Samenvatting BIV-Interne Beheersing
NV COS 315: Risico-inschatting
- De accountant dient inzicht te verwerven in de interne beheersing die relevant is voor de
controle
- Inzicht verwerven in de cultuur en het ethisch gedrag binnen de entiteit
- Inzicht verwerven in informatiesysteem
Accountant dient inzicht te verweven in hoe het management de bedrijfsprocessen onder
controle heeft en welke informatie benodigd is (strategie, mensen, cultuur, informatie)
Interne beheersing (definitie NV COS 315): het proces dat is opgezet, wordt geïmplementeerd en
onderhouden door de met governance belaste personen, het management en andere
personeelsleden met als doel een redelijke mate van zekerheid te verschaffen dat de doelstellingen
van de entiteit met betrekking tot de betrouwbaarheid van de financiële verslaggeving, de
effectiviteit en efficiëntie van de activiteiten alsmede de naleving van de van toepassing zijnde wet-
en regelgeving worden bereikt.
Doel interne beheersing:
- Betrouwbaarheid financiële verslaggeving
- Effectiviteit en efficiëntie activiteiten
- Naleving wet- en regelgeving
Bereiken van doelstellingen
Three-lines-of-defense model:
1e lijn: het management is verantwoordelijk voor de processen
2e lijn: ondersteunt, adviseert, coördineert en bewaakt of het management haar
verantwoordelijkheden naleeft
3e lijn: controleert of het samenspel tussen de eerste en tweede lijn soepel functioneert
Typologiemodel van Starreveld:
1. Indelingscriterium
2. Volgordecriterium: belang waardekringloop bij de volledigheid van de
opbrengstenverantwoording
- Starreveld richt zich op het controleren van de volledigheid van de opbrengstverantwoording
,Indelingscriterium:
1. Organisaties die wel of niet voor de markt produceren
Wel = duidelijk verband tussen opbrengsten en kosten (marktmechanisme)
Niet = geen duidelijk verband tussen opbrengsten en kosten (aanknopingspunt = begroting)
2. Organisaties met of zonder goederenstroom
Met = duidelijk verband tussen goederen en geld
Zonder = geen duidelijk verband tussen goederen en geld (aanknopingspunt = procedures, fs)
Volgordecriterium: (controleren volledigheid opbrengsten van sterk naar zwak)
1. Handelsonderneming: goederenbeweging: beginvoorraad + inkopen -/- eindvoorraad =
verkopen
2. Massaproductie: harde normen, standaardkostprijs, bezettingsverschillen, begroting
3. Stukproductie: voor- en nacalculatie, functiescheiding, contractenregister
4. Agrarische en extractieve bedrijven: functiescheiding begroting, teelplannen en oogst
5. Dienstverlening zekere goederenbeweging (eigen goederen): vaste receptuur,
functiescheiding, grondstoffenverbruik
6. Dienstverlening zekere goederenbeweging (goederen derden): registraties, functiescheiding
aanname, uitvoeren, afgifte
7. Dienstverlening zekere goederenbeweging (vaste leidingen): meterstanden
8. Dienstverlening beschikbaar stellen van ruimte (met specifieke reservering):
reserveringenbestand, capaciteitenbestand, leegstandcontroles
9. Dienstverlening beschikbaar stellen van ruimte (zonder specifieke reservering): quasi-
goederenbeweging, functiescheiding uitgifte kaartjes, toegangscontrole
10. Overige dienstverlening: urenregistratie, voor- en nacalculatie
Typologiemodel is gericht op:
- Vaststellen betrouwbaarheid financiële informatie
- Volledigheid opbrengsten en schulden
- Juistheid kosten en vorderingen
3 soorten verbandscontroles:
1. Verband tussen twee of meer gescheiden mutatiestromen (functiescheiding, tegengestelde
belangen)
2. Verband tussen toestand en gebeuren (beginstand -/- eindstand = toevoegingen + afname
3. Verband tussen opgeofferde en verkregen waarden (prestatie en tegenprestatie)
Twee perspectieven waarom organisaties tijd en geld besteden aan internal control:
1. Agency perspectief:
- Mensen zijn gericht op hun eigen belang, beperkt rationeel en risico-avers.
