Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

COSO

Rollen

1. Chief Operational Security Officer. Equivalent van de Chief Information Security Officer binnen een operationele productie omgeving. 2. Een managementmodel dat is ontwikkeld door Committee of Sponsoring Organizations of the Treadway Commission (COSO).

COSO staat voor Committee of Sponsoring Organizations of the Treadway Commission. Het is een samenwerkingsverband van vijf grote Amerikaanse beroepsorganisaties dat in 1985 is opgericht om fraude in financiële verslaggeving te bestrijden. COSO heeft twee invloedrijke raamwerken ontwikkeld die wereldwijd worden gebruikt: het Internal Control Framework (1992, herzien in 2013) en het Enterprise Risk Management Framework (2004, herzien in 2017). Voor cybersecurity is COSO relevant omdat het de brug slaat tussen risicobeheer op bestuursniveau en operationele beveiligingsmaatregelen. Het helpt organisaties cyber-risico's te integreren in hun bredere governance-structuur en maakt risicobeheer bespreekbaar op bestuursniveau in termen die verder gaan dan technische jargon.

Wat doet een COSO-rol?

COSO definieert geen specifieke functie of rol in de traditionele zin, maar beschrijft het raamwerk waarbinnen risicobeheer en interne beheersing functioneren. De verantwoordelijkheden die COSO beschrijft worden in de praktijk belegd bij rollen als de Chief Risk Officer (CRO), de internal auditor, de compliance officer en het bestuur. Het raamwerk beschrijft wie verantwoordelijk is voor welk aspect van risicobeheer, van strategisch niveau tot operationele uitvoering, en hoe deze rollen samenwerken.

Het Internal Control Framework is opgebouwd rond vijf componenten: beheersomgeving (de "tone at the top"), risicobeoordeling, beheersactiviteiten, informatie en communicatie, en monitoring. Elk component bevat specifieke principes die organisaties moeten implementeren. In totaal zijn er 17 principes die samen een compleet stelsel van interne beheersing vormen. De beheersomgeving is het fundament: zonder betrokkenheid en integriteit van het topmanagement werkt geen enkel controlesysteem effectief.

Het Enterprise Risk Management Framework kijkt breder dan interne beheersing. Het beschrijft hoe organisaties risico's integreren in strategie en prestatiebeheer. Het framework werkt met vijf componenten en 20 principes die dekken van governance en cultuur tot prestatiebeoordeling. Voor CISO's is het ERM-framework waardevol omdat het een taal biedt om cyberrisico's te communiceren naar het bestuur in termen die aansluiten bij de bredere bedrijfsstrategie. Het maakt het mogelijk om beveiligingsinvesteringen te onderbouwen in termen van bedrijfsrisico in plaats van technische dreigingen.

Wanneer heb je COSO nodig?

COSO wordt relevant zodra een organisatie haar risicobeheer wil structureren en professionaliseren. Voor beursgenoteerde bedrijven in de VS is het COSO Internal Control Framework feitelijk verplicht via de Sarbanes-Oxley Act (SOX). In Nederland en Europa is het gebruik vrijwillig maar wijdverbreid, vooral bij grotere organisaties, financiële instellingen en overheidsorganisaties. De Nederlandse Corporate Governance Code verwijst impliciet naar COSO-principes voor adequate interne beheersing.

In de context van cybersecurity biedt COSO een structuur om cyber-risico's te verbinden met bedrijfsrisico's. Waar ISO 27001 en NIST CSF zich richten op informatiebeveiligingsrisico's, plaatst COSO deze binnen het grotere geheel van enterprise risk management. Dit is essentieel voor bestuurdersaansprakelijkheid: het bestuur moet aantoonbaar grip hebben op alle materiële risico's, inclusief cyberrisico's. COSO biedt het raamwerk om deze grip aantoonbaar te maken richting toezichthouders en stakeholders.

Organisaties die werken met de three lines of defense (drie verdedigingslinies) gebruiken COSO als het overkoepelende raamwerk. De eerste linie (operationeel management) beheert risico's dagelijks. De tweede linie (risk management, compliance) bewaakt en adviseert. De derde linie (internal audit) verschaft onafhankelijke zekerheid. COSO beschrijft hoe deze drie linies samenwerken om effectieve risicomanagement te realiseren. Het model is inmiddels geactualiseerd naar het IIA Three Lines Model dat meer nadruk legt op samenwerking en waardecreatie.

Wat kost COSO-implementatie?

