Het Committee of Sponsoring Organizations of the Treadway Commission (COSO)¹ heeft op 14 mei jl, 2013 een bijgewerkte versie van zijn Internal Control-Integrated Framework (het “2013 Framework”). Daarnaast heeft COSO twee illustratieve documenten uitgebracht: Illustrative Tools for Assessing Effectiveness of a System of Internal Control (de “Illustrative Tools”) en Internal Control Over External Financial Reporting: A Compendium of Approaches and Examples (het “ICEFR Compendium”), alsmede een samenvatting van het 2013 Framework.

Orspronkelijk uitgegeven in 1992, werd COSO’s Internal Control-Integrated Framework (het “1992 Framework”) een van de meest algemeen aanvaarde raamwerken voor interne controle in de wereld. COSO’s primaire doelstelling bij het actualiseren en verbeteren van het raamwerk is om de significante veranderingen in bedrijfs- en bedrijfsomgevingen aan te pakken die de afgelopen 20 jaar hebben plaatsgevonden.

Het 2013-raamwerk en de illustratieve hulpmiddelen kunnen worden gekocht bij de AICPA. Een samenvatting van het 2013 Framework is gratis beschikbaar op de website van COSO.

Hieronder volgt een overzicht uit de Heads Up-nieuwsbrief van Deloitte, uitgegeven op 10 juni 2013, van de verbeteringen in het 2013 Framework, een bespreking van overwegingen voor entiteiten die het 1992 Framework gebruiken bij het voldoen aan Sectie 404 van de Sarbanes-Oxley Act van 2002 (SOX), en informatie over het maken van de overgang van het 1992 Framework naar het 2013 Framework, inclusief de gevolgen voor andere COSO-gerelateerde documenten. Bovendien wordt in de bijlagen van de nieuwsbrief Heads Up van 10 juni het 2013-raamwerk vergeleken met het 1992-raamwerk en worden enkele van de uitgebreidere concepten in het 2013-raamwerk belicht. Voor aanvullende informatie over de raamwerken, zie Deloitte’s 6 februari 2012, en 7 augustus 2012, Heads Up nieuwsbrieven.

Verbetering in het 2013 Framework

Het 2013 Framework creëert een meer formele structuur voor het ontwerpen en evalueren van de effectiviteit van interne controle door:

1. Principes te gebruiken om de componenten van interne controle te beschrijven. Het 2013 Framework bevat 17 principes die de concepten verklaren die zijn verbonden aan de vijf componenten van het COSO Framework (controleomgeving, risicobeoordeling, controleactiviteiten, informatie en communicatie, en toezichtactiviteiten). Bij de ontwikkeling van de 17 beginselen heeft COSO zich gericht op concepten uit het raamwerk van 1992; rekening gehouden met de beginselen die zijn ontwikkeld en verwoord in COSO’s 2006 Internal Control Over Financial Reporting-Guidance for Smaller Public Companies (“Small Business Guidance”); en rekening gehouden met de belangrijke veranderingen in het bedrijfsleven, de bedrijfsomgeving en het bestuur sinds 1992. COSO beoogt met de beginselen ondernemingen te helpen doeltreffende systemen van interne controle op te zetten en te beoordelen of die systemen doeltreffend functioneren. Het 2013 Framework gaat ervan uit dat, omdat de 17 beginselen fundamentele concepten van de vijf componenten zijn, ze alle 17 relevant zijn voor alle entiteiten. Als een beginsel niet aanwezig is en functioneert, is de bijbehorende component dus ook niet aanwezig en functioneert deze niet. In zeldzame omstandigheden kan het management bepalen dat een beginsel niet relevant is voor een component vanwege sector-, regelgevings- of operationele aangelegenheden. Om de beginselen verder te beschrijven, maakt het Raamwerk 2013 gebruik van aandachtspunten, die doorgaans belangrijke kenmerken van de beginselen zijn. Hoewel de aandachtspunten het management kunnen helpen bij het ontwerpen, implementeren en evalueren van de interne controle en bij het beoordelen of relevante beginselen aanwezig zijn en functioneren, zijn ze niet vereist voor het beoordelen van de effectiviteit van de interne controle. Het management kan bepalen dat sommige aandachtspunten niet geschikt of relevant zijn en kan andere identificeren en in overweging nemen.

