Hoofstuk 6 Inrichting beheersingsprocessen
6.1 Inrichting beheersingsprocessen
Inrichting beheersingsprocessen omvat:
1. Ontwerpen maatregelen (het ontwerpen van een passend stelsel van beheersingsprocessen)
2. Toewijzen controle-eigenaren
3. Implementeren maatregelen
Het inrichten van beheersingsprocessen is de vervolgstap om risico’s het hoofd te bieden. Voor
risico’s waarvoor de strategie ‘reduceren’ of ‘selecteren’ is gekozen, zal het management actie
ondernemen in de vorm van beheersingsmaatregelen of scenarioevaluatie. Kansen zonder
noemenswaarde verwachte opbrengsten en risico’s waarvoor de strategie ‘accepteren’ is gekozen
geen verdere stappen worden ondernomen door de management.
6.2 Inrichting beheersingsprocessen: de infrastructuur
Nadat de risicostrategieën voor risicogroepen zijn uitgewerkt en risico-eigenaren zijn benoemd, wordt
de opdracht gegeven invulling te geven aan de risicostrategie per risicogroep.
Om als risicomanager hieraan invulling te geven, dienen risicomanagers een effectieve
risicomanagementinfrastructuur te realiseren. Infrastructuur heeft hierbij betrekking op de
verschillende ‘bouwstenen’ die nodig zijn om het risicomanagementproces uit te voeren. Binnen
ERMplus-methodiek bestaat de risicomanagementinfrastructuur uit een vijftal samenhangende
componenten:
1. Risico’s en risicomanagement strategieën: definiëren van doelstellingen, het identificeren
van gebeurtenissen die het bereiken van deze doelstellingen kunnen bedreigen of versterken,
het inventariseren van risico’s en de bijbehorende risicostrategie.
2. Beheersingsprocessen: het voeren van de beheersactiviteiten op de verschillende niveaus
van de organisatie.
3. Mensen: voeren de beheersingsprocessen uit. Enerzijds in operationele, uitvoerende sfeer.
Anderzijds op het gebied van algeheel management en coördinatie.
4. Informatie en communicatie: hebben betrekking op het systematisch vastleggen van
informatie rondom de uitvoering van het risicomanagement, het analyseren van deze
gegevens en het rapporteren aan het tactisch en strategisch management omtrent de
effectiviteit van het beheersingsproces en risicomanagement.
5. Toezicht: door het tactische en strategische management van de lijnorganisatie.
Om de component informatie en communicatie adequaat in te vullen, dienen drie deelcomponenten
op effectieve wijze te zijn gerealiseerd. Deze zijn:
1. Informatiesystemen en data: (transactieverwerkende systemen, risico-, governance- en
compliance software, datawarehouses, data-analysesoftware, risicoanalyse en
simulatiesoftware)
2. Analyse- en consolidatietechnieken: zijn erop gericht het management van input te
voorzien voor besluitvorming. ( XBRL)
3. Managementrapportage: heeft betrekking op het voorzien van het senior management van
informatie over de uitvoering van het risicomanagementproces en de beheersingsprocessen.
(Verlies-&-Winstrekeningen, errorrapportages, scenario- en simulatieanalyses,
auditrapportages, voortgangsrapportage)
6.3 Beheersingsprocessen: management control, interne beheersing en interne controle
Beheersing/internal control: heeft betrekking op het op koers houden van de organisatie in de
richting van de gestelde doelen. Voorkomen, detecteren en vooruitkijkend.
Management control: gaat in op de vraag of het gedrag van werknemers overeen komt met het door
het management gewenste gedrag. Twee belangrijke kenmerken van MC zijn:
1. MC is sterk georiënteerd op menselijk gedrag
, 2. MC wordt gedreven vanuit de strategie van de organisatie
6.3 Het integraal beheersingskader
Identificeren en beheersen van risico’s vanuit 5 lines of defense.
De verantwoordelijkheden binnen de organisatie voor het uitvoeren van beheersingsmaatregelen
hebben betrekking op de verschillende verdedigingslinies van beheersing.
