COSO: Interne control wordt er niet gemakkelijker op wanneer functies geoutsourced zijn

Het begrip ‘interne control’ zegt het al – hoe verzeker je adequate control als je werkt met externe dienstverleners?
De verantwoordelijkheid voor extern geoutsourcete functies wordt een van de grootste uitdagingen voor organisaties, zo blijkt uit de update van het ‘internal control framework’  van de COSO, het Committee of Sponsoring Organizations of the Treadway Commission (COSO).
 
COSO is het initiatief van een vijftal private-sector organisaties die een leidende rol spelen in het discours rond enterprise risk management, internal control, en fraudebestrijding. Veel organisaties gebruiken het COSO-referentiemodel  om verslag te doen over de (mate van) interne control die zij hebben over de financiële verslaglegging (internal control over financial reporting, ICFR). Wetgeving als ‘Sarbanes-Oxley’ stelt dat zelfs verplicht.
 
Volgens dat referentiemodel blijft het management verantwoordelijk  voor de opzet en implementatie van de ICFR van de organisatie, ook wanneer functies en hun controls zijn uitbesteed aan externe dienstverleners. En zeker voor MKB-bedrijven kan dit een probleem opleveren – als geen andere zijn zij gewend hun financiële functie geheel of grotendeels uit te besteden, waardoor zij zelf minder expertise in huis hebben dan wellicht nodig voor de assurance dat zij in control zijn.
 
In een recent PwC-rapport, Present and Functioning: Fine-Tuning Your ICFR Using the COSO Update, worden enkele best practices beschreven hoe een organisatie de uitbestede controls kan doorzien, beoordelen en testen. Met betrekking tot ICFR, maar het gaat ook om andere aspecten en functies, zegt het rapport. Hoe monitor je de externe partij? Hoe stel je hen aansprakelijk? Hoe beoordeel je hún controls? Je kunt functies wel outsourcen, maar niet de wettelijke verantwoordelijkheid. 
 
Gerelateerde artikelen