·Audun Martinussen

COSO-rammeverket — hva en daglig leder må forstå

COSO er rammeverket bak nesten all moderne tenkning om internkontroll. Her er hva en daglig leder må vite — uten å bli en rammeverkspesialist.

COSO står for Committee of Sponsoring Organizations of the Treadway Commission, og er den dominerende referansen for hvordan internkontroll skal struktureres. Det brukes som grunnlag i revisjons-standardene (ISA 315), i Sarbanes-Oxley i USA, i mange ISO-standarder, og som de facto grunnlag for hvordan styre og ledelse forventes å tenke om kontroller.

Du trenger ikke å være COSO-spesialist for å lede et selskap godt, men du bør forstå strukturen. Det er den linsen revisor, tilsyn, due diligence-rådgivere, og andre eksterne aktører bruker — og det hjelper å snakke samme språk.

Denne artikkelen er en innføring uten unødvendig akademi.

COSOs to hovedrammeverk

COSO har to relaterte men forskjellige rammeverk:

  1. Internal Control – Integrated Framework (oppdatert 2013)
  2. Enterprise Risk Management – Integrating with Strategy and Performance (oppdatert 2017)

Det første er det mest brukte og det vi fokuserer på her. Det andre er bredere og legger til strategi- og prestasjonsstyring.

De fem komponentene i intern kontroll

COSO definerer fem komponenter som tilsammen utgjør et fungerende internkontroll-system:

1. Kontrollmiljø (Control Environment)

Tonen fra toppen. Dette inkluderer:

  • Integritets- og etikkstandard
  • Lederskapets engasjement for kontrollen
  • Organisasjonsstruktur og rapporteringslinjer
  • HR-policy og kompetanse
  • Ansvarliggjøring

Det er ofte vanskelig å måle, men det merkes. Et selskap der ledelsen demonstrer at kontroller er viktige, har sterkere kontrollmiljø enn et der "vi tar snarveier når vi har dårlig tid".

2. Risikovurdering (Risk Assessment)

Hvordan identifiserer og vurderer selskapet sine risikoer? Det inkluderer:

  • Definerte mål (uten mål er det vanskelig å definere risiko)
  • Identifisering av risikoer som kan hindre måloppnåelse
  • Vurdering av sannsynlighet og konsekvens
  • Risiko for svindel som spesifikk kategori
  • Identifisering av endring som påvirker risiko

For en grundigere diskusjon om risikoregister, se artikkel om kontrollregister vs risikoregister.

3. Kontrollaktiviteter (Control Activities)

De konkrete handlingene, prosedyrene og kontrollene som er på plass:

  • Forebyggende og oppdagende kontroller
  • Manuelle og automatiske kontroller
  • Segregering av oppgaver
  • Godkjenningsterskler
  • Avstemming
  • Fysisk kontroll over verdier

Dette er der dokumentasjons-arbeidet vanligvis er mest synlig. Et kontrollregister er en strukturert dokumentasjon av denne komponenten.

4. Informasjon og kommunikasjon (Information and Communication)

Hvordan flyter informasjon i selskapet?

  • Kvaliteten på informasjon (rett tid, rett form, rett person)
  • Intern kommunikasjon (ovenfra-ned og nedenfra-opp)
  • Ekstern kommunikasjon (med kunder, leverandører, tilsyn)
  • Beskyttelse av informasjon

Mange selskap har gode kontroller, men dårlig informasjonsflyt. Det fører til at kontrollene ikke fungerer i praksis — folk vet ikke at de skal gjøre dem, eller når.

5. Overvåking (Monitoring Activities)

Hvordan vet ledelsen at kontrollene fungerer?

  • Løpende monitoring (innebygd i daglige aktiviteter)
  • Periodiske evalueringer (eksempelvis intern revisjon)
  • Rapportering av svakheter
  • Korrektive tiltak

I mange mid-size SMB-er er dette den svakeste komponenten. Kontroller eksisterer, men ingen sjekker systematisk at de fungerer.

De 17 prinsippene

Under hver komponent har COSO definert 17 prinsipper (totalt). Du trenger ikke pugge dem, men det er nyttig å vite at de finnes. Eksempler:

  • "Selskapet demonstrerer engasjement for integritet og etiske verdier."
  • "Selskapet definerer mål med tilstrekkelig presisjon til å muliggjøre identifikasjon og vurdering av risiko."
  • "Selskapet velger og utvikler kontrollaktiviteter som bidrar til å redusere risiko til akseptable nivåer."

