Leveraging COSO across three lines of defence

09 juli 2015

Effectieve interne controls helpen organisaties risico’s te beheersen en de gevolgen te mitigeren. Het ‘internal control framework’ van de Committee of Sponsoring Organizations of the Treadway Commission (COSO) biedt daarbij voor veel organisaties een nuttige leidraad.

Maar wat in dat referentiemodel ontbreekt, of ontbrak, is duidelijke richtlijnen om vast te stellen wie voor welk specifiek domein, taak of rol verantwoordelijk is.

Eergisteren zag een nieuwe COSO white paper, getiteld Leveraging COSO Across the Three Lines of Defense, het licht. Dat stuk helpt organisaties alle risk- en control-gerelateerde functies en verantwoordelijkheden eenduidig te beleggen.

Met deze uitbreiding van het COSO-referentiemodel kunnen leemtes in control-structuren opgeheven worden, en nutteloze verdubbelingen en overlappingen vermeden. Het model gaat uit van ‘three separate groups or lines of defence’. Die ‘groups’:

Zijn eigenaar van risk & control en de beheersing daarvan;
Monitoren risk, control en compliance ter ondersteuning van het management (
En leveren onafhankelijk assurance over de effectiviteit van de genomen maatregelen aan bestuur en directie en het senior management (internal audit).

Recente ondervraging van interne auditors wees uit dat 56% van de organisaties dit moswl hanteren en zo interne audit zien als de derde verdedigingslinie. Maar een op de vijf organisaties bleek geheel onbekend met het three lines of defence model, waarin de verantwoordelijkheden duidelijk belegd worden.

Daarom deze verheldering van het COSO-referentiemodel.

Arne Lasance