Principles of Accounting, Control and
Audit (PACA)
Vak: EPG_A_PACA
Jaar: 2025/2026
,2
,Inhoudsopgave
Bestuurlijke informatieverzorging .............................................................................................5
Hoorcollege 1 ......................................................................................................................5
Hoofdstuk 1 - BIV in perspectief ........................................................................................5
Hoofdstuk 2 – Wat is beheersing?......................................................................................6
Hoofdstuk 4.4 – COSO Internal Control Framework ...........................................................6
Hoorcollege 2 .................................................................................................................... 10
Hoofdstuk 6 – Betrouwbaarheid en beheersing ................................................................ 10
Hoofdstuk 7 – Interne Controle ....................................................................................... 11
Hoofdstuk 8 - Betrouwbaarheidstypologie ....................................................................... 12
Hoofdstuk 9 - Procestypologie ........................................................................................ 20
Hoofdstuk 21 – General en application controls ............................................................... 25
Externe verslaggeving/Jaarverslaggeving ................................................................................. 26
Hoorcollege 3 .................................................................................................................... 26
Hoofdstuk 2 – Waarde en winst ....................................................................................... 26
Hoofdstuk 3 – Verslaggevingsprincipes van boekhoudkundige waarde- en winstbepaling .. 27
Hoofdstuk 4 – Regelgevers en toezichthouders ................................................................ 28
Hoofdstuk 5 – Regelgeving: materiële en formele aspecten van de publicatieplicht ........... 29
Hoofdstuk 6 – Vaste activa .............................................................................................. 32
Hoofdstuk 7 – Vlottende activa........................................................................................ 33
Hoofdstuk 8 – Eigen vermogen ........................................................................................ 34
Hoofdstuk 9 – Vreemd vermogen ..................................................................................... 35
Hoorcollege 4 .................................................................................................................... 35
Hoofdstuk 10 - Resultatenrekening ................................................................................. 35
Hoofdstuk 11 - Kasstroomoverzicht (niet belangrijk) ........................................................ 36
Hoofdstuk 13 – Historischekostenstelsel ......................................................................... 37
Hoofdstuk 16 – Kapitaalbelangen .................................................................................... 37
Hoofdstuk 17 – Consolidatie ........................................................................................... 38
Hoofdstuk 18 – Vreemde valuta....................................................................................... 41
Hoofdstuk 19 – Winstbepaling......................................................................................... 41
Grondslagen van Auditing en Assurance ................................................................................. 42
Hoorcollege 5 .................................................................................................................... 42
Hoofdstuk 1 – Betekenis van accountantscontrole........................................................... 42
Hoofdstuk 2 – Organisatie van het accountantsberoep .................................................... 42
Hoofdstuk 3 – Regelgeving voor accountants ................................................................... 43
Hoofdstuk 4 – Ethiek voor accountants............................................................................ 43
3
, Hoofdstuk 5 – Onafhankelijkheid van de accountant ........................................................ 44
Hoofdstuk 6 – Fraude en witwassen ................................................................................ 44
Hoofdstuk 7 – Opdrachtenkader ..................................................................................... 45
Hoorcollege 6 .................................................................................................................... 46
Hoofdstuk 8 – Doelstellingen van de jaarrekeningcontrole................................................ 46
Hoofdstuk 9 - Materialiteit .............................................................................................. 48
Hoofdstuk 10 - Risicoanalyse .......................................................................................... 48
Hoofdstuk 11 – Controle-informatie ................................................................................ 52
Hoofdstuk 13 - Controleverklaringen ............................................................................... 53
4
,Bestuurlijke informatieverzorging
Hoorcollege 1
Hoofdstuk 1 - BIV in perspectief
We kennen de bedrijfsrisico’s; waar wordt het management van het bedrijf zenuwachtig van en
het accountantsrisico; waar wordt de accountant zenuwachtig van.