Hvert prinsipp har "points of focus" som gir mer konkret veiledning. Det er en uttømmende sjekkliste, ikke en kort guide.

Hvordan COSO brukes i praksis

For daglig leder eller styremedlem er det tre praktiske bruksområder:

Bruk 1: Som ramme for selv-evaluering

Du kan bruke COSO som sjekkliste for å vurdere om selskapets internkontroll er på plass:

  • Har vi et tydelig kontrollmiljø? Hvordan?
  • Har vi en strukturert risikovurdering? Hvordan oppdateres den?
  • Har vi dokumenterte kontroller? Hvor sterke er de?
  • Flyter informasjon godt? Hvor er det svakt?
  • Hvordan overvåker vi at kontrollene fungerer?

Bruk 2: Som dialog med revisor

Revisor vurderer internkontroll etter ISA 315, som er bygget rundt COSO-komponentene. Hvis du forstår strukturen, kan du forberede deg og snakke samme språk. For mer om ISA 315, se denne artikkelen.

Bruk 3: Som grunnlag for forbedring

Når du finner svakheter, kan du strukturere forbedringsarbeidet etter komponenter. "Vi har gode kontrollaktiviteter, men svak overvåking — la oss prioritere overvåkingsdelen."

Vanlige misforståelser

Misforståelse 1: "COSO gjelder bare store selskap"

Det stemmer ikke. COSO er skalerbar. Et lite selskap kan ha betydelig enklere implementering, men de samme prinsippene gjelder. Hvis du har minst 10 ansatte og betydelig finansiell aktivitet, er COSO relevant.

Misforståelse 2: "Vi har ikke COSO fordi vi ikke er sertifiserte"

COSO er ikke en sertifisering du oppnår. Det er et rammeverk du bruker. Du kan ha implementert COSO-prinsippene uten å eksplisitt kalle det det.

Misforståelse 3: "Det er bare for finansiell rapportering"

COSO Internal Control-rammeverket dekker tre kategorier av mål:

  1. Operasjonelle mål
  2. Rapporteringsmål (finansiell og ikke-finansiell)
  3. Compliance-mål

Det er ikke bare for regnskap.

Misforståelse 4: "Vi gjør COSO når revisor spør"

Hvis det er din tilnærming, har du i praksis ikke COSO. Et internkontroll-system skal være levende — brukes daglig, ikke gravet frem til revisjon.

Hvor COSO møter prosess-dokumentasjon

Prosess-dokumentasjon er ikke COSO i seg selv, men er en kritisk komponent fordi:

  • Kontrollaktiviteter identifiseres typisk i kontekst av prosesser
  • Informasjon og kommunikasjon struktureres etter prosess-design
  • Risikovurdering gjøres ofte per prosess

Når NorthControl gjør prosess-kartlegging, leverer vi typisk kontroll- og risikoregister som matcher COSO-komponentene. Det gjør det enklere for klienter å integrere arbeidet inn i en bredere COSO-implementering. Se eksempel-leveransen eller pakkene.

Hva du bør gjøre

For en daglig leder som ikke har eksplisitt COSO-implementering:

  1. Gjør en uformell vurdering av de fem komponentene. Hvor er du sterk? Hvor er du svak?
  1. Prioriter den svakeste komponenten først. I de fleste mid-size SMB-er er det enten kontrollaktiviteter (manglende dokumentasjon) eller overvåking (ingen sjekk på om kontrollene fungerer).
  1. Snakk med revisor om hva de forventer. Det er typisk ikke "implementér COSO fullt" — det er spesifikke områder de ser etter.
  1. Vær realistisk om scope. Du trenger ikke gjøre alt samtidig. Velg de viktigste områdene først.

Oppsummering

COSO er ikke et byråkratisk pålegg — det er en strukturert måte å tenke om internkontroll på. For en daglig leder er det nyttig å forstå de fem komponentene og hvordan de henger sammen.

Det viktigste er ikke å implementere COSO "perfekt" — det er å bruke det som linse for å vurdere hva som er på plass og hva som ikke er det. Et mid-size selskap som forstår sine egne kontroll-svakheter er bedre stilt enn ett som har "implementert COSO" men ikke vet hvorfor.

Vil du se hvordan vi dokumenterer prosesser i praksis?

Et komplett eksempel — innkjøp-til-betaling for en 80-personers grossist — er publisert med BPMN, kontroller og risikoer.