COSO-framework

Het COSO-framework behoort tot een invloedrijk framework op het gebied van interne controle en risicomanagement. Het vormt in een zekere zin de basis voor hoe ondernemingen, financiële instellingen en overheidsorganisaties hun interne beheersing, risicomanagement en governance structureren. Het framework is ontstaan als gevolg van de ‘crisis van vertrouwen’ die eind jaren tachtig de financiële markten trof.

In de jaren tachtig werd de Verenigde Staten geconfronteerd met omvangrijke boekhoudfraudes — waaronder de Savings and Loan-crisis — welke het vertrouwen in financiële verslaggeving ernstig ondermijnden. De National Commission on Fraudulent Financial Reporting. De Treadway Commission (1987) concludeerde dat bedrijven wel controleprocedures hadden, maar dat deze gefragmenteerd, reactief en onvoldoende geïntegreerd waren. De commissie riep vervolgens op tot de ontwikkeling van een uniform begrippenkader voor interne controle, dat betrouwbaarheid, integriteit en transparantie zou waarborgen. Als antwoord daarop richtten vijf Amerikaanse beroepsorganisaties voor accountants, auditors en financieel managers in 1985 het Committee of Sponsoring Organizations of the Treadway Commission (COSO) op. Het doel betrof het creëren van een gemeenschappelijk raamwerk waarmee organisaties hun interne beheersing systematisch konden vormgeven.

Het eerste Internal Control – Integrated Framework verscheen in 1992. COSO definieerde interne beheersing als:

“A process, effected by an entity’s board of directors, management, and other personnel, designed to provide reasonable assurance regarding the achievement of objectives.”

Het raamwerk had drie fundamentele functies:

1. Herstel van vertrouwen in financiële verslaggeving;
2. Uniformering van uiteenlopende controle- en auditpraktijken;
3. Ondersteuning van bestuurders bij hun fiduciaire verantwoordelijkheid wat betreft risico’s.

COSO werd daarmee een gemeenschappelijke taal als het gaat om ‘betrouwbaarheid’ tussen managers, toezichthouders en auditors.

Twee decennia later dwongen globalisering, digitalisering en toegenomen complexiteit tot een fundamentele herziening. Het herziene COSO Internal Control – Integrated Framework (2013) behield de vijf kerncomponenten, maar voegde zeventien principes toe. De nadruk verschoof van naleving naar integratie. Ook positioneerde COSO 2013 de interne controle niet langer als mechanisch systeem, maar als sociaal-technisch proces waarin cultuur, ethiek, leiderschap en informatie samen de betrouwbaarheid van de organisatie bepalen (Bromiley et al., 2015). 

In 2017 presenteerde COSO het Enterprise Risk Management – Integrating with Strategy and Performance (COSO-ERM 2017). Dit raamwerk verlegt de aandacht van controle naar waardecreatie op grond van onzekerheid. Risico wordt hier opgevat als inherent aan ondernemerschap, niet als verstoring ervan. COSO-ERM definieert risicomanagement vervolgens als:

“The culture, capabilities, and practices that organizations integrate with strategy-setting and apply when carrying out that strategy, to manage risk in creating, preserving, and realizing value.”

Het model introduceert vijf componenten en twintig principes, waarmee risico, strategie en prestatie geïntegreerd worden.

In dit artikel wordt nader ingegaan op het volgende:

1. de theoretische aannames en grondslagen waarop het initiële COSO-framework berust;
2. Wat het COSO-framework omvat (COSO 2013 en COSO-ERM 2017);
3. De kanttekeningen die vanuit de literatuur kunnen worden geplaatst bij de meest recente ontwikkelingen met betrekking tot het COSO-framework

Theoretische aannames van het initiële COSO-framework

Hoewel het COSO-framework veelal wordt gepresenteerd als een neutraal instrument, is het gebaseerd op impliciete veronderstellingen over menselijk gedrag, organisatieontwerp en bestuurlijke rationaliteit. De aannames van het framework worden onderstaand beknopt weergegeven.

