Samenvattingen Interne beheersing
Marit van Hoof
Module 3 leerjaar 1
Hoofdstuk 2
Waarom control? Om te voorkomen dat er situaties, zoals een onvoldoende voor
een project, ontstaan. Positief geformuleerd gaat het om het volgende in een
bedrijf:
- Efficiëntie en effectiviteit van bedrijfsprocessen.
- Betrouwbare rapportages.
- Naleven wet- en regelgeving.
Deze opsomming is gebaseerd op COSO.
Efficiënt Goede verhouding tussen input en output (ofwel ‘de dingen goed
doen’).
Je kan efficiënt zijn, maar niet effectief als je je doel niet haalt.
Betrouwbare rapportages wil zeggen dat die informatie die naar buiten gaat,
maar ook informatie binnen het bedrijf, betrouwbaar is.
Door de boekhoudschandalen zijn er wet- en regelgeving gekomen om beleggers
en andere stakeholders van het bedrijf te beschermen.
In de VS is dit de Sarbanes-Oxley-wet (SOx) en in Nederland de Corporate
Governance Code.
Het naleven van wet- en regelgeving wordt dan ook wel compliance genoemd.
De eerste versie van de Corporate Governance Code (2004) stond bekend als de
code-tabaksblat (genoemd naar de voorzitter van de commissie die de code heeft
opgesteld). Inmiddels zijn we toe aan de derde versie getiteld: Nederlandse
Corporate Governance Code.
Dit is niet zoals in de VS een wet, maar via het Burgerlijk wetboek, titel 2.9, is
de code wel in de wet verankerd.
De code geldt voor beursgenoteerde bedrijven en bestaat uit ‘principes’ en ‘Best
practices’.
Het doel van de code goed bestuur en goed toezicht.
Voor control zijn de volgende bepalingen van belang:
- Principe 1.2: De vennootschap beschikt over adequate interne
risicobeheersings- en controlsystemen.
- Best practice 1.2.3: Het bestuur monitort de interne risicobeheersings- en
controlsystemen […] Deze monitoring […] is gericht op strategische,
operationele, compliance en verslaggevingsrisico’s.
- Principe 1.4: Het bestuur legt verantwoording af over de effectiviteit van de
opzet en werking van de interne risicobeheersings- en controlsystemen.
De definitie van control in het boek = Het proces dat gericht is op het verkrijgen
van een redelijke mate van zekerheid omtrent het bereiken van doelstellingen op
het gebied van:
,- Effectiviteit en efficiëntie van bedrijfsprocessen.
- Betrouwbaarheid financiële informatieverzorging.
- Naleving relevante wet- en regelgeving, beleidsrichtlijnen en procedures.
Simons onderscheidt 4 levers of control (‘hefbomen’) die gezamenlijk zorgen voor
een goede control;
1: Belief system. Zaken als missie en visie, maar ook cultuur is hier van belang.
2: Boundary system. De grenzen waar mensen niet overheen mogen.
3: Diagnostic control system: Het tegenover elkaar zetten van de bereikte
resultaten en doelstellingen. Het gaat vooral om betrouwbare informatie over wat
er bereikt is.
4: Interactive control system. Overleg met diverse betrokkenen in en buiten de
organisatie is van belang om te kijken of het doel nog wel ‘goed’ is.
Bij hard controls gaat het in het algemeen over structuur, taken,
verantwoordelijkheden en procedures. (Bij Simons de boundary en diagnostic
control systemen). De AO richt zich vaak vooral op deze controls.
Soft controls werken in op de overtuigingen, ideeën, wensen en opvattingen van
mensen (dit zie je terug in het belief system van Simons).
Type control in relatie tot omvang van organisatie:
Om bedrijven te helpen bij te weten welke maatregelen er concreet genomen
moeten worden of welke instrumenten ingezet moeten worden zijn zogenoemde
‘frameworks’ (modellen) opgesteld.
