Inleiding BIV IB Een controller vevult 3 rollen: beheersingsrol, vertrouwensrol, ondersteunende rol. De controller treedt op als intermediar tussen het hogere management en de eenheden of afdelingen. In de beheersingsrol i sde controller erop gericht dat de afdelingen doelen nastreven die in lijn zijn met de doelen van het management. Vertrouwensrol is gericht op dat management kan vertrouwen op de financiele info uit de systemen. Hij structureert en verzorgd interne en externe finaciele berichtgeving en bewaakt de correctheid van bedrijfseconomische cijfers en berekningen. In zijn ondersteunende rol ondersteunt de controller het management via het ontwerpen en implementeren van een effectief Management Control System. Artikel De koning: BIV Boekingen ih grootboek worden steeds meer door deelsysteemengegenereerd. Het admininstreren krijgt daarmee een geheel andere inhoud. De nadruk kokmt in toenemende mate te liggen op de inrichting van de bedrijfsbrede infosystemen en controle vd informatie die uit deze systemen afkomstig is. Financiele informatie is steds meer afkomstig uit complexe geintegreerde info systemenzoals de moderne systemen voor ERM (SAP etc). De grootschalige invoering van ERM systemen is een vd belangrijkste IT ontwikkelingen in middelgrote en grote orgs. Risicos zijn de onderlinge afhankelijkheid tussen bedrijfsprocessen maakt een erp systeem en dus de org gevoeliger voor verstoringen. Tegeljkertijd leidt de geintegreerde architectuur tot een verhoging van het risico dat een onbevoegde via een tekortkoming in 1 module toegang krijgt tot het gehele systeem. WW zijn makkelijk te kraken. Koning, W.F. de, Visies op interne beheersing, Maandblad voor Accountancy en Bedrijfseconomie, april 2008, pp.170-177.In het artikel wordt de contingentiebenadering voor interne beheersing gesuggereerd. In deze benadering worden de te nemen beheersingsmaatregelen zo gekozen dat zij passen in de context van de organisatie, waarbij onder meer marktpositie, machtsverhoudingen, dynamiek, wijze van aansturing en cultuur een belangrijke rol spelen. Interne beheersing kan worden omschreven als de mate waarin en de wijze waarop het management bedrijfsprocessen onder controle heeft. In het artikel worden verschillende visies van interne beheersing met elkaar vergeleken met de metaforen van Morgan als startpunt: Organisaties worden door hem benaderd als zijnde machines, levende organismen, hersenen, culturen, politieke systemen, psychische gevangenissen, voortdurende verandering en middel tot overheersing. Organisaties als machines Morgen: Doelstellingen worden nauwkeurig omschreven en hierbij wordt in groot detail gewerkt. Gaat om plannen, organiseren en controleren. Alles verloopt voorspelbaar en beheersbaar. Deze wijze is alleen van toepassing in stabiele omgevingen met werkprocessen. Kan leiden tot starheid waardoor moeilijk aan veranderingen aangepast kan worden, daarnaast belemmert het optimale inzet van menselijke capaciteit. Starreveld: Legt een grote nadruk op procedures en richtlijnen en kan derhalve in deze categorie geschaart worden. Merchant: Spreekt in dit verband over action controls beheersingsmaatregelen die bepalen welke acties aan medewerkers wel en welke niet toegestaan zijn.

Organisaties als organismen

Morgan: In turbulente omgevingen zullen organisaties in staat moeten zijn zich snel aan te passen aan externe veranderingen. Levende systemen proberen door middel van zelfregeling een evenwicht met de omgeving te bereiken. Wanneer veranderende technologische omstandigheden og wijzigingen in de markt nieuwe uitdagingen oproepen moet de org als systeem zich makkelijk kunnen aanpassen. Er is een open en flexibele stijl van management. Kaplan: Door middel van de BSC worden uitkomsten van processen gemeten, getoetst aan normen en bij afwijkingen wordt het proces bijgestuurd. Het startpunt hierbij is het benoemen van KSF, waar aan de hand van performance indicatoren worden bepaald om prestaties te kunnen meten en toetsten. Merchant: Result controls waarin meteen een prestatiebeloning wordt gekoppeld. Organisaties als hersenen Morgan: Flexibiliteit van organisaties kan ook worden bereikt door zelforganiseren en lerend vermogen in organisaties te stimuleren. Morgan legt daarbij een relatie met hersencellen, die als kenmerken hebben dat zij niet centraal worden aangestuurd, zich voortdurend vernieuwen en in principe elkaars taken kunnen overnemen. Nadruk ligt sterk op zelforganisatie (empowerment). Simons: Suggereert als oplossing voor het dreigende gebrek aan beheersing bij empowerment de vier levers of control. Organisaties als culturen Morgan: De organisatiecultuur en met name de ethische waarden en integriteit binnen een organisatie van eminent belang zijn voor het niveau van interne beheersing. Org wordt gezie nals collectief bewustzijn, gedeelde overtuiging. Normen, waarden, ideologie, rituelen en symbolen als manier om org te binden. COSO: Organisatiecultuur is van belang bij interne beheersing (behoort tot control environment). Merchant: Cultural controls stimuleren van wederzijds toezicht van werknemers om individuen te sturen, die zich afwijkend gedragen van de normen en waarden van de organisatie. Organisaties als politieke systemen (AH!) Morgan: Macht speelt een rol binnen ondernemingen, wat zijn invloed heeft op de interne beheersing. Macht kan extern zijn, bijvoorbeeld de afhankelijkheid van marktprijzen, maar kan ook intern gevonden worden, bijvoorbeeld door schaarste van productiemiddelen (kennis en vaardigheden). Mensen zitten in coalities van eigen belangen en onderhandelen over invloed en beheersing. Management is belast met de afstemming tussen deze coalities. Organisaties als psychische gevangenissen Morgan: Mensen hebben de neiging verstikt te raken in door henzelf bedachte concepten. Het vormt een psychische gevangenis van waaruit zij een verwrongen beeld van de werkelijkheid krijgen. Groupthink groepsvorming rond charismatische leider, groep acht zich onkwetsbaar, signalen uit de omgeving worden niet opgepikt. Janis: Hierdoor kan groupthink onstaan. Leden van de groep denken hetzelfde en staan niet meer open voor andere signalen van de werkelijkheid dat dit beeld bijgesteld moet worden. Een leider kan dit doorbreken door bij besluitvorming nadrukkelijk kritiek en afwijkende meningen aan te moedigen. Organisaties als voortdurende verandering Morgan: In een dynamische omgeving zijn organisaties gedwongen zich regelmatig aan te passen aan gewijzigde omstandigheden. Interne beheersing kan hiermee voortdurend aangepast worden en kan zelfs achter de ontwikkelingen aanlopen. De org als ontdekkingsreis. Er is geen route vooraf bepaald, maar zien waar men uitkomt. Iedereen wete wat ie moet doen. Hammer: Business Process Reeingineering geautomatiseerde informatiesystemen zo gebruiken dat het kan leiden dat de bedrijfsprocessen aangepast moeten worden om de systemen optimaal te benutten. Bij change management kan ITIL ingezet worden om de beheersing aan de passen aan wijzigingen van de ICT-omgeving. Organisaties als middel tot overheersing(dominantie metafoor)

Samenvatting BIV-IB

2

Morgan: De vrije markt economie heeft zijn voor en nadelen. Een voordeel is dat deze wijze van voortbrenging in een groot deel van de wereld welvaart heeft gebracht. Een nadeel is dat ondernemingen in hun winststreven werknemers onder zware druk kunnen zetten om prestaties te leveren. Lelijke kant vd org. Multinationale orgs worden steeds machtiger met als gevolg onttrekking aan democratische controle; misbruik ten nadele van milieu en sociale rechtvaardigheid.

Committee of Sponsoring Organizations of the Treadway Commission (COSO), Internal Control - Integrated Framework, 1992. (blz. 1-16) COSOInternal control is a process, effected by an entitys board of directors, management and other personnel, which is designed to provide reasonakle assurance regarding the achievement of objectives on one or more categories: - Effectiviteit en efficiency van de bedrijfsuitvoering (operation) - Betrouwbaarheid van de financile informatie (Financial Information) - Voldoen aan van toepassing zijnde wet- en regelgeving (compliance) Internal control wordt aangeduid als een proces. Het is geen losse gebeurtenis of een omstandigheid, maar een serie van acties die doordringen in de activiteiten van de onderneming. Het is derhalve continue van toepassing. Het internal control systeem is verstrengeld met de operationele activiteiten van de onderneming. Dit werkt dan ook het meest effectief als het ingebouwd is in de infrastructuur van de onderneming (ook kostentechnisch is dit beter). Het gaat niet enkel om handboeken en formulieren, maar wordt genitieerd door mensen van de organisatie. Mensen zetten de doelstellingen van ondernemingen en zetten control mechanismen op hun plaats. Daarnaast benvloedt internal control weer de acties van mensen. Er kan enkel reasonable assurance worden verkregen, hoe goed dit ook is ingericht en operationeel is. Er zijn beperkingen inherent aan internal control systemen, zoals: defecten door menselijke fouten, mogelijkheid voor management om om het systeem om te gaan, overweging van kosten en baten. Doelstellingen vallen in drie verschillende categorien: Bedrijfsactiviteiten effectief en efficint gebruik maken van de resources van de onderneming. Financiele informatie voorbereiding van betrouwbare interne en externe financile informatie.

COSO onderscheidt 5 met elkaar in verband staande componenten: 1. Control environment sets the tone at an Org, influenscing the control consciousness of its people. Tone at the top is hier heel belangrijk. Verder gaat het hierbij om de integriteit, de ethische waarden en normen binnen de onderneming, de competencies van de werkenemers, het management haar filosofie en stijl van leidinggeven, het gaat om het toekennen/toewijzen van autoriteit en verantwoordelijkheid, het HR beleid. Allemaal facetten van de control environment in een onderneming.. 2. Risk assessment Doelen stellen, Risicos identificeren, Risicos analyseren/beoordelen. involves identification and analysis of relevant risks to achievement of the objectives. This forms the basis of how risks should be managed. An org must set objectives (budget!). De onderneming moet bewust zijn van de risicos die men dagelijks heeft. Daartoe moeten doelen gesteld worden. Daarnaast moeten mechanismen gedentificeerd, geanalyseerd en gemanaged worden.

