COSO staat voor The Committee of Sponsoring Organizations of the Treadway Commission. Dit risicomanagementmodel helpt organisaties hun interne beheersingssystemen te verbeteren. Het COSO model geeft richtlijnen voor interne controles en het beheersen hiervan.
Het COSO model geeft jouw organisatie inzicht in het bereiken van interne organisatiedoelstellingen in relatie tot de risico’s. Hoe effectief en efficiënt zijn jullie bedrijfsprocessen? En hoe goed leeft jullie organisatie de wetten en regels, het organisatiebeleid en de procedures na? Het COSO model heet ook wel: COSO II of COSO ERM (Enterprise Risk Management).
Het gaat hierbij om:
Kwaliteit en risico gaan hand in hand. Het ene is werkt vanuit het COSO model, het ander vanuit de PDCA cyclus. Maar wil je echt werk maken van risicomanagement? Beiden werken alleen efficiënt met een kwaliteitsmanagementsysteem.
Met het COSO model onderzoek je de relaties tussen de organisatiedoelstellingen, de beheercomponenten en de organisatie-eenheden. Ingewikkeld? De COSO kubus maakt het visueel. We leggen deze kubus – ook wel COSO framework genoemd – hieronder uit:
Op het bovenst deel van het COSO-framework staan de strategische organisatiedoelstellingen (Strategisch). Dit zijn doelstellingen voor het realiseren van de missie en visie van je organisatie. Denk bijvoorbeeld aan kunststof duurzaam produceren met zo min mogelijk energieverbruik.
Daaronder staan de operationele doelstellingen (Operationeel). Hier beschrijf je de effectiviteit en efficiëntie van de bedrijfsprocessen. Zoals: ‘wij produceren elk product binnen 4 uur’.
De derde laag gaat over de informatievoorziening (Rapportage). Hoe helder ben je bijvoorbeeld over je levertijden? Of hoe communiceer je je openingstijden en waar?
Als laatste is er de vierde laag die ook wel compliance wordt genoemd. Deze laag beschrijft in hoeverre jullie organisatie de wetten, regels en richtlijnen naleven (Naleving).
Oké, de doelstellingen zijn helder. Maar wat is nodig om die doelstellingen te behalen? Daarvoor kent het COSO model de acht management componenten. In het Nederlands: Interne Omgeving, Doelen Bepalen, Identificatie Gebeurtenissen, Risicobeoordeling, Beheersmaatregelen, Controlemaatregelen, Informatie en Communicatie en Toezicht Houden.
Het is belangrijk dat al deze componenten toewerken naar de doelstellingen. En die doelstellingen moeten ook weer in overstemming zijn met elkáár. Klopt er hier iets niet, dan is je risicomanagementsysteem niet optimaal. Dat merk je dan zodra de markt verandert, een nieuwe concurrent opstaat of wanneer ineens nieuwe regelgeving om aanpassingen vraagt.
Weten op welke plekken binnen je organisatie een interne controle nodig is, is ook belangrijk. Daarom kent het COSO framework nog een derde kant: de organisatieniveaus. Het gaat hier om de eenheden van de organisatie: Dochteronderneming, Bedrijfseenheid, Afdeling en Entiteit.
Die laatste klinkt wat futuristisch, maar doelt op specifieke diensten, producten of medewerkers.
Waar zit het lek? Dat kan op één of meerdere niveaus zitten. Het COSO model maakt dit lekker inzichtelijk.
En dan? Aan de bak! Op basis van het COSO model bepaal je wat je moet doen om je risicomanagement op orde te krijgen. Je doorloopt dan cyclisch de juiste stappen. Daarbij onderzoek en benoem je de mogelijke risico’s. Daar pas je vervolgens je processen op aan in je kwaliteitsmanagementsysteem.
Voor dit hele proces van ‘meten en verbeteren’ heb je een goed kwaliteitsmanagementsysteem nodig. Een betrouwbaar systeem waarmee je risicogestuurd werken verder ontwikkelt en continu blijft verbeteren. Zo’n systeem moet zo’n verbeterproces niet ingewikkelder maken, maar juist makkelijker. Dan heb je pas écht iets aan het COSO model.