Ze geven aan welke stappen moeten worden doorlopen om control effectief te
doen zijn.
COSO (Committee of Sponsoring Organizations of the Tradeway commission) is
de naam van een Amerikaanse commissie bestaande uit accountants, auditors,
financiële deskundigen en de Amerikaanse Rekenkamer die in 1992 een rapport
publiceerde over internal control (Internal Control Intergrated Framework).
Het COSO Internal Control Framework (COSO- ICFR) wordt weergegeven in de
zogenaamde COSO-kubus, die geeft de relatie weer
tussen:
-Doelstellingen van de organisatie
- Controlcomponenten
- De onderdelen van de organisatie waarop het
framework van toepassing is.
,De bovenzijde geeft aan in welke gebieden de organisatie in control moet zijn:
- Operations: effectief en efficiënt gebruik van middelen om het doel te bereiken.
- Reporting: betrouwbare (financiële) informatieverzorging.
- Compliance: naleving van wet- en regelgeving.
De rechterkant laat zien dat COSO alle onderdelen van de organisatie omvat.
Hierbij merken we dat het model ontwikkeld is voor grote ondernemingen. De
onderdelen zijn:
- Entity level: de totale onderneming.
- Division: Het totaal vab de bedrijfsonderdelen die tot een bepaalde divisie
behoren.
- Operation Unit: Een bedrijf binnen de divisie (Bijv. bij Philips een fabriek voor
scheerapparaten).
- Function: de functie die binnen een bedrijf wordt uitgeoefend.
Maar het belangrijkste is de voorkant. Daarin zijn 5 stappen te zien die
gezamenlijk op de juiste wijze ingevuld, ervoor moeten zorgen dat de
organistatie in control is.
De 5 stappen zijn uitgewerkt in 17 principes.
De eerste stap is control enviroment. Hier gaat het erom dat de organisatie
zodanig is ingericht dat het mogelijk is om de doelstellingen te halen. De
principes die daarbij horen zijn beschreven in het volgende kader:
1) The organization demonstartes a commitment to integrity and ethical values.
2) The board of directors demonstrates independence from management and
excercies oversight over the development and performance of internal control.
3) Management establishes, with board oversight, structures, reporting lines, and
appropriate authorities and responsibilities in the pursuit of objectives.
4) The organization demonstrates a commitment to attract, develop and retain
competent individuals in alignment with objectives.
5) The organization holds individuals accountable for their internal control
responsibilities in the pursuit of objectives.
Samenvattend kunnen we zeggen dat de structuur en cultuur van de organisatie
eeb goede control mogelijk moeten maken.
De volgende stap is risicobeoordeling. De bijbehorende principes zijn:
6) The organization specifies objectives with sufficient clarity to enable the
identification and assesment risk related to the objectives.
7) The organization identifies risks to the achievement of iets objectives across
the entity and analyzes risks as a basis for determining how the risks should be
managed.
8) The organization considers the potential of fraud in assesing risks to the
achievement of the objectives.
9) The organization identifies and asseses changes that could significantly impact
the system of internal control.
De centrale gedachte achter het begrip risicomanagement is der er risico’s zijn
die het halen van de doelstellingen in de weg kunnen staan. Het gaat er dan ook
om dat deze risico’s worden ontdekt en vervolgens worden beheerst.
, De beheersmaatregelen (control activities) moeten ervoor zorgen dat de risico;s
beheerst worden en de organisatie haar doelstellingen wel haalt. Alleen welke
maatregelen dat zijn vertelt COSO niet. De principes:
10) The organization selects and develops control activities that contribute to the
migration of risks to the achievement of the objectives to acceptable levels.
11) The organization selects and develops general control activities over
technology to support the achievement of the objectives.
12) The organization deploys control activities through policies that establish
what is expected and procedures that policies in action.
