Samenvatting ICAIS 2
Hoofdstuk 1 – Organisatie en besturing
ICAIS = het produceren van betrouwbare gegevens die als informatie verstrekt kunnen worden met de bedoeling
het besturen van de betrokken huishouding zo optimaal mogelijk te ondersteunen.
Organisatie = een samenwerkingsverband van
mensen die met behulp van de inzet van
middelen (input) een bepaalde prestatie
leveren (output) om daarmee een doelstelling
te bereiken.
Agency-theorie = er worden twee partijen
onderscheiden, namelijk de principaal en de agent. De principaal kan bijvoorbeeld benadeeld worden doordat
de agent andere belangen heeft, maar ook doordat de agent over informatie beschikt die de principaal niet heeft.
Dit wordt ook wel informatie-asymmetrie genoemd.
Om informatie-asymmetrie te voorkomen, kan in onafhankelijk tussenpersoon, zoals bijvoorbeeld een
accountant worden ingeschakeld.
Hoofdstuk 2 – Control en controlmodellen
Waarom control?
• Negatief geformuleerd → Om te voorkomen dat er situaties ontstaan die zijn gebaseerd op
onvoldoende informatie;
• Positief geformuleerd → efficiëntie en effectiviteit van bedrijfsprocessen, betrouwbare rapportages en
het naleven van de wet- en regelgeving.
Efficiëntie zegt vaak iets over de kosten. Het duurt bijvoorbeeld
te lang, waardoor er meer kosten worden gemaakt. Effectiviteit
zegt iets over het behalen van de doelen van de organisatie.
Betrouwbare rapportages wil zeggen dat de informatie die naar
buiten gaat, maar ook de informatie binnen het bedrijf
betrouwbaar is.
Het naleven van wet- en regelgeving wordt ook wel compliance
genoemd. Het overtreden van wetten heeft ernstige gevolgen voor organisaties. Daarom is het van belang dat
bedrijven (of liever: de mensen in de bedrijven) zich aan de wetten en regels houden.
,Control = het proces dat gericht is op het verkrijgen van een redelijke mate van zekerheid omtrent het bereiken
van doelstellingen op het gebied van:
• De effectiviteit en efficiëntie van de bedrijfsprocessen;
• De betrouwbaarheid van de financiële informatieverzorging;
• De naleving van relevante wet-en regelgeving, beleidsrichtlijnen en procedures
Er zijn hard en soft controls, die samen het controlesysteem vormen;
• Hard controls = gaan in het algemeen over
structuren, taken, verantwoordelijkheden en
procedures. AO richt zich voornamelijk op deze
controls.
• Soft controls = werken in op overtuigingen, ideeën
en opvattingen van mensen. Het gaat om
persoonlijke afwegingen van mensen in bepaalde
situaties.
Welk type control de overhand heeft, is van veel
verschillende factoren af-hankelijk; een daarvan is de
omvang van de organisatie.
Het COSO (Comittee of Sponsoring Organizations of the Treadway
Commissions)-rapport is het belangrijkste rapport over interne
beheersing. Het COSO Internal Control Framework (COSO-ICFR)
wordt weergegeven in de zogenoemde COSO-kubus. De COSO-kubus
geeft de relatie weer tussen:
• De doelstellingen van een organisatie;
• De controlcomponenten;
• De onderdelen van de organisatie waarop het framework
van toepassing is.
De bovenzijde van de kubus geeft de gebieden weer waarop de
organisatie in control moet zijn:
• Operations = effectief en efficiënt gebruik van middelen om
het doel te bereiken;
• Reporting = betrouwbare (financiële) informatieverzorging;
• Compliance = naleving van wet- en regelgeving.
De rechterkant van de kubus laat zien dat COSO alle onderdelen van de organisatie omvat:
• Entity-level = de totale onderneming;
• Division = het totaal van de bedrijfsonderdelen die tot een bepaalde divisie horen;
• Operating unit = een bedrijf binnen de divisie;
• Function = de functie die binnen het bedrijf wordt uitgeoefend;
Het belangrijkste onderdeel van de kubus is de voorkant. Daarin zijn 5 stappen te zien die gezamenlijk, op de
juiste wijze ingevuld, ervoor moeten zorgen dan de organisatie in control is;
• Control environment = de organisatie is zodanig ingericht dat het mogelijk is de doelstellingen te
behalen.
• Risk assessment = het formuleren van de risico’s die ervoor zorgen dat de doelstellingen niet worden
bereikt.
• Control activities = de beheersmaatregelen die ervoor moeten zorgen dat de risico’s beheerst worden
en de organisatie haar doelstellingen wel behaalt.
• Information and communication = informatie over de interne beheersing om te kijken of de
doelstellingen zijn behaald.
• Monitoring = het constant bewaken of de beheersmaatregelen bestaan en naar behoren werken. Als
hier problemen ontstaan, moeten die tijdig worden gecommuniceerd.
,Elke stap binnen de COSO-kubus kent ook een aantal principes;
Onderdeel COSO-Kubus Principes
Control environment 1) De organisatie toont betrokkenheid bij integriteit en ethische waarden.
