GRC ICAIS samenvatting S2.2
WEEK 1
BIV in perspectief H1
1.1
Veel organisaties voeren blijkbaar moeiteloos de meest gecompliceerd lijkende processen uit. Zie
vb. Pagina 11
Bestuurlijke informatie laat (in geval van het voorbeeld) jouw wintersport vakantie vlekkeloos
verlopen.
Een goede bestuurlijke informatieverzorging zorgt er voor dat fouten worden voorkomen.
Dit is niet alleen van belang dat jouw vakantie goed verloopt, maar de leiding wil ook meer in het
algemeen op hoogte worden gehouden van de gang van zaken.
De procedures die worden gehanteerd hebben niet alleen betrekking op de regeling van de
uitvoerende handelingen, maar moet ook voorzien in de info behoeften van het management.
1.2
Definitie bestuurlijke informatie verzorging in navolging van Van Leeuwen en Bergsma:
“alle activiteiten m.b.t. Het systematisch verzamelen, vastleggen & verwerken van gegevens,
gericht op het verstrekken van info t.b.v. Het besturende-in-engere-zin, het doen functioneren ne
beheersen van een huishouding en t.b.v. De verantwoordingen die daarover moeten worden
afgelegd”
Het gaat er bij BIV dus om info te produceren waarmee:
1. Managers beslissingen kunnen nemen
2. Managers organisatie kunnen beheersen
3. Medewerkers hun functie kunnen uitvoeren’
4. Managers en medewerkers verantwoording kunnen afleggen
Let hierbij op het volgende: om info te verkrijgen zul je gegevens moeten vastleggen binnen de
organisatie, het woord systematisch betekend in dit geval dat medewerkers volgens vaste
procedures gegevens vastleggen, info is belangrijk voor het nemen van beslissingen, medewerkers
gebruiken info om hun dagelijkse functies te kunnen uitoefenen en managers/medewerkers leggen
door middel van informatie verantwoording af over de uitgevoerde activiteiten, genomen
beslissingen en gevoerde beleid.
1.3
Figuur 1.3 kwaliteitsprofiel
1.4
Relevante en betrouwbare info wordt geproduceerd door het BIV systeem, deze bestaat uit veel
onderdelen. Zie figuur 1.4 pagina 16, samenstellende onderdelen van het BIV systeem:
Organisatieleden, functieverdeling
Begrotingen, normen, tarieven
Procedures, wet- en regelgeving, richtlijnen
Inrichting administratie
Informatieverschaffing
Gegevens
Programmatuur
Hardware
1
, Controleactiviteiten
1.5
Figuur 1.5 de 6 delen van dit boek en samenhang. Pagina 17
Besturen en beheersen: Deel 1 interne beheersing<-> deel 2/3
Bestuurlijke informatie: deel 2 betrouwbaarheid en deel 3 relevantie <-> deel 4-6
Inrichten BIV: deel 4 ontwerpen van administratieve processen, deel 5 BIV en automatiseren, deel
6 beheer van de BIV functie
BIV in perspectief H6
6.1
Twee kwaliteitscriteria van informatie: relevantie en betrouwbaarheid.
De directe van een entiteit is in de praktijk niet alleen geïnteresseerd in de betrouwbaarheid van
info, maar ook van de medewerker. Betrouwbaarheid van medewerkers betekent:
Dat ze handelen binnen de aan hen toe gekende bevoegdheden en zich ook houden aan de
wet- en regelgeving
Dat ze geen spullen stelen of zich op andere manieren verrijken ten koste van het bedrijf
Tabel 6.1 onderdelen van het intern beheersingssysteem pagina 104
6.2
Het intern betrouwbaarheidssysteem bestaat uit een 3tal onderdelen:
Is voldaan aan wet- en regelgeving (compliance)?
Zijn de waarden van de organisatie aanwezig of terecht verbruikt?
Is de verstrekte informatie wel betrouwbaar?
