Overvåkning, ledelse, vurdering og styring av virksomhetsprosesser er essensielt for å fremme kontinuerlig forbedring og forebygge økonomisk risiko.
Organisasjoner benytter seg av interne kontrollmekanismer, metoder som skal sikre virksomheten mot uærlige handlinger og samtidig sørge for at prosessene flyter effektivt. Når disse kontrollene svikter, kan det utgjøre en trussel mot bedriften.
En rapport indikerer at 43% av mindre virksomheter opplever svindel på grunn av manglende internkontroll, mens 20% av større selskaper opplever svindel på tross av eksisterende interne kontrollrutiner.
Dette førte til at Committee of Sponsoring Organizations (COSO) i Trendway-organisasjonene utviklet et rammeverk for å bistå virksomheter med å kontrollere og administrere forretningsprosessene sine. Dette rammeverket hjelper organisasjoner med å sikre at deres prosesser er i tråd med gjeldende retningslinjer og gir veiledning i risikogjenkjenning og reduksjon.
Selv om implementeringen av COSO-rammeverket ikke er obligatorisk, hjelper det organisasjoner med å etterleve regulatoriske standarder og forhindre uærlige handlinger. Manglende implementering kan føre til vanskeligheter og feil som kan bli svært kostbare.
For å unngå slike problemstillinger bør du lese videre. Denne teksten ser nærmere på COSO-rammeverket, dets fordeler, og hvordan organisasjoner kan benytte det for å redusere risiko.
Hva er COSO-rammeverket?
COSO-rammeverket er et sett med retningslinjer og prinsipper som veileder organisasjoner i kontroll og styring av sine forretningsprosesser.
Dette rammeverket ble etablert av COSO-komiteen i 1992, under ledelse av General Counsel og Executive Vice President, James Treadway, Jr., i samarbeid med andre organisasjoner fra privat sektor, inkludert:
- Financial Executives International (FEI)
- American Accounting Association (AAA)
- American Institute of Certified Public Accountants (AICPA)
- Institute of Internal Auditors (IIA)
- Institute of Management Accountants (IMA), tidligere kjent som National Association of Cost Accountants
Komiteen oppdaterte rammeverket i 2013, og lanserte en moderne versjon, representert ved COSO-kuben, som vist nedenfor.
Kilde: info.knowledgeleader.com
Dette tredimensjonale diagrammet illustrerer hvordan de ulike interne kontrollsystemelementene samhandler for å effektivisere forretningsprosesser.
I 2017 introduserte COSO-komiteen et tilleggsrammeverk til COSO-rammeverket, som skulle forenkle for organisasjoner å vurdere og prioritere risikoer, samt å forme forretningsytelse og risikostrategier.
En god forståelse av COSO-rammeverket gir derfor organisasjonen betydelige fordeler, og hjelper dem med å administrere og etablere effektive interne kontroller i hele virksomheten. Pålitelige interne kontrollrutiner sikrer etisk, transparent og standardisert forretningsdrift.
Fordeler med COSO-rammeverket
Å ha en strategi for risikoreduksjon som tilpasser seg det stadig endrende trusselbildet innen cybersikkerhet og andre nye utfordringer er avgjørende for enhver virksomhet.
Her er hvordan implementering av COSO-rammeverket kan hjelpe bedrifter med å være i forkant av svindel og beskytte sine forretningsprosesser og omdømme.
#1. Forbedret risikovurdering
Mangelfull ledelseskontroll er en av hovedårsakene til mange hendelser på arbeidsplassen. Slike hendelser og risikoer som dukker opp i et område kan ha betydelig innvirkning på andre deler av virksomheten og dermed påvirke hele organisasjonens ytelse.
Ved å proaktivt implementere COSO-rammeverket og gjennomføre effektive risikovurderinger, kan man identifisere, håndtere og forebygge at risikoer oppstår og påvirker virksomheten.