Samenvatting BIV-IB

3

3. Control activities Omvat de policies and implementation of procedures that help ensure management directives are effected.They help ensure necessary actions are taken to ensure control. Such as functiescheiding. Het is dus het beleid en de procedures omtrent control, welke moeten helpen om acties/risicos te inventariseren die doelstellingen vd Org. in de weg staan. Hierbij kan gedacht worden aan autorisatie, verificatie, beveiliging van activa en functiescheiding. Dus ook pasje hebben ombedrijf binnen te komen bijv. 4. Information and Communication - Om al deze activiteiten heen hangen informatie en communicatie. Deze zorgen ervoor dat werknemers informatie kunnen vastleggen en verspreiden, om zo bedrijfsactiviteiten te managen en te beheersen. Kwaliteit vd info is belangrijk (timely,current, accessible and accurate). Communication up and down in the Org. Intern en extern. 5. Monitoring - Internal control systemen moeten gemonitord worden, een proces dat de kwaliteit van de performance van het systeem in de tijd beoordeeld. Dit kan door doorlopende monitoring activiteiten of door periodieke losse evaluaties. Tussen deze 5 componenten is synergie, Together they form an intgrated systemn that reactsdynamically to changing conditions. Internal controls are most effective when built into an Orgs infrastructure and are part of the essence of the Org. Dus Int contr helps an entity achieve itsperformance and profitability targets, and it can help to prevent loss of resources. Maar nadruk ligt op help. Het is geen panacea (wondermiddel). Het garandeert geen succes. Het kan bijv niet slechte manager omturnen in een hele goeie. En sommige externe factoren liggen buiten managements control zoals verandering in wet-en regelgeving. Internal control system geeft ook niet 100% zekerheid in bijv finaciele info. Only reasonable assurance. All systems have somehow limitations. Human failure scan always happen. Een ander vb is unethical management that override the system. Roles and responsibilities: Management, board, internal auditors, other personnel: Management very oimportant role. Tone at the top is essential to make an internal control framework work. Internal audit important role in evaluating the effectiveness of control systems and contribute to the ungoing effevctiveness. Board Management is accountable to the board, which provide governance, guidance and ovversight. Other Int control should be an explicit or implicit part of everyones jobdescrption. Personell should also be responsible fror communicating upward, when problems arise that are nocompliant with the companys code of conduct. A key objective of this further study is to help management of businesses and other Orgs better control ttheir orgs activities. But control means diff things for diff peolple so another important objective is to integrate the various int control concepts into a framework in which a common definition is established and control components are identified. It provides a starting point for entitys assessment of int control. Definition: Int control is a process effected by an orgs board, management and other personeel, wich is designed to provide reasonable assurance regarding the achievement of objectives in one or more categories: - Effectiveness and efficiency in operations - Reliability of financial info - Compliance with applicable laws and regulations. Proces Int control is a tool used by management not a substitute for management.

Samenvatting BIV-IB

4

De control environment zorgt voor een atmosfeer waarin mensen hun activiteiten ontplooien en hun verantwoordelijkheden met betrekking tot beheersing uitvoeren en zorgt voor een fundament voor de overige componenten. In deze omgeving beoordeelt het management risicos met betrekking tot doelstellingen en implementeert beheersingsactiviteiten om er voor te zorgen dat risicos worden gemitigeerd. Daarnaast wordt relevante informatie en communicatie verspreid door de organisatie. Het gehele proces wordt gemonitord en aanpassing worden gedaan op moment dat dit benodigd is. Geen enkele onderneming heeft zijn interne beheersing op eenzelfde manier ingevuld. De vijf componenten komen wel terug, maar worden op een andere manier ingedeeld. Om te kijken of internal control effectief werkt (op een bepaald moment in de tijd) moet gekeken worden of de vijf componenten aanwezig zijn en of deze effectief functioneren.

Samenvatting BIV-IB

5

2) Management control in control Paape, L., Corporate governance : the impact on the role, position, and scope of services of the internal audit function. ERIM Ph.D. series research in management, Erasmus Universiteit Rotterdam, 2007. ( 4.2 t/m 4.4, blz. 104-122)In het artikel wordt uitgegaan van de New Institutional Economics (als tegenhanger van de neoklassieke theorie). De theorie tracht antwoord te vinden op de vragen:Waarom bestaan er organisaties? En waarom bestaat er zon verscheidenheid aan organisaties?. Een aantal aannames liggen ten grondslag aan deze theorie itt de onrealistische aannames in de neoklassieke theorie: Methodological individualism: mensen zijn verschillend en hebben verschillende voorkeuren, doelen, intenties en ideeen. Om economische fenomenen te kunnen verklaren is het noodzakelijk om het gedrag van individuele mensen te analyseren. The maximand: Mensen stellen hun eigen belang voorop en proberen deze te maximaliseren binnen de mogelijkheden die de organisatie hen biedt. De keuzes die mensen maken worden hierdoor bepaald. Individuele rationaliteit (kan perfect of imperfect zijn). In the perfect variety it is assumed that decision makers have stable preferences which determine theirbehavioral choices. In the imperfect those preferences are not alwaysd known. This one also assumes that transaction costs are unavoidable. People are subject to bounded rationality, which makes it impossible to to process all available information becuse much information is lacking due to lack of processing skills. Question is if people are rational anyway.. Opportunistic behaviour: mensen stellen hun eigen belang voorop, waarbij de kans bestaat dat deze onder bepaalde omstandigheden opportunistisch gedrag kunnen vertonen. Wanneer mensen opportunistisch gedrag vertonen, kun je hen niet vertrouwen. Economic society: onze samenleving is gebaseerd op eigendomsrechten die het gedrag van mensen bepalen Governance structure: Bij een organisatie gaat het beslissingsbevoegdheden en ervoor zorgen dat de beslissingen worden uitgevoerd en het kunnen geven van sancties als beslissingen niet of in onvoldoende mate worden opgevolgd. Instituties: Gaat om de regels van het spel (zonder de spelers inbegrepen) en de functie van deze onafhankelijk van individueel gebruik. Bestaan uit mensen die een gezamenlijk doel nastreven Organisaties: Gaat om instituties inclusief personen. Groepen individuen die trachten dezelfde doelen na te streven. Aangezien dit niet altijd lukt, moeten kosten of bronnen gebruikt worden wat resulteert in Transaction costs. According to Williamson, Agency Theory and transaction costs economics are theories tat slot into New Inst Ec. De Agency Theory (AT) en Transactions Cost Economics (TCE) volgen de bovengeschreven theorie van NIE. Contracten zijn een belangrijk onderdeel van beiden theorien. Doordat er informatie asymmetrie ontstaat of mensen problemen simpelweg proberen te vermijden zijn er onderstaande theorien gentroduceerd: 1) Incentive theory of Agency-contract theory Beloningen en stimulansen worden gebruikt om gedrag te benvloeden zodanig dat het de eigenaren ten goede komt. In contracten worden dan ook bepalingen opgenomen aangaande informatie en gedrag. 2) Incomplete contract theory In contracten wordt een clausule opgenomen waarin de ene partij het recht heeft om ex post te bepalen wat de werkelijke behaalde prestaties zijn en de andere partij om het contract te ontbinden indien men het daarmee niet eens is. 3) Transactions cost theory

Samenvatting BIV-IB

6

Het is onmogelijjk om de resultaten van het contract te bepalen. Derhalve wordt er supervisie en dwang uitgeoefend. Vb van TC zijn het vinden van een tegenpartij, onderhandelen, opstellen contract etc. Agency Theory Deze theorie is gebaseerd op twee actoren: de principal en de agent. Er zijn twee problemen: Doet de agent zijn best en vertelt hij de waarheid. Op te lossen door doelcongruentie (principaal n agent hebben zelfde doel), beloning via resultaat meting, control en controle (auditing etc) De principal wil weten of de agent opereert zodanig dat dit de principal het best ten goede komt. Tussenbeiden wordt hiertoe een contract aangegaan, omdat de principal de acties en de informatie niet direct kan observeren. Hieruit ontstaat moral hazard informatie asymmetrie, aangezien de agent meer weet dan de principal. Hiertoe wordt in de meeste gevallen een derde partij ingeschakeld: een accountant. Er zal een verschil zijn tussen de beslissingen van de agent en de beslissingen van de principal indien deze zelf de leiding zou hebben. Hiertoe worden agency costs gemaakt: voor het monitoren, voor het verkrijgen van een band en overige kosten. Er wordt ook kritiek gegeven op de agency theory. Zo kan niet altijd een rechte relatie gelegd worden tussen de performance en de beloning. Het gebruik van beloningen en straffen is te mechanisch, aangezien er ook situaties bestaan waarin het volgen van de eigen belangen niet altijd de beste optie is voor een agent. Daarnaast wordt er gesproken over agenten die leiderschap (leadership) vertonen, die de welwillendheid hebben om hun taken goed te doen en in overeenstemming met de doelen van de principal. Als laatste kan compensatie een behoorlijke invloed hebben op agency costs wanneer deze niet goed gemanaged worden. Transaction Cost Economics Een transactie ontstaan wanneer een goed of service overgedragen wordt door middel van een technologische interface. Het ene stadium wikkelt een activiteit af, waar de volgende een activiteit begint. Om een transactie af te wikkelen dienen verschillende activiteiten gedaan te worden. Hiertoe moet informatie ingewonnen worden, moeten onderhandelingen plaatsvinden, moeten contracten opgemaakt worden (hiertoe zullen incomplete contracten ontstaan door opportunisme, rationaliteit, etc). Bij dit alles zijn kosten gemoeid. Er worden verschillende governance structuren aangeduid in het artikel: Market de prijs is het enige mechanisme om alle informatie te verzamelen. Men heeft geen andere informatie nodig om de juiste beslissingen te maken. Hirarchie hierbij worden contracten gebruikt waarin de gewenste uitkomsten worden vastgelegd. Hierbij bestaat de flexibiliteit om karakteristieken van het contract te veranderen. Hybride hierbij worden veelomvattende contracten opgesteld waarbij al rekening wordt gehouden met veranderingen (echter kunnen deze nooit compleet zijn). Door Williamson wordt het bepalen van de governance structuur beschreven aan de hand van een drietal kenmerken: - Asset specificity - Uncertainty/complexity - Frequency

Paape, L., In Control verklaringen: Gebakken lucht of een te koesteren fenomeen?, oratie, Nyenrode Business Universiteit, 2008. (Hoofdstuk 3 en 4, blz. 19-52)Als er verklaart wordt dat we in control zijn, betekent dit dat de bedrijfsvoering zodanig op orde is dat er geen majeure onverwachte gebeurtenissen zullen optreden (reasonable assurance). Majeur betekent

Samenvatting BIV-IB

7

binnen een bepaalde bandbreedte, onverwacht veronderstelt dat we in staat zijn de verwachtingen te expliciteren. Gebeurtenissen die voorzien zijn, zijn dan ook voorzien en er wordt verwacht dat er door middel van interne beheersingsmaatregelen op geanticipeerd wordt. Absolute zekerheid is ook teveel gevraagd aangezien mensen niet 100% rationeel zijn (dat is bounded). In control zijn is dan ook een relatief begrip. Het gaat om het vinden van een balans tussen risico en beheersing. Als de balans in evenwicht is dan is men in control. Indien de risicos toenemen, kan men de balans herstellen door: - de beheersingsmaatregelen uit te breiden om met nieuwe of grotere risicos om te kunnen gaan. De tweede oplossing is de risicobereidheid (risicotolerantie) uit te breiden. Risicotolerantie kan in een geldbedrag worden uitgedrukte en geeft een kwantificering van de fluctuaties van resultaten die acceptabel worden geacht. Een onderneming dient dan ook altijd aan te geven welke risicotolerantie in acht is genomen bij een in control verklaring, zonder dit zegt deze verklaring weinig. Paape definieert in control als volgt: Een organisatie is in control als zij beschikt over een Management Control System (MCS) dat haar in staat stelt binnen een vooraf gedefinieerde periode in x% van de gevallen/tijd binnen een vooraf gedefinieerde risicotolerantie te blijven. Indien buiten de risicotolerantiegrens wordt getreden, stelt het MCS de organisatie in staat dat tijdig te constateren en te herstellen.

