Interna bedrägerier är en stor del av den operativa risk som alla organisationer står inför. Detta gäller särskilt för multinationella företag som har affärsintressen i olika länder över hela världen. Detta beror på att det finns tusentals personer i viktiga positioner som fattar affärsbeslut för företagets räkning. Därför är det en svår uppgift att säkerställa att alla dessa anställda alltid agerar i enlighet med företagets principer.

Denna fråga blev alltmer framträdande under sekelskiftet. Enronskandalen, som skakade hela världsekonomin i början av 2000-talet, betonade också behovet av att ha ordentlig intern kontroll i alla organisationer. Som svar på Enronskandalen antog USA:s regering en banbrytande lag som kallas Sarbanes-Oxley-lagen, eller SOX. Enligt bestämmelserna i denna lag är företagets ledning och revisorer gemensamt ansvariga för att tydligt dokumentera de interna kontrollprocesserna och få dem certifierade.

Forskning har visat att bristen på korrekt definierade interna kontroller är orsaken till mer än 50 % av alla interna bedrägerier i världen. Eftersom varje företag nu måste dokumentera dessa processer har Committee of Sponsoring Organizations (COSO) tagit fram ett ramverk som kan följas av alla organisationer för att utveckla och dokumentera sina interna kontroller. Detta system har utformats av experter och kan användas av alla organisationer för att förbättra sina riskhanteringsinsatser. COSO är en kommitté som består av fem stora organisationer.

Vad är COSO-ramverket?

COSO-ramverket utvecklades första gången år 1992. Under årens lopp har det genomgått flera iterationer och har reviderats flera gånger. Modellen har tre dimensioner, vilket är anledningen till att den ofta visas på en kub.

Den första dimensionen: Funktionerna

COSO-ramverket nämner åtgärder som behöver vidtas inom tre olika funktioner. De är:

1. Verksamhet: COSO-ramverket föreslår att organisationens verksamhet studeras noggrant för att utveckla interna kontroller.

2. Rapportering: COSO-ramverket föreslår också att alla informationskällor som används i intern eller extern rapportering måste granskas för att säkerställa noggrannhet. Dessa granskningar måste ske med jämna mellanrum och säkerställa att företagets informationssystem fungerar i rätt tid, pålitligt och transparent sätt.

3. efterlevnad: Slutligen måste målen för intern kontroll vara i linje med de olika lagar och förordningar som företaget förväntas följa.

De andra dimensionerna: Nivåerna

COSO-ramverket föreslår att organisationen måste delas in i olika nivåer för att hantera intern kontroll. De interna kontrollerna bör kontinuerligt övervakas på olika nivåer, såsom dotterbolagsnivå, affärsenhetsnivå, divisionsnivå samt enhetsnivå.

Den tredje dimensionen: Miljön

1. Intern miljö: Företagets interna miljö hänvisar till den kultur som sprids av högsta ledningen. En av anledningarna bakom katastrofen på Enron var att de oetiska värderingar som sprids av högsta ledningen sipprade igenom till lägre ledningsnivåer. Det är av denna anledning som styrelsen, såväl som externa parter, förväntas hålla ett öga på om högsta ledningen är engagerad i att upprätthålla en bedrägerifri intern miljö i företaget.

2. Riskbedömning: Detta hänvisar till ett system för att rutinmässigt identifiera och klassificera olika typer av risker. Organisationen bör ha ett system för att skanna sin omgivning efter möjliga orsaker som kan leda till misslyckanden i framtiden.

3. Kontrollaktiviteter: Kontrollprocedurer är aktiviteter som ledningen listar för att mildra hot som kan uppstå. Det är aktiviteter som godkännanden, avstämningar och verifieringar som utförs för att identifiera om någon risk missas. Interna kontroller hjälper till att identifiera brister i systemet.

4. Information och kommunikation: Detta steg innebär att bygga ett starkt internt kommunikationssystem. Det innebär att alla interna parter måste vara tydliga med vad deras ansvar är. Förväntningarna bör också tydliggöras med externa parter. Protokoll för att eskalera eventuella risker mellan både interna och externa parter för att säkerställa en snabb lösning måste införas.

5. Övervakning: Det sista steget innefattar kontinuerlig övervakning av alla steg som har vidtagits i de tidigare stegen. Det är lika viktigt att övervaka ett system för intern kontroll som att skapa ett.

COSO-modellen betonar att alla fem komponenterna fungerar tillsammans som ett integrerat system. Om någon av komponenterna inte fungerar korrekt påverkas även alla andra komponenter. Tanken bakom ramverket är att tillhandahålla en uppsättning verktyg som varje företag måste använda. Den specifika organisationen kan sedan gå vidare och bestämma vilka specifika metoder de vill följa för kontroller eller informationshantering. Den standardiserade modellen gör implementeringen av riskhantering jämförelsevis enklare.