1. De rationeel-systemische aanname
   COSO gaat uit van de veronderstelling dat organisaties rationeel te sturen zijn via gestructureerde processen, informatie en feedback. Onzekerheid wordt beschouwd als beheersbaar binnen een cybernetisch controlesysteem (Otley & Emmanuel, 2013), waarin normen, metingen en correcties leiden tot stabiliteit.
2. De managerialistische aanname
   Het framework positioneert management als de primaire actor in beheersing. COSO is gestoeld op de agency-theoretische overtuiging dat formele controlemechanismen noodzakelijk zijn om informatie-asymmetrie tussen bestuurders en toezichthouders te beperken (Jensen & Meckling, 1976). Deze aanname weerspiegelt een managerialistisch wereldbeeld waarin rationele sturing centraal staat.
3. De probabilistische aanname
   COSO stelt dat interne beheersing slechts “redelijke zekerheid” kan bieden. Deze probabilistische visie (Knight, 1921) erkent dat risico’s niet kunnen worden geëlimineerd, maar binnen bepaalde grenzen beheersbaar zijn. Effectiviteit wordt daarmee gedefinieerd in waarschijnlijkheden in plaats van absolute zekerheid.
4. De integratieve aanname
   Het model veronderstelt dat de vijf componenten — controleomgeving, risicobeoordeling, activiteiten, informatie en monitoring — als één systeem functioneren. Deze systeemlogica (Bunge, 1996) beschouwt organisaties als adaptieve, onderling verbonden structuren waarin informatie- en feedbacklussen zorgen voor evenwicht.
5. De normatieve aanname van governance
   Tot slot impliceert COSO dat goed bestuur universeel kan worden gedefinieerd in termen van transparantie, verantwoording en consistentie. Deze normatieve duiding maakt het raamwerk internationaal toepasbaar, echter roept het vragen op over culturele variatie in governancepraktijken (Power, 2009).

De structuur van COSO (2013): vijf componenten en zeventien principes

Het herziene Internal Control – Integrated Framework (2013) bestaat uit vijf onderling verbonden componenten, ondersteund door zeventien principes. Samen geven zijn weer hoe beheersing functioneert als lerend, adaptief systeem. Elk component adresseert een ander aspect van governance, waarbij de waarde ligt in de interactie. Cultuur bepaalt de kwaliteit van risico-analyse, informatie maakt controle betekenisvol en monitoring creëert leervermogen. Onderstaand zijn de vijf componenten en samenhangende principes beknopt weergegeven. 

1. Control Environment – De culturele infrastructuur van betrouwbaarheid

Het eerste component vormt het morele en institutionele fundament. COSO vertrekt vanuit de stelling dat effectieve beheersing niet begint bij regels, maar bij waarden en leiderschap.
De control environment bepaalt de “tone at the top”: het ethisch klimaat, de voorbeeldfunctie van het bestuur, de onafhankelijkheid van toezicht en de wijze waarop verantwoordelijkheden worden gedefinieerd en gedragen.

De onderliggende principes richten zich op integriteit, onafhankelijkheid, duidelijke rolverdeling, competentieontwikkeling en verantwoordelijkheid.
Dit domein representeert in een zekere zin de verschuiving van formele naar gedragsmatige controle (Kaptein, 2011). Een ethisch consistente organisatie hoeft minder op externe sancties te vertrouwen, omdat normbesef intern verankerd is.

2. Risk Assessment – De epistemologie van onzekerheid

Het tweede component beschrijft hoe organisaties hun doelstellingen verbinden met onzekerheid. COSO stelt dat risico’s slechts kunnen worden beheerst wanneer zij worden begrepen als afwijkingen van doelgericht handelen. De principes van risk assessment structureren dit proces in vier fasen:

1. doelstellingen definiëren
2. risico’s identificeren en analyseren
3. specifieke aandacht voor fraude en integriteitsrisico’s
4. en het anticiperen op veranderingen in de omgeving.

Hiermee introduceert COSO een dynamische opvatting van risico: risico is geen statisch gevaar, maar een veranderlijk verschijnsel dat voortdurend herijkt moet worden. Het concept risk appetite maakt dit bestuurbaar, daar het bestuur bepaalt binnen welke onzekerheid men bereid is te opereren (Gordon, Loeb & Tseng, 2009). Deze benadering verschuift de focus van risicobeperking naar risicobewust ondernemerschap: onzekerheid wordt een bron van strategisch leren.

3. Control Activities – De operationalisering van beheersing

De derde component vertaalt het normatieve en analytische fundament naar concreet handelen. Control activities betreffen de organisatorische mechanismen waarmee beleid en risicoanalyse zich materialiseren in dagelijkse processen. Dit omvat beleidsregels, functiescheiding, autorisatieprocedures, reconciliaties en IT-controles.

COSO benadrukt dat controles niet los van het werkproces mogen staan; ze moeten geïntegreerd zijn in de organisatiearchitectuur. Ingebedde controles effectiever zijn dan externe audits of losse checklists (Park, Wu & Zimmerman, 2021).

4. Information & Communication – De cognitieve dimensie van controle

Informatie en communicatie vormen het zenuwstelsel van het systeem. COSO beschouwt informatie niet als ondersteunend, maar als constitutief: zonder betrouwbare, relevante en tijdige informatie is geen enkel controlemechanisme betekenisvol.

De principes binnen dit domein richten zich op het verzamelen, verwerken en distribueren van informatie binnen én buiten de organisatie. Interne communicatie creëert bewustzijn en duidelijkheid over rollen; externe communicatie bevordert transparantie richting stakeholders.

Gupta, Li en Zhang (2025) tonen aan dat toepassing van COSO 2013 de informatie-asymmetrie op financiële markten vermindert en de geloofwaardigheid van verslaggeving verhoogt. Daarmee koppelt COSO beheersing aan publieke legitimiteit: informatie is niet slechts middel, maar drager van vertrouwen.

5. Monitoring Activities – De reflexieve functie van beheersing

Monitoring is het zelfreflectieve element van COSO: het mechanisme waarmee organisaties toetsen, leren en verbeteren. Het omvat zowel continue evaluatie als periodieke beoordeling van controls.
COSO positioneert monitoring expliciet als leerfunctie. Fouten en afwijkingen worden niet gezien als mislukkingen, maar als signalen die leiden tot systeemaanpassing. In termen van Sabel en Zeitlin (2012) vertegenwoordigt dit een vorm van experimentalist governance: sturing door feedback, niet door voorschrift. De effectiviteit van monitoring hangt af van de mate waarin organisaties bereid zijn hun eigen processen kritisch te evalueren. Daarmee vormt dit component de brug tussen controle en organisatieontwikkeling.

De structuur van COSO-ERM (2017): vijf componenten en twintig principes

COSO-ERM (2017) bouwt voort op dezelfde systematische logica van de interne controle, maar verlegt het perspectief van defensieve beheersing naar strategische veerkracht. In plaats van risico’s te reduceren, wordt gezocht naar evenwicht tussen risico en rendement, waarbij onzekerheid wordt beschouwd als noodzakelijke voorwaarde voor innovatie, ondernemerschap en duurzame prestaties (Bromiley, McShane, Nair & Rustambekov, 2015). De herziene benadering weerspiegelt daarmee een paradigmaverschuiving: van compliance-based control naar performance-based governance, ofwel een vorm van risicomanagement die het bestuursproces zelf verrijkt in plaats van het te beperken.

Onderstaand worden de vijf componenten en twintig principes weergegeven welke gezamenlijk het integrale systeem vormen.