2. Een meer formele manier creëren om de interne controle volgens de beginselen te ontwerpen en te evalueren. Zie bespreking hieronder onder “Doeltreffende systemen van interne controle.”

Hoewel de fundamentele concepten in het 2013 Framework vergelijkbaar zijn met die in het 1992 Framework, voegt het 2013 Framework discussies toe over elk onderdeel en principe of breidt deze uit, met inbegrip van verbeteringen zoals de gedetailleerde aandachtspunten. Bijvoorbeeld, hoewel het concept van het identificeren van en reageren op risico’s aanwezig was in het 1992 Framework, bevat het 2013 Framework meer gedetailleerde discussies over risicobeoordelingsconcepten, waaronder die met betrekking tot inherent risico, risicotolerantie, hoe risico’s kunnen worden beheerd, en de koppeling tussen risicobeoordeling en controleactiviteiten.

Bovendien, in tegenstelling tot het 1992 Framework, bevat het 2013 Framework expliciet het concept van het overwegen van het potentieel voor frauderisico bij het beoordelen van risico’s voor het bereiken van de doelstellingen van een organisatie (zie Principle 8). Het 2013 Raamwerk legt uit dat “als onderdeel van het risicobeoordelingsproces, de organisatie de verschillende manieren moet identificeren waarop frauduleuze verslaggeving kan plaatsvinden, rekening houdend met:

• Bevooroordeeldheid van het management, bijvoorbeeld bij de keuze van de grondslagen voor financiële verslaggeving
• Graad van schattingen en oordelen bij externe verslaggeving
• Fraudeschema’s en -scenario’s die gebruikelijk zijn voor de industriesectoren en markten waarin de entiteit actief is
• Geografische regio’s waar de entiteit zaken doet
• Prikkels die frauduleus gedrag kunnen motiveren
• Natuur van technologie en het vermogen van het management om informatie te manipuleren
• Ongebruikelijke of complexe transacties die onderhevig zijn aan aanzienlijke invloed van het management
• kwetsbaarheid voor management override en mogelijke regelingen om bestaande controleactiviteiten te omzeilen”

Principe 8 bespreekt ook overwegingen met betrekking tot management override, bescherming van activa, prikkels en druk, mogelijkheden voor ongepaste handelingen, alsmede attitudes en rationalisaties die ongepaste handelingen kunnen rechtvaardigen. (Zie aanvullende bespreking van Principe 8 in Bijlage A in Heads Up, Volume 20, Issue 17.)

Verder heeft COSO in het gehele 2013 Framework overwegingen toegevoegd met betrekking tot:

• Gebruik van uitbestede dienstverleners (zie Bijlage B in Heads Up, Volume 20, Issue 17).
• Verhoogde relevantie van informatietechnologie (zie Bijlage C in Heads Up, Volume 20, Issue 17).

De onderstaande tabel vat de beginselen per onderdeel samen. Bijlage A koppelt de beginselen aan de thematische secties in het 1992 Framework (voor zover van toepassing) en vat op hoog niveau enkele van de verbeterde concepten in het 2013 Framework samen.

Controlecomponenten en -beginselen

Effectieve systemen van interne controle

In een effectief systeem van interne controle volgens het 2013 Framework:

1. Elk van de vijf componenten en relevante beginselen moet aanwezig zijn en functioneren. Onder het 2013 Framework:

• Aanwezig wordt gedefinieerd als “de vaststelling dat componenten en relevante beginselen bestaan in het ontwerp en de uitvoering van het systeem van interne controle om gespecificeerde doelstellingen te bereiken.”
• Functioneren wordt gedefinieerd als “de vaststelling dat componenten en relevante beginselen blijven bestaan in de uitvoering van het systeem van interne controle om gespecificeerde doelstellingen te bereiken.”