Binnen COSO is informatie van belang, al is deze stap beperkt tot informatie die
gaat over interne beheersing (information & communication). De principes:
13) The organization obtains or generates and uses relevant, quality information
to support the funtioning of internal control.
14) The organization internally commmunicates information, including objectives
and responsibilities for internal control, necessary to support the funtioning of
internal control.
15) The organization communicates with external parties regarding matters
affecting the functioning of internal control.
De laatste stap gaat over monitoring. De principes:
16) The organization selects, develop and preforms ongoing and/or separate
eveluations to ascertian whether the components of internal control are present
and funtioning.
17) The organization eveluates and communicates internal control deficiencies in
a timely manner to those parties responsible for taling corrective action including
senior management and the board of directors, as appropriate.
Het three lines model is een model waarin de verantwoordelijkheden voor de
beheersmaatregelen zijn verdeeld over 3 partijen.
- De eerste lijn is het lijnmanagement dat verantwoordelijk is voor management
control en maatregelen van interne beheersing.
- De tweede lijn zijn stafafdelingen die het management ondersteunen bij de
opzet, invoering en monitoring van de beheersmaatregelen.
- De derde lijn is de afdeling internal audit. Zeker grote bedrijven hebben een
internal-auditafdeling (interne accountantsafdeling) die onder meer als taak heeft
te controleren of de maatregelen in de twee eerste lijnen goed gewerkt hebben.
Zij hebben rechtstreeks toegang tot de raad van commisarissen, dus buiten de
directie om.
Naast de 3 lijnen zijn er nog 2 externe partijen:
1) De externe accountant die de jaarrekening controleert.
2) De toezichthouders (DNB bijv.)
Deze staan buiten het beheersingsproces.
In het COSO-ICFR- model wordt aandacht besteed aan risicomanagement. Dat is
erh belangrijk en heeft COSO dus ook een apart ERM-model (Enterprise Risk
Management) ontwikkelt.
Binnen ERM gaat het specifiek om de vraag hoe met risico’s wordt omgegaan.
Marit van Hoof
Module 3 leerjaar 1
Hoofdstuk 2
Waarom control? Om te voorkomen dat er situaties, zoals een onvoldoende voor
een project, ontstaan. Positief geformuleerd gaat het om het volgende in een
bedrijf:
- Efficiëntie en effectiviteit van bedrijfsprocessen.
- Betrouwbare rapportages.
- Naleven wet- en regelgeving.
Deze opsomming is gebaseerd op COSO.
Efficiënt Goede verhouding tussen input en output (ofwel ‘de dingen goed
doen’).
Je kan efficiënt zijn, maar niet effectief als je je doel niet haalt.
Betrouwbare rapportages wil zeggen dat die informatie die naar buiten gaat,
maar ook informatie binnen het bedrijf, betrouwbaar is.
Door de boekhoudschandalen zijn er wet- en regelgeving gekomen om beleggers
en andere stakeholders van het bedrijf te beschermen.
In de VS is dit de Sarbanes-Oxley-wet (SOx) en in Nederland de Corporate
Governance Code.
Het naleven van wet- en regelgeving wordt dan ook wel compliance genoemd.
De eerste versie van de Corporate Governance Code (2004) stond bekend als de
code-tabaksblat (genoemd naar de voorzitter van de commissie die de code heeft
opgesteld). Inmiddels zijn we toe aan de derde versie getiteld: Nederlandse
Corporate Governance Code.
Dit is niet zoals in de VS een wet, maar via het Burgerlijk wetboek, titel 2.9, is
de code wel in de wet verankerd.
De code geldt voor beursgenoteerde bedrijven en bestaat uit ‘principes’ en ‘Best
practices’.
Het doel van de code goed bestuur en goed toezicht.
Voor control zijn de volgende bepalingen van belang:
- Principe 1.2: De vennootschap beschikt over adequate interne
risicobeheersings- en controlsystemen.