1. Governance & Culture – de institutionele bedding van risicodenken

Het eerste component legt de normatieve en culturele basis voor effectief risicomanagement. COSO-ERM veronderstelt dat de kwaliteit van risicosturing in sterke mate wordt bepaald door het bestuurlijke klimaat en de organisatiecultuur waarin deze is ingebed. Governance bepaalt de richting en verantwoordelijkheid en cultuur bepaalt het gedrag. De onderliggende principes benadrukken onder meer dat het bestuur toezicht moet houden op risicomanagement, dat managementstructuren duidelijk moeten zijn, dat de gewenste risicocultuur expliciet moet worden gedefinieerd en dat bekwaam, integer personeel cruciaal is.
Deze uitgangspunten sluiten aan bij onderzoek naar ethical climate (Kaptein, 2011) en behavioral governance (Mikes & Kaplan, 2014), waarin moreel leiderschap wordt gezien als voorwaarde voor effectieve beheersing. Een cultuur die openheid en verantwoordelijkheid stimuleert, vormt de eerste verdedigingslinie tegen risicofalen.

2. Strategy & Objective-Setting – de strategische verankering van risico

Het tweede component verlegt risicomanagement van een operationele functie naar de kern van strategievorming. COSO-ERM benadrukt dat risico’s niet exogeen zijn – gebeurtenissen die zich buiten de organisatie afspelen – maar endogeen aan de strategische keuzes zelf.
De principes binnen dit domein verplichten organisaties om risico’s en kansen expliciet mee te wegen bij het formuleren van strategie, om de mate van risicobereidheid (risk appetite) vast te leggen en om alternatieve strategische scenario’s te evalueren op hun risicoprofiel.
In feite operationaliseert COSO hier de strategische consistentie tussen doelstellingen, middelen en risicobereidheid (Gordon, Loeb & Tseng, 2009). Strategieontwikkeling wordt daarmee een evenwichtsoefening tussen ambitie en prudentie: waarde ontstaat waar risico bewust wordt aangestuurd, niet vermeden.

3. Performance – risico als prestatiemechanisme

In het derde component komt het kerninzicht van COSO-ERM tot uitdrukking: risicomanagement is niet louter een beheersingsinstrument, maar een prestatiemechanisme. Hier wordt de brug geslagen tussen risicobeoordeling, uitvoering en strategisch resultaat.
De principes beschrijven hoe organisaties risico’s identificeren die de doelstellingen kunnen bedreigen, ze beoordelen op waarschijnlijkheid en impact, prioriteren en passende reacties ontwerpen. Nieuw in deze versie is het principe van risk portfolio view: de organisatie moet niet alleen individuele risico’s begrijpen, maar ook hun onderlinge samenhang.
Empirisch onderzoek (Bromiley et al., 2015) laat zien dat organisaties die risico’s beschouwen als input voor prestatiesturing – en niet enkel als bedreiging – beter presteren op lange termijn. COSO-ERM ondersteunt daarmee een verschuiving van risk avoidance naar risk-informed performance management, waarin risico’s worden gekwantificeerd en geïntegreerd in prestatie-indicatoren.

4. Review & Revision – de adaptieve cyclus

Het vierde component erkent dat risicomanagement geen statisch systeem is, maar een continu leerproces. COSO-ERM beschouwt organisaties als open systemen die zich voortdurend moeten aanpassen aan veranderende interne en externe omstandigheden.
De principes benadrukken drie kernactiviteiten: het identificeren van relevante veranderingen, het periodiek evalueren van de effectiviteit van het risicobeheersingssysteem en het doorvoeren van verbeteringen. Deze cyclus weerspiegelt wat Sabel en Zeitlin (2012) duiden als experimentalist governance: een bestuursvorm waarin beleid, doelen en processen voortdurend worden herijkt op basis van feedback en ervaring. In die zin introduceert COSO-ERM een dynamisch perspectief op controle: beheersing is geen eindtoestand, maar een voortdurende dialoog tussen stabiliteit en vernieuwing.