1e verdedigingslinie: operationele bedrijfsvoering en management
De eerste verdedigingslinie betreft het identificeren en beheersen van risico’s binnen de primaire
proces. De eerste verdedigingslinie wordt gesplitst in drie delen:
Verdedigingslinie 1a: de operationele medewerker
Verdedigingslinie 1b: het middelmanagement of tactische management
Verdedigingslinie 1c: het topmanagement of strategische management
2e verdedigingslinie: ondersteunde staffunctie
Vervult een belangrijke ondersteunende verantwoordelijkheid, met name ten aanzien van het
beheersen van strategische risico’s.
3e verdedigingslinie: internal auditfunctie
Heeft betrekking op het monitoren van de effectiviteit van beheersing door de internal auditfunctie. De
afdeling internal audit levert extra zekerheid aan het management omtrent de kwaliteit van de opzet
van het beheersingssystemen en werking daarvan.
4e verdedigingslinie: externe accountant
De primaire rol van de externe accountant is het verschaffen van extra zekerheid over de getrouwheid
van de financiële verslaggeving. Zijn expertise richt zich primair op financiële verslaggevingsrisico’s en
beheersingsmaatregelen op procesniveau.
5e verdedigingslinie: toezichthouder (de rol van de toezichthouder)
We kennen twee soorten toezichthouders:
1. De RvC is belast met het houden van toezicht op het beleid van het bestuur en algemene
gang van zaken.
2. De tweede soort toezichthouder is het toezichthoudend orgaan binnen branche of sector.
Toezichthouders binnen een branche of sector hebben primair als verantwoordelijkheid de
betrouwbaarheid en integriteit van de sector te bewaken door middel van beleid, richtlijnen en
het toetsen van de naleving
De eerste, tweede en vijfde verdedigingslinie hebben betrekking op de rol van de lijnorganisatie bij het
uitvoering van het risicomanagementproces. De derde en vierde verdedigingslinie hebben betrekking
op de (interne en externe) auditfunctie ten aanzien van het risicomanagementproces.
Het ERM-plus-beheersingskader
Het integrale beheersingskader bestaat uit 4 kwadranten:
1. Kwadrant 1: Soft controls
2. Kwadrant 2: Strategie & management control
3. Kwadrant 3: Interne controle / proces controles
4. Kwadrant 4: Process controls
Kwadrant 1 (Human Relations model): Soft controls: beheersingsmaatregelen die
voornamelijk te maken hebben met menselijke gedragsaspecten in organisaties en niet meetbaar zijn.
Onder zachte beheersingsmaatregelen is een breed scala van organisatiekenmerken te vatten. Als
,voorbeelden noemen we: cultuur, managementstijl, shared values, commitment, communicatie,
kernwaarden, personeelszorg, kerncompetenties, lerend vermogen, creativiteit.
Modellen die gebruikt worden voor het meten van zachte beheersingsmaatregelen zijn:
1. Procedurele modellen bestaan uit criteria die sterk gericht zijn op het ‘wel/niet’ aanwezig zijn
van zachte beheersingsmaatregelen. Eenvoudig toepasbaar ( vaak checklists, ja/nee wel/niet)
2. Inhoudelijke modellen: in dit geval worden kwalitatieve normen toegepast die inzicht geven
in bijvoorbeeld organisatiegedrag, culturen of managementstijlen.
In de praktijk veel toegepaste model voor het inhoudelijk meten van zachte
beheersingsmaatregelen is het concurrerendwaardemodel van Quinn. Binnen het model van
Quinn worden zowel de organisatiecultuur als de managementstijlen van een organisatie gemeten
en met elkaar in verband gebracht. (kwalitatieve normen toegepast, bijv. d.m.v. het concurrerend
waardemodel van Quinn). Voordeel is dat het een meer diepgaande analyse mogelijk maakt, die
is afgestemd op een specifieke situatie.
Quinn: concurrerende waardemodel
I Human relations model
Mayo: Betrokkenheid>> consensus door overleg >> meer motivatie / prestatie.
Stimulator: stimuleert onderling vertrouwen en samenwerking, meepraten en lost
conflicten op.
Mentor: gericht op door ontwikkelen van medewerkers, mensenmens ic het beste
boven halen, eerlijk, integer.
II Intern procesmodel
Weber, Fayol. Routines /procedures >>continuïteit en stabiliteit
Coördinator: taakstellingen bv. Overheidsinstellingen
Controleur: structureert processen, inspecteert en analyseert.