- Beperken van risico’s en informatie-asymmetrie
- Economische kosten-batenafweging
- Technische functionaliteit
- Aansluiting bij de omgeving
2. Institutioneel perspectief
- Verkrijgen legitimiteit
- Tradities binnen de organisatie, management rages, externe normen en regels.
- Symbolische uiting (laten zien dat je in control bent)
- Politieke invloeden, professionele standaarden en netwerken met andere professionals.
- De omgeving bestaat uit een bron van internal control werkwijzen waar de organisatie zich
aan conformeert
- Mensen willen graag goed doen
,Waarom is internal control belangrijk?
1. Steeds weer nieuwe boekhoudschandalen
2. Steeds meer stakeholders
3. Druk vanuit wet- en regelgeving
Twee benaderingen interne beheersing:
1. Traditionele benadering
- Traditioneel, focus op finance, accounting & auditing
- Regels, procedures, checks & balances
- Interne controle
- Betrouwbaarheid financiële rapportages
- Beschermen bezittingen tegen misbruik
- Detectie technische fouten en fraude
- Bedrijfstype + bedrijfsprocessen, risico’s en maatregelen + kwaliteit van (financiële)
informatie = traditionele benadering
• Gericht op de volledigheid en nauwkeurigheid van de door de entiteit gegenereerde
informatie
• Gericht op de bescherming van activa tegen het ongeoorloofd verwerven, gebruiken of
vervreemden ervan
2. Brede benadering (holistische benadering)
- Traditionele focus blijft de basis, maar aangevuld met:
- Bredere governance, bedrijfsmatige focus
- Naast betrouwbaarheid financiële rapportages ook effectiviteit en efficiency operations en
naleving wet- en regelgeving
- Invloed van omgeving, mens, cultuur en gedrag
- Belang risicomanagement
- Aandacht voor strategie en lange termijn continuïteit
- Mix van maatregelen
Verschil BIV-BIS (pre-master) en BIV-IB (master):
- BIV-BIS is vooral gericht op processen (business cycles)
- BIV-IB is vooral gericht op mensen, cultuur, gedrag
4 pijlers van BIV-Interne Beheersing:
1. Standaardisatie: de traditionele benadering met nadruk op betrouwbare financiële
rapportages en fraude
2. Configuratie: mix van maatregelen, de opkomst van clan, personal en cultural controls,
empowerment (gedrag)
3. Regulering: nadruk op betrouwbaarheid financiële rapportages en naleving wet- en
regelgeving, controleomgeving (tone at the top, integriteitsklimaat, risicomanagement,
cultuur, governance)
4. Complexiteit: rekening houden met verschillende belangen van stakeholders, gericht op
gedrag en ethiek
Standaardisatie (traditionele benadering):
Wanneer ben je “in control” volgens de traditionele benadering?
• De financiële informatie betrouwbaar en relevant is
• De opbrengsten volledig zijn
• De kosten juist zijn
• De bezittingen zijn beschermd tegen ongeoorloofd verwerven, gebruiken of vervreemden
ervan (fraude, diefstal etc.)
, Control = bijsturen/beheersing van een proces
Controle = vergelijken van de soll en ist situatie
Bestuurlijke informatievoorziening (Starreveld): het systematisch verzamelen, vastleggen en
verwerken van gegevens, gericht op het verstrekken van informatie t.b.v. het besturen, het doen
functioneren en beheersen van een huishouding en t.b.v. de verantwoording die daarover moet
worden afgelegd.