5. Information, Communication & Reporting – transparantie als legitimiteit

Het laatste component behandelt de informatie-architectuur van risicomanagement. COSO-ERM stelt dat betrouwbare en tijdige informatie de spil vormt van besluitvorming. De principes schrijven voor dat relevante risicodata moeten worden verzameld, verwerkt en gedeeld binnen de organisatie, en dat externe rapportage moet bijdragen aan transparantie en vertrouwen.
Hiermee koppelt COSO-ERM risicomanagement expliciet aan corporate governance en publieke legitimiteit. Ondernemingen die deze principes effectief toepassen vertonen minder informatie-asymmetrie op financiële markten en scoren beter op vertrouwen van investeerders (Gupta, Li & Zhang, 2025).
Informatie is in dit raamwerk niet enkel ondersteunend, maar constitutief: ze vormt de epistemische infrastructuur waarop risico-bewuste besluitvorming rust.

Welke kanttekeningen kunnen worden geplaatst?

Sinds de publicatie van het Enterprise Risk Management – Integrating with Strategy and Performance-raamwerk in 2017 heeft COSO-ERM zich ontwikkeld tot een sterke mondiale referentie voor strategisch risicomanagement. Alhoewel de waarde van het raamwerk als gemeenschappelijke taal wordt erkend, kunnen er echter kanttekeningen worden geplaatst. De kanttekeningen moeten in dit licht niet worden opgevat als afwijzingen, maar op de beperkte mate waarin het raamwerk daadwerkelijk de dynamiek en complexiteit van moderne organisaties weet te vangen. Onderstaand enkele kanttekeningen.

1. Strategische integratie blijft veelal ambitie op papier

Een centrale belofte van COSO-ERM (2017) is de integratie van risico in strategie en prestaties. Recente onderzoeken tonen echter aan dat deze integratie in veel organisaties niet volledig wordt gerealiseerd. Het rapport Enhanced Enterprise Risk Management and Strategic Decision-Making van het Institute of Internal Auditors (2025) constateert dat risicomanagement vaak blijft steken op het niveau van rapportage en procesbeheersing, zonder substantiële invloed op strategische beslissingen.
Ook het artikel Enterprise Risk Management Revisited: A Study to Identify Effective Elements (Journal of Risk Research, 2025) stelt dat organisaties moeite hebben de inzichten uit ERM-systemen te vertalen naar daadwerkelijke strategische keuzes.

De oorzaak volgens deze studies is gelegen in de timing en positionering van risicoprocessen: risicoanalyses worden vaak achteraf uitgevoerd, terwijl strategische discussies al zijn afgerond. COSO-ERM biedt hiervoor wel een conceptueel kader, maar onvoldoende concrete mechanismen om strategische besluitvorming te voeden met risicoinformatie (IIA, 2025).

2. Beperkt bewijs voor prestatieverbetering

Hoewel COSO-ERM beoogt waardecreatie te ondersteunen, blijft het empirische bewijs voor prestatieverbetering beperkt. De studie van Tontiset (2025) onder Thaise beursgenoteerde ondernemingen concludeert dat de effectiviteit van COSO-ERM sterk afhankelijk is van topmanagement-steun, IT-volwassenheid en interne-auditcompetentie, maar dat het raamwerk op zichzelf geen directe prestatieverbetering oplevert.
Soortgelijke bevindingen zijn zichtbaar in onderzoek van Fung et al. (2025), dat weliswaar een positieve relatie aantreft tussen ERM-volwassenheid en financiële schokbestendigheid bij verzekeraars tijdens COVID-19, maar geen significant verband met winstgevendheid of groei. De literatuur suggereert dat COSO-ERM vooral waarde toevoegt via betere informatiekwaliteit en governance-discipline, niet via direct meetbare financiële prestaties (Gupta, Li en Zhang, 2025; IIA, 2025).