III Rationeel doel model
Taylor: richting en sturing geven aan gedrag met als doel om te komen tot meer
productiviteit en meer winst.
Producent: taakgericht, doel wordt gehaald.
Bestuurder: visie, plannen en doelen
Instructies, organiseren en delegeren
IV Open systeemmodel
, Mintzberg
aanpassing, creativiteit en innovatie zijn nodig voor een bedrijf om de benodigde
middelen en mensen uit de markt te verwerven en te onderhouden.
Innovator: verandering en aanpassing..: trends, risico, onzekerheid.
Bemiddelaar: relatie met externe omgeving.
imago, presentatie, reputatie
Ben Tiggelaar: concurrerende waardemodel
Kwadrant 2 (intern procesmodel): Strategic & Management control: heeft betrekking op de
beheersingsactiviteiten van het management. Strategic & Management control wordt onderverdeeld in
drie groepen beheersactiviteiten:
1. Strategic control: alle activiteiten die gericht zijn op het formuleren van langetermijndoelen
van de organisatie
2. Management control: gericht op het vertalen van de strategische plannen naar concrete
taakopdrachten.
3. Task Control: erop gericht ervoor te zorgen dat taakopdrachten op langere hiërarchische
niveaus op efficiënte en effectieve wijze worden uitgevoerd.
Strategic control
Strategische planning is onderverdeeld in vijf verschillende fasen, te weten:
1. Strategische (venster) planning: bestaat uit drie deelgebieden te weten financiën, het
bedrijfsmodel en het personeel.
2. Analyse (bv. strategiekaart): het strategisch venster vormt de basisinformatie voor het
maken van interne en externe analyses.
3. Planning: strategische planning, businessplanning (doelstellingen per afdeling), persoonlijke
planning (per werknemer )
4. Beoordelen en belonen
5. Verantwoording
Management control
Management control is erop gericht strategische uitgangspunten en doelstellingen vertalen naar
lagere hiërarchische niveaus binnen de organisatie. Voor het adequate vertaling onderkennen we een
vijftal aandachtsgebieden die op een evenwichtige wijze dienen te worden uitgewerkt. Deze zijn:
de organisatiestructuur
6.1 Inrichting beheersingsprocessen
Inrichting beheersingsprocessen omvat:
1. Ontwerpen maatregelen (het ontwerpen van een passend stelsel van beheersingsprocessen)
2. Toewijzen controle-eigenaren
3. Implementeren maatregelen
Het inrichten van beheersingsprocessen is de vervolgstap om risico’s het hoofd te bieden. Voor
risico’s waarvoor de strategie ‘reduceren’ of ‘selecteren’ is gekozen, zal het management actie
ondernemen in de vorm van beheersingsmaatregelen of scenarioevaluatie. Kansen zonder
noemenswaarde verwachte opbrengsten en risico’s waarvoor de strategie ‘accepteren’ is gekozen
geen verdere stappen worden ondernomen door de management.
6.2 Inrichting beheersingsprocessen: de infrastructuur
Nadat de risicostrategieën voor risicogroepen zijn uitgewerkt en risico-eigenaren zijn benoemd, wordt
de opdracht gegeven invulling te geven aan de risicostrategie per risicogroep.
Om als risicomanager hieraan invulling te geven, dienen risicomanagers een effectieve
risicomanagementinfrastructuur te realiseren. Infrastructuur heeft hierbij betrekking op de
verschillende ‘bouwstenen’ die nodig zijn om het risicomanagementproces uit te voeren. Binnen
ERMplus-methodiek bestaat de risicomanagementinfrastructuur uit een vijftal samenhangende
componenten:
1. Risico’s en risicomanagement strategieën: definiëren van doelstellingen, het identificeren
van gebeurtenissen die het bereiken van deze doelstellingen kunnen bedreigen of versterken,
het inventariseren van risico’s en de bijbehorende risicostrategie.
2. Beheersingsprocessen: het voeren van de beheersactiviteiten op de verschillende niveaus
van de organisatie.
3. Mensen: voeren de beheersingsprocessen uit. Enerzijds in operationele, uitvoerende sfeer.
Anderzijds op het gebied van algeheel management en coördinatie.
