implementatie van risicomanagement relatief eenvoudiger.