3. Lineaire systeemlogica in een complexe wereld

Een andere kanttekeningen kan worden geplaatst betreffende de epistemologische grondslag van COSO-ERM. Het raamwerk blijft grotendeels gestoeld op een lineair systeemdenken: risico’s worden voorgesteld als discrete entiteiten die geïdentificeerd, beoordeeld en beheerst kunnen worden. In complexe, onderling verbonden systemen – zoals digitale ecosystemen en mondiale toeleveringsketens – zijn risico’s echter emergent en adaptief.

Een publicatie in Scientific Reports (Sheth et al., 2024) stelt dat COSO-ERM onvoldoende rekening houdt met netwerkdynamiek en terugkoppelingslussen. De auteurs bepleiten een complex adaptive systems-benadering, waarin risico’s worden gemodelleerd als dynamische netwerken in plaats van lineaire ketens. Deze kritiek impliceert dat de conceptuele basis van COSO-ERM waardevol blijft voor structurering, maar ontoereikend is om niet-lineaire risico-interacties te begrijpen.

4. Onvoldoende beslissorïentatie en kwantitatieve integratie

Hoewel COSO-ERM de koppeling tussen risico en prestatie centraal stelt, ontbreekt volgens bepaalde studies de kwantitatieve onderbouwing die nodig is voor besluitvorming.
Zo constateren Gleißner et al. (2024) dat organisaties risico’s wel identificeren, maar ze zelden worden vertald naar geïntegreerde risicoprofielen of waarde-risico-afwegingen.
Het raamwerk biedt volgens hen te weinig richtlijnen voor aggregatie, simulatie en correlatie-analyse (zoals Monte-Carlo-benaderingen of Value-at-Risk-portefeuilles), waardoor risicomanagement blijft steken op kwalitatieve classificatie.Dit benadrukt dan ook dat COSO-ERM als raamwerk voor strategy and performance kwantitatieve versterking nodig heeft om effectief te kunnen functioneren in besluitondersteuning (Fraser, Quail en Simkins, 2024).

5. Culturele en institutionele afhankelijkheid

Het succes van COSO-ERM is in sterke mate afhankelijk van contextuele factoren. Tontiset (2025) toont aan dat organisaties in niet-Westerse contexten het model vooral gebruiken voor externe legitimiteit – als teken van modern bestuur – in plaats van interne strategische sturing. Daarmee sluit COSO-ERM nauw aan bij Angelsaksische bestuursnormen (accountability, formalisering), maar minder bij relationele governanceculturen waarin vertrouwen en informele coördinatie domineren. Dit derhalve om aanpassing en maatwerk om in verschillende institutionele contexten effectief te zijn.

6. Symbolische naleving en institutioneel werk

Onderzoek van Jabbour et al. (2024) duidt enterprise risk management als institutioneel werk: professionals gebruiken ERM-procedures om legitimiteit te genereren richting toezichthouders en stakeholders. In dit perspectief wordt COSO-ERM niet primair een beslisinstrument, maar een taal van geloofwaardigheid. De auteurs waarschuwen voor het gevaar van symbolic compliance: formele invoering van processen zonder daadwerkelijke verandering in risicocultuur of besluitlogica. Voorgenoemde maakt duidelijk dat COSO-ERM niet alleen een technisch, maar ook een sociaal-politiek systeem is: de effectiviteit hangt af van de mate waarin organisaties het gebruiken als middel voor reflectie in plaats van façade.

7. Resilience en adaptiviteit: een ontbrekende dimensie

De pandemie en recente geopolitieke crises hebben het debat over resilience in risicomanagement verder verscherpt. Studies van Fung et al. (2025) en de Society of Actuaries (2024) tonen aan dat organisaties met volwassen ERM-systemen beter presteren tijdens exogene schokken, maar dat COSO-ERM zelf geen expliciet kader biedt voor veerkrachtmeting. Er wordt dan ook gepleit voor uitbreiding van het raamwerk met resilience-indicatoren zoals aanpassingsvermogen, herstelcapaciteit en leercycli.

