Is jouw organisatie nog in control? Je ontdekt het met het COSO-model. Dit is wereldwijd één van de meest gebruikte standaarden voor het analyseren van je risicomanagementsysteem. Waarom is dit COSO-model zo enorm handig? En hoe werk je ermee?

Het COSO-model

COSO staat voor The Committee of Sponsoring Organizations of the Treadway Commission. Dit risicomanagementmodel helpt organisaties om hun interne beheersingssystemen te beoordelen en te verbeteren. Het COSO-model geeft richtlijnen voor interne controles en het beheersen hiervan.

Het COSO-model geeft jouw organisatie inzicht in het bereiken van interne organisatiedoelstellingen. Hoe effectief en efficiënt zijn jullie bedrijfsprocessen? En hoe goed leeft jullie organisatie de wetten en regels, het organisatiebeleid en de procedures na? Het COSO-model heet ook wel: COSO II of COSO ERM (Enterprise Risk Management). Wil je werk maken van goed risicomanagement? Dan kan je niet zonder een kwaliteitsmanagementsysteem.

COSO-framework: kubus met kleurtjes

Met het COSO-model onderzoek je de relaties tussen de organisatiedoelstellingen, de beheercomponenten en de organisatie-eenheden. Ingewikkeld? De COSO-kubus maakt het visueel. We leggen deze kubus – ook wel COSO-framework genoemd – hieronder uit:

De strategische organisatiedoelstellingen

Bovenop het COSO-framework staan de strategische organisatiedoelstellingen (Strategic). Het gaat hier om de doelstellingen voor het realiseren van de missie en visie van je organisatie. Bijvoorbeeld: duurzaam produceren met zo weinig mogelijk energieverbruik.

Daaronder staan de operationele doelstellingen (Operations). Hier beschrijf je de effectiviteit en efficiëntie van de bedrijfsprocessen. Zoals: ‘wij produceren elk product binnen 4 uur’.

De derde laag gaat over de informatievoorziening (Reporting). Hoe helder ben je bijvoorbeeld over je levertijden?

Als laatste is er de vierde laag die beschrijft in hoeverre jullie organisatie de wetten, regels en richtlijnen naleven (Compliance).

De 8 beheerscomponenten

Oké, de doelstellingen zijn helder. Maar wat is nodig om die doelstellingen te behalen? Daarvoor kent het COSO-model de 8 beheercomponenten. In het Nederlands: Interne Omgeving, Doelenformulering, Identificatie van gebeurtenissen, Risicobeoordeling, Beheersmaatregelen, Informatie- en communicatievoorziening en Monitoring.

Het is belangrijk dat al deze componenten toewerken naar deze doelstellingen. En deze doelstellingen moeten ook in overstemming zijn met elkáár. Klopt er hier iets niet, dan is je risicomanagementsysteem vrijwel zeker niet optimaal.

De 4 organisatieniveaus

Het is natuurlijk ook belangrijk op welke plekken in je organisatie er een interne controle nodig is. Daarom kent het COSO-framework nog een derde kant: de organisatieniveaus. Het gaat hier om de eenheden van de organisatie: Dochteronderneming, Bedrijfseenheid, Afdeling, Entiteit (specifieke diensten, producten of medewerkers). Waar zit het lek? Dat kan op één of meerdere niveaus zitten. Het COSO-model maakt dit haarfijn inzichtelijk.

Aan de bak

En dan? Aan de bak! Op basis van het COSO-model bepaal je wat je moet doen om je risicomanagementsysteem op orde te krijgen. Je doorloopt dan cyclisch de juiste stappen. Daarbij onderzoek en benoem je de mogelijke risico’s. Daar pas je vervolgens je processen op aan. Voor dit proces van ‘meten en verbeteren’ heb je een goed kwaliteitsmanagementsysteem nodig. Een systeem waarmee je het risicogestuurd werken verder ontwikkelt en continu blijft verbeteren. Zo’n systeem moet zo’n verbeterproces niet ingewikkelder maken, maar juist makkelijker. Dan heb je pas écht iets aan het COSO-model.