Een jaarrekening bestaat uit journaalposten. 90% van deze journaalposten komen voort vanuit
basisprocessen; inkoop, verkoop, salaris etc.. We stellen dat wanneer we weten dat deze
processen betrouwbaar zijn, dan weten we ook dat de journaalposten betrouwbaar zijn.
Bestuurlijke informatieverzorging (BIV) richt zicht op de betrouwbare werking van processen
zodanig dat die financiële processen zich vertalen in betrouwbare informatie. De kern van de
financiële informatie ligt in de financiële administratie.
BIV wordt aldus Van leeuwen en Bergsma gedefinieerd als alle activiteiten met betrekking tot het
systematisch (volgens vaste vooraf bepaalde procedures) verzamelen, vastleggen en verwerken
van gegevens, gericht op het verstrekken van informatie ten behoeve van het besturen-in-
engere-zin (het kiezen uit alternatieve opties), het doen beheersen en functioneren van een
huishouding en ten behoeve van de verantwoording die daarover moet worden afgelegd.
Belangrijke punten hierbij zijn:
• Om informatie te verkrijgen zal je gegevens moeten vastleggen binnen een organisatie
• Systematisch Betekent het vastleggen van gegevens via een vooraf bepaalde manier, dit
Betekent dat de informatiebehoefte vooraf bepaald moet zijn, zodat het systeem daarop
ingericht is.
• Informatie is belangrijk voor het nemen van beslissingen. Hiermee wordt bedoeld dat
een manager moet kiezen uit alternatieve mogelijkheden.
• Medewerkers gebruiken informatie op hun dagelijkse functie te kunnen uitoefenen.
Hierbij moet je vooral denken aan operationele informatie.
• Managers en medewerkers leggen door middel van informatie verantwoording af over de
uitgevoerde activiteiten, de genomen beslissingen en het gevoerde beleid.
Informatie kun je beschouwen als een product dan aan kwaliteitseisen moet voldoen. Het
uitgangspunt hierbij is: welke mensen moeten de informatie gebruiken. De randvoorwaarde is
dat de baten van informatie groter moeten zijn dan de kosten. Het moet tevens begrijpelijk zijn
en ten slotte bruikbaar. Bruikbaar betekent het moet relevant zijn (leiden tot een betere
beslissing) en betrouwbaar (juist en volledig).
Relevante en betrouwbare informatie wordt geproduceerd door het bestuurlijke
informatieverzorgingssyteem. De kwaliteit van dit systeem wordt bepaald door de samenstelling
van: organisatieleden & functieverdeling; begrotingen, normen en tarieven; procedures, wet- en
regelgeving, richtlijnen; inrichting administratie; informatieverschaffing; gegevens;
programmatuur; hardware; controleactiviteiten.
5
,Hoofdstuk 2 – Wat is beheersing?
De wijze waarop de leiding de organisatie tracht te beheersen, noemen we het interne
beheersingssysteem. Dit omvat ‘het door de leiding van een organisatie aangestuurde en
toegepaste proces ten behoeve van het beheersen van de uit te voeren bedrijfsactiviteiten.
Traditioneel wordt er over interne beheersing nagedacht vanuit de regelkringgedachte. In een
regelkring wordt er allereerst een plan gemaakt, dit plan wordt uitgevoerd en ten slotte
geëvalueerd, wat tevens dient als basis voor het volgende plan.
Ons gereedschap om dit te doen is interne controle (hiervoor zijn meerdere modellen). Dit is het
proces dat gericht is op het verkrijgen van een redelijke mate van zekerheid omtrent het bereiken
van doelstelling op het gebied van de betrouwbaarheid van de financiële informatieverzorging.
Een goed systeem van interne beheersing draagt dus zorg voor:
• Betrouwbare en relevante informatie ter ondersteuning van de besluitvorming door het
management
• Betere en snellere uitvoering en afhandeling van transacties op basis van betrouwbare
boekingen en systemen
• Onderbouwing van genomen besluiten
Kort samengevat betekent beheersen altijd het stellen van een norm of verwachting → de
uitvoering van activiteiten en het meten van de werkelijkheid → het vergelijken van de norm of
verwachting met de werkelijkheid en het op grond daarvan (laten) aanpassen van de uitvoering
of normen.