In control wordt uit praktische overwegingen uitgevaardigd op een point-in-time (op een bepaalde datum, meestal einde boekjaar). Echter Paape geeft hierbij aan dat dit niet zinvol lijkt. Dit betekent dat de rest van het jaar de zaak niet op orde zou kunnen zijn. Het dient dan naar zijn idee ook de voorkeur om over te gaan tot een uitspraak over een bepaalde periode. Kwatificeren van risicos is moeilijk, veel bedrijven geven alleen kwalitatieve beschrijving van risicos. H4. Waarom is control nodig Mensen hebben een bounded rationality de menselijke vermogens schieten tekort. De verwerking van informatie gaat niet altijd goed en er worden fouten gemaakt (bewust door opportunisme). Opportunisme betekent dat mensen gaan voor het eigen belang. Tezamen met shirking (je snor drukken) vormt dit de verklaring voor de noodzaak tot het uitoefenene van control). Inzichten vanuit

Samenvatting BIV-IB

8

de AT en TCE laten zien dat doelconguentie tussen agent en principaal niet automatisch veronderstelt moet worden en dat nastreven van eigen belang voorop kan staan. Cotrol is vooral bedoeld om condities te creeeren die de mensen in de org motiveren om bepaalde doelen te behalen: 4 fucties: - motiveren van mensen om beslissingen te nemen die consistent zijn met de doelen vd org. - het in tegreren van inspanningen van de diverse delen vd org. - het beschikbaar stellen van informatie inzake de resultaten vd bedrijfsvoering ed performance vd medewerkers. - Het faciliteren van de implementatie van strategische plannen. Wat is management control? Anthony geeft MC aan als: process by which managers influence other members of the organization to implement the organizations strategies. Hierbij wordt duidelijk dat het gaat om het beinvloeden van het gedrag van mensen. Concluderend stelt Paape dat een onderneming die zegt in control te zijn, een oordeel geeft over het MCS op het gebied van de volgende elementen: 1) de missie, visie en strategie 2) de wijze waarop doelen tot stand komen 3) de structuur van de organisatie 4) de wijze waarop de KPIs worden bepaald 5) hoe de performance wordt gemeten 6) de leiderschapstijl 7) de wijze waarop met beloningen wordt omgegaan 8) de cultuur van de tone at the top van de organisatie 9) hoe het gedrag van mensen wordt benvloed en hoe mensen worden gemotiveerd 10) de wijze waarop feedback is georganiseerd 11) het gebruik van informatie- en communicatiesystemen 12) hoe monitoring plaatsvindt 13) wat de onderneming doet om de veranderingen in de omgeving te onderkennen en hierop in te spelen 14) hoe de samenhang tussen de hiervoor genoemde elementen geborgd wordt. Een organisatie mag uitspreken dat men meent in control te zijn en daarover een verklaring af te geven. Dit moet echter wel geclausuleerd zijn om duidelijk te maken dat een dergelijke uitspraak nogal wat beperkingen kent. De waarde van de verklaring ligt volgens Paape meer in het feit dat de oorzaak van zo een verklaring noopt tot het inrichten van een proces waarmee een beter beeld wordt verkregen van de sterkten en zwakten van de risicomanagement- en interne beheersingsystemen.

Samenvatting BIV-IB

9

3) Control environment, cultuur controls Kaptein c.s., Integriteitsklimaat als audit object, Maandblad voor Accountancy en Bedrijfseconomie, oktober, 2005, p.466-474.Cultuur - In de vele definities van cultuur zien we een aantal dingen veel terugkomen: Cutuur is iets dat door mensen wordt gedeeld, Cultuur wirdt gedragen door mensen Cultuur is aangeleerd Cultuur is niet inmiddellijk zichtbaar noch benvloedbaar Cutltuur heeft duurzaam, moeilijk beinvloedbaar karakter In een org zijn het de gemeenschappelijke waarden ennormen en het daaruit voort vloeinde gedrag. Schein: Artefacten - gemakkelijkst waar te nemen, het is wat je ziet , hoort en volet als je rondloopt Espoused Values Beleden waarden. Stel de vraag waarom een org doet wat hij doet, bijv verschil in open vs gesloten werkplekken Basic underlying assumptions (gemeenschappelijke impliciete veronderstelling) Welke overtuigingen en waarden worden als gemeengoed en vanzelfsprekend verondersteld Vb van apen, en koud water. ZO is het altijd gegaan, dat is enige wat de apen weten. Dat is de gemeenschappelijke impliciete veronderstelling. Door boekhoudschandalen wordt de interne beheersing van ondernemingen belangrijker. Door SOX en de Code Tabaksbalt zijn ondernemingen bezig om de interne beheersing te verrijken (bijvoorbeeld door toepassing van COSO). Het integriteitsklimaat als onderdeel van de beheersingsomgeving is een belangrijk fundament voor een effectieve interne beheersing en beinvloedt het controlebewustzijn van de medewerkers. Bij het testen van de opzet en werking van controlemaatregelen moeten werknemers meer worden betrokken omdat hun percepties en ervaringen bepalend zijn voor hun gedrag. Redenen waarom controlemaatregelen beperkt zijn; definiring van integriteitsklimaat 1. Een beperkte hoeveelheid effectieve controlemaatregelen Het instrumentarium aan onder andere procedures, reglementen en procuratietabellen is vaak al zeer uitgebreid. Een overvloed aan aanvullende regelgeving kan zorgen voor onwerkbare situaties waardoor de kwaliteit van de producten en dienstverlening vermindert, efficiency van werkprocessen wordt ondergraven en medewerkers de organisatie verlaten door toenemende bureaucratie. 2. Een beperkte reikwijdte van controlemaatregelen Maatregelen in zichzelf hebben slechts een beperkte reikwijdte. Door bijvoorbeeld samenspanning kunnen geldende regels en procedures worden ontlopen. 3. Controlemaatregelen staan niet op zichzelf Maatregelen staan niet op zichzelf. De werking van controlemaatregelen hangt immers af van het draagvlak onder management en werknemers. Zij zijn het die de maatregelen moeten begrijpen, moeten kunnen toepassen en hiertoe ook bereid dienen te zijn daarin ook te volharden. Bij het integriteitsklimaat gaat het om de wijze waarop mensen binnen de organisatie ervaren hoe zij gestimuleerd worden tot integer gedrag en hoe zij ontmoedigd en verhinderd worden tot frauduleus en corrupt gedrag. Het integriteitsklimaat duidt dus op de beleving van managers en medewerkers van de controlemaatregelen die de organisatie heeft getroffen, de mate waarin managers en medewerkers van mening zijn dat zij in staat worden gesteld om deze maatregelen na te leven alsmede de gedeelde opvatting hoe te handelen wanneer maatregelen ontbreken of onderling conflicteren. Het integriteitsklimaat bepaalt mede de werking van het stelsel van controlemaatregelen. Immers de ervaringen en beelden van medewerkers hierover vormen hun eigen werkelijkheid wat weer

Samenvatting BIV-IB

10

weerspiegelt worden in het gedrag van hen. Voor het oordeel over de weerbaarheid en kwetsbaarheid van een organisatie voor financile fraude dient derhalve het integriteitsklimaat hierin te worden betrokken. Bij een goed integriteitsklimaat zal een accountant zijn weer meer systeemgericht en op een hoger niveau kunnen oppakken. De dimensies Er bestaan verschillende dimensies van integriteitsklimaat. Helderheid Dit betreft de helderheid van de verwachtingen die de organisatie stelt met betrekking tot integer gedrag. Organisaties dienen aan medewerkers helder en duidelijk te maken welk gedrag acceptabel en onacceptabel is. Een gedragscode is daarbij een belangrijk instrument, al gaat het bij het integriteitsklimaat om de vraag hoe managers en werknemers ervaren dat een intiteit op hun duidelijkheid verschaft. Voorbeeldgedrag Als het management in overeenstemming met de getroffen maatregelen zichtbaar handelt, kan de boodschap naar de rest van de werknemers versterkt worden. Het gaat om de tone at the top: de juiste morele toon. De uitstraling dat integer gedrag belangrijk is en dat iedere vorm van fraude en corruptie onacceptabel is moet door de werknemers ook als zodanig worden ervaren. Uitvoerbaarheid Organisaties moeten werknemers in de gelegenheid stellen om de gedragsnormen te realiseren. Medewerkers dienen daartoe te beschikken over voldoende tijd, middelen, instrumenten, informatie en bevoegdheden. Betrokkenheid Organisaties moeten onder hun medewerkers draagvlak creeren voor het te voeren integriteitsbeleid en de in dit kader voorgestane controlemaatregelen. Het gaat daarbij om vragen als: steunen medewerkers de getroffen maatregelen, erkennen zij het belang ervan en zijn zij gemotiveerd zich eraan te houden? Zichtbaarheid In organisaties met een hoge mate van transparantie zijn management en werknemers in staat om het gedrag van elkaar te corrigeren. Bovendien kan er zo geleerd worden van overtredingen en wordt de organisatie op het gebied van interne controlemaatregelen zelflerend en zelfregulerend. Bespreekbaarheid Vraagstukken op het gebied van fraude en corruptie moeten bespreekbaar zijn. Door over regels te spreken, worden gebruikers geholpen in een juiste en eenduidige interpretatie. In een organisatie met een hoge bespreekbaarheid wordt kritiek geaccepteerd en gestimuleerd. Sanctioneerbaarheid Dit kenmerk betreft de bereidheid van een organisatie om integer gedrag te belonen en niet-integer gedrag te bestraffen (sancties en beloningen). In kaart brengen Een manier om het integriteitsklimaat in kaart te brengen kan door middel van interviews of enquetes. Bij enquetes wordt ook nog een de anonimiteit gegarandeerd en kan statistische analyse plaatsvinden. De accountant kan bij de controle van de jaarrekening of de ICFR (Control of Financial Reporting) gebruikmaken van de uitkomsten van de enquetes. Het geeft informatie over de effectiviteit van de interne beheersing. In zijn werkzaamheden kan een accountant hierdoor gerichter te werk gaan.

Strikwerda, Hans. Postmodernisme, postmoderne organisaties en de implicaties voor management control, Maandblad voor Accountancy en Bedrijfseconomie, mei, 2003, p.242-250.Het zelfbeeld van de mensheid is aan verandering onderhevig. Het continue proces van bewustwording heeft zijn weerslag op de rol van wetten, gezag, omgang tussen mensen en via die weg ook op management control binnen ondernemingen en instellingen. Dit wordt ook wel aangegeven als postmodernisme.