2. De vijf componenten moeten samen op een geïntegreerde manier functioneren. Het 2013 Framework legt uit dat:

• Samenwerken verwijst naar “de vaststelling dat alle vijf componenten gezamenlijk het risico dat een doelstelling niet wordt bereikt, tot een aanvaardbaar niveau beperken.”
• Het management kan aantonen dat de componenten samen functioneren wanneer 1) “De componenten aanwezig zijn en functioneren” en 2) “Tekortkomingen in de interne controle geaggregeerd over de componenten niet leiden tot de vaststelling dat er een of meer belangrijke tekortkomingen bestaan.”

Noot van de redacteur: Volgens de SEC-regels met betrekking tot de naleving van Sectie 404 van SOX, “moet de beoordeling van de interne controle van een onderneming over de financiële verslaglegging gebaseerd zijn op procedures die voldoende zijn om zowel de opzet als de werking ervan te evalueren.”² Evenzo vereist PCAOB Auditing Standard 5³ dat de auditor de opzet en de werking van de interne controle over de financiële verslaglegging beoordeelt. Wij zijn van mening dat “aanwezig” en “functionerend” gelijkwaardig zijn aan respectievelijk “ontwerp” en “operationele effectiviteit”.

Het 2013 Framework gebruikt de termen “tekortkoming in de interne beheersing” en “belangrijke tekortkoming” om de ernstgraden van tekortkomingen in de interne beheersing te beschrijven. Volgens het 2013 Framework verwijst een tekortkoming in de interne controle naar een “tekortkoming in een component of componenten en relevant(e) beginsel(en) die de waarschijnlijkheid vermindert dat een entiteit haar doelstellingen kan bereiken,” en een belangrijke tekortkoming verwijst naar een “tekortkoming in de interne controle of combinatie van tekortkomingen die de waarschijnlijkheid ernstig vermindert dat de entiteit haar doelstellingen kan bereiken.” Verder wordt in het Raamwerk 2013 uitgelegd dat er sprake is van een ernstige tekortkoming wanneer “een component en een of meer relevante beginselen niet aanwezig zijn of niet functioneren” of wanneer “componenten niet samen functioneren”. Bovendien, als er een belangrijke tekortkoming bestaat, kan de organisatie niet concluderen dat zij heeft voldaan aan de vereisten voor een effectief systeem van interne controle.

Belangrijk is dat het 2013 Framework erkent dat bij het evalueren van tekortkomingen in de interne controle, regelgevers, normstellers en andere partijen criteria kunnen vaststellen voor het definiëren van de ernst van, het evalueren van, en het rapporteren van tekortkomingen in de interne controle. Om aan de SOX-rapportagevereisten inzake interne controle te voldoen, zou het management de SEC-terminologie voor aanzienlijke tekortkomingen en materiële zwakheden blijven gebruiken, en zouden auditors dezelfde terminologie blijven gebruiken volgens de PCAOB-standaarden. Wanneer een onderneming de opzet en de doeltreffendheid van haar interne controle van de externe financiële verslaglegging (ICEFR) beoordeelt (d.w.z, of de beginselen aanwezig zijn en functioneren) en een tekortkoming vaststelt, zou de onderneming de definities en richtsnoeren van de SEC moeten gebruiken om de ernst van de tekortkoming te beoordelen, en zou de auditor de definities en richtsnoeren volgens de PCAOB-normen moeten gebruiken.