Hoofdstuk 4.2 – Geschiedenis van de COSO-modellen
De Committee Of Sponsoring Organisations (COSO) heeft methodiek uitgebracht om algemeen
en aanvaardbare criteria te brengen ten beoordeling van de interne beheersingssytemen. In
Nederland maar ook in de VS wordt deze methodiek veel gebruikt door leiding van organisaties
om een sturing en beheersingssysteem op te zetten dat noodzakelijk is om aannemelijk te
maken dat de leiding in control is ten aanzien van strategie, de bedrijfsprocessen, de
verslaggeving en de naleving van wet- en regelgeving. De leiding van de organisatie moet hierover
ook een verklaring afgeven.
Hoofdstuk 4.4 – COSO Internal Control Framework
Het COSO Internal Control Framework (ICF) heeft als doel te waarborgen dat een organisatie:
• Efficiënt en effectief werkende processen heeft
o Beheersen van de bedrijfsprocessen en bewaking van de activa tegen verlies.
Effectief betekent het bereiken van een gewenst resultaat en efficiënt grootst
mogelijk effect in verhouding tot de middelen
• Betrouwbare informatie rapporteert
o Dit gaat over zowel financiële als niet-financiële informatie, in het algemeen gaat
het over de vraag of de verantwoording een getrouw beeld geeft van de
werkelijkheid, zowel op individueel proces niveau als op het niveau jaarrekening.
• De wet- en regelgeving naleeft
o Dit zijn zowel externe wetten die worden opgelegd door instanties buiten de
organisaties als interne regels die de leiding uitvaardigt naar alle medewerkers.
6
,Definitie Internal control COSO
Interne controle een proces dat wordt uitgevoerd door de raad van bestuur, het management en
ander personeel van een entiteit en dat is bedoeld om redelijke zekerheid te verschaffen over het
bereiken van doelstellingen op het gebied van de bedrijfsvoering, rapportage en naleving.
De volgende punten vallen op:
• Interne beheersing is een proces. Met andere woorden het is dynamische, dus er moet
continu gekeken worden of de doelstellingen behaald kunnen worden met het bestaande
beheersingssysteem, ook wanneer omstandigheden wijzigen.
• Interne beheersing begint bij de top van een organisatie en wordt doorgegeven aan de
onderliggende lagen.
• Interne beheersing is gericht op het met redelijke mate van zekerheid bereiken van
doelstellingen. Volledig is niet mogelijk door niet-beheersbare factoren en omdat interne
beheersingsmaatregelen geld kosten.
• De doelen zijn gegroepeerd in categorieën.
Zoals gezegd zullen er binnen elke organisatie meerdere doelen bestaan op drie verschillende
niveaus. Om een redelijke mate van zekerheid te krijgen dat deze doelen bereikt kunnen worden,
maakt COSO gebruik van 5 onderling samenhangende componenten. Deze componenten
samen vormen het interne beheersingssysteem.
Het ICF wordt weergegeven als een kubus met drie doelstellingen, vijf componenten en vier
organisatieniveaus waarop het framework toegepast
kan worden.
1. Control environment: een set van standaarden,
processen en structuren die de basis vormen voor het
uitvoeren van internal control bij organisaties. Denk
aan integriteit en ethische waarden,
beloningsstructuur, voorbeeldgedrag, opleiding en
competenties, kwaliteit van toezicht, manier van
leidinggeven, structuur organisatie, delegatie van
verantwoordelijkheden en bevoegdheden en
personeelsbeleid.
2. Risk Assessment: betreft een dynamisch en iteratief
proces om risico’s te identificeren en in te schatten
hoe deze de realisatie van de doelstelling kunnen beïnvloeden. En ook hoeveel risico je als
bedrijf wilt lopen.
3. Control activities: zijn de activiteiten die voortvloeien uit beleid en procedures van het
management om risico’s te mitigeren (verminderen). Deze beheersingsactiviteiten vinden plaats
in de hele organisatie, in diverse fasen van processen en de IT. Het kunnen preventieve en
repressieve maatregelen zijn en ze omvatten zowel handmatige als geautomatiseerde
activiteiten (zie onderstaande tabel). Denk aan autorisaties, goedkeuringen, detailcontroles,
verbandscontroles en cijferbeoordelingen. Functiescheidingen zijn geïntegreerd in de control
activities. Als functiescheidingen niet haalbaar zijn implementeert het management alternative
control activities.
7
,4. Information and Communication: informatie is nodig om control activities uit te voeren om de
relevante doelstellingen van de diverse onderdelen van de organisaties te behalen en inzicht te
krijgen in alle lagen van COSO. Het proces communicatie is een continu en iteratief proces van
verkrijgen, genereren en gebruiken van noodzakelijke informatie. Dit gaat door het
communicatieproces en loopt de gehele organisatie door.
5. Monitoring activities: omvat het selecteren, ontwikkelen en uitvoeren van continue en
seperate evaluaties. Continue evaluaties zijn zoveel mogelijk ingebouwd in processen in de
organisatie. De seperate (specifieke) evaluaties worden periodiek uitgevoerd en variëren in
scope en frequentie afhankelijk van de risico’s waarop deze gericht zijn en de effectiviteit van de
continue monitoringsactiviteiten. Het doel is om na te gaan hoe de vijf componenten
functioneren (zijn ze effectief en efficiënt?), eventuele bevindingen die naar voren komen
worden gerapporteerd aan de leiding welk zorgt voor verbeteracties.
Preventieve maatregelen (vooraf of tijdens Repressieve maatregelen (controleren of
ingebouwd) het fout is gegaan)
Begroting Cijferanalyse a.d.h.v. managementinformatie
Richtlijnen van de directie Waarneming ter plaatse
Functiescheiding: Verbandscontroles:
• Beschikken • BETA = beginvoorraad + inkopen –
• Bewaren eindvoorraad = verkopen
• Controleren • Jobtime (begrote uren) = shoptime
• Registreren (gerealiseerde/geregistreerde uren) =
• Uitvoerend paytime (verwerkte of uitbetaalde
uren)
Inventarisatie
Totaalcontroles
Controle op naleving van richtlijnen
Detailcontroles
General IT controls Application controls
De vijf componenten kennen de volgende bijbehorende principes:
8
, Daarnaast kwamen de termen fraude en corruptie nog langs in het college met betrekking tot de
risk assessment, derhalve hier de betekenis en het verschil:
• Corruptie = misbruik van macht of positie voor persoonlijk gewin, vaak met omkoping of
oneerlijk gedrag (geen object van controle, kan je moeilijk feitelijk vaststellen aan de
hand van de administratie).
• Fraude = het opzettelijk misleiden of verkeerd voorstellen van informatie (wel object van
controle, kan je wel vaststellen aan de hand van het controleren van de administratie)
voor persoonlijk gewin.
Het risico op een afwijking van materieel belang (een fout of fraude die groot genoeg is om
beslissingen van gebruikers van de jaarrekening te beïnvloeden) als gevolg van fraude is op te
delen in:
• Afwijkingen die voortkomen uit frauduleuze financiële verslaggeving
o Cijfers worden aangetast ten bevoordeling van het resultaat en de beeldvorming
• Afwijkingen die voortkomen uit het oneigenlijk toe-eigenen van activa.
o Bezittingen worden aangetast met de focus op diefstal en kasstromen
Als medewerkers rationalisatie, druk en gelegenheid ervaren tot fraude is de kans groot dat zij dit
ook doen. Daarom is het belangrijk dat risico’s met betrekking hiervan worden geïdentificeerd.