Samenvatting BIV-IB

11

Het vak management control is gevormd in de jaren vijftig (Anthony). Echter nu we in een andere economie terecht zijn gekomen, moet de vraag gesteld worden of de aannames waarop het vakgebied management control berust, in die nieuwe economie nog wel opgaan. De fundamenten waarop een vakgebied als management control berust, kunnen worden onderscheiden in twee categorien: 1) Economisch-juridische uitgangspunten Hierbij gaat het om de verschillende rechten als gebruiksrecht, vruchtgebruik en vervreemdingsrecht. Waardecreatie vindt plaats als basis voor de winst van de onderneming binnen het juridische domein van de onderneming. Het gaat om de interne organisatie: controle op fysieke productiemiddelen, direct toezicht op werkprocessen, kennis die in machines gencorporeerd is. 2) Sociaal-maatschappelijk vlak Hierbij gaat het om utopisch denken als richtsnoer, benvloedbaarheid van gedrag, erkenning van gezag en wet, identificatie, socialisatie en dat individuen bewust een carrire nastreven. Het postmodernisme wordt wel eens samengevat als: er bestaan geen absolute waarheden. Direct daaraan verbonden wordt dan gesteld dat er geen voor ieder geldende wetten, normen en moraliteit bestaan. In de moderne samenleving werd nieuwe informatie en kennis steeds genterpreteerd in het licht van de vooruitgang, van de objectieve waarheid. Ieder mag zijn mening hebben. Er zijn niet langer universele toetsingsregels. Een postmodern mens voelt zich geen geheel, geen mens uit een stuk met een duidelijke identiteit, maar eerder een verdeeld en gefragmenteerd wezen. Postmoderne mensen horen zoveel stemming in hun plurale samenleving, ze weten zich door diverse machten beheerst en ze maken geen deel uit van een bezielde, richtingwijzende beweging. Vaak zijn ze ambivalent, dubbelzinnig. Hij beleeft plezier aan het extreme, de extase, het genot en zelfs pijn, want deze doorbreken de grip van de machthebbers en ondergraven de bureaucratische controle. Ze weten vraagstukken van verschillende zijden te belichten. Een postmoderne organisatie zijn netwerkorganisaties met semi-autonome cellen, platte organisaties, processen voor zelforganisaties, zichzelf leidende teams, spontane strategievorming van onderop, etc. Echter is de beschrijving van de postmoderne organisatie meer een reactie op een aantal disfunctionele aspecten van het dominante organisatiemodel uit de economie van de 1875 tot 1975. De geschetste ontwikkelingen kunnen de fundamenten en daarmee de effectiviteit van management control in een veranderende economie raken: Als fysiek kapitaal wordt verdrongen door immaterieel kapitaal (wat persoonsgebonden is), wordt het niet delegeren van her vervreemdingsrecht, aangetast. Als een stabiel sociaal systeem wordt vervangen door flexibiliteit, self employed kenniswerkers, etc. dan wordt het sociaal systeem aangetast. De postmoderne mens wil zich niet laten schikken in grotere systemen. Individuen zijn niet langer gevoelig voor inspanning, resultaten en beloningen, waardoor gedragscontrol weg is. De postmoderne mens identificeert zich met het lokale afdelingsbelang en heeft moeite zich met de onderneming als geheel te identificeren. Gaat niet om eigen lijfsbehoud, maar om een ontkenning (een verzet tegen een groter geheel). Gevolgen zijn dat men niet langer alle regels zomaar aanneemt en dat men zichzelf niet meer als onderdeel van de organisatie ziet, maar de organisatie zich als een van de onderdelen in zijn level. waarmee de loyaliteit aan de organisatie wegvalt. Als de postmoderne mens zich geen doel stelt, slecht met het hier en nu op speelse wijze bezig is, lijkt hiermee de noodzaak voor management control te vervallen.

Samenvatting BIV-IB

12

4) Soft controls Ouchi, W., 1979, A conceptual framework for the design of organizational control mechanisms, Management Science, Vol.25, No.9, p.833-848Sinds ontstaan van COSO in 1992 is het belang van soft controls voor interne beheersing onderkent. Controls die meer gerelateerd zijn aan normen en waarden, overtuigingen alsmede de persoonlijkheid zelf zijn te typeren als softcontrols. Controls die zuiver en alleen het gedrag beinvloeden zijn te typeren als hard controls. Shared values and beliefs that guide employees actions and behaviour. Control moet wel een maatregel of een actie zijn. Bijv cultuur ansich is geen soft of hard control, het is iets dat je met een control zou willen beinvloeden. In het artikel van Ouchi staat de beheersing van een organisatie centraal. Doel van het paper is to describe 3 fundamentally different mechanisms through which orgs can seek to cope with the problem of evaluation and control. The three will be referred to as markets, bureaucracies and clans. Markets deal woth the control problem through their ability to precisely measure and reward individual contributions. Bureaucracies rely instead upon a mixture of close evaluation eith socialized acceptance of common objectives. Clans rely uopon a relatively complete socialization proces which effectively eliminates goal incongruence between individuals. Mechanisms can overlap within orgs Hierbij worden de volgende twee vragen gesteld: 1) Wat zijn de mechanismen welke kunnen dienen om de organisatie te sturen naar de doelstellingen? 2) Hoe kan de design van deze mechanismen verbeterd worden en wat zijn de limieten van elk basis design? In het artikel worden drie fundamenteel verschillende mechanismen besproken welke voor een organisatie kunnen bijdragen bij het probleem van evaluatie en beheersing: - Markets Markten gaan om met het beheersingsprobleem door de mogelijkheid om individuele contributies precies te kunnen meten en belonen. - Bureaucracies Bureaucracies steunen op een mix van directe evaluatie met een sociale acceptatie van openbare doelstellingen. - Clans Clan steunen op een relatief compleet sociaal proces, welke doel incongruentie tussen individuen elimineert. Bij markets bestaat er de mogelijkheid te vergelijken wat er op de competitieve markt gebeurt. Prijzen bijvoorbeeld ontstaan aan de hand van de markt. Er wordt gebruik gemaakt van marktinformatie. In een markt dragen prijzen alle benodigde informatie in zich om te komen tot een efficinte beslissing. Er is geen noodzaak tot arbitrage. De bepaling of de performance goed is geweest, kan aan de hand van de markt gebeuren. De basis van bureaucracies houdt in dat beheersing uitgaat van persoonlijke surveillance en instructie van leidinggevenden. Hierbij zijn gestelde regels nodig waaraan voldaan moet worden (regels zijn in tegenstelling tot informatie van de markt niet allesomvattend). Om goed gebruik te maken van regels dienen deze door managers bekeken te worden aan de hand van werkelijke performance. Zo kan bepaald worden of werkelijke performance naar alle tevredenheid is geweest of niet. Voorbeelden van bureaucratische beheersingsmaatregelen zijn output schedules, budgetten, regels. Om de drie vormen te kunnen uitvoeren wordt gekeken naar de sociale vereisten en informatievereisten van de organisatie. Sociale vereisten zijn een set van overeenkomsten tussen mensen, welke als een soort van minimum, nodig is of een bepaalde vorm van beheersing te verkrijgen. Aan de hand hiervan kan de volgende onderverdeling gemaakt worden: Type control Market Sociale behoeften Wederzijdsheid Informatiebehoeften Prijzen

Samenvatting BIV-IB

13

Bureaucracy Clan

Wederzijdsheid Legitieme autoriteit Wederzijdsheid Legitieme autoriteit Gedeelde waarden en Overtuigingen

Regels Tradities

Wederzijdsheid houdt hierbij in dat er twee partijen zijn, waarbij men ervanuit gaat dat eerlijk wordt gehandeld. Gebeurt dit niet door n partij dan zal deze gestraft worden door alle members van het sociale systeem. Waar de markt het meeste steunt op informatie en het minste op sociale behoeften, is dit voor clan omgekeerd. In de werkelijkheid zal er nooit sprake zijn van n type van control. Echte organisaties zullen kenmerken vertonen van de verschillende modellen. Het probleem hierbij is om de informatiebehoeften en sociale behoeften per divisie, afdeling of taak te formuleren en te bepalen welke vorm van control hierbij het beste past. Er zijn volgens Ouchi twee manieren om aan beheersing van mensen te doen: - Om geld uit te geven om mensen, die de behoeften van de organisatie perfect opvullen, te zoeken en te selecteren. Dergelijke mensen zullen in staat zijn om zonder instructies aan de slag te gaan zonder al te nauwe supervisie. - Mensen aannemen die niet direct de behoefte vervullen, maar dit corrigeren door gebruik te maken van instructies, monitoring en evaluaties op hun werk. Ouchi gaat in zijn artikel ook in op de mogelijkheid om outputs te meten en hierbij de kennis van het transformatieproces: Kennis van het transformatieproces Perfect Behavior of output meting Behavior meting Imperfect Output meting Ritual and Ceremony 'clan'control

Mogelijkheid om output te meten

Hoog

Laag

Behavioral control kan ingevoerd worden bij markets en bureaucracies, waar ceremonial vormen van control uitgevoerd kunnen worden bij clans. Organisatie in de manufacturing industry past waarschijnlijk het meest bij behavioral control of output control (market of bureaucracy). Organisaties in de publieke sector, service organisaties en organisaties met snelgroeiende technieken passen misschien beter bij cultural of clan control.

Vink, H.J. en M. Kaptein, Soft controls bij de rijksoverheid, Maandblad voor Accountancy en Bedrijfseconomie, Juni 2008, p.256-263.RB:

Soft controls Onderscheidend vlg Vink en Kaptien is dat soft controls informele beheersmaatregelen zijn, terwijl hard controls formele maatregelen zijn. Een explicite gedragscode is een hard control terwijl de implicitiete gedragscode, ofwel de gedragsnormen die vlg betrokkenen echt gelden , een soft control is. Soft controls zijn de gedeelde percepties en ervaringen inzake de cultuur

Samenvatting BIV-IB

14

en het klimaat binnen de org. Hard controls zijn expliciet vastgestelde en vastgelegde maatregelen binnen de org, icl de uitvoering daarvan. Voor het bepalen vd aanwezigheid van softontrols kan gebruik worden gemaakt van het door kaptein ontwikkelde organisatiekwaliteitenmodel. Dit model bevat 7 factoren die als softcontrols zijn te beschouwen. Helderheid Is vld duidelijk wanneer er sprake is van onrechtrmatig handelen bijv. Handboek alleen is niet voldoende er moet helderheid zijn over de interpretatie ervan Voorbeeldgedrag Geven de rolmodellen in de org het goede vb. Zo niet dan heeft het ook geen zin om duidleijk te maken hoe het hoort. Uitvoerbaarheid ervaren medewerkers vld ruimte om rechtmatig te handelen?in de zin van vld tijd middelen en kennis Betrokkenheid vergroot naleving Transparantie Hebben medewerkers vld zicht op elkaars onrechtmatig gedrag indien dit zich voordoet. De ervaren detectie kans is van invloed op onrechtmatig gedrag Bespreekbaarheid zijn dilemmas bespreekbaar en zijn bertrokkenen ook aanspreekbaar op hun gedrag Handhaving overtreders bestraffen en waarschuween. En waarderen op gewenst gedrag Empirisch Onderzoek dmv interviews 30 casyussen die door de geinterviewden representatief worden geacht voor de geconstateerde fouten. 300 mio aan fouten Gebrek an helderheid is de belangrijkste oorzaak van de geconstateerde fout, daarna transparantie, uitvoerbaarheid (tijdgebrek) en handhaving Soft controls zijn relevant voor het opsporen en voorkomen van fouten vlg dit onderzoek. Het is daarom wenselijk dat controllers en auditors de aanwezigheid van soft controls betrekken bij de inrichting en beoordeling van het totale complex aan beheersmaatregelen.