COSO Overgangsrichtsnoeren en impact op andere COSO-documenten

Tijdens het openbare commentaarproces op het blootstellingsontwerp van het 2013-raamwerk, vroegen verschillende belanghebbenden dat COSO een specifieke datum zou geven voor de voltooiing van de overgang van het 1992-raamwerk naar het 2013-raamwerk. Op basis van deze feedback heeft COSO enkele overgangsspecificaties verstrekt en moedigt COSO gebruikers aan om “hun applicaties en gerelateerde documentatie zo snel mogelijk over te zetten naar het bijgewerkte Framework als haalbaar is onder hun specifieke omstandigheden.” COSO heeft ook verklaard dat zij “haar oorspronkelijke Framework beschikbaar zal blijven stellen tijdens de overgangsperiode die loopt tot 15 december 2014, waarna COSO het als achterhaald zal beschouwen”. Daarnaast heeft Paul Beswick, Chief Accountant bij de SEC, verklaard dat de SEC-medewerkers van plan zijn de overgang voor uitgevende instellingen die het kader van 1992 gebruiken, te volgen om te evalueren of maatregelen van de medewerkers of de Commissie op een bepaald moment in de toekomst nodig of passend worden. Hij verklaarde verder dat hij op dit moment “gebruikers van het COSO-raamwerk eenvoudigweg verwijst naar de verklaringen die COSO heeft afgelegd over hun nieuwe raamwerk en hun gedachten over de overgang.”

Tijdens de overgangsperiode (14 mei 2013 tot en met 15 december 2014) suggereert COSO dat elke “toepassing van zijn Internal Control – Integrated Framework waarbij externe verslaggeving is betrokken, duidelijk moet vermelden of de oorspronkelijke of 2013-versie is gebruikt.” Als gevolg hiervan zou het gepast zijn om, wanneer bedrijven hun jaarlijkse beoordeling van ICEFR verstrekken in overeenstemming met SOX, aan te geven welk COSO-raamwerk ze precies hebben gebruikt bij het uitvoeren van de beoordeling.

Noot van de redacteur: PCAOB Auditing Standard 5 stelt dat “de auditor voor het uitvoeren van zijn of haar audit van de interne controle van de financiële verslaggeving hetzelfde geschikte, erkende raamwerk voor controle moet gebruiken als het management gebruikt voor zijn jaarlijkse evaluatie van de effectiviteit van de interne controle van de onderneming over de financiële verslaggeving.” Als gevolg hiervan zal het tijdstip waarop de accountant overstapt op het 2013 Raamwerk voor de controle van de ICEFR afhangen van het tijdstip van de overgang van de onderneming. Als de onderneming het 1992 Raamwerk gebruikt voor het kalenderjaar dat eindigt op 31 december 2013, zou de accountant ook het 1992 Raamwerk gebruiken. Wij zijn van mening dat het, op een wijze die consistent is met de aanpak voor het bekendmaken van het exacte COSO-raamwerk dat is gebruikt in de ICEFR-beoordeling van het management, passend zou zijn om in de controleverklaring van de accountant aan te geven welk raamwerk precies is gebruikt.

COSO’s Small Business Guidance zal na 15 december 2014 worden vervangen door het ICEFR Compendium.

COSO’s Enterprise Risk Management-Integrated Framework (het “ERM Framework”) is niet vervangen door het 2013 Framework. Hoewel het de bedoeling is dat het ERM Framework en het 2013 Framework een verschillende focus hebben, zijn de twee frameworks ontworpen om elkaar aan te vullen. COSO is van mening dat, hoewel het ERM Framework delen van de tekst uit het 1992 Framework bevat, het ERM Framework geschikt blijft voor het ontwerpen, implementeren, uitvoeren en beoordelen van enterprise risk management.

COSO’s Guidance on Monitoring Internal Control Systems, die is geschreven om organisaties te helpen bij het begrijpen en toepassen van monitoringactiviteiten in een systeem van interne controle, blijft ook relevant (d.w.z., het is niet vervangen door het 2013 Framework). Bijlage F van het 2013 Framework stelt dat de “wijzigingen in de principes van het Framework de benaderingen die zijn ontwikkeld voor COSO’s Guidance on Monitoring Internal Control Systems niet wezenlijk zullen wijzigen.”