#2. Forbedret internkontroll
COSO-rammeverket gir virksomheter bedre interne kontrollmekanismer for risikoreduksjon, som sørger for at forretningsprosessene fungerer mer sammenhengende i henhold til de definerte kontrollene, og at man kan benytte nødvendig data for å ta fornuftige beslutninger.
#3. Forbedret svindeldeteksjon
COSO-rammeverket forbedrer effektiviteten i svindeldeteksjon og risikostyring, uavhengig av om det er hackere, cyberkriminelle, ansatte eller kunder som står bak uærlige handlinger.
Rammeverket gjør det enklere for organisasjoner å forebygge svindel ved å innføre interne kontroller for å oppdage uærlige handlinger, og raskt reagere på slike hendelser for å minimere skade.
#4. Bedre styresett
Manglende tilsyn med virksomhetens drift og dårlig ledelse fører til svikt og tap av inntekter. Et av hovedmålene med COSO-rammeverket er å forbedre selskapets styringsfunksjon, som kontinuerlig overvåker risikoer for å sikre overholdelse av retningslinjer, lover og mål.
#5. Forbedret applikasjonssikkerhet
I tillegg til svindel og cybersikkerhetsrisiko, står organisasjoner overfor stadige trusler om sikkerhetsangrep mot forretningsapplikasjoner. COSO-rammeverket gir retningslinjer for hvordan bedrifter og organisasjoner kan vurdere og forbedre kontrollmiljøet rundt sine applikasjoner, slik at de er bedre rustet til å oppdage og forebygge cyberangrep.
#6. Forbedret fleksibilitet
COSO-rammeverket kan enkelt tilpasses den enkelte organisasjons behov og krav, uavhengig av sektor eller størrelse. Dette gjør rammeverket ideelt og effektivt for en rekke forretningsprosesser.
#7. Stabil ytelse
COSO-rammeverket bidrar til å forutse risikoer og være i forkant, noe som reduserer variasjoner i ytelse. Som et resultat hjelper det organisasjoner med å maksimere lønnsomhet og minimere avbrudd, og dermed styrke virksomhetens robusthet.
#8. Kostnadseffektiv
Korrekt implementering av COSO-rammeverket gir organisasjoner mulighet til å effektivisere forretningsprosesser, etablere og implementere effektive interne kontroller, redusere risikoer og administrere kostnader knyttet til overholdelse.
Anvendelse av COSO-rammeverket
Organisasjoner benytter hovedsakelig COSO-rammeverket for å designe, utvikle og implementere effektive interne kontroller, samt for å forbedre den generelle effektiviteten.
COSO-rammeverket gir organisasjoner veiledning i å oppdage og redusere risikoer, sette klare kontroller og mål og ta effektive beslutninger, slik at organisasjoner kan overholde etiske og juridiske krav med fokus på risikostyring og -vurdering.
Dette rammeverket brukes mye av regnskaps- og finansfirmaer, samt børsnoterte selskaper.
COSO-rammeverket har flere praktiske anvendelser, inkludert:
#1. Utvidelse av virksomheten
Dersom organisasjonen planlegger å ekspandere til nye byer eller land, og må forsikre seg om at alle mulige risikoer som kan true forretningsprosessene er vurdert og redusert, kan COSO-rammeverket være til hjelp.
COSO-rammeverket tilbyr en systematisk tilnærming til å identifisere, administrere og vurdere risikoer og utvikle strategier for å redusere dem.
#2. Strategiendring
Dersom organisasjonen planlegger å implementere betydelige endringer i sine forretningsprosesser og drift, som for eksempel lansering av et nytt produkt eller en tjeneste, eller en endring i forretningsstrategi, kan COSO-rammeverket være en god ressurs.
Det kan bistå i planleggingen og styringen av betydelige forretningsendringer, og hjelpe med å identifisere potensielle risikoer knyttet til endringene og utvikle planer for å håndtere disse.