- Starreveld streeft naar volledigheid van opbrengsten en een betrouwbare
informatievoorziening (geen IT, geschreven in de jaren 60)
Traditionele benadering = bedrijfstype (typologie) + bedrijfsprocessen + risico’s +
beheersingsmaatregelen + kwaliteit van (financiële) informatie
Hoe bereik je in control volgens de traditionele benadering?
Starreveld:
- Bestuurlijke informatieverzorging: alle activiteiten met betrekking tot het systematisch
verzamelen, vastleggen, verwerken van gegevens, gericht op het verstrekken van informatie
ten behoeve van het besturen, het doen functioneren en beheersen van een huishouding en
t.b.v. de verantwoording, die daarover moet worden afgelegd
- Administratieve organisatie: het gehele complex van organisatorische maatregelen dat
direct of indirect betrekking heeft op een goede werking van de bestuurlijke
informatieverzorging
- Interne controle: alle controle op de oordeelsvorming en activiteiten van anderen, door of
namens de leiding van de organisatie (gericht op het voorkomen, dan wel detecteren van
afwijkingen van gestelde normen)
1. Vaststellen van normen (soll)
2. Waarnemen werkelijkheid (ist)
3. Toetsen van de normen aan de werkelijkheid, met als doel het vaststellen van
afwijkingen
4. Afwijkingen analyseren en oorzaken van de afwijkingen vaststellen
5. Rapporteren, maatregelen nemen, aanbevelingen doen
6. Realiseren
Romney & Steinbart:
Accounting information systems (AIS): een systeem dat data verzamelt, registreert, opslaat en
verwerkt om informatie te genereren voor beslissingsnemers, op basis van IT
Elementen AIS:
1. Mensen die het systeem gebruiken
2. Processen
3. Technologie (data, software)
4. Controls om informatie te beveiligen (safeguarding assets)
Toegevoegde waarde: efficiënte en effectieve beslissingen
Informatie die nodig is voor het opstellen van financiële rapportages en het nemen van
beslissingen komt veelal uit de bedrijfsprocessen en het AIS
NV COS 315: Risico-inschatting
- De accountant dient inzicht te verwerven in de interne beheersing die relevant is voor de
controle
- Inzicht verwerven in de cultuur en het ethisch gedrag binnen de entiteit
- Inzicht verwerven in informatiesysteem
Accountant dient inzicht te verweven in hoe het management de bedrijfsprocessen onder
controle heeft en welke informatie benodigd is (strategie, mensen, cultuur, informatie)
Interne beheersing (definitie NV COS 315): het proces dat is opgezet, wordt geïmplementeerd en
onderhouden door de met governance belaste personen, het management en andere
personeelsleden met als doel een redelijke mate van zekerheid te verschaffen dat de doelstellingen
van de entiteit met betrekking tot de betrouwbaarheid van de financiële verslaggeving, de
effectiviteit en efficiëntie van de activiteiten alsmede de naleving van de van toepassing zijnde wet-
en regelgeving worden bereikt.