Meisje In het artikel worden de oorzaken van rechtmatigheids fouten bij de rijksoverheid onderzocht. Dergelijke fouten hebben vaak te maken met het fallen van interne beheersingsmaatregelen. Door het ontbreken van procedures, functiescheiding, registratie en controle ontstaat de kans op een onrechtmatigheid. Sinds de boekhoudschandalen is de aandacht toegenomen voor de zachte kant van organisaties als verklarende factor. Controls (soft controls en hard controls) zijn over de jaren heen door verschillende wetenschappers op een verschillende manier genterpreteerd. Softcontrols Hardcontrols Ontastbaar Tastbaar Gaan dieper en benvloeden de overtuiging of Gericht op gedrag en vaardigheden zelfs de persoonlijkheid van mensen Invloed uitoefenen op bewustzijn van management Opzet en het bestaan van maatregelen, het en medewerkers technische system van de organisatie Sociale system Onderscheid tussen soft en hard controls is in artikel dat soft controls informele beheersingsmaatregelen zijn, terwijl hard controls formele maatregelen zijn. Soft controls betreffen de gedeelde percepties en ervaringen inzake de cultuur en het klimaat binnen de organisatie. Hard controls zijn de expliciet vastgestelde en vastgelegde maatregelen binnen de organisatie, inclusief de uitvoering hiervan informele beheersingsmaatregelen die gedrag benvloeden.

Samenvatting BIV-IB

15

Voor het bepalen van de mate van aanwezigheid van soft controls kan gebruik gemaakt worden van het door Kaptein ontwikkelde organisatiekwaliteitenmodel. De zeven factoren hiervan luiden als volgt: - Helderheid duidelijkheid wanneer men de grens overschrijdt? - Voorbeeldgedrag geven rolmodellen het juiste voorbeeld? - Uitvoerbaarheid is er voldoende ruimte om juist te handelen? - Betrokkenheid bestaat er voldoende motivatie onder werknemers en bestuurders? - Transparantie hebben bestuurders en werknemers voldoende zicht op elkaars gedrag? - Bespreekbaarheid zijn dilemmas bespreekbaar en kan op gedrag aangesproken worden? - Handhaving bestaan er straffen, worden mensen gewaardeerd voor goed gedrag en wordt er geleerd van fouten en overtredingen? Uit onderzoek is gebleken dat men in 88% van de gevallen meer en beter werkende soft controls als oplossing ziet voor geconstateerde fouten. De verklaring van het falen van hard controls moet volgens het onderzoek gezocht worden in de afwezigheid of gebreken in de soft controls en niet zozeer in opzet en bestaan van harde regels. Bevindingen suggereren dat fouten alleen kunnen worden voorkomen als zowel hard controls als soft controls toereikend zijn. Uit het onderzoek blijkt verder dat er significante relaties zijn tussen de externe risicos en falende hard en soft controls. Uit de analyses blijkt dat in dit verband (onderzoek naar jaarverslagen 2006 van de rijksoverheid) de soft controls helderheid, transparantie, uitvoerbaarheid en handhaving door auditors met name relevant worden geacht als verklaring voor geconstateerde rechtmatigheidfouten. Het onderzoek laat het belang van soft controls zien, maar ook de samenhang tussen soft controls en hard controls. Het is wenselijk dat controllers en auditors de aanwezigheid van soft controls betrekken bij de inrichting en beoordeling van het totale complex aan beheersingsmaatregelen. De aanwezigheid van soft controls kan worden bepaald aan de hand van interviews, vragenlijsten, observaties of workshops.

Samenvatting BIV-IB

16

5) Risk management Committee of Sponsoring Organizations of the Treadway Commission (COSO), Enterprise Risk Management - Integrated Framework, Executive Summary, 2004The need for an enterprise risk management (erm) framework, providing key principles and concepts, a common language and clear direction and guidance, became even more compelling after all the scandals of the beginning of this century. COSO believes this ERM integrated framework fills this needs. This ERM framework expands on control, providing a more robuust and extensive focus on the broader subject of ERM. Het (COSO 2004) Enterprise Risk Management Intergrated Framework is een uitbreiding van internal control, hierbij zorgen voor een robuustere en intensievere focus op risico management. Risico management (zeer challenging in grote orgs, ERM helps) omvat onder anderen: aangeven van risico appetite en strategie, opmaken van beslissingen aangaande risico response, An org faces multiple risks id diff parts of the org, ERM facilitates eff response and integrated responses to multiple risks aangrijpen van mogelijkheden en verbeteren van het inzetten van kapitaal. Hierdoor wordt het management in de mogelijkheid gesteld om een betere performance en winst neer te zetten, maar ook om verliezen van resources te voorkomen. In sum ERM management helps an entity get where it wants to go and avoids pitfalls and surprises along the way. ERM is a process, effected by an entity;s board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risk to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives. Het ERM model gaat uit van het behalen van doelstellingen van de onderneming, welke in de volgende vier categorien vallen: Strategic Strategische doelen gelieerd aan en ter ondersteuning van de entiteit zijn missie; Operations Effectief en efficint gebruik van de entiteit zijn middelen; Reporting Betrouwbaarheid van de rapportages; Compliance Voldoen aan de relevante wet- en regelgeving. ERM bestaat uit 8 verschillende samenhangende componenten. Internal Environment De interne organisatie geeft weer hoe bedrijfsrisicos worden ingeschat en benaderd door het personeel, daaronder valt: de risicomanagement filosofie, de risico bereidheid van de entiteit (Risk Appetite), de integriteit en de geldende normen en waarden binnen de entiteit; Objective Setting Doelstellingen moeten bestaan voordat het bestuur potentile events kan identificeren die direct invloed hebben op de entiteit zijn prestaties. ERM draagt bij aan het vormen van deze doelstellingen, die samenhangen met de missie en consistent zijn met de risico bereidheid; Event Identification Interne en externe events die invloed hebben op de entiteit moeten gedentificeerd worden, met een onderscheid naar kansen en bedreigingen. Kansen worden teruggekoppeld naar de strategie en Objective Setting; Risk Assesment Risicos worden geanalyseerd, rekening houdend met kans en impact, als basis voor hoe ermee moet worden omgegaan. Vervolgens wordt een onderverdeling gemaakt naar inherente- en restrisicos; Risk Response Het bestuur selecteert de te hanteren actie bij elke risico: vermijden, accepteren, verminderen of delen. Waardoor een pakket van acties wordt opgesteld die aansluit bij de risicotolerantie en risicobereidheid van de entiteit;

Samenvatting BIV-IB

17

Control Activities Beleid en procedures worden opgezet en gemplementeerd zodat de Risk Response op een deugdelijke wijze wordt uigevoerd; Information and Communication Relevante informatie wordt gedentificeerd, vastgelegd en gecommuniceerd naar alle lagen binnen de organisatie, binnen een tijdsbestek en op een zodanige wijze dat al het personeel zijn verantwoordelijkheden kan dragen en uitvoeren. Effectieve communicatie in de breedste zin van het woord gebeurt horizontaal en verticaal in de organisatie; Monitoring Het gehele ERM proces wordt gemonitored en wijzigingen worden gemaakt indien noodzakelijk. Monitoren wordt bereikt door het op de hoogte blijven door het bestuur of door tussentijdse evaluaties van het proces

Er is een directe relatie tussen de doelstellingen, welke de onderneming tracht te bereiken en de ERM componenten welke representeren wat nodig is om deze doelstellingen te bereiken. Bij de toepassing van risicomanagement volgens het COSO ERM model wordt effectief gebruik geformuleerd als zijnde de inschatting dat alle acht de componenten uit het model binnen de organisatie enerzijds bestaan en anderzijds effectief functioneren. Daarbij wordt nog de nuance aangebracht dat de acht componenten binnen middelgrote en kleine organisaties minder formeel en gestructureerd aanwezig zijn ten opzichte van grotere organisaties, desondanks kan een dergelijke organisatie nog steeds een effectieve ERM hebben

Baker, N., Real-world ERM, Internal Auditor, Vol. 65, Issue 6, December 2008, pp. 32-37ERM klinkt mooi en is het ook, maar vaak lastig to make it work.Artikel gaat over whtat can orgs do to get beyond the theoretic bulshit and implement erm in an effective and stable way. ERM helpt het management effectief om te gaan met mogelijke toekomstige gebeurtenissen die tot onzekerheid kunnen leiden. Daarnaast helpt het om te reageren op een manier die de de kans op verlies beperkt en potentiele winst vergroot. Scope van ERM is breder Dan die van interne beheersing. Interne beheersing moet ih kader van regel geving, ERM moet je willen.

Samenvatting BIV-IB

18

Enterprise Risk Management (ERM) geeft aan dat risicos moet worden ingebouwd in de dagelijkse business beslissingen. De strategie moet gekoppeld worden aan het control framework en uitgedragen worden door de gehele organisatie. Om ERM tot succes te brengen moeten mensen betrokken worden die andere prioriteiten hebben. Dit is ook lastig aan ERM implementatie dat er veel mensen/partijen betrokken moeten worden bij het project. Hierbij moet men pragmatisch te werk gaan en zorgen dat een aanpak wordt gekomen die mensen in de onderneming kunnen snappen. Een simpel, consistent en goed begrijpbaar risico framework is vitaal. Het grootste issue met de implementatie van ERM is om mensen uit te leggen dat ERM niet op zichzelf staat en niet in isolatie werkt. Bijna niemand is tegen het framework en de theorie hierachter, echter de sleutel is eigendom. Als managers er niet dag in dag uit mee aan de slag gaan, maar het zien als iemand anders zijn taak, dan komt ERM niet tot leven of wordt het niet gemplementeerd. Zonder support en begrip van top management wordt de kans op succesvolle implementatie en de mogelijkheid om het in stand te houden significant verminderd. Daarnaast is het van belang dat de persoon die ERM introduceert ook invloedrijk moet zijn om zodanig de mensen kan dicteren dat ze ook daadwerkelijk aan ERM zullen gaan doen. Een goede manier om support te verkrijgen voor de implementatie van ERM is om verder te bouwen op wat de organisatie al doet. Versterken wat er al is en standaardiseren waar het kan is de remedie. Op deze manier zullen mensen zich inzetten om bij te dragen aan een oplossing omdat iets wat ze al jaren niet per definitie wordt veranderd. ERM moet een continue proces zijn aangezien de economische activiteiten constant veranderen. Risicos veranderen hierin mee. Niemand is capabel genoeg om scenarios te identificeren die zich mogelijk voor zullen doen. Derhalve kan geen enkele organisatie zeggen dat hun ERM zodanig is dat het perfect is ingevuld.