- Best practice 1.2.3: Het bestuur monitort de interne risicobeheersings- en
controlsystemen […] Deze monitoring […] is gericht op strategische,
operationele, compliance en verslaggevingsrisico’s.
- Principe 1.4: Het bestuur legt verantwoording af over de effectiviteit van de
opzet en werking van de interne risicobeheersings- en controlsystemen.
De definitie van control in het boek = Het proces dat gericht is op het verkrijgen
van een redelijke mate van zekerheid omtrent het bereiken van doelstellingen op
het gebied van:
,- Effectiviteit en efficiëntie van bedrijfsprocessen.
- Betrouwbaarheid financiële informatieverzorging.
- Naleving relevante wet- en regelgeving, beleidsrichtlijnen en procedures.
Simons onderscheidt 4 levers of control (‘hefbomen’) die gezamenlijk zorgen voor
een goede control;
1: Belief system. Zaken als missie en visie, maar ook cultuur is hier van belang.
2: Boundary system. De grenzen waar mensen niet overheen mogen.
3: Diagnostic control system: Het tegenover elkaar zetten van de bereikte
resultaten en doelstellingen. Het gaat vooral om betrouwbare informatie over wat
er bereikt is.
4: Interactive control system. Overleg met diverse betrokkenen in en buiten de
organisatie is van belang om te kijken of het doel nog wel ‘goed’ is.
Bij hard controls gaat het in het algemeen over structuur, taken,
verantwoordelijkheden en procedures. (Bij Simons de boundary en diagnostic
control systemen). De AO richt zich vaak vooral op deze controls.
Soft controls werken in op de overtuigingen, ideeën, wensen en opvattingen van
mensen (dit zie je terug in het belief system van Simons).
Type control in relatie tot omvang van organisatie:
Om bedrijven te helpen bij te weten welke maatregelen er concreet genomen
moeten worden of welke instrumenten ingezet moeten worden zijn zogenoemde
‘frameworks’ (modellen) opgesteld.
Ze geven aan welke stappen moeten worden doorlopen om control effectief te
doen zijn.
COSO (Committee of Sponsoring Organizations of the Tradeway commission) is
de naam van een Amerikaanse commissie bestaande uit accountants, auditors,
financiële deskundigen en de Amerikaanse Rekenkamer die in 1992 een rapport
publiceerde over internal control (Internal Control Intergrated Framework).
Het COSO Internal Control Framework (COSO- ICFR) wordt weergegeven in de
zogenaamde COSO-kubus, die geeft de relatie weer
tussen:
-Doelstellingen van de organisatie
- Controlcomponenten
- De onderdelen van de organisatie waarop het
framework van toepassing is.
,De bovenzijde geeft aan in welke gebieden de organisatie in control moet zijn:
- Operations: effectief en efficiënt gebruik van middelen om het doel te bereiken.
- Reporting: betrouwbare (financiële) informatieverzorging.
- Compliance: naleving van wet- en regelgeving.
De rechterkant laat zien dat COSO alle onderdelen van de organisatie omvat.
Hierbij merken we dat het model ontwikkeld is voor grote ondernemingen. De
onderdelen zijn:
- Entity level: de totale onderneming.
- Division: Het totaal vab de bedrijfsonderdelen die tot een bepaalde divisie
behoren.
- Operation Unit: Een bedrijf binnen de divisie (Bijv. bij Philips een fabriek voor
scheerapparaten).
- Function: de functie die binnen een bedrijf wordt uitgeoefend.
Maar het belangrijkste is de voorkant. Daarin zijn 5 stappen te zien die
gezamenlijk op de juiste wijze ingevuld, ervoor moeten zorgen dat de
organistatie in control is.
De 5 stappen zijn uitgewerkt in 17 principes.
De eerste stap is control enviroment. Hier gaat het erom dat de organisatie
zodanig is ingericht dat het mogelijk is om de doelstellingen te halen. De
principes die daarbij horen zijn beschreven in het volgende kader:
1) The organization demonstartes a commitment to integrity and ethical values.