Internal Control Over External Financial Reporting

De impact van het 2013 Framework op de beoordeling door het management van de effectiviteit van ICEFR (d.w.z. om te voldoen aan SOX Section 404) zal afhangen van hoe een onderneming de concepten in het 1992 Framework heeft toegepast en geïnterpreteerd. Het is bijvoorbeeld mogelijk dat een bestaand systeem van interne controle niet duidelijk aantoont of documenteert dat alle relevante beginselen aanwezig zijn en functioneren. COSO heeft het ICEFR Compendium ontwikkeld om ondernemingen te helpen het 2013 Raamwerk toe te passen. De benaderingen die in het document worden besproken, beschrijven hoe organisaties de beginselen kunnen toepassen in hun systeem van ICEFR, en de voorbeelden illustreren de toepassing van elk beginsel. Bedrijven die COSO gebruiken om te rapporteren over ICEFR kunnen overwegen:

1. Het lezen van het 2013 Framework en het identificeren van nieuwe concepten en wijzigingen.

2. Het beoordelen van hun behoeften aan training en opleiding.

3. Het bepalen hoe het 2013 Framework de opzet en evaluatie van ICEFR beïnvloedt door:

a. Het beoordelen van de dekking van de beginselen door bestaande processen en gerelateerde controles en het overwegen van de aandachtspunten.

b. Het beoordelen van de huidige processen, activiteiten en beschikbare documentatie met betrekking tot de toepassing van de beginselen.

c. Het identificeren van eventuele hiaten in het bovenstaande.

4. Het identificeren van de stappen, indien van toepassing, die moeten worden uitgevoerd bij de overgang naar het 2013 Framework, en:

a. Het opstellen van een plan om de overgang uiterlijk op 15 december 2014 te voltooien (d.w.z. ondernemingen die aan SOX Section 404 voldoen en aan het einde van het kalenderjaar zijn gekomen, moeten de overgang naar het 2013-raamwerk maken voor verslagperioden die na 31 december 2014 eindigen).

b. Overwegen om gebruik te maken van activiteiten die in 2013 zijn uitgevoerd (bijv. walkthroughs, testen van relevante controles, evaluatie van tekortkomingen) om noodzakelijke wijzigingen vast te stellen en de toepassing van het 2013-raamwerk te testen of in de praktijk te testen.

c. Bevestiging van de juiste openbaarmaking van het gebruikte raamwerk tijdens de overgangsperiode en op het moment dat het 2013-raamwerk wordt goedgekeurd.

5. Coördineren en intern communiceren met alle groepen die verantwoordelijk zijn voor de implementatie van, het toezicht op en de rapportage over de ICEFR van de organisatie.

6. Bespreken van en coördineren van activiteiten met internal audit (indien van toepassing) en de externe accountant.

Illustrative Tools

COSO’s Illustrative Tools geeft voorbeelden van hoe een bedrijf het 2013 Framework kan toepassen bij de beoordeling van de effectiviteit van zijn systeem van interne controle. Het document biedt illustratieve sjablonen en bevat scenario’s met voorbeelden van hoe de verschillende sjablonen moeten worden ingevuld. De illustratieve hulpmiddelen zijn echter niet bedoeld om:

• te voldoen aan enige wettelijke vereisten voor het evalueren van tekortkomingen in de interne controle.
• Illustreer de selectie door het management van controles om principes te effectueren of geïdentificeerde risico’s aan te pakken.
• Illustreer beslissingen over de aard, timing, of omvang van het testen van controles om een effectief systeem van interne controle te verzekeren.

Uitgevoerd door Jennifer Burns en Brent Simer, Deloitte LLP

Endnotes
1. COSO is een gezamenlijk initiatief van vijf particuliere organisaties en is gewijd aan het verstrekken van thought leadership door het ontwikkelen van raamwerken en richtlijnen voor enterprise risk management, interne controle, en fraude afschrikking. De vijf particuliere organisaties zijn de American Accounting Association, het American Institute of Certified Public Accountants, Financial Executives International, het Institute of Management Accountants en het Institute of Internal Auditors.
2. Securities Act Release No. 33-8238, dossier nrs. S7-40-02 en S7-06-03 (14 augustus 2003).
3. PCAOB Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That Is Integrated With an Audit of Financial Statements.