Het COSO-model is een raamwerk voor interne beheersing dat organisaties helpt om risico’s te identificeren, te beheersen en te rapporteren. COSO staat voor Committee of Sponsoring Organizations of the Treadway Commission, een Amerikaans samenwerkingsverband van vijf grote beroepsorganisaties op het gebied van accountancy en financieel management. Het model werd voor het eerst gepubliceerd in 1992 en in 2013 grondig geactualiseerd.
Het COSO-model bestaat uit vijf componenten en zeventien principes. Elke component omschrijft een aspect van interne beheersing; de principes zijn de concrete criteria waaraan een organisatie moet voldoen. Het model wordt wereldwijd gebruikt door controllers, internal auditors, CFO’s en raden van bestuur om te beoordelen of de interne beheersing van een organisatie effectief is.
Laatst bijgewerkt: april 2026
Wat is interne beheersing?
Interne beheersing (ook: internal control) is het geheel van maatregelen dat een organisatie treft om haar doelstellingen te bereiken en risico’s te beheersen. Het gaat om processen, regels, controles en systemen die samenwerken om ervoor te zorgen dat:
- de financiële rapportage betrouwbaar is
- medewerkers de wet- en regelgeving naleven
- bedrijfsprocessen efficiënt en effectief verlopen
- de strategische doelstellingen worden behaald
Interne beheersing is niet hetzelfde als internal audit. Internal audit is een onafhankelijke functie die de interne beheersing beoordeelt. Interne beheersing zelf is verantwoordelijkheid van het management en alle medewerkers — het zit ingebakken in de dagelijkse processen.
De drie doelstellingscategorieën van COSO
Het COSO-model organiseert interne beheersing rond vier doelstellingscategorieën (in de 2013-versie zijn dit er vier, ook al spreekt men soms van ‘drie’):
| Categorie | Omschrijving |
|---|---|
| Strategisch | Bereiken van de overkoepelende organisatiedoelen die de missie ondersteunen |
| Operationeel | Effectiviteit en efficiëntie van de bedrijfsprocessen en gebruik van middelen |
| Reporting | Betrouwbaarheid van financiële en niet-financiële rapportage (intern en extern) |
| Compliance | Naleving van van toepassing zijnde wet- en regelgeving |
Elke organisatie formuleert haar eigen doelstellingen binnen deze categorieën, passend bij de strategie, sector en risicobereidheid. Het COSO-model biedt geen kant-en-klare doelstellingen, maar geeft het raamwerk waarbinnen je ze kunt structureren en bewaken.
De vijf componenten van het COSO-model
Het hart van het COSO-raamwerk bestaat uit vijf componenten van interne beheersing. Ze zijn onderling verbonden: een zwakte in één component trekt de effectiviteit van de andere componenten mee omlaag.
1. Controlomgeving (Control Environment)
De controlomgeving is de basis van alles. Het gaat over de cultuur, waarden en het leiderschap van de organisatie. Stelt het management een goed voorbeeld? Zijn er duidelijke gedragscodes? Hoe worden medewerkers aangeworven, opgeleid en beloond? Een zwakke controlomgeving — bijvoorbeeld een organisatiecultuur waarbij resultaat alles goedpraat — maakt alle andere beheersmaatregelen kwetsbaar. De controlomgeving omvat vijf principes in de 2013-versie, waaronder het tonen van integriteit door het management en het aantrekken van competente medewerkers.
2. Risicobeoordeling (Risk Assessment)
Voordat je risico’s kunt beheersen, moet je ze kennen. De risicobeoordeling omvat het systematisch identificeren en analyseren van risico’s die het bereiken van de doelstellingen in de weg kunnen staan. Daarbij kijk je naar interne risico’s (processen, mensen, systemen) en externe risico’s (markt, wetgeving, technologie). Het COSO-model 2013 voegt hieraan toe dat organisaties ook risico’s door fraude expliciet moeten meenemen in hun beoordeling — een punt dat in de 1992-versie minder nadrukkelijk aanwezig was.
3. Beheersingsactiviteiten (Control Activities)
Beheersingsactiviteiten zijn de concrete maatregelen die risico’s terugbrengen tot een aanvaardbaar niveau. Voorbeelden zijn:
- Functiescheiding: de persoon die een betaling aanvraagt is niet dezelfde die hem goedkeurt
- Autorisatieprocedures: betalingen boven een bepaald bedrag vereisen een extra handtekening
- Reconciliaties: bankafschriften worden vergeleken met de boekhouding
- IT-controles: toegangsrechten, wachtwoordbeleid, auditlogs
- Fysieke beveiliging: toegang tot servers, kassa’s, voorraden
Beheersingsactiviteiten kunnen preventief (voorkomen dat iets misgaat) of detectief (opsporen wat er is misgegaan) zijn. Een goede mix van beide is nodig.
4. Informatie en communicatie (Information and Communication)
Goede interne beheersing vraagt om de juiste informatie op het juiste moment bij de juiste mensen. Wie beslist er, wie rapporteert er en aan wie? Medewerkers moeten weten wat hun verantwoordelijkheden zijn en welke regels gelden. Leidinggevenden moeten tijdig informatie krijgen over afwijkingen en risico’s. Extern moeten rapportages aan aandeelhouders, toezichthouders en andere belanghebbenden betrouwbaar en tijdig zijn.
De COSO-2013-update legt extra nadruk op het communiceren van informatie langs alle richtingen: niet alleen top-down (management naar medewerkers) maar ook bottom-up (medewerkers die afwijkingen signaleren aan het management) en horizontaal (tussen afdelingen).
5. Bewaking (Monitoring Activities)
Interne beheersing is geen eenmalig project maar een doorlopend proces. Bewaking zorgt ervoor dat de beheersmaatregelen blijven werken zoals bedoeld. Dat kan via:
- Doorlopende bewaking: automatische controles in systemen, dagelijkse of wekelijkse checks door managers
- Separate evaluaties: periodieke interne audits, zelfbeoordelingen door afdelingen
- Opvolging van bevindingen: zwaktes die worden gevonden, moeten worden opgevolgd en opgelost
Bewaking levert input voor bijsturing. Als een beheersingsmaatregel niet meer werkt — door organisatiewijzigingen, nieuwe risico’s of technologieveranderingen — moet je ingrijpen.
COSO ERM: het uitgebreide risicomodel
Naast het interne beheersingsraamwerk (COSO Internal Control Framework, ICF) heeft COSO ook een Enterprise Risk Management-raamwerk gepubliceerd, het COSO ERM-model. De meest recente versie stamt uit 2017 en heeft als titel ‘Enterprise Risk Management — Integrating with Strategy and Performance’.
COSO ERM gaat verder dan interne beheersing. Het richt zich op het integreren van risicomanagement in de strategie en uitvoering van de organisatie. Waar het ICF-raamwerk vooral gericht is op het beheersen van bestaande risico’s, helpt COSO ERM organisaties ook om kansen te identificeren en risico’s te koppelen aan strategische keuzes.
Veel grotere organisaties gebruiken COSO ERM als overkoepelend raamwerk voor hun risicobeheersing, met het ICF-raamwerk als operationele invulling voor de interne beheersing.
COSO implementeren in de praktijk: stappenplan
- Bepaal de scope. Welke onderdelen van de organisatie ga je beoordelen? Begin met de financiële rapportage (verplicht voor beursgenoteerde bedrijven in de VS via de Sarbanes-Oxley Act) of met de operationele processen met het hoogste risico.
- Breng de doelstellingen in kaart. Formuleer per categorie (strategisch, operationeel, reporting, compliance) de concrete doelstellingen van de organisatie.
- Identificeer de risico’s. Voer een risicoanalyse uit per doelstelling. Betrek lijnmanagers bij dit proces — zij kennen de praktijkrisico’s het beste.
- Beoordeel de vijf componenten. Ga per component na in welke mate de organisatie voldoet aan de zeventien principes. Documenteer de bevindingen.
- Identificeer zwaktes en verbeterpunten. Een ‘materiële zwakte’ is een ernstige tekortkoming die de kans vergroot dat financiële rapportage materieel onjuist is. Een ‘significant deficiency’ is minder ernstig maar vraagt ook opvolging.
- Stel een verbeterplan op. Wijs eigenaren aan voor elk verbeterpunt, stel deadlines en monitor de voortgang.
- Evalueer periodiek. Interne beheersing moet jaarlijks of bij grote organisatiewijzigingen opnieuw worden beoordeeld.