2) The board of directors demonstrates independence from management and
excercies oversight over the development and performance of internal control.
3) Management establishes, with board oversight, structures, reporting lines, and
appropriate authorities and responsibilities in the pursuit of objectives.
4) The organization demonstrates a commitment to attract, develop and retain
competent individuals in alignment with objectives.
5) The organization holds individuals accountable for their internal control
responsibilities in the pursuit of objectives.
Samenvattend kunnen we zeggen dat de structuur en cultuur van de organisatie
eeb goede control mogelijk moeten maken.
De volgende stap is risicobeoordeling. De bijbehorende principes zijn:
6) The organization specifies objectives with sufficient clarity to enable the
identification and assesment risk related to the objectives.
7) The organization identifies risks to the achievement of iets objectives across
the entity and analyzes risks as a basis for determining how the risks should be
managed.
8) The organization considers the potential of fraud in assesing risks to the
achievement of the objectives.
9) The organization identifies and asseses changes that could significantly impact
the system of internal control.
De centrale gedachte achter het begrip risicomanagement is der er risico’s zijn
die het halen van de doelstellingen in de weg kunnen staan. Het gaat er dan ook
om dat deze risico’s worden ontdekt en vervolgens worden beheerst.
, De beheersmaatregelen (control activities) moeten ervoor zorgen dat de risico;s
beheerst worden en de organisatie haar doelstellingen wel haalt. Alleen welke
maatregelen dat zijn vertelt COSO niet. De principes:
10) The organization selects and develops control activities that contribute to the
migration of risks to the achievement of the objectives to acceptable levels.
11) The organization selects and develops general control activities over
technology to support the achievement of the objectives.
12) The organization deploys control activities through policies that establish
what is expected and procedures that policies in action.
Binnen COSO is informatie van belang, al is deze stap beperkt tot informatie die
gaat over interne beheersing (information & communication). De principes:
13) The organization obtains or generates and uses relevant, quality information
to support the funtioning of internal control.
14) The organization internally commmunicates information, including objectives
and responsibilities for internal control, necessary to support the funtioning of
internal control.
15) The organization communicates with external parties regarding matters
affecting the functioning of internal control.
De laatste stap gaat over monitoring. De principes:
16) The organization selects, develop and preforms ongoing and/or separate
eveluations to ascertian whether the components of internal control are present
and funtioning.
17) The organization eveluates and communicates internal control deficiencies in
a timely manner to those parties responsible for taling corrective action including
senior management and the board of directors, as appropriate.
Het three lines model is een model waarin de verantwoordelijkheden voor de
beheersmaatregelen zijn verdeeld over 3 partijen.
- De eerste lijn is het lijnmanagement dat verantwoordelijk is voor management
control en maatregelen van interne beheersing.
- De tweede lijn zijn stafafdelingen die het management ondersteunen bij de
opzet, invoering en monitoring van de beheersmaatregelen.
- De derde lijn is de afdeling internal audit. Zeker grote bedrijven hebben een
internal-auditafdeling (interne accountantsafdeling) die onder meer als taak heeft
te controleren of de maatregelen in de twee eerste lijnen goed gewerkt hebben.
Zij hebben rechtstreeks toegang tot de raad van commisarissen, dus buiten de
directie om.
Naast de 3 lijnen zijn er nog 2 externe partijen:
1) De externe accountant die de jaarrekening controleert.
2) De toezichthouders (DNB bijv.)
Deze staan buiten het beheersingsproces.
In het COSO-ICFR- model wordt aandacht besteed aan risicomanagement. Dat is
erh belangrijk en heeft COSO dus ook een apart ERM-model (Enterprise Risk
Management) ontwikkelt.
Binnen ERM gaat het specifiek om de vraag hoe met risico’s wordt omgegaan.