2) De raad van bestuur toont onafhankelijkheid van het management en
oefent toezicht uit op de ontwikkeling en uitvoering van de interne controle.
3) Het management stelt, met toezicht van de raad van bestuur, structuren,
rapportagelijnen en passende bevoegdheden en verantwoordelijkheden op
bij het nastreven van doelstellingen.
4) De organisatie toont een engagement om competente personen aan te
trekken, te ontwikkelen en te behouden en overeenstemming met de
doelstellingen.
5) De organisatie houdt individuen verantwoordelijk voor hun interne
controleverantwoordelijkheden bij het nastreven van doelstellingen.
Risk assessment 6) De organisatie specificeert doelstellingen met voldoende duidelijkheid om
de risico's gerelateerd aan de doelstellingen te kunnen identificeren en
beoordelen.
7) De organisatie identificeert risico's voor het bereiken van haar
doelstellingen binnen de entiteit en analyseert risico's als basis om te
bepalen hoe de risico's moeten worden beheerd.
8) De organisatie houdt rekening met het potentieel van fraude bij het
inschatten van risico's voor het behalen van doelstellingen.
9) De organisatie identificeert en beoordeelt veranderingen die een
significante impact kunnen hebben op het systeem van interne controle.
Control activities 10) De organisatie bepaalt en ontwikkelt beheersmaatregelen die bijdragen aan
het verlagen van de risico’s.
11) De organisatie bepaalt en ontwikkelt general IT-controls om de risico’s
binnen de automatisering te verlagen.
12) De organisatie stelt richtlijnen op waarin de beheersmaatregelen zijn
uitgewerkt en duidelijk wordt wat er van iedereen verwacht wordt.
Information and 13) De organisatie verkrijgt en gebruikt relevante kwaliteitsinformatie ter
communication ondersteuning van het functioneren van de interne beheersing.
14) De organisatie communiceert intern informatie, inclusief doelstellingen en
verantwoordelijkheden voor interne beheersing, die nodig zijn om het
functioneren van de interne beheersing te ondersteunen.
15) De organisatie communiceert met externe partijen over zaken die van
invloed zijn op het functioneren van de interne beheersing.
Monitoring 16) De organisatie selecteert, ontwikkelt en voert doorlopende en/of
afzonderlijke evaluaties uit om na te gaan of de componenten van de interne
beheersing aanwezig zijn en functioneren.
17) De organisatie evalueert tekortkomingen in de interne beheersing en deelt
deze tijdig mee aan de partijen die verantwoordelijk zijn voor het nemen
.van corrigerende maatregelen, met inbegrip van het senior management
en de raad van bestuur, indien van toepassing.
, Hoofdstuk 3 – Informatie en informatieverzorging
Twee kenmerken van informatie zijn dat het een eindproduct is en dat het (voor iemand) betekenis moet hebben.
De kwaliteitseisen van informatie komen in principe neer op:
• Begrijpelijkheid
• Relevantie
• Betrouwbaarheid
Er zijn 3 soorten informatie te onderscheiden, namelijk;
• Strategisch = er wordt nagedacht over hoe de missie en visie
van de organisatie in de toekomst gerealiseerd kunnen
worden. De omstandigheden die van invloed zijn, zijn vooral
extern. Men probeert hier een concurrentievoordeel te
creëren. De informatie die nodig is, zal dus ook voor een
belangrijk deel extern zijn.
• Tactisch = betreft informatie uit de organisatie zelf die nodig
is voor het controleren, bewaken en aansturen van de
bedrijfsprocessen. Factoren die hier bijvoorbeeld spelen zijn
de bezettingsgraad van een afdeling, de kostprijs van een
product of de hoogte van de OHW. Deze informatie wordt
altijd afgezet tegen een norm. Zonder norm is er geen sprake van informatie.
• Operationeel = informatie die van belang is voor de uitvoering van de (dagelijkse) activiteiten in een
organisatie. Deze informatie is heel concreet en gedetailleerd.
Hoofdstuk 4 – Administratieve organisatie en interne controle
Control zorgt voor een confrontatie tussen de werkelijkheid en de plannen. Dit leidt tot bijsturing. Deze bijsturing
kan plaatsvinden op 3 niveaus;
• Operationeel → de uitvoering loopt niet goed;
• Tactisch → het budget wordt niet gehaald (omzet) of overschreden (kosten);
• Strategisch → de strategische doelstellingen worden niet behaald.
De Engelse term voor beheersen is “control”. Bij een control worden niet alleen normen gesteld en afwijkingen
van die normen gecorrigeerd, maar worden ook van tevoren al maatregelen genomen om de afwijkingen zoveel
mogelijk voor te zijn. Hierdoor zijn de definities van interne controle en internal control dus wezenlijk anders;
• interne controle = alle controle op de oordeelsvorming en activiteiten van anderen, door of
namens de leiding van een organisatie;
• Internal control = een proces dat in gang wordt gezet door het bestuur, de commissarissen, het
management en ander personeel, dat redelijke zekerheid moet geven inzake het bereiken van
doelstellingen op het gebied van verslaggeving, bedrijfsvoering en naleving van wet- en
regelgeving.