9
Audit (PACA)
Vak: EPG_A_PACA
Jaar: 2025/2026
,2
,Inhoudsopgave
Bestuurlijke informatieverzorging .............................................................................................5
Hoorcollege 1 ......................................................................................................................5
Hoofdstuk 1 - BIV in perspectief ........................................................................................5
Hoofdstuk 2 – Wat is beheersing?......................................................................................6
Hoofdstuk 4.4 – COSO Internal Control Framework ...........................................................6
Hoorcollege 2 .................................................................................................................... 10
Hoofdstuk 6 – Betrouwbaarheid en beheersing ................................................................ 10
Hoofdstuk 7 – Interne Controle ....................................................................................... 11
Hoofdstuk 8 - Betrouwbaarheidstypologie ....................................................................... 12
Hoofdstuk 9 - Procestypologie ........................................................................................ 20
Hoofdstuk 21 – General en application controls ............................................................... 25
Externe verslaggeving/Jaarverslaggeving ................................................................................. 26
Hoorcollege 3 .................................................................................................................... 26
Hoofdstuk 2 – Waarde en winst ....................................................................................... 26
Hoofdstuk 3 – Verslaggevingsprincipes van boekhoudkundige waarde- en winstbepaling .. 27
Hoofdstuk 4 – Regelgevers en toezichthouders ................................................................ 28
Hoofdstuk 5 – Regelgeving: materiële en formele aspecten van de publicatieplicht ........... 29
Hoofdstuk 6 – Vaste activa .............................................................................................. 32
Hoofdstuk 7 – Vlottende activa........................................................................................ 33
Hoofdstuk 8 – Eigen vermogen ........................................................................................ 34
Hoofdstuk 9 – Vreemd vermogen ..................................................................................... 35
Hoorcollege 4 .................................................................................................................... 35
Hoofdstuk 10 - Resultatenrekening ................................................................................. 35
Hoofdstuk 11 - Kasstroomoverzicht (niet belangrijk) ........................................................ 36
Hoofdstuk 13 – Historischekostenstelsel ......................................................................... 37
Hoofdstuk 16 – Kapitaalbelangen .................................................................................... 37
Hoofdstuk 17 – Consolidatie ........................................................................................... 38
Hoofdstuk 18 – Vreemde valuta....................................................................................... 41
Hoofdstuk 19 – Winstbepaling......................................................................................... 41
Grondslagen van Auditing en Assurance ................................................................................. 42
Hoorcollege 5 .................................................................................................................... 42
Hoofdstuk 1 – Betekenis van accountantscontrole........................................................... 42
Hoofdstuk 2 – Organisatie van het accountantsberoep .................................................... 42
Hoofdstuk 3 – Regelgeving voor accountants ................................................................... 43
Hoofdstuk 4 – Ethiek voor accountants............................................................................ 43
3
, Hoofdstuk 5 – Onafhankelijkheid van de accountant ........................................................ 44
Hoofdstuk 6 – Fraude en witwassen ................................................................................ 44
Hoofdstuk 7 – Opdrachtenkader ..................................................................................... 45
Hoorcollege 6 .................................................................................................................... 46
Hoofdstuk 8 – Doelstellingen van de jaarrekeningcontrole................................................ 46
Hoofdstuk 9 - Materialiteit .............................................................................................. 48
Hoofdstuk 10 - Risicoanalyse .......................................................................................... 48
Hoofdstuk 11 – Controle-informatie ................................................................................ 52
Hoofdstuk 13 - Controleverklaringen ............................................................................... 53
4
,Bestuurlijke informatieverzorging
Hoorcollege 1
Hoofdstuk 1 - BIV in perspectief
We kennen de bedrijfsrisico’s; waar wordt het management van het bedrijf zenuwachtig van en
het accountantsrisico; waar wordt de accountant zenuwachtig van.