#3. Være i forkant av konkurransen
Dersom virksomheten opplever utfordringer fra konkurrenter eller taper markedsandeler, er det viktig å finne måter å styrke konkurranseevnen. En måte å gjøre dette på er å ha god forståelse av kundenes preferanser og behov.
COSO-rammeverket hjelper organisasjoner med å møte denne utfordringen ved å tilby en strukturert tilnærming til markedsundersøkelser og kundeanalyse.
Fem sentrale komponenter i COSO-rammeverket
De fem komponentene i COSO-rammeverket, også kjent som de interne kontrollkomponentene, forkortes ofte til «CRIME», som er en forkortelse for:
- Kontrollmiljø
- Risikovurdering
- Informasjon og kommunikasjon
- Overvåkning av aktiviteter
- Eksisterende kontrollaktiviteter
La oss se nærmere på hver av disse komponentene.
Kontrollmiljø
Kontrollmiljøet er fundamentet for alle interne kontrollsystemer, og omfatter prosesser, standarder og strukturer som sikrer et effektivt internt kontrollsystem i hele organisasjonen.
Dette inkluderer parametere som organisasjonsstruktur, ledelsens etiske verdier og delegert myndighet.
Et solid kontrollmiljø bidrar til disiplin i organisasjonen, sikrer at organisasjonen overholder gjeldende regelverk, og minimerer sjansen for at ansatte involverer seg i uærlige handlinger.
I en tid hvor svindel er stadig mer utbredt i næringslivet, er kontrollmiljøet en av de viktigste og mest kritiske komponentene i COSO-rammeverket.
Risikovurdering og -styring
Risikovurdering og -styring, også kalt bedriftsrisikostyring, omfatter prosesser som hjelper med å identifisere og vurdere risikoer som kan skade en virksomhet og påvirke dens kjernevirksomhet.
Risikoer kan være interne eller eksterne. Interne risikoer kan være underslag og svindel, mens eksterne risikoer kan skyldes endringer i markedsforhold eller naturkatastrofer.
Informasjon og kommunikasjon
Informasjons- og kommunikasjonssystemer er avgjørende for at en organisasjon skal fungere effektivt, og sikrer at ekstern og intern kommunikasjon overholder etiske verdier, juridiske krav og standard bransjepraksis.
Disse systemene sørger for at relevant informasjon er tilgjengelig for de som trenger det, og at kommunikasjonen følger beste praksis for å nå forretningsmål og -settinger.
Kommunikasjon er en kontinuerlig prosess som innebærer å innhente, dele og formidle informasjon fra interne og eksterne kilder i tide, noe som gjør det mulig for ledelsen å formidle viktigheten av interne kontroller.
Overvåkingsaktiviteter
Det er viktig å regelmessig overvåke alle interne kontroller og gjennomføre løpende og separate evalueringer for å forsikre seg om at de fungerer som de skal. Overvåkingsaktiviteter bidrar også til å vurdere om de interne kontrollsystemene fungerer slik de er designet for, slik at organisasjoner kan iverksette korrigerende tiltak når det er nødvendig.
Overvåkning av internkontroll gjør at organisasjoner kan identifisere risikoer, problemer og svakheter i systemene fortløpende, slik at de kan rettes opp umiddelbart.
Eksisterende kontrollaktiviteter
Kontrollaktiviteter er undersøkende og forebyggende prosesser, retningslinjer og prosedyrer som hjelper til med å redusere risikoer i hele organisasjonen og sikre at de kontrolleres på en hensiktsmessig måte.
De finnes på alle nivåer i organisasjonen og har som hovedmål å sikre at forretningsprosessene utføres på en måte som gjør at en organisasjon kan nå sine mål uten å introdusere unødvendige risikoer.
Eksempler på kontrollaktiviteter er fysisk sikring med kameraovervåkning, fordeling av oppgaver og krav om autorisasjon.
Hvordan implementere COSO-rammeverket?