Doel interne beheersing:
- Betrouwbaarheid financiële verslaggeving
- Effectiviteit en efficiëntie activiteiten
- Naleving wet- en regelgeving
Bereiken van doelstellingen
Three-lines-of-defense model:
1e lijn: het management is verantwoordelijk voor de processen
2e lijn: ondersteunt, adviseert, coördineert en bewaakt of het management haar
verantwoordelijkheden naleeft
3e lijn: controleert of het samenspel tussen de eerste en tweede lijn soepel functioneert
Typologiemodel van Starreveld:
1. Indelingscriterium
2. Volgordecriterium: belang waardekringloop bij de volledigheid van de
opbrengstenverantwoording
- Starreveld richt zich op het controleren van de volledigheid van de opbrengstverantwoording
,Indelingscriterium:
1. Organisaties die wel of niet voor de markt produceren
Wel = duidelijk verband tussen opbrengsten en kosten (marktmechanisme)
Niet = geen duidelijk verband tussen opbrengsten en kosten (aanknopingspunt = begroting)
2. Organisaties met of zonder goederenstroom
Met = duidelijk verband tussen goederen en geld
Zonder = geen duidelijk verband tussen goederen en geld (aanknopingspunt = procedures, fs)
Volgordecriterium: (controleren volledigheid opbrengsten van sterk naar zwak)
1. Handelsonderneming: goederenbeweging: beginvoorraad + inkopen -/- eindvoorraad =
verkopen
2. Massaproductie: harde normen, standaardkostprijs, bezettingsverschillen, begroting
3. Stukproductie: voor- en nacalculatie, functiescheiding, contractenregister
4. Agrarische en extractieve bedrijven: functiescheiding begroting, teelplannen en oogst
5. Dienstverlening zekere goederenbeweging (eigen goederen): vaste receptuur,
functiescheiding, grondstoffenverbruik
6. Dienstverlening zekere goederenbeweging (goederen derden): registraties, functiescheiding
aanname, uitvoeren, afgifte
7. Dienstverlening zekere goederenbeweging (vaste leidingen): meterstanden
8. Dienstverlening beschikbaar stellen van ruimte (met specifieke reservering):
reserveringenbestand, capaciteitenbestand, leegstandcontroles
9. Dienstverlening beschikbaar stellen van ruimte (zonder specifieke reservering): quasi-
goederenbeweging, functiescheiding uitgifte kaartjes, toegangscontrole
10. Overige dienstverlening: urenregistratie, voor- en nacalculatie
Typologiemodel is gericht op:
- Vaststellen betrouwbaarheid financiële informatie
- Volledigheid opbrengsten en schulden
- Juistheid kosten en vorderingen
3 soorten verbandscontroles:
1. Verband tussen twee of meer gescheiden mutatiestromen (functiescheiding, tegengestelde
belangen)
2. Verband tussen toestand en gebeuren (beginstand -/- eindstand = toevoegingen + afname
3. Verband tussen opgeofferde en verkregen waarden (prestatie en tegenprestatie)
Twee perspectieven waarom organisaties tijd en geld besteden aan internal control:
1. Agency perspectief:
- Mensen zijn gericht op hun eigen belang, beperkt rationeel en risico-avers.
- Beperken van risico’s en informatie-asymmetrie
- Economische kosten-batenafweging
- Technische functionaliteit
- Aansluiting bij de omgeving
2. Institutioneel perspectief
- Verkrijgen legitimiteit
- Tradities binnen de organisatie, management rages, externe normen en regels.
- Symbolische uiting (laten zien dat je in control bent)
- Politieke invloeden, professionele standaarden en netwerken met andere professionals.
- De omgeving bestaat uit een bron van internal control werkwijzen waar de organisatie zich
aan conformeert
- Mensen willen graag goed doen
,Waarom is internal control belangrijk?
