Deze scriptie is geschreven door beide op persoonlijke titel

More documents

Recommendations

Info

Bijlage 7 COSOIn 1992 publiceerde COSO het ‘Internal Control, Integrated Framework’. Het doel van dit rapportis ondernemingen te ondersteunen bij het verbeteren van haar interne controlesystemen.COSO definieert interne controle als een proces dat door de leiding en medewerkers van organisatieswordt gebruikt om een redelijke zekerheid te verkrijgen met betrekking tot:1. De betrouwbaarheid van de financiële verslaggeving2. De effectiviteit en efficiency van de ondernemingsprocessen3. Het voldoen aan wet- en regelgevingSindsdien is het framework meer en meer basis geworden voor wetgeving en wordt het gebruiktbij het toepassen ter ondersteuning van het bereiken van de organisatiedoelstellingen.In 2001 gaf COSO opdracht aan PricewaterhouseCoopers om een nieuw framework te ontwikkelen.Dit framework diende geschikt te zijn om te worden toegepast door managers en bijdragenaan het verbeteren van het risicomanagement. In 2004 is vervolgens het ‘Enterprise RiskManagement – Integrated Framework’ gepubliceerd, een doorontwikkeling op het eerder genoemdeframework en wordt vaak ook COSO II genoemd of afgekort naar COSO-ERM(2004).In COSO-ERM is enterprise risk management als volgt gedefinieerd: “Ondernemingsrisicomanagementis een proces, aangestuurd door de Raad van Commissarissen van een onderneming,management en ander personeel, toegepast bij de bepaling van de strategie en binnen het geheelvan de onderneming, ontworpen om potentiele gebeurtenissen die de onderneming zoudenkunnen bedreigen, te onderkennen waardoor risico’s binnen de kaders van risicovoorkeur gemanagedkunnen worden, teneinde een redelijke zekerheid te verschaffen dat de doelstellingenvan de onderneming worden bereikt”. Kortom alle risico’s die het behalen van doelstellingen inde weg staan, zijn onderdeel van ERM en gelet op de reikwijdte sluit dit aan op de Nederlandsecode voor corporate governance (Uiterlinden R. RC, 2006).In COSO-ERM worden ook de doelen van interne beheersing uitgewerkt. Dit zijn strategischebeheersing (bereiken van de strategische doelstellingen), operationele beheersing (effectiviteiten efficiëntie van bedrijfsprocessen), compliance (naleving van relevante wet- en regelgeving)en verantwoordingsbeheersing (betrouwbaarheid van de - financiële - informatieverzorging).Onder de verantwoordingsbeheersing valt het bewaken van de betrouwbaarheid van alle informatiedie door een onderneming intern wordt geproduceerd en gebruikt en die extern ter beschikkingwordt gesteld. Aspecten als juistheid, volledigheid en tijdigheid beschrijven de doelenvan verantwoordingsbeheersing. Zoals eerder is opgemerkt is de verantwoordingsbeheersingde grondslag voor SOx.Uit de eerder gegeven definitie voor ERM blijkt ook dat COSO uitgaat van een holistische benadering,waarbij interne beheersing wordt gezien als een proces dat onderdeel uitmaakt vanhet normale managementproces en bijdraagt tot de realisatie van de vier genoemde doelstellingen.Dit managementproces is afgebeeld in acht gerelateerde onderdelen. Zonder op de onderdelendiep in te gaan, daarvoor verwijzen wij naar www.coso.org, noemen wij slechts de achtonderdelen met een korte omschrijving:1. Internal environment: interne omgeving (hoe kijkt men binnen de onderneming tegen risico’saan en hoe gaan zij daarmee om, bijv. risk appetite, integriteit, ethische normen)2. Objective setting: bepalen van de doelstellingen (zonder doelstellingen, afgestemd op demissie en risicovoorkeur van de onderneming, is het onmogelijk vast te stellen welke risico’sworden gelopen)73
3. Event identification: identificatie van de interne en externe gebeurtenissen (mogelijk makenvan een onderscheid tussen kansen en bedreigingen en de laatste is de input voor riskassessment)4. Risk assessment: risico-inschatting of de beoordeling van de geïdentificeerde risico’s (hetbepalen van de kans en impact om vast te kunnen stellen hoe met de risico’s om te gaan)5. Risk response: reactie op risico’s (management maakt keuze hoe te reageren op de risico’srekening houdend met de risicovoorkeur en risicotolerantie. Keuzes zijn: accepteren, vermijden,beheersen en delen)6. Control activities: implementeren en onderhouden van procedures en handelswijzen methet doel op een adequate manier risico’s te onderkennen en hierop te reageren (bijvoorbeeld:review van verantwoordingsverslagen,functiescheiding en fysiekecontroles)7. Information and Communication: analysevan de informatie die functionarissenin een onderneming nodig hebbenom hun taak uit te kunnen voerenen het organiseren hiervan (om demensen in een onderneming in staat testellen hun taken en verantwoordelijkhedenuit te oefenen is informatie eenvereiste. De informatie moet wel gerichtzijn op de taak en verantwoordelijkhedenvan de persoon in de onderneming)8. Monitoring: het gehele bouwwerkERM moet gemonitord worden omvast te stellen dat het bouwwerk nogFiguur 14: COSO Kubus (bron: COSO, 2004)goed functioneert en adequaat is voorde situatie waarvoor het is ontworpen.Een derde dimensie dat in COSO-ERM voorkomt is dat de doelstellingen op verschillende niveausbinnen een onderneming zich manifesteren. Bijvoorbeeld op entiteit, divisie of een businessunit. De relatie tussen de drie dimensies heeft COSO afgebeeld in een kubus. Deze kubusis hierboven weergegeven.De COSO-ERMF methodiek kent een risico-universum voor managementdoeleinden waarbinneneen vijftal risicotypen betrekking hebben op de lagere hiërarchische niveaus. Het betreftprocesrisico’s, projectrisico’s, operationele sturingsrisico’s, management informatierisico’s enverantwoordingsrisico’s:- Procesrisico’s betreffen de gebeurtenissen die een bedreiging vormen voor het bereiken vande procesdoelstellingen. Het niet bereiken van procesdoelstellingen heeft mogelijk tot gevolgdat het achterliggende bedrijfsmodel van een organisatie niet adequaat functioneert;- Projectrisico’s ontstaan bij het uitvoeren van projecten en betreffen externe of interne factorendie het bereiken van projectdoelstellingen in de weg kunnen staan. Projectrisico’s kunnenzowel proces- als productgeoriënteerd zijn. Met procesgeoriënteerde projectrisico’sworden risico’s bedoeld welke samenhangen met de uitvoering van het project. Productgeoriënteerdeprojectrisico’s hebben betrekking op de kwaliteit van de uitkomsten van hetproject zoals een blauwdruk, een plan van aanpak en dergelijke;- Operationele sturingsrisico’s ontstaan bij het ontbreken van betrouwbare, tijdige en relevanteinformatie voor de operationele aansturing van processen en projecten. De gevolgen74
Page 3 and 4:
IT-Control framework voor de douane
Page 5 and 6:
SamenvattingOns onderzoek presentee
Page 7 and 8:
Hoofdstuk 6 Conclusies ............
Page 9 and 10:
Overzicht van tabellenTABEL 1: TYPE
Page 11 and 12:
noemd vanuit de invalshoeken intern
Page 13 and 14:
Bij de belangrijkste faciliteit van
Page 15 and 16:
§1.4 Aanpak onderzoek en leeswijze
Page 17 and 18:
In paragraaf 2.2 wordt ingegaan op
Page 19 and 20:
Voor de Nederlandse Douane is invoe
Page 21 and 22:
- intern douanevervoer: van intern
Page 23 and 24:
2.1.3 Douane-entrepotOpslag is net
Page 25 and 26: de goederen hebben plaatsgevonden.
Page 27 and 28: Figuur 8: Globale weergave van de g
Page 29: Het MCC en het MCCIP 25 komen met h
Page 33 and 34: De Belastingdienst heeft gekozen vo
Page 35 and 36: en waarom de onderneming vindt dat
Page 37 and 38: - welke informatie voor de interne
Page 39 and 40: - de communicatieverbindingen tusse
Page 41 and 42: van tabel 3 of 4 en indien sprake i
Page 43 and 44: Hoofdstuk 4IT control frameworkIn d
Page 45 and 46: §4.2 Vergelijking met IT-control f
Page 47 and 48: §4.3 IT-control frameworkOp basis
Page 49 and 50: Enable operations (PO6, PO8, AI6, D
Page 51 and 52: Manage third-party services (DS2)Co
Page 53 and 54: Manage the configuration (DS9)Contr
Page 55 and 56: Manage operations (DS13)Control obj
Page 57 and 58: dat de deelnemers voldoende experti
Page 59 and 60: eoordeling uitgesloten. PO8 ziet me
Page 61 and 62: meer betrekking hebben op applicati
Page 63 and 64: Gevoelig lag ook, aan het einde van
Page 65 and 66: Bijlage 1 LiteratuurlijstBelastingd
Page 67 and 68: Bijlage 2 Geraadpleegde websiteshtt
Page 69 and 70: Bijlage 4 DefinitiesBEGRIPApplicati
Page 71 and 72: General IT-controlsIT-control frame
Page 73 and 74: Bijlage 6 CobitCobit is de acroniem
Page 75: van specifieke maatregelen binnen d
Page 79 and 80: Bijlage 8 Totstandkoming frameworkO
Page 81 and 82: Bijlage 9 Deelnemers brainstormsess
Page 83: Bijlage 11 Vragenlijst externWe wil
show all

Deze scriptie is geschreven door beide op persoonlijke titel

Create successful ePaper yourself

Delete template?

Save as template?