De COSO-publicaties zelf zijn beschikbaar via de COSO-website, sommige gratis en andere tegen betaling. De werkelijke kosten zitten in de implementatie. Voor een middelgrote organisatie kost het opzetten van een COSO-compliant intern beheersingssysteem doorgaans 50.000 tot 200.000 euro, afhankelijk van de complexiteit en de volwassenheid van bestaande processen. Organisaties die al werken met gestructureerd risicobeheer kunnen sneller en goedkoper implementeren.

De grootste kostenpost is doorgaans de consultancy en het trainen van personeel. COSO is een raamwerk dat organisatiebreed moet worden gedragen, van het bestuur tot de operationele teams. Dit vereist bewustwording, training en cultuurverandering. Externe consultants met COSO-expertise rekenen doorgaans 150 tot 300 euro per uur. Een volledig implementatietraject duurt gemiddeld 12 tot 18 maanden voor een middelgrote organisatie.

Het verschil met cybersecurity-specifieke frameworks is dat COSO niet primair een IT-project is maar een governance-initiatief. De kosten zijn daardoor verspreid over meerdere afdelingen en bedrijfsfuncties. Het voordeel is dat een goed geïmplementeerd COSO-raamwerk de basis legt voor efficiëntere implementatie van specifiekere frameworks zoals ISO 27001 of NIS2-compliance, doordat de governance-structuur al staat. De investering in COSO betaalt zich terug in lagere implementatiekosten voor vervolgtrajecten.

COSO en digitale transformatie

Met de versnelling van digitale transformatie past COSO zich aan aan nieuwe risico's. Het raamwerk adresseert inmiddels expliciet risico's rond AI, cloud computing, cyber-risico en supply chain-afhankelijkheden. De 2017-update van het ERM-framework introduceerde het concept van "strategy and performance", waarmee risicobeheer wordt gekoppeld aan strategische besluitvorming. Voor organisaties die hun IT-landschap moderniseren, biedt dit een kader om technologierisico's systematisch mee te nemen in strategische keuzes.

De integratie van COSO met cybersecurity-specifieke frameworks wordt steeds belangrijker. Veel organisaties gebruiken COSO als overkoepelend governance-framework met ISO 27001 of NIST CSF als invulling voor informatiebeveiligingsrisico's. Deze gelaagde aanpak zorgt ervoor dat cybersecurity niet als geïsoleerd IT-onderwerp wordt behandeld maar als integraal onderdeel van enterprise risk management. De Chief Information Security Officer rapporteert via COSO-structuren aan het bestuur over de status van cyberrisico's, gebruikmakend van een gemeenschappelijke risicotaal die aansluit bij andere bedrijfsrisico's. Dit bevordert effectieve besluitvorming over beveiligingsinvesteringen op bestuursniveau en zorgt voor proportionele aandacht voor cyberrisico's naast andere bedrijfsrisico's.

Veelgestelde vragen over COSO

Wat is het verschil tussen COSO en COBIT?

COSO is een breed raamwerk voor interne beheersing en enterprise risk management, toepasbaar op de hele organisatie. COBIT is specifiek gericht op IT-governance en management. COBIT bouwt voort op COSO-principes maar vertaalt ze naar concrete IT-beheersmaatregelen en -processen.

Is COSO verplicht in Nederland?

COSO is niet wettelijk verplicht in Nederland. Het wordt echter breed aanbevolen door toezichthouders zoals DNB en de AFM als best practice voor interne beheersing. De Nederlandse Corporate Governance Code verwijst impliciet naar COSO-principes.

Hoe verhoudt COSO zich tot cybersecurity?

COSO integreert cybersecurity als onderdeel van enterprise risk management. Het biedt de structuur om cyberrisico's te beoordelen in de context van bedrijfsrisico's, wat essentieel is voor bestuurlijke besluitvorming over security-investeringen en voor het voldoen aan bestuurdersaansprakelijkheid.

Kan een mkb-bedrijf COSO gebruiken?

Ja, COSO is schaalbaar. De principes zijn toepasbaar ongeacht organisatiegrootte. Voor mkb-bedrijven is het raadzaam te focussen op de kernprincipes en deze pragmatisch toe te passen. Begin met een eenvoudige risicobeoordeling en bouw van daaruit verder.

Wat is de three lines of defense?

Het three lines of defense-model is een governance-structuur die beschrijft hoe operationeel management (eerste linie), risicofuncties en compliance (tweede linie) en internal audit (derde linie) samenwerken om risico's effectief te beheersen. COSO gebruikt dit als basis voor interne beheersing.

Zoek een specialist voor risicobeheer via Governance Risk Compliance op IBgidsNL.