Beaumier, C.M. (2008), Socit Gnrale: History repeats itself, Bank Accounting & Finance, June-July 2008, pp. 39-43.Rogue trader = een individu wie op een bedrieglijke roekeloze manier de onderneming blootstellen aan hoge risicos en significante verliezen. Het artikel gaat over de verliezen bij Societe Generale, veroorzaakt door een medewerker Kerviel. Kerviels zijn taak was om een hedge positie te nemen op elke handelspositie. Echter was hij in de mogelijkheid om dit te ontduiken. Hij gebruikte hiertoe zijn kennis van de control environment in combinatie met anders werknemers accounts en passwords om posities in te nemen, waartegen fictieve hedge posities stonden. Hierdoor ontstonden verliezen tot een bedrag van 7 miljard dollar. Uit deze situatie kan opgemerkt worden dat de rol van information technology (IT) een belangrijke rol is gaan spelen bij risico management. Geen enkel control systeem is onschendbaar. Een holistische review van key risicos en control moeten zorgen dat de significante breuken herstellen. Deze reviews met constante monitoring en testing van de control omgeving, moet ervoor zorgen dat het moeilijker wordt voor rogue traders om ongecontroleerd te werk te gaan.

Samenvatting BIV-IB

19

6) Objects of control Merchant, K. en W. van der Stede, Management Control Systems,.Performance Measurement, Evaluation And Incentives, Pearson Education Limited, 2nd Revised edition, 2007. Hoofdstuk 1: blz. 5-16, Hoofdstuk 2: blz. 25-35, Hoofdstuk 3: blz. 76-93.In een MCS feedback loop meten managers performance, vergelijken deze meting met een performance standaard en waar nodig wordt actie ondernomen. Merchant maakt een onderscheid tussen proactieve en reactieve management controls. Proactief wil zeggen dat hiermee getracht wordt het probleem te voorkomen voordat de organisatie er de effecten van voelt. Management control is een kritische functie binnen orgs. Management control in brede zin: systemen en middelen die managers inzetten om er voor te zorgen dat het gedrag en de besluiten van medewerkers congruent zijn emt de doelstellingen vd org. Wanneer een MCS op een goede manier is ontworpen, zorgt het ervoor dat het gedrag van werknemers zodanig wordt beinvloedt dat het de kans vergroot dat de doelstelingen van de organisatie worden behaald. Allereerst moet er een doelstelling voor de organisatie geformuleerd worden. Hierbij is het benodigd dat de werknemers begrijpen wat een organisatie wil bereiken. De strategie hierbij geeft aan hoe de organisatie tot de genoemde doelstelling zal komen. Wanneer er een formele strategie is gesteld, wordt het voor managers gemakkelijker om goede management control activiteiten te implementeren. Beheersing kan ingevuld worden vanuit twee soorten functies: 1. Strategic control Waarbij managers de vraag stellen of de strategie wel redelijk is. Hierbij ligt de focus van het management extern en wordt er gekeken naar de omgeving van de organisatie en de plaats die de organisatie daarin heeft. 2. Management control Waarbij managers zich de vraag stellen of werknemers zich wel op de juiste geschikte manier gedragen. Hierbij ligt de focus vooral intern en wordt gekeken hoe de acties van werknemers benvloed kunnen worden. Merchant benoemd 3 categorien van oorzaken van management control problemen: 1. Lack of direction Soms presteren werknemers slecht omdat ze geen idee hebben wat de organisatie van hen verlangt. Derhalve dient het management de werknemers te informeren op welke manier zij hun bijdrage kunnen maximaliseren zodanig dat doelstellingen van de onderneming worden behaald. 2. Motivational problems Sommige werknemers kiezen ervoor niet overeenkomstig de wens van de organisatie te werken. Dit komt voor aangezien het niet altijd zo is dat de doelstellingen van individuen en de doelstellingen van de organisatie op n lijn liggen. Individuen zullen vaak ook voor eigen belang gaan. 3. Personal limitations Sommige mensen weten wat er van hen wordt verwacht, ze zijn gemotiveerd om dit te doen, maar kunnen simpelweg geen goede performance neerzetten omdat er persoonlijke belemmeringen bestaan. Dit kan komen door een gebrek aan intelligentie, training, ervaring, uithoudingsvermogen, of kennis van de opdracht. Ook het gebrek aan informatie kan hieronder geschaard worden. Er kan op verschillende manieren met controlproblemen omgegaan worden. Merchant noemt hierbij de uit de weg gaan van problemen aan de hand van de volgende vier mogelijkheden: Activity elimination Dit kan door de potentiele risico te overleggen aan een derde partij aan de hand van aanbestedingscontracten, licentieovereenkomsten of het afstoten van de investering. Automation

Samenvatting BIV-IB

20

Door gebruik te maken van computers, robots en andere vormen van automatisering kan ervoor zorgen dat de blootstelling aan control problemen minder wordt. Werkt meestal consistenter dan mensen doen. Centralization Hierbij worden de key beslissingen genomen op het level van topmanagement. Dit kan bijvoorbeeld bij overnames, desinvesteringen, grotere kapitaalintensieve uitgave, onderhandelen over verkoopcontracten, veranderingen in de organisatie en aannemen/ontslaan van bestuurders. Risk Sharing Hierdoor kunnen verliezen van risicos gedeeltelijk ingeperkt worden. Dit kan bijvoorbeeld door verzekeren of door het opstellen van een joint venture. Voor beheersingsproblemen welke niet kunnen worden voorkomen volgens de bovenstaande methoden, moeten controls mechanismen opgesteld worden. De collectie van deze control mechanismen wordt het management control system (MCS) genoemd. Merchant benoemd in zijn beschrijvingen 4 soorten controls om beheersingsproblemen te lijf te gaan. Dit zijn result controls (indirecte control methode), action controls, personnel controls en cultural controls (directe control methoden). Result controls Result controle benvloeden de acties van werknemers omdat zij bezorgd zijn aangaande de consequenties van de acties. Hierbij geven organisatie niet precies aan wat werknemers moeten doen, deze worden empowered om zelf acties te nemen waarvan zij deneken dat het de gewenste resultaten bereikt. Hiermee worden werknemers getriggerd om hun talenten verder te ontwikkelen en geplaatst te worden op posities waarin ze het beste presteren. Voorbeelden van result controls zijn betalingen, zekerheid van een baan, promoties, zelfstandigheid en erkenning. Dit kan alleen bereikt worden indien de gewenste resultaten beheerst kunnen worden door de werknemers welke de acties ondernemen en waar de resultaten effectief gemeten kunnen worden. Result controls kunnen alle vormen van control problemen (bovengenoemde drie) inperken. De implementatie van result controls dient te gaan in de volgende vier steps: 1) Aangeven welke resultaten gewenst zijn 2) Het meten van de performance 3) Het aangeven van targets waarvoor werknemers kunnen gaan 4) Geven van beloningen om gedrag te bemoedigen zodanig dat naar de resultaten wordt toegewerkt. Action controls Het gaat hierbij om het ondernemen van acties zodanig dat bereikt wordt dat mensen zich gedragen in het beste belang van de organisatie. De acties zelf zijn een focus van control. Het kan hier gaan om: - Behavioral constraints Hierbij gaat het vooral om het beperken van mogelijkheden om dingen te doen die niet gedaan moeten worden. Dit kan op een fysieke manier, maar ook op een administratieve wijze (functiescheiding en inperking van de beslissingsbevoegdheid). - Preaction reviews Dit is het nauwkeurig toezicht houden op de action plans van werknemers. Hierbij kan men de plannen goedkeuren, vragen om meer uitleg of vragen om verbetering voordat men akkoord gaat met het plan. - Action accountability Dit houdt in dat werknemers verantwoordelijk worden gehouden voor hun acties. Dit kan door middel van administratieve wijzen (werkregels, policies en procedures, codes of conduct), maar ook niet administratief door middel van meetings. De werknemers moeten begrijpen wat van hen wordt verwacht en moeten voelen dat hun acties worden opgemerkt en beloond dan wel bestraft.

Samenvatting BIV-IB

21

- Redundancy Overtolligheid, wat inhoudt dat er meerdere middelen (mensen of machines) worden ingezet. Mocht de n falen, dan kan de ander nog het goede doen. Personnel controls Deze controls gaan uit van de natuurlijke drang van mensen om zichzelf te beheersen en te motiveren. Hierbij staat self-monitoring centraal. Hierbij wordt ervanuit gegaan dat mensen goed werk willen verrichten en toegewijd zijn aan de doelstellingen van de organisatie.Er zijn drie methoden om personnel controls te implementeren: 1) Selectie en vervaning van werknemers 2) Training (geeft aan welke acties en resultaten binnen de organisatie verwacht worden, daarnaast geeft het mensen een groter gevoel van professionalisme) 3) Job design en het geven van de benodigde middelen (informatie, uitrusting, staff support, etc) Cultural controls Deze beheersingsmaatregelen worden ingezet om wederzijdse performance aan te moedigen: hierbij is druk vanuit de groep voor individuen om aan bepaalde normen en waarden te voldoen een voorbeeld. Het gaat hierbij om gedeelde tradities, normen, geloof, waarden, ideologien, houdingen en manieren van gedrag. Tone at the top en een code of conduct zijn hierbij belangrijke voorbeelden.

Specific Actions

Results

Personnel

Behavioral constraints: Results Upgrade capabilities: - Fysiek (sloten, accountability: - Selectie etc.) - Standaarden - Training - Administratief - Budgetten - Assignment (functiescheiding) - Management by objectives - Franchising Action accountability: Improve communications: - Regels - Verduidelijk verwachtingen - Verschaf info voor Policies/procedur cordinatie es - Codes of conduct Preaction review: Encourage peer control: - Direct toezicht - Werkgroepen - Shared goals Mandaten/procur atie - Budget reviews

Samenvatting BIV-IB

22

7) Levers of control Simons, R. (1995), Control in an age of empowerment, Harvard Business Review, vol. 73, no. 2, March-April, pp. 80-88.Het model van Simons gaat in eerste instantie uit van de strategie van de onderneming. De vraag bij het model is in hoeverre gezorgd kan worden dat werknemers hun creativiteit niet teveel op hol laten slaan (de empowerment van mensen in toom houden), maar binnen de doelstelling van de onderneming blijven. Hiertoe zijn de onderstaande vier levers of control geschetst die als een soort van hefboom werken, ze dienen in evenwicht te zijn om te komen tot een juiste invulling van de bedrijfsstrategie door de werknemers. Het gaat om de volgende vier hefbomen - Belief systems - Boundary systems - Interactive control systems - Diagnostic control systems

Diagnostic control systems Diagnostic control zijn hard controls met een focus op het bereiken van de doelstellingen van de onderneming. Deze controls monitoren bijvoorbeeld het marktaandeel, de rendabiliteit of de omzetgroei. Deze controles geven aan of we de dingen die we doen ook goed doen, het geeft echter niet aan of we de goede dingen doen. Dit type control systems gaat uit van plannen, zodat voor afgesproken doelen kunnen worden behaald. Er wordt gemonitord op doelen en rentabiliteit (winstgevendheid) en er wordt gemeten of de voortgang richting de van tevoren gestelde targets gaat.