Her er trinnene du kan følge for å implementere COSO-rammeverket og utvikle effektive interne kontrollsystemer og forbedre administrasjon og vedlikehold av disse.
#1. Forstå COSO-rammeverket
Organisasjoner som ønsker å bruke COSO-rammeverket må utpeke et eget team som kan sette seg inn i rammeverket og som får ansvaret for implementeringen.
Teamet må forstå rammeverkets fordeler, anvendelsesområder, bruksområder og prinsipper for et effektivt internt kontrollsystem.
#2. Utvikle en plan
Når rammeverket er forstått, må teamet utvikle en prosjektplan eller et veikart for å definere rammeverkets implementering, interessenter, ressurser, organisasjonsstruktur og tidslinjer.
#3. Vurdere implementeringen av et rammeverk
Implementeringen av COSO-rammeverket vil variere fra selskap til selskap, og en vurdering av interne kontrollsystemer vil hjelpe organisasjoner med å identifisere risikoer de må håndtere.
Implementeringsteamet må definere klare forretningsmål, undersøke og analysere det nåværende systemet for internkontroll og identifisere mangler ved å inkludere ansatte på alle nivåer, fra inngangsnivå til toppledelsen. Dette for å få flere perspektiver og utvikle robuste interne kontrollsystemer.
#4. Utbedring av løsninger
Eventuelle svakheter og sårbarheter som identifiseres i vurderingsfasen, må adresseres i dette trinnet. Det er også viktig å utvikle interne kontroller og utbedringsløsninger for å håndtere svakhetene.
Du kan starte med utbedringsløsninger for risikoene med størst sannsynlighet og potensielt mest alvorlige konsekvenser, ved hjelp av den beste programvaren for sårbarhetsstyring, og deretter jobbe deg nedover.
#5. Testing, rapportering og optimalisering av løsninger
Organisasjoner må designe løsningene grundig og utføre kontroller for å teste og rapportere om deres effektivitet og virkning.
De ansvarlige interessentene må holdes informert om testresultatene, slik at de kan gi tilbakemeldinger og komme med forslag til løsninger som har mangler eller kontroller som anses som ineffektive.
Dette er en kontinuerlig og gjentakende prosess der fortløpende evalueringer muliggjør tidlige varslingssignaler, slik at man umiddelbart kan iverksette tiltak som følge av endringer i kontrollmiljøet.
Begrensninger ved COSO-rammeverket
Selv om COSO-rammeverket gir flere fordeler for organisasjoner, medfører det også utfordringer og begrensninger, som for eksempel:
- Vanskelig implementering: En av de største utfordringene med COSO-rammeverket er at det kan være vanskelig å implementere, spesielt for organisasjoner som ikke har jobbet med det tidligere. COSO-rammeverket krever dedikert innsats fra ansatte og ledelse for å lykkes.
- Vanskelig å bruke: COSO-rammeverket er ikke alltid lett å bruke og forstå, ettersom det inneholder en del teknisk sjargong som kan være vanskelig å tolke, særlig for de som ikke er kjent med den nyeste forretningsteknologien og terminologien.
- Tidkrevende: Det kan være tidkrevende å forstå og implementere COSO-rammeverket, særlig i større organisasjoner og virksomheter, ettersom det krever mye planlegging og koordinering mellom flere team og avdelinger.
Avsluttende ord
COSO-rammeverket er et omfattende rammeverk for risikostyring og -reduksjon som gir organisasjoner og virksomheter veiledning for å forbedre sine interne kontrollsystemer.
Det er basert på fem sammenkoblede og sentrale komponenter som jobber sammen for å oppnå organisatoriske mål, bidrar til å oppdage og forebygge svindel, beskytte eiendeler og sikre overholdelse av lover og reguleringer.
Dersom du planlegger å utvikle et system for internkontroll eller ønsker å forbedre det du allerede har, er det et godt valg å ta i bruk et effektivt COSO-rammeverk.
Du kan også se nærmere på en omfattende veiledning om datakvalitet.