Het intern betrouwbaarheidssysteem wordt ook wel aangeduid met de term systeem van interne
controle maatregelen.
Tabel 6.2 onderdelen van het inetern betrouwbaarheidssysteem pagina 105
Intern betrouwbaarheidssysteem Welke vragen?
1 het voldoen aan wet en regelgeving Heeft iedereen binnen het bedrijf zich gehouden
waaronder bevoegdheidscontrole aan de wet en regels en gehandeld binnen zijn
bevoegdheden
2. Bewaringscontrole Zijn alle waarden van de organisatie aanwezig of
terecht verbruikt
3. Informatie controle Is de verstrekte info volledig en juist, betroubaar?
6.3
Het interne beheersingssysteem kan alleen goed functioneren wanneer en betrouwbare informatie
beschikbaar is.
Betrouwbaarheid is een voorwaarde voor beheersing!
De verstrekte informatie moet op betrouwbaarheid worden gecontroleerd, informatie controle
Als medewerkers zich niet houden aan hun bevoegdheden en wet- en regelgeving, kunnen
beslissingen worden genomen door verkeerde mensen of regels worden overtreden waar de leiding
niet van bewust is. Dit moet gecontroleerd worden, bevoegdheidscontrole.
Er moet gecontroleerd worden of alleen goederen en geld dat aan het begin van de periode
aanwezig was, nog aanwezig is aan het einde. Tenzij controleerbaar is dat deze goederen en geld
terecht zijn afgegeven, bewaringscontrole.
Voor bedrijven die onder de Amerikaanse Sarbanes Oxley-wet vallen of de Nederlandse Corporate
Governance Code, moet de leiding rapporteren over het monitoring proces. (of interne
betrouwbaarheids- en de ic maatregelen aanwezig zijn en correct worden uitgevoerd)
Binnen NL zijn sommige organisaties sinds kort tevens verplicht om informatie over de organisatie
op gestandaardiseerde wijze bij het CBS aan te leveren via XBRL (extensible Business Reporting
Language)
BIV in perspectief H7
2
,7.1
De uitspraak dat info betrouwbaar is, kan pas worden gedaan na dat dit gecontroleerd is.
Wat is contoleren?
- Controleren is: toetsen van de werkelijkheid aan de norm
- Controleren is: vergelijken van ist met soll
Controleren is dat je informatie (ist-positie) vergelijkt met andere informatie (soll, hoe het zou
moeten zijn).
De kunst van het controleren van de betrouwbaarheid van de info is om dit zo efficiënt en effectief
mogelijk te doen.
Betrouwbaarheid van informatie kun je bevorderen door het invoeren van een passend stelsel van
IC- maatregelen.
7.2
Maatregelen van IC leveren een belangrijke bijdrage aan de betrouwbaarheid van informatie. De
maatregelen kennen echter een aantal beperkingen. Zie tabel 7.1 je moet met deze beperkingen
rekening houden wanneer je de ic-maatregelen wilt beoordelen of opzetten.
De maatregelen kunnen dus nooit volledige zekerheid bieden.
7.3
De maatregelen van IC vormen samen een stelsel. Het stelsel van ic-maatregelen valt uiteen in 2
groepen:
1. Organisatorische maatregelen, ook wel bekend als preventieve maatregelen van de ic.
2. Daadwerkelijke controlehandelingen gericht op het vaststellen van de werking en naleving
van de preventieve maatregelen. Ook wel bekend als repressieve maatregelen van de ic.
Preventieve maatregelen zijn enkel effectief als de werking en naleving wordt gecontroleerd d.m.v.
Repressieve maatregelen.
7.4
De organisatorische maatregelen van de ic hebben een preventief karakter en hebben als doel de
organisatie zo in te richten, dat onjuiste info, het niet naleven van bevoegdheden en het houden
aan wet- en regelgeving pof het verdwijnen van waarden vooraf zoveel mogelijk wordt voorkomen.