Veelgemaakte fouten bij het toepassen van COSO
- COSO als papieren oefening behandelen. Het invullen van een COSO-checklist zonder dat de beheersmaatregelen echt zijn ingebed in de processen, is zinloos. COSO is geen doel op zich — het dient als middel om de interne beheersing daadwerkelijk te verbeteren.
- De controlomgeving onderschatten. Veel organisaties focussen op beheersingsactiviteiten (de maatregelen) maar verwaarlozen de cultuur en het leiderschap. Een bedrijf dat toonzetting aan de top verwaarloost, heeft beheersingsmaatregelen die op papier kloppen maar in de praktijk worden omzeild.
- Te weinig aandacht voor IT-risico’s. In de 2013-update benadrukt COSO dat IT een fundamenteel onderdeel is van interne beheersing. Toegangsrechten, logging, backups en systeembeveiliging zijn geen bijzaken — ze zijn beheersingsactiviteiten.
- COSO en COSO ERM door elkaar halen. Het ICF-raamwerk gaat over interne beheersing; COSO ERM gaat over enterprise risk management. Ze zijn gerelateerd maar niet identiek. Zorg dat je weet welk raamwerk je toepast en waarvoor.
- Bewaking niet inbouwen. Organisaties die alleen een jaarlijkse audit doen als ‘bewaking’, missen het continue monitoringaspect. Bewaking moet doorlopend zijn, niet incidenteel.
Veelgestelde vragen
Wat is het verschil tussen COSO 1992 en COSO 2013?
De 2013-update moderniseerde het originele raamwerk van 1992. De vijf componenten bleven hetzelfde, maar er werden zeventien expliciete principes geformuleerd die per component beschrijven wat effectieve interne beheersing inhoudt. Daarnaast werd meer nadruk gelegd op frauderisico’s, IT-risico’s en de rol van de raad van bestuur in het toezicht op interne beheersing.
Is het COSO-model verplicht voor Nederlandse organisaties?
Het COSO-model is in Nederland geen wettelijke verplichting, maar het is de facto de standaard in de financiële sector, accountancy en grote organisaties. Beursgenoteerde bedrijven in de VS zijn via de Sarbanes-Oxley Act (SOX, 2002) verplicht om over interne beheersing te rapporteren — de meeste gebruiken daarvoor COSO. In Nederland verwijzen Codes voor Corporate Governance naar interne beheersing zonder een specifiek raamwerk voor te schrijven, maar COSO is het meest gebruikte.
Wat zijn de zeventien principes van COSO?
De zeventien principes zijn verdeeld over de vijf componenten: Control Environment (5 principes), Risk Assessment (4 principes), Control Activities (3 principes), Information and Communication (3 principes) en Monitoring Activities (2 principes). Ze beschrijven elk een fundamentele eis voor effectieve interne beheersing, zoals ‘de organisatie toont integriteit en ethische waarden’ (principe 1) of ‘de organisatie selecteert en ontwikkelt beheersingsactiviteiten’ (principe 10).
Wat is het verschil tussen COSO en ISO 31000?
COSO (zowel ICF als ERM) richt zich primair op interne beheersing en risicomanagement vanuit een accountancy- en corporate governance-perspectief. ISO 31000 is een internationale norm voor risicomanagement die breder toepasbaar is en minder specifiek ingaat op financiële rapportage en compliance. Veel organisaties gebruiken COSO voor de interne beheersing en ISO 31000 als aanvullend kader voor operationeel risicomanagement.
Hoe verhoudt COSO zich tot de jaarrekening-controle?
Een externe accountant controleert de jaarrekening en geeft een oordeel over de getrouwheid ervan. Onderdeel van die controle is een beoordeling van de interne beheersing, omdat een sterke interne beheersing de kans op fouten in de jaarrekening verkleint. COSO biedt een gestructureerd raamwerk dat accountants en management dezelfde taal geeft bij die beoordeling. Grote accountantskantoren gebruiken COSO-terminologie standaard in hun managementletters en interne beheersingsrapporten.
Wat is een materiële zwakte in COSO-terminologie?
Een materiële zwakte (material weakness) is een tekortkoming of combinatie van tekortkomingen in de interne beheersing waarbij er een redelijke kans bestaat dat een materiële onjuistheid in de financiële rapportage niet tijdig wordt voorkomen of ontdekt. Het is de ernstigste categorie tekortkoming in COSO-terminologie. Een materiële zwakte moet bij beursgenoteerde bedrijven openbaar worden gemeld in het jaarverslag.