Een jaarrekening bestaat uit journaalposten. 90% van deze journaalposten komen voort vanuit
basisprocessen; inkoop, verkoop, salaris etc.. We stellen dat wanneer we weten dat deze
processen betrouwbaar zijn, dan weten we ook dat de journaalposten betrouwbaar zijn.
Bestuurlijke informatieverzorging (BIV) richt zicht op de betrouwbare werking van processen
zodanig dat die financiële processen zich vertalen in betrouwbare informatie. De kern van de
financiële informatie ligt in de financiële administratie.
BIV wordt aldus Van leeuwen en Bergsma gedefinieerd als alle activiteiten met betrekking tot het
systematisch (volgens vaste vooraf bepaalde procedures) verzamelen, vastleggen en verwerken
van gegevens, gericht op het verstrekken van informatie ten behoeve van het besturen-in-
engere-zin (het kiezen uit alternatieve opties), het doen beheersen en functioneren van een
huishouding en ten behoeve van de verantwoording die daarover moet worden afgelegd.
Belangrijke punten hierbij zijn:
• Om informatie te verkrijgen zal je gegevens moeten vastleggen binnen een organisatie
• Systematisch Betekent het vastleggen van gegevens via een vooraf bepaalde manier, dit
Betekent dat de informatiebehoefte vooraf bepaald moet zijn, zodat het systeem daarop
ingericht is.
• Informatie is belangrijk voor het nemen van beslissingen. Hiermee wordt bedoeld dat
een manager moet kiezen uit alternatieve mogelijkheden.
• Medewerkers gebruiken informatie op hun dagelijkse functie te kunnen uitoefenen.
Hierbij moet je vooral denken aan operationele informatie.
• Managers en medewerkers leggen door middel van informatie verantwoording af over de
uitgevoerde activiteiten, de genomen beslissingen en het gevoerde beleid.
Informatie kun je beschouwen als een product dan aan kwaliteitseisen moet voldoen. Het
uitgangspunt hierbij is: welke mensen moeten de informatie gebruiken. De randvoorwaarde is
dat de baten van informatie groter moeten zijn dan de kosten. Het moet tevens begrijpelijk zijn
en ten slotte bruikbaar. Bruikbaar betekent het moet relevant zijn (leiden tot een betere
beslissing) en betrouwbaar (juist en volledig).
Relevante en betrouwbare informatie wordt geproduceerd door het bestuurlijke
informatieverzorgingssyteem. De kwaliteit van dit systeem wordt bepaald door de samenstelling
van: organisatieleden & functieverdeling; begrotingen, normen en tarieven; procedures, wet- en
regelgeving, richtlijnen; inrichting administratie; informatieverschaffing; gegevens;
programmatuur; hardware; controleactiviteiten.
5
,Hoofdstuk 2 – Wat is beheersing?
De wijze waarop de leiding de organisatie tracht te beheersen, noemen we het interne
beheersingssysteem. Dit omvat ‘het door de leiding van een organisatie aangestuurde en
toegepaste proces ten behoeve van het beheersen van de uit te voeren bedrijfsactiviteiten.
Traditioneel wordt er over interne beheersing nagedacht vanuit de regelkringgedachte. In een
regelkring wordt er allereerst een plan gemaakt, dit plan wordt uitgevoerd en ten slotte
geëvalueerd, wat tevens dient als basis voor het volgende plan.
Ons gereedschap om dit te doen is interne controle (hiervoor zijn meerdere modellen). Dit is het
proces dat gericht is op het verkrijgen van een redelijke mate van zekerheid omtrent het bereiken
van doelstelling op het gebied van de betrouwbaarheid van de financiële informatieverzorging.
Een goed systeem van interne beheersing draagt dus zorg voor:
• Betrouwbare en relevante informatie ter ondersteuning van de besluitvorming door het
management
• Betere en snellere uitvoering en afhandeling van transacties op basis van betrouwbare
boekingen en systemen
• Onderbouwing van genomen besluiten
Kort samengevat betekent beheersen altijd het stellen van een norm of verwachting → de
uitvoering van activiteiten en het meten van de werkelijkheid → het vergelijken van de norm of
verwachting met de werkelijkheid en het op grond daarvan (laten) aanpassen van de uitvoering
of normen.