Samenvatting BIV-IB

23

Feedback geeft de managers een handvat om input aan te passen en te fine-tunen, op zon manier dat de toekomstige output dichter bij de doelstellingen ligt. Hierbij is het van belang dat controls zo worden ingevuld dat er functiescheiding en onafhankelijk supervisie aanwezig is om de internal controls te laten werken. Belief systems Beliefs systems beschrijven de core values en de doelstellingen van de onderneming. Beliefs systems geven aan hoe waarden wordt gecreerd, welke prestaties worden nageleefd en hoe de onderneming die wil realiseren. Medewerkers moeten geloven in deze waarden, dat geeft betrokkenheid en inspiratie. Het zal de medewerkers motiveren om het beste uit zich zelf te halen. Wel is het van belang dat de core values begrepen worden door de medewerkers. Belief systems zijn beknopt, met een hoog toegevoegde waarde en inspiratievol. De zorgen ervoor dat werknemers denken aan de grondbeginselen van de onderneming: hoe de organisatie waarde creert, het level van performance dat de organisatie nastreeft en hoe verwacht wordt van individuen dat zij interne en externe relaties managen. Duide;lijk vb AH de klant. Opdat wij nooit vergeten voor wie wij werken. Het gaat om inspiratie en promotie van commitments met de core values van de onderneming. Dit werkt echter alleen als de werknemers erin geloven, door te kijken naar acties van management, dat de beliefs van de onderneming diep geworteld zijn in de organisatie. Het dient duidelijk te zijn wat de kernwaarden van de organisatie zijn, anders zullen werknemers hieraan zelf een invulling geven. Dit kan door managers die de core values en doelstellingen actief communiceren in de organisatie. Belief systems kunnen werknemers ook inspireren tot nieuwe mogelijkheden: nieuwe manieren om waarde toe te voegen. Boundary systems Ask yourself the question: if I want my employees to be creative and entrepeuneurial, am I better of telliong them what to do or what NOT to do. Telling them what not to do allows innovation but within clearly defined limits. Orgs brakes! Fastest orgs needs the best brakes Boundary systems zijn gebaseerd op de power of negative thinking. Aan mensen vertellen wat zij moeten doen door instellen van standaardprocedures en boeken met regels ontmoedigd initiatieven en creativiteit (vanuit de empowerment) van ondernemende werknemers. Hen vertellen wat niet te doen zorgt voor innovatie, maar binnen een bepaalde bandbreedte. Er zijn minimale standaarden geformuleerd. Boundary systems zijn vooral een goed criteria voor ondernemingen waarbij de opgebouwde reputatie gebaseerd op vertrouwen van groot belang is voor de organisatie. Reputatie is het moeilijkst op te bouwen wanneer hierin een deuk komt. Strict boundarys voor accountants hoe om te gaan met info van bedrijf waar ze voor werken. Interactive control systems Like weather tracking systems interactive control systems are the formal information systems that managers use to involve themselves in regularly and personnally in the decisions of subordinates. Interactieve control systemen zijn controls die de communicatie tussen het management en de werkvloer bevorderen. Dit werkt beide kanten op. Het management kan de werkvloer duidelijk maken waar het naar toe wilt, maar de werkvloer kan ook naar het management communiceren over de markt, concurrentie en bijvoorbeeld technologische ontwikkelingen. Deze formele informatiestromen zijn bijvoorbeeld werkoverleg of resultaatoverleg. Interactive control systems zijn de formele informatiesystemen die managers gebruiken om zichzelf en de beslissingen van ondergeschikten te benvloeden. Er is een viertal kenmerken te herkennen:

Samenvatting BIV-IB

24

1) Continue verandering van informatie die door top-level management als potentieel strategisch aanmerkt. 2) De informatie is belangrijk genoeg om regelmatig de aandacht van de managers op alle levels van de organisatie te trekken. 3) De data wordt het best genterpreteerd in face-to-face meetings tussen verschillende lagen van de organisatie. 4) Het is een katalysator voor een voorturend debat over de data, veronderstellingen en actieplannen. Interactive controls systems track the strategic uncertainties that keep sr managersawke at nioght, the shocks to the business that cld undermine their assumptions about the future and the way they have chosen to compete eg changes in technology, government regulation etc. Denk aan het vb dat in het artikel wordt gegevn over een hosipital supply company. Levert apparaten aan ziekenhuizen. Efficiency, quality and cost control liggen de grote jongens niet wakker van> Dit is op te vangen met diagnostic control systems. Technological breakthroughs liggen ze wel wakker van. Daarom sr managers meet monthly to discuus the impact of technologies introduced by competitors in related industries. Ook vb USA today met repotrting package op vrijdag. Grote bazen nemen het door met hun subordinates. Er is in orgs een belagrijke afweging tussen empowerment en control. Wil je control opgeven en meer empowermetn creeren om ondernemersschap te bevorderen. Eigen denken en initiatief door werknemers. Je moet daar dan wel een stuk control voor opgeven. Samenwerkend zijn de boundary systems en de belief systems de yin en de yang die zorgen voor dynamische spanning tussen commitment en straf. De warme positieve belief systems zijn een tegenstelling op de donkere, koude beperkingen van boundary systems. Werknemers en managers worden aangemoedigd om actief te zijn in directie, motivatie en inspiratie en wordt er beschermd tegen opportunistisch gedrag.

Samenvatting BIV-IB

25

8) Theorie van Starreveld Starreveld (rogier) Uitgangspunt is de opzet van de AO en interne beheersing ter waarborging van de volledigheid vd opbrengstverantwoording. 2 Criteria: - Soortcriterium: Het soort maatregel dat nodig is om te waarborgen dat de opbrengsten volledig worden verantwoord - Volgordecriterium: De mate waarin bij de controle op de volledige opbrengstverantwoording gebruik kan worden gemaakt van het rationele verband tussen de opgeofferde en verkregen zaken Bij op de markt oprerende bedrijven wordt onderscheid gemaakt tussen 5 hoofdtypen: Handelsbedrijven, indutrile bedrijven, agrarische bedrijven, dienstverlenede bedrijven, Financiele instelling. Handelsbedrijven tegenwoordig onderscheid tussen oprekening / contant. Kenmerkend voor handelsbedrijven met levering op rekening is dat een functiescheiding bestaat tussen orderbehandeling (beschikkend), magazijn (bewarend), expeditie (uitvoerend) en de geldontvangst (ook beschikkend, nl het beschikken over het afboeken van debiteuren). Bij handelsbedrijven vormt de goederenbeweging het belangrijkste houvast voor de controle op de volledig opbrengstverantwoording. De goederenbeweging wordt gewoonlijk uitgedrukt in BV+I EV = V, alles in aantallen. Sluitstuk is dan de inventarisatie van de eindvoorraad. Daarmee wordt de Admin voorraad berekend uit BV + I V = EV, geconfronteerd met de werkelijkheid dwz de fysiek aanwezige voorraad. De Beginvoorraad en de inkopen moeten f als verkopen zijn verantwoord f nog aanwezig zijn. De goederen beweging zegt alleen iets over de afzet. De waardesprong, dus het verschil tussen de kostprijs en de verkoopprijs blijft buite nbeeld.Hier moet dus ook aandacht aan worden besteed. Dit gebeurt door een kritische beoordeling vd verantwoorde brutowinstmarges. Bij handel met contante betaling moet de AO bovendien in toereikende procedures voor het contante geldverkeer, zoals het dagelijks tellen en afstorten van het kasgeld. Tegenwoordig POS, dus registratie tegen interne verrekenpijzen als verkoopprijzen. Industriele bedrijven Massa en stukproductie Functiescheiding kern vh verhaal is dat door functiescheidingen 2 of meer functioneel gescheiden registraties over dezelfde stand of mutatiestroom ontstaan.De verbandlegging tussen deze registraties biedt een waarborg voor de betrouwbaarheid ervan, vooral vanwege de tussen de betrokken medewerkers bestaande tegengestelde belangen. Vb inkoop en bewaarfunctie. De inkoper legt de inkopen vast als basis voor de opboeking vd grootboekrekening inkopen. Na afl vd ingekochte goed inspecteert de magazijn meester de ontvangen goed en registreet de uitkomst of een magazijn ontvangst bon.opboeking inkopen moet gelijk zijn aan opboeking in kantoorvoorraadadiminprofessional skeptisicm mens is goed maar geneigd tot alle kwaad. Vb tegenstrijdig belang : Inkoper die betaalt wil voorraad hoger doen lijken deel aanzichzelf betalen wat er eigenlijk helemaal niet aan voorraad is. Mag meestre wil voorraadd lager doen ljiken zodat hij het deel dat er wel is maar vlg admin niet kan onttreekkeen aan het bedirjf Vb: bewaring en productie. De mag meester verstrekt de grondstoffen tegen kwijting ad productiechef en legt de afgifte vd grondstoffen vast in het voorraad bestand. De prod chef registreert de bij de productie verbruikte grondstoffen. Deze beide registraties moeten worden aangesloten door de admin. Ook hier is een duidelijke belangentegenstelling

Samenvatting BIV-IB

26

Verbandscontroles 1. Verbandscontroles tussen 2 of meer functioneel gescheiden mutatiestromen (zie vb hierboven), 2. Verband tussen toestand en gebeuren (BETA formule beginstand-eindstand=toevoegingen+afname; vb B+I-E=V), 3. Verband tussen opgeofferde en verkregen waarde (wrd toegepoast bij transacties met 3-en: vb ontvangen goed en cred.) Leenaars, H. en E. Roos Lindgreen, Back to the future: Limpergs gedachtegoed in andere tijden, Maandblad voor Accountancy en Bedrijfseconomie, april 2005, p. 155-161.Limperg en moderne bestuurlijke informatieverzorging Indit artikel wordt gezocht naar de wetenschaoppelijke belangstelling van limpberg voor de beheersbaarheid van processen die spelen binnen orgs. De beheersbaarheid van processen is een van de belangrijkste objecten van onderzoke binnen het vak BIV. In de leer der organisatie (van Limperg) heeft hij een opmerking achtergelaten over bestuurlijke informatieverzorging: Arbeidsdeling (woord functiescheiding wordt niet gebruikt) leidt onherroepelijk tot hergroepering van soortgelijke taken, hetgeen de interne controle bemoeilijkt. Dit dient dan ook door de publieke accountant uitgevoerd te worden. Limperg komt in zijn uitwerking van de interne organisatie heel dicht bij Starreveld (een administratie die in functiescheiding tot stand gebrachte elkaar controlerende deelverantwoordingen op elkaar afstemt), maar wordt ook meteen weer de beperking aangeduid wanneer de huishoudens te klein zijn of de mensen te dicht op elkaar opereren. Moderne functiescheiding In tijden waarin de groepering van taken in functies op zijn best secundair rekening houden met interne controlemotieven, kan de resulterende functiescheiding als fundament voor een adequaat systeem van interne controle en beheersing ingevuld worden door de mogelijkheden van IT. Hoewel het belang van functiescheiding al preventieve maatregelen van interne controle niet kleiner is geworden het tegendeel is eerder juist gelet op steeds snellere bedrijfscycli, grotere financile belangen en een groeiend aandeel abstracte activiteiten leidt de uitstoot van arbeid en de daarmee samenhangende hergroepering van resterende taken tot de vaststelling dat er minder mogelijkheden zijn voor een implementatie la Starreveld. Daarbij moet nog worden aangetekend dat een noodzakelijke begeleider van functiescheiding, namelijk procedures: de in termen van detailtaken voorgeschreven betrokkenheid van functies bij bedrijfsprocessen moeilijker kunnen worden gehandhaafd in een veranderende omgeving. Procedures hebben immers de neiging om op zijn bes met enige vertraging te worden aangepast. Het belangrijkste verschil tussen de inrichting van organisatie uit de tijd van Limperg/Starreveld en nu is het verdwijnen van een groot gedeelte van de onafhankelijke registrerende functie; onafhankelijkheid van beschikkende en bewarende functie. Waar registratie van het bedrijfsgebeuren vroeger plaatsvond door de registrerende functies, wordt dit vandaag door productiemachines en applicaties gedaan, die onder controle staan van beschikkende en bewarende functies. De toepasbare functiescheidingen la Starreveld moeten vervangen worden door functiescheidingen nieuwe stijl (moderne functiescheiding). Dit is het door functionarissen zowel exclusieve als gedwongen gebruik van de computer, in casu van geautomatiseerde activiteiten om bepaalde taken te kunnen uitvoeren, waarbij registratie door volkomen automatisme wordt gewaarborgd. Waar derhalve functiescheiding la Starreveld is gebaseerd op procedureel voorgeschreven betrokkenheid van meerdere functionarissen bij bedrijfsprocessen is dit bij de nieuwe stijl steeds een volgens geprogrammeerde regels werkende automaat. Belangrijk hierbij zijn de begrippen authenticiteit (proces van bewijs dat iemand degene is waarvoor deze zich uitgeeft) en autorisatie (proces waarin bevoegdheden worden toegekend).

Samenvatting BIV-IB

27

Functiescheiding in ERP-systemen De grote onderlinge afhankelijkheid tussen bedrijfsprocessen maakt een ERP-systeem een daarmee de onderneming gevoeliger voor verstoringen; tegelijkertijd leidt de gentegreerde architectuur van het ERP-systeem tot een verhoging van het risico dat een onbevoegde via een tekortkoming in n module toegang krijgt tot het gehele systeem. Er wordt weinig gebruik gemaakt van goede authenticatie. Daarnaast is de autorisatie in ERP-systemen vaak ruimer ingericht dan op grond van de bestaande, in de organisatie vastgelegde functiescheidingen te bedoeling kan zijn.

Koning, F. de, Bestuurlijke informatieverzorging of interne beheersing, Maandblad voor Accountancy en Bedrijfseconomie, juli/augustus 2004, p.343-347.De definitie van bestuurlijke informatieverzorging volgens Starreveld is: alle activiteiten met betrekking tot het systematisch verzamelen, vastleggen, verwerken van gegevens, gericht op het verstrekken van informatie ten behoeve van het besturen-in-engere-zin (kiezen uit alternatieve mogelijkheden), het doen functioneren en het beheersen van een huishouding, en ten behoeve van de verantwoording die daarover moet worden afgelegd. De typologie van Starreveld maakt onderscheid in een aantal productiehuishoudingen met als doel aanknopingspunten te vinden voor de interne controle. De indeling in typen kan getransporteerd worden naar moderne logistieke begrippen en bijbehorende toepassingen, die veelal gebaseerd zijn op de plaats van het klantorderontkoppelpunt (KOOP = punt vanwaar de productie plaatsvindt volgens specificaties van de afnemer). Door de komst van de geautomatiseerde gegevensverwerking is de bestuurlijke en verantwoordingsinformatie hiervan afkomstig. De nadruk komt in toenemende mate te liggen op (ondersteuning van) de inrichting van de bedrijfsbrede informatiesystemen en controle van de informatie, die uit deze systemen afkomstig is. De invalshoek van bestuurlijke informatieverzorging is de kwaliteit van de op te leveren informatie, nader te specificeren in de kwaliteitsaspecten doelgerichtheid, doelmatigheid, betrouwbaarheid, beschikbaarheid en controleerbaarheid. Accounting information systems In Amerika bestaat het vak accounting information systems (AIS) wat vooral gebruik maakt van literatuur van Romney en Steinbart. Definitie van AIS: An accounting information system consists if people, procedures and information technology. Het heeft drie belangrijke functies binnen een organisatie: 1) Verzamelen en opslaan van data van activiteiten en transacties zodat de organisatie kan zien wat er gebeurt. 2) Omzetten van data in informatie die te gebruiken is voor beslissingen welke management kunnen helpen in het plannen, uitvoeren en beheersen van activiteiten. 3) Geeft adequate beheersingsmaatregelen om activa en data van een organisatie te beschermen. Data moet beschikbaar zijn, juist en betrouwbaar. Het belangrijkste verschil tussen Romney en Steinbart en Starreveld is dat eerstgenoemde geen gebruikmaken van een indeling van administratieve processen naar bedrijfstype (de typologie), maar van een indeling naar cycles: - de expenditure cycle - de production cycle - de human resource/payroll cycle - revenu cycle

Samenvatting BIV-IB

28

- financing cycle. Hierbij zijn geen goede relatie gelegd tussen de verschillende cycles in de vorm van een waardekringloop zoals Starreveld dit wel heeft gedaan. Wel is door Romney en Steinbart een duidelijke relatie gelegd tussen de cycles en de geautomatiseerde gegevensverwerking (iets wat in Starreveld wordt gemist). De ontwikkelingen in het vakgebied laten zien dat er meer aandacht dient te zijn voor administratieve en bestuurlijke informatieverzorging en inspelen op de ontwikkelingen op het gebied van ICT. Interne beheersing Nationaal en internationaal wordt interne beheersing ingevuld door de verplichting voor beursgenoteerde ondernemingen te rapporteren over internal control. Hiertoe wordt veelal gebruik gemaakt van COSO om hieraan invulling te geven. De typologie van Starreveld zou aangepast moeten worden aan de hand van de moderne logistieke begrippen en bijbehorende toepassingen, die in belangrijke mate gebaseerd zijn op de plaats van het klantorderontkoppelpunt (KOOP) in het productieproces. WerkstukStarrevelds evergreens Starreveld (1970) baseerde een belangrijk deel van zijn interne beheersingsraamwerk op een indeling van organisaties naar logistieke functies (de vermaarde typologie). Daarnaast is de waardekringloop n van de belangrijkste concepten. Beide aspecten uit het werk van de heer Starreveld zijn van belang bij het beheersen van een huishouding. Het doel van het typologiemodel van Starreveld was de grote verscheidenheid in verschillende soorten huishoudingen terug te brengen tot een beperkt aantal grondtypen. Uitgangspunt bij de indeling van het model is de opzet van de administratieve organisatie en interne beheersing ter waarborging van de volledigheid van de opbrengstverantwoording. Hierbij vormt de waardenkringloop het uitgangspunt. Aan de indeling liggen de volgende selectiecriteria ten grondslag: - Soortcriterium In hoeverre zijn interne controlemaatregelen inzetbaar om te waarborgen dat de omzet volledig wordt verantwoord. Dit criterium bepaalt welke typen worden onderscheiden. - Volgordecriterium De mate waarin bij de controle op de volledigheid van de opbrengstverantwoording gebruik gemaakt kan worden van de onderliggende verbanden uit de waardekringloop. Dit criterium is bepalend voor de hirarchie van de indeling. Het eerste volgordecriterium is het onderscheid tussen profit en non-profit organisaties. Bij de profit organisaties die voor de markt opereren wordt een onderscheid gemaakt tussen de volgende hoofdtypen: - Handelsbedrijven (zonder technisch omzettingsproces); - Industrile bedrijven; - Agrarische en extractieve bedrijven; - Dienstverlenende bedrijven; - Sprake van een goederenbeweging; - Beschikbaarheid van ruimte; - Overig; - Financile instellingen. Per type wordt er door Starreveld een bestuurlijk informatieverzorgingsysteem ontworpen met de eisen waaraan de organisatie moet voldoen om de huishouding te beheersen. Deze komen voornamelijk terug in de waardekringloop.

Samenvatting BIV-IB

29

Het waardekringloopmodel is in 4 processen uiteen te zetten. Dit betreffen: inkopen, verkopen, betalingen en ontvangsten. Het model geeft de samenhang aan tussen diverse processen en op welke wijzen er verbandscontroles kunnen worden gelegd.

Samenvatting BIV-IB

30

Uit onderstaand figuur kunnen 5 clusters omtrent administratieve organisatie worden afgeleid: 1. Er is een organisatiestructuur met processen en functies te onderscheiden; 2. Elk proces wordt beheerst door een administratie (ook geautomatiseerde gegevensverwerking en een kasregister valt hier onder ); 3. Voor het correct laten functioneren van een administratie zijn procedures noodzakelijk; 4. De belangrijkste interne controle (IC)-maatregelen zijn in de waardekringloop terug te vinden, zoals: a. Controletechnische functiescheidingen; b. Verbandscontroles tussen geld en goederen; c. Als sluitstuk voor de interne controle hanteert Starreveld de inventarisatie. Als de werkelijke voorraad sluit met de administratieve voorraad, mag men concluderen dat de functiescheidingen hebben gewerkt. 5. De informatieverstrekking ten behoeve van de besturing, beheersing en verantwoording van de organisatie worden gevormd door de voorgaande 4 clusters.

Om de betrouwbaarheid van de informatiestromen (en dus informatievoorziening) binnen de waardekringloop te waarborgen, heeft Starreveld een heel instrumentarium van zogehete interne controlemaatregelen ontwikkeld. Van belang is het scheiden van de beschikkende functies (zie figuur de rondjes, de activiteiten), de bewarende functies (zie figuur, de blokjes, de standen) en de registrerende en controlerende functies (zie figuur, in het midden), de zogenaamde controletechnische functiescheidingen. Deze functiescheidingen zijn van belang voor de hechtheid van de waardekringloop. De waardekringloop is op zijn beurt van belang voor het vaststellen van het aspect volledigheid van de opbrengstverantwoording.

Samenvatting BIV-IB

31

Samenvatting BIV-IB

32

9) Contingentiebenadering (Spekl) Spekl, R.F. (2002), Variteit in management controlstructuren. Een transactiekostenperspectief, Maandblad voor Accountancy en Bedrijfseconomie, vol. 76, no. 9, september, pp. 409-417. Dit art beschrijft een op TC economics gebaseerde theorie die kan helpen bij het verklaren vd verscheidenhied aan inrichting van management control systemen binnen orgs. Volgens deze theorie hangt de diversiteit in controlstructuren samen met de verschiedenheid in controlproblemen waar orgs mee worden geconfronteerd. Er worden 4 archtypische (daaruit voort komende) controlstructuren onderscheiden. Het vakgebied Management control bestudeert de middelen en processen die orgs gebruiken om het gedrag van medewerkers te benvloeden zodat ze deze