4. Informatie en communicatie: hebben betrekking op het systematisch vastleggen van
informatie rondom de uitvoering van het risicomanagement, het analyseren van deze
gegevens en het rapporteren aan het tactisch en strategisch management omtrent de
effectiviteit van het beheersingsproces en risicomanagement.
5. Toezicht: door het tactische en strategische management van de lijnorganisatie.
Om de component informatie en communicatie adequaat in te vullen, dienen drie deelcomponenten
op effectieve wijze te zijn gerealiseerd. Deze zijn:
1. Informatiesystemen en data: (transactieverwerkende systemen, risico-, governance- en
compliance software, datawarehouses, data-analysesoftware, risicoanalyse en
simulatiesoftware)
2. Analyse- en consolidatietechnieken: zijn erop gericht het management van input te
voorzien voor besluitvorming. ( XBRL)
3. Managementrapportage: heeft betrekking op het voorzien van het senior management van
informatie over de uitvoering van het risicomanagementproces en de beheersingsprocessen.
(Verlies-&-Winstrekeningen, errorrapportages, scenario- en simulatieanalyses,
auditrapportages, voortgangsrapportage)
6.3 Beheersingsprocessen: management control, interne beheersing en interne controle
Beheersing/internal control: heeft betrekking op het op koers houden van de organisatie in de
richting van de gestelde doelen. Voorkomen, detecteren en vooruitkijkend.
Management control: gaat in op de vraag of het gedrag van werknemers overeen komt met het door
het management gewenste gedrag. Twee belangrijke kenmerken van MC zijn:
1. MC is sterk georiënteerd op menselijk gedrag
, 2. MC wordt gedreven vanuit de strategie van de organisatie
6.3 Het integraal beheersingskader
Identificeren en beheersen van risico’s vanuit 5 lines of defense.
De verantwoordelijkheden binnen de organisatie voor het uitvoeren van beheersingsmaatregelen
hebben betrekking op de verschillende verdedigingslinies van beheersing.
1e verdedigingslinie: operationele bedrijfsvoering en management
De eerste verdedigingslinie betreft het identificeren en beheersen van risico’s binnen de primaire
proces. De eerste verdedigingslinie wordt gesplitst in drie delen:
Verdedigingslinie 1a: de operationele medewerker
Verdedigingslinie 1b: het middelmanagement of tactische management
Verdedigingslinie 1c: het topmanagement of strategische management
2e verdedigingslinie: ondersteunde staffunctie
Vervult een belangrijke ondersteunende verantwoordelijkheid, met name ten aanzien van het
beheersen van strategische risico’s.
3e verdedigingslinie: internal auditfunctie
Heeft betrekking op het monitoren van de effectiviteit van beheersing door de internal auditfunctie. De
afdeling internal audit levert extra zekerheid aan het management omtrent de kwaliteit van de opzet
van het beheersingssystemen en werking daarvan.
4e verdedigingslinie: externe accountant
De primaire rol van de externe accountant is het verschaffen van extra zekerheid over de getrouwheid
van de financiële verslaggeving. Zijn expertise richt zich primair op financiële verslaggevingsrisico’s en
beheersingsmaatregelen op procesniveau.
5e verdedigingslinie: toezichthouder (de rol van de toezichthouder)
We kennen twee soorten toezichthouders:
1. De RvC is belast met het houden van toezicht op het beleid van het bestuur en algemene
gang van zaken.
2. De tweede soort toezichthouder is het toezichthoudend orgaan binnen branche of sector.
Toezichthouders binnen een branche of sector hebben primair als verantwoordelijkheid de
betrouwbaarheid en integriteit van de sector te bewaken door middel van beleid, richtlijnen en
het toetsen van de naleving
De eerste, tweede en vijfde verdedigingslinie hebben betrekking op de rol van de lijnorganisatie bij het
uitvoering van het risicomanagementproces. De derde en vierde verdedigingslinie hebben betrekking
op de (interne en externe) auditfunctie ten aanzien van het risicomanagementproces.
Het ERM-plus-beheersingskader
Het integrale beheersingskader bestaat uit 4 kwadranten:
1. Kwadrant 1: Soft controls
2. Kwadrant 2: Strategie & management control
3. Kwadrant 3: Interne controle / proces controles
4. Kwadrant 4: Process controls
Kwadrant 1 (Human Relations model): Soft controls: beheersingsmaatregelen die
voornamelijk te maken hebben met menselijke gedragsaspecten in organisaties en niet meetbaar zijn.