Hoofdstuk 4.2 – Geschiedenis van de COSO-modellen
De Committee Of Sponsoring Organisations (COSO) heeft methodiek uitgebracht om algemeen
en aanvaardbare criteria te brengen ten beoordeling van de interne beheersingssytemen. In
Nederland maar ook in de VS wordt deze methodiek veel gebruikt door leiding van organisaties
om een sturing en beheersingssysteem op te zetten dat noodzakelijk is om aannemelijk te
maken dat de leiding in control is ten aanzien van strategie, de bedrijfsprocessen, de
verslaggeving en de naleving van wet- en regelgeving. De leiding van de organisatie moet hierover
ook een verklaring afgeven.
Hoofdstuk 4.4 – COSO Internal Control Framework
Het COSO Internal Control Framework (ICF) heeft als doel te waarborgen dat een organisatie:
• Efficiënt en effectief werkende processen heeft
o Beheersen van de bedrijfsprocessen en bewaking van de activa tegen verlies.
Effectief betekent het bereiken van een gewenst resultaat en efficiënt grootst
mogelijk effect in verhouding tot de middelen
• Betrouwbare informatie rapporteert
o Dit gaat over zowel financiële als niet-financiële informatie, in het algemeen gaat
het over de vraag of de verantwoording een getrouw beeld geeft van de
werkelijkheid, zowel op individueel proces niveau als op het niveau jaarrekening.
• De wet- en regelgeving naleeft
o Dit zijn zowel externe wetten die worden opgelegd door instanties buiten de
organisaties als interne regels die de leiding uitvaardigt naar alle medewerkers.
6
,Definitie Internal control COSO
Interne controle een proces dat wordt uitgevoerd door de raad van bestuur, het management en
ander personeel van een entiteit en dat is bedoeld om redelijke zekerheid te verschaffen over het
bereiken van doelstellingen op het gebied van de bedrijfsvoering, rapportage en naleving.
De volgende punten vallen op:
• Interne beheersing is een proces. Met andere woorden het is dynamische, dus er moet
continu gekeken worden of de doelstellingen behaald kunnen worden met het bestaande
beheersingssysteem, ook wanneer omstandigheden wijzigen.
• Interne beheersing begint bij de top van een organisatie en wordt doorgegeven aan de
onderliggende lagen.
• Interne beheersing is gericht op het met redelijke mate van zekerheid bereiken van
doelstellingen. Volledig is niet mogelijk door niet-beheersbare factoren en omdat interne
beheersingsmaatregelen geld kosten.
• De doelen zijn gegroepeerd in categorieën.
Zoals gezegd zullen er binnen elke organisatie meerdere doelen bestaan op drie verschillende
niveaus. Om een redelijke mate van zekerheid te krijgen dat deze doelen bereikt kunnen worden,
maakt COSO gebruik van 5 onderling samenhangende componenten. Deze componenten
samen vormen het interne beheersingssysteem.
Het ICF wordt weergegeven als een kubus met drie doelstellingen, vijf componenten en vier
organisatieniveaus waarop het framework toegepast
kan worden.
1. Control environment: een set van standaarden,
processen en structuren die de basis vormen voor het
uitvoeren van internal control bij organisaties. Denk
aan integriteit en ethische waarden,
beloningsstructuur, voorbeeldgedrag, opleiding en
competenties, kwaliteit van toezicht, manier van
leidinggeven, structuur organisatie, delegatie van
verantwoordelijkheden en bevoegdheden en
personeelsbeleid.
2. Risk Assessment: betreft een dynamisch en iteratief
proces om risico’s te identificeren en in te schatten
hoe deze de realisatie van de doelstelling kunnen beïnvloeden. En ook hoeveel risico je als
bedrijf wilt lopen.
3. Control activities: zijn de activiteiten die voortvloeien uit beleid en procedures van het
management om risico’s te mitigeren (verminderen). Deze beheersingsactiviteiten vinden plaats
in de hele organisatie, in diverse fasen van processen en de IT. Het kunnen preventieve en
repressieve maatregelen zijn en ze omvatten zowel handmatige als geautomatiseerde
activiteiten (zie onderstaande tabel). Denk aan autorisaties, goedkeuringen, detailcontroles,
verbandscontroles en cijferbeoordelingen. Functiescheidingen zijn geïntegreerd in de control
activities. Als functiescheidingen niet haalbaar zijn implementeert het management alternative
control activities.
7
,4. Information and Communication: informatie is nodig om control activities uit te voeren om de
relevante doelstellingen van de diverse onderdelen van de organisaties te behalen en inzicht te
krijgen in alle lagen van COSO. Het proces communicatie is een continu en iteratief proces van
verkrijgen, genereren en gebruiken van noodzakelijke informatie. Dit gaat door het
communicatieproces en loopt de gehele organisatie door.
5. Monitoring activities: omvat het selecteren, ontwikkelen en uitvoeren van continue en
seperate evaluaties. Continue evaluaties zijn zoveel mogelijk ingebouwd in processen in de
organisatie. De seperate (specifieke) evaluaties worden periodiek uitgevoerd en variëren in
scope en frequentie afhankelijk van de risico’s waarop deze gericht zijn en de effectiviteit van de
continue monitoringsactiviteiten. Het doel is om na te gaan hoe de vijf componenten
functioneren (zijn ze effectief en efficiënt?), eventuele bevindingen die naar voren komen
worden gerapporteerd aan de leiding welk zorgt voor verbeteracties.
Preventieve maatregelen (vooraf of tijdens Repressieve maatregelen (controleren of
ingebouwd) het fout is gegaan)
Begroting Cijferanalyse a.d.h.v. managementinformatie
Richtlijnen van de directie Waarneming ter plaatse
Functiescheiding: Verbandscontroles:
• Beschikken • BETA = beginvoorraad + inkopen –
• Bewaren eindvoorraad = verkopen
• Controleren • Jobtime (begrote uren) = shoptime
• Registreren (gerealiseerde/geregistreerde uren) =
• Uitvoerend paytime (verwerkte of uitbetaalde
uren)
Inventarisatie
Totaalcontroles
Controle op naleving van richtlijnen
Detailcontroles
General IT controls Application controls
De vijf componenten kennen de volgende bijbehorende principes:
8
, Daarnaast kwamen de termen fraude en corruptie nog langs in het college met betrekking tot de
risk assessment, derhalve hier de betekenis en het verschil:
• Corruptie = misbruik van macht of positie voor persoonlijk gewin, vaak met omkoping of
oneerlijk gedrag (geen object van controle, kan je moeilijk feitelijk vaststellen aan de
hand van de administratie).
• Fraude = het opzettelijk misleiden of verkeerd voorstellen van informatie (wel object van
controle, kan je wel vaststellen aan de hand van het controleren van de administratie)
voor persoonlijk gewin.
Het risico op een afwijking van materieel belang (een fout of fraude die groot genoeg is om
beslissingen van gebruikers van de jaarrekening te beïnvloeden) als gevolg van fraude is op te
delen in:
• Afwijkingen die voortkomen uit frauduleuze financiële verslaggeving
o Cijfers worden aangetast ten bevoordeling van het resultaat en de beeldvorming
• Afwijkingen die voortkomen uit het oneigenlijk toe-eigenen van activa.
o Bezittingen worden aangetast met de focus op diefstal en kasstromen
Als medewerkers rationalisatie, druk en gelegenheid ervaren tot fraude is de kans groot dat zij dit
ook doen. Daarom is het belangrijk dat risico’s met betrekking hiervan worden geïdentificeerd.
9