Er worden 7 categorieën van preventieve maatregelen onderscheden:
1. Het uitvoeren van een risicoanalyse
2. Het vooraf vormen van een verachting over de werkelijkheid
3. Het verdelen van taken en bevoegdheden
4. Het uitvaardigen van procedures
5. Beveiliging van zaken
3
, 6. Het opzetten van een (geautomatiseerd) informatiesysteem
7. Het inrichten van management informatie
7.4.1
Er zal eerst een risicoanalyse moeten worden uitgevoerd voor er een intern
betrouwbaarheidssysteem met maatregelen van ic kan worden opgezeten. In lijn met het COSO
internal control framework, omvat een risico analyse 3 stappen:
1. Het bepalen van de betrouwbaarheidsdoelstellingen die betrekking kunnen hebben mop de
info, de naleving van bevoegdheden, wet- en regelgeving en de bewaring
2. Het bepalen van mogelijke gebeurtenissen die een negatieve impact op de
betrouwbaarheid kunnen hebben.
3. Het bepalen van de kans en impact van deze negatieve gebeurtenissen.
7.4.2
Vooraf moet een verwacgting worden gevormd ocer de werkelijkheid. Managers moeten zicg een
mening vormen over wat er gaat gebeuren. Dit vooruitzien wordt oordeelsvorming ex ante
genoemd. Je kan dit gebruiken voor:
- De planning van activiteiten
- De beheersing van activiteiten door vergelijking van werkelijke uitkomst met verwachte
- Het beoordelen van de betrouwbaarheid van de verstrekte info
Als je gebruik wilt maken van oordeelsvorming ex ante moet deze aan de volgend eisen voldoen:
- De wijze van totstandkoming moet zorgvuldig en herleidbaar zijn
- De gebruikte basisgegevens moeten op betrouwbaarheid zijn te controleren
- De informatie moet zijn goedgekeurd door de leiding.
7.4.3
De vraag of medewerkers gehandeld hebben naar hun bevoegdheden, wordt in het
betrouwbaarheidssysteem omschreven als bevoegdheidscontrole.
Functiescheiding kun je laten aansluiten op de arbeidsverdeling die ontstaat wanneer een bedrijf
groeit en de directie taken moet delegeren. Als je de nadruk legt op het aanbrengen van
functiescheiding om beter ic-maatregelen te kunnen uitvoeren, spreek je van controle technische
functiescheiding.
Legitiem belang, samenwerken in belang van de organisatie.
Illegitiem belang, het onrechtmatig onttrekken van waarden aan het bedrijf om zichzelf te
verrijken. Vb. Tabel 7.3 pagina 115
Het principe van control technische functiescheiding berust op een beperking van bevoegdheden,
zodat:
1. Werknemers slechts een beperkt aantal schakels van het omloopproces van goederen
kunnen beïnvloeden.
2. Beslissingen tot het beschikken over zaken alleen kunnen worden genomen door
werknemers die niet met de bewaring belast zijn.
3. Uitvoerende medewerkers niet gedurende langere tijd goederen en geld onder zich hebben
tenzij er regelmatige controle op de bewaring is
4. Mogelijkheden worden geschapen tot het verkrijgen van elkaar wederzijds controlerende
verantwoordingsverslagen van personen met niet identiek en zo mogelijk tegengestelde
illegitieme belangen
5. Werknemers die zich bezighouden met beschikkende, bewarende en uitvoerende functie
niet verantwoordelijk zijn voor registeren en controleren.
6. Ten aanzien van delen van de administratie die een bewarend karakter hebben de controle
in handen wordt gelegd van een ander dan degene die deze bij houft.
Figuur 7.4 waarde kringloop pagina 117
7.4.4
Een procedure is een vaste wijze van handelen die door de leiding is voorgeschreven. Deze kunnen
de betrouwbaarheid van info bevorderen, bijv. Wanneer de procedure aangeeft:
Welke vastleggingen gemaakt moeten worden
4