Onder zachte beheersingsmaatregelen is een breed scala van organisatiekenmerken te vatten. Als
,voorbeelden noemen we: cultuur, managementstijl, shared values, commitment, communicatie,
kernwaarden, personeelszorg, kerncompetenties, lerend vermogen, creativiteit.
Modellen die gebruikt worden voor het meten van zachte beheersingsmaatregelen zijn:
1. Procedurele modellen bestaan uit criteria die sterk gericht zijn op het ‘wel/niet’ aanwezig zijn
van zachte beheersingsmaatregelen. Eenvoudig toepasbaar ( vaak checklists, ja/nee wel/niet)
2. Inhoudelijke modellen: in dit geval worden kwalitatieve normen toegepast die inzicht geven
in bijvoorbeeld organisatiegedrag, culturen of managementstijlen.
In de praktijk veel toegepaste model voor het inhoudelijk meten van zachte
beheersingsmaatregelen is het concurrerendwaardemodel van Quinn. Binnen het model van
Quinn worden zowel de organisatiecultuur als de managementstijlen van een organisatie gemeten
en met elkaar in verband gebracht. (kwalitatieve normen toegepast, bijv. d.m.v. het concurrerend
waardemodel van Quinn). Voordeel is dat het een meer diepgaande analyse mogelijk maakt, die
is afgestemd op een specifieke situatie.
Quinn: concurrerende waardemodel
I Human relations model
Mayo: Betrokkenheid>> consensus door overleg >> meer motivatie / prestatie.
Stimulator: stimuleert onderling vertrouwen en samenwerking, meepraten en lost
conflicten op.
Mentor: gericht op door ontwikkelen van medewerkers, mensenmens ic het beste
boven halen, eerlijk, integer.
II Intern procesmodel
Weber, Fayol. Routines /procedures >>continuïteit en stabiliteit
Coördinator: taakstellingen bv. Overheidsinstellingen
Controleur: structureert processen, inspecteert en analyseert.
III Rationeel doel model
Taylor: richting en sturing geven aan gedrag met als doel om te komen tot meer
productiviteit en meer winst.
Producent: taakgericht, doel wordt gehaald.
Bestuurder: visie, plannen en doelen
Instructies, organiseren en delegeren
IV Open systeemmodel
, Mintzberg
aanpassing, creativiteit en innovatie zijn nodig voor een bedrijf om de benodigde
middelen en mensen uit de markt te verwerven en te onderhouden.
Innovator: verandering en aanpassing..: trends, risico, onzekerheid.
Bemiddelaar: relatie met externe omgeving.
imago, presentatie, reputatie
Ben Tiggelaar: concurrerende waardemodel
Kwadrant 2 (intern procesmodel): Strategic & Management control: heeft betrekking op de
beheersingsactiviteiten van het management. Strategic & Management control wordt onderverdeeld in
drie groepen beheersactiviteiten:
1. Strategic control: alle activiteiten die gericht zijn op het formuleren van langetermijndoelen
van de organisatie
2. Management control: gericht op het vertalen van de strategische plannen naar concrete
taakopdrachten.
3. Task Control: erop gericht ervoor te zorgen dat taakopdrachten op langere hiërarchische
niveaus op efficiënte en effectieve wijze worden uitgevoerd.
Strategic control
Strategische planning is onderverdeeld in vijf verschillende fasen, te weten:
1. Strategische (venster) planning: bestaat uit drie deelgebieden te weten financiën, het
bedrijfsmodel en het personeel.
2. Analyse (bv. strategiekaart): het strategisch venster vormt de basisinformatie voor het
maken van interne en externe analyses.
3. Planning: strategische planning, businessplanning (doelstellingen per afdeling), persoonlijke
planning (per werknemer )
4. Beoordelen en belonen
5. Verantwoording
Management control
Management control is erop gericht strategische uitgangspunten en doelstellingen vertalen naar
lagere hiërarchische niveaus binnen de organisatie. Voor het adequate vertaling onderkennen we een
vijftal aandachtsgebieden die op een evenwichtige wijze dienen te worden uitgewerkt. Deze zijn:
de organisatiestructuur