1. Steeds weer nieuwe boekhoudschandalen
2. Steeds meer stakeholders
3. Druk vanuit wet- en regelgeving
Twee benaderingen interne beheersing:
1. Traditionele benadering
- Traditioneel, focus op finance, accounting & auditing
- Regels, procedures, checks & balances
- Interne controle
- Betrouwbaarheid financiële rapportages
- Beschermen bezittingen tegen misbruik
- Detectie technische fouten en fraude
- Bedrijfstype + bedrijfsprocessen, risico’s en maatregelen + kwaliteit van (financiële)
informatie = traditionele benadering
• Gericht op de volledigheid en nauwkeurigheid van de door de entiteit gegenereerde
informatie
• Gericht op de bescherming van activa tegen het ongeoorloofd verwerven, gebruiken of
vervreemden ervan
2. Brede benadering (holistische benadering)
- Traditionele focus blijft de basis, maar aangevuld met:
- Bredere governance, bedrijfsmatige focus
- Naast betrouwbaarheid financiële rapportages ook effectiviteit en efficiency operations en
naleving wet- en regelgeving
- Invloed van omgeving, mens, cultuur en gedrag
- Belang risicomanagement
- Aandacht voor strategie en lange termijn continuïteit
- Mix van maatregelen
Verschil BIV-BIS (pre-master) en BIV-IB (master):
- BIV-BIS is vooral gericht op processen (business cycles)
- BIV-IB is vooral gericht op mensen, cultuur, gedrag
4 pijlers van BIV-Interne Beheersing:
1. Standaardisatie: de traditionele benadering met nadruk op betrouwbare financiële
rapportages en fraude
2. Configuratie: mix van maatregelen, de opkomst van clan, personal en cultural controls,
empowerment (gedrag)
3. Regulering: nadruk op betrouwbaarheid financiële rapportages en naleving wet- en
regelgeving, controleomgeving (tone at the top, integriteitsklimaat, risicomanagement,
cultuur, governance)
4. Complexiteit: rekening houden met verschillende belangen van stakeholders, gericht op
gedrag en ethiek
Standaardisatie (traditionele benadering):
Wanneer ben je “in control” volgens de traditionele benadering?
• De financiële informatie betrouwbaar en relevant is
• De opbrengsten volledig zijn
• De kosten juist zijn
• De bezittingen zijn beschermd tegen ongeoorloofd verwerven, gebruiken of vervreemden
ervan (fraude, diefstal etc.)
, Control = bijsturen/beheersing van een proces
Controle = vergelijken van de soll en ist situatie
Bestuurlijke informatievoorziening (Starreveld): het systematisch verzamelen, vastleggen en
verwerken van gegevens, gericht op het verstrekken van informatie t.b.v. het besturen, het doen
functioneren en beheersen van een huishouding en t.b.v. de verantwoording die daarover moet
worden afgelegd.
- Starreveld streeft naar volledigheid van opbrengsten en een betrouwbare
informatievoorziening (geen IT, geschreven in de jaren 60)
Traditionele benadering = bedrijfstype (typologie) + bedrijfsprocessen + risico’s +
beheersingsmaatregelen + kwaliteit van (financiële) informatie
Hoe bereik je in control volgens de traditionele benadering?
Starreveld:
- Bestuurlijke informatieverzorging: alle activiteiten met betrekking tot het systematisch
verzamelen, vastleggen, verwerken van gegevens, gericht op het verstrekken van informatie
ten behoeve van het besturen, het doen functioneren en beheersen van een huishouding en
t.b.v. de verantwoording, die daarover moet worden afgelegd
- Administratieve organisatie: het gehele complex van organisatorische maatregelen dat
direct of indirect betrekking heeft op een goede werking van de bestuurlijke
informatieverzorging
- Interne controle: alle controle op de oordeelsvorming en activiteiten van anderen, door of
namens de leiding van de organisatie (gericht op het voorkomen, dan wel detecteren van
afwijkingen van gestelde normen)
1. Vaststellen van normen (soll)
2. Waarnemen werkelijkheid (ist)
3. Toetsen van de normen aan de werkelijkheid, met als doel het vaststellen van
afwijkingen
4. Afwijkingen analyseren en oorzaken van de afwijkingen vaststellen
5. Rapporteren, maatregelen nemen, aanbevelingen doen
6. Realiseren
Romney & Steinbart:
Accounting information systems (AIS): een systeem dat data verzamelt, registreert, opslaat en
verwerkt om informatie te genereren voor beslissingsnemers, op basis van IT
Elementen AIS:
1. Mensen die het systeem gebruiken
2. Processen
3. Technologie (data, software)
4. Controls om informatie te beveiligen (safeguarding assets)
Toegevoegde waarde: efficiënte en effectieve beslissingen
Informatie die nodig is voor het opstellen van financiële rapportages en het nemen van
beslissingen komt veelal uit de bedrijfsprocessen en het AIS