LITERATUUR

1. Bromiley, P., McShane, M., Nair, A., & Rustambekov, E. (2015). Enterprise risk management: Review, critique, and research directions. Long Range Planning, 48(4), 265–276. 
2. Bunge, M. (1996). Finding philosophy in social science. Yale University Press.
3. Committee of Sponsoring Organizations of the Treadway Commission. (2013). Internal control—Integrated framework (Executive summary). COSO. 
4. Committee of Sponsoring Organizations of the Treadway Commission. (2017). Enterprise risk management—Integrating with strategy and performance. COSO.
5. Fraser, J., Quail, R., & Simkins, B. J. (2024). What’s wrong with enterprise risk management? Journal of Risk and Financial Management, 17(7), 274. 
6. Fung, D. W. H., Lee, W. Y., & Yang, C. (2025). Surviving the storm: Evaluating the role of enterprise risk management in property and liability insurers’ performance during the COVID-19 pandemic. Journal of Corporate Finance, 91, 102751. 
7. Gleißner, W., & Berger, T. B. (2024). Enterprise risk management: Improving embedded risk management and risk governance. Risks, 12(12), 196. 
8. Gordon, L. A., Loeb, M. P., & Tseng, C.-Y. (2009). Enterprise risk management and firm performance: A contingency perspective. Journal of Accounting and Public Policy, 28(4), 301–327. 
9. Gupta, P. P., Li, X., & Zhang, W. (2025). Does the 2013 COSO internal control framework improve the information environment in U.S. capital markets? Managerial Auditing Journal. Advance online publication. 
10. Institute of Internal Auditors. (2025). Enhanced enterprise risk management and strategic decision-making. IIA Research Foundation.
11. Jabbour, M., Cullen, J., & Crawford, J. (2025). Enterprise risk management: An institutional work perspective. Accounting Forum. Advance online publication. 
12. Jensen, M. C., & Meckling, W. H. (1976). Theory of the firm: Managerial behavior, agency costs and ownership structure. Journal of Financial Economics, 3(4), 305–360. 
13. Kaptein, M. (2011). From inaction to external whistleblowing: The influence of the ethical culture of organizations on employee responses to observed wrongdoing. Journal of Business Ethics, 98(3), 513–530. 
14. Knight, F. H. (1921). Risk, uncertainty, and profit. Houghton Mifflin.
15. Mikes, A., & Kaplan, R. S. (2014). Towards a contingency theory of enterprise risk management (HBS Working Paper No. 13-063). Harvard Business School.
16. Otley, D., & Emmanuel, C. (Eds.). (2013). Readings in accounting for management control (Rev. ed.). Springer.
17. Park, K., Qin, J., Seidel, T. A., & Zhou, J. (2021). Determinants and consequences of noncompliance with the 2013 COSO framework. Journal of Accounting and Public Policy, 40(6), 106899. 
18. Power, M. (2009). The risk management of nothing. Accounting, Organizations and Society, 34(6–7), 849–855.
19. Sabel, C. F., & Zeitlin, J. (2012). Experimentalist governance. In D. Levi-Faur (Ed.), The Oxford handbook of governance (pp. 169–183). Oxford University Press. 
20. Scientific Reports—Sheth, A., & Sinfield, J. V. (2024). Advancing the complex adaptive systems approach to enterprise risk management with quantified risk networks (QRNs). Scientific Reports, 14, 22312. 
21. Society of Actuaries. (2024). Does ERM enhance insurers’ resilience to COVID-19? Society of Actuaries Research Institute.
22. Tontiset, N. (2025). The study of factors affecting on COSO ERM success and its consequences: An empirical research of Thai-listed companies. Business: Theory and Practice, 26(2), 241–253.