Samenvatting BIV-IB
,Inhoudsopgave
BIV-IB..................................................................................................................................................3
Vier pijlers BIV-IB................................................................................................................................5
NV COS 315 – Risico’s op een afwijking van materieel belang............................................................6
Romney & Steinbart – Interne Beheersing.........................................................................................7
Starreveld – Interne beheersing.........................................................................................................8
Starreveld - Typologiemodel...............................................................................................................9
Starreveld - Waardenkringloop........................................................................................................10
Starreveld - Relaties met andere modellen......................................................................................11
Boritz - Core concepts of information integrity................................................................................12
Tee - Factors influencing organizations to improve data quality......................................................13
Aloni - Risk management in ERP project introduction......................................................................14
Kaptein - Integriteitklimaat als Auditobject......................................................................................17
Schein - De bedrijfscultuur als ziel van de onderneming. Zin en onzin over cultuurverandering.....18
Hofstede - landencultuur..................................................................................................................19
Quinn - Model van concurrerende waarden....................................................................................21
De Heus en Stemmelaar – Soft controls...........................................................................................22
Ouchi - A conceptual Framework for the Design of Organizational Control Mechanisms................23
Merchant – Performance Measurment............................................................................................26
Kaplan & Norton - Balanced Scorecard (kan als implementatiemodel gebruikt worden voor de
verklarende theorie van Simons)......................................................................................................31
COSO (ICIF) - COSO Internal Control – Integrated Framework.........................................................33
COSO – Enterprise Risk Management – Integrated Framework 2004..............................................35
COSO ERM 2017 - Integrating with Strategy and Performance........................................................37
Hermanson - How Effective are Organizations Internal controle.....................................................38
NBA (2013) - Risicomanagement blijft mensenwerk........................................................................39
Paape – Fragiele Balans tussen risico en beheersing........................................................................40
Bedford & Malmi..............................................................................................................................41
Laloux...............................................................................................................................................43
Trends...............................................................................................................................................45
Busco (2015).....................................................................................................................................49
Martin – Through the Ethics Looking Glass.......................................................................................50
Karssing & Jeurissen – Naar dialogisch integriteitstoezicht..............................................................51
Jeurissen & Ven – Waarden en Morele normen...............................................................................52
, BIV-IB
Traditionele benadering = bedrijfstype + bedrijfsprocessen, risico’s en maatregelen + kwaliteit
van (financiële) informatie.
- gericht op de volledigheid en nauwkeurigheid van de gegenereerde informatie;
- gericht op de bescherming van activa tegen het ongeoorloofd verwerven, gebruiken of
vervreemden ervan.
In control volgens de traditionele benadering als:
- de financiële informatie betrouwbaar en relevant is;
- de ingaande kasstromen uit transacties volledig zijn;
- de uitgaande kasstromen uit transacties juist zijn;
- de bezittingen zijn beschermd tegen ongeoorloofd verwerven, gebruiken of vervreemden
In control volgens COSO:
Wanneer management, bestuur en toezichthouders redelijke mate van zekerheid hebben over:
- (operational) Bereiken van operationele effectiviteit en efficiency
- (reporting) Gepubliceerde financiële verslagen en interne rapportages betrouwbaar zijn
- (compliance) Wetgeving en regels, alsmede interne regels en procedures zijn nageleefd
Interne beheersing volgens Starreveld
Alle activiteiten met betrekking tot het systematisch verzamelen, vastleggen en verwerken van
gegevens, gericht op het verstrekken van informatie ten behoeve van het besturen, het doen
functioneren en beheersen van een huishouding en ten behoeve van de verantwoording die
daarover moet worden afgelegd.
Starreveld scheefte naar volledigheid van de opbrengsten en betrouwbare informatievoorziening.
Houdt hierbij rekening dat er geen of nauwelijks IT was in de tijd dat hij dit schreef.
Interne controle volgens Starreveld
Gericht op het voorkomen dat wel detecteren van afwijkingen van gestelde normen en kan worden
gedefinieerd als: “Alle controle op de oordeelsvorming en activiteiten van anderen, door of namens
de leiding van de organisatie”. Hiervoor gaf Starreveld het volgende stappenplan:
- het vaststellen van normen (soll);
- het waarnemen van de werkelijkheid (ist);
- het toetsen van de normen aan de werkelijkheid, met als doel het vaststellen van
afwijkingen;
- deze afwijkingen analyseren, met als doel het vaststellen van de oorzaken van de
afwijkingen;
- rapporteren en daarin te nemen maatregelen vermelden en aanbevelingen tot verbetering
doen;
- realisatie.
Interne controle volgens Romey & Steinbart
Het gebruik van Accounting Information System (AIS) welke zowel handmatig als
geautomatiseerd kan zijn. Dit systeem bestaat uit:
- Mensen die het systeem gebruiken;
- Processen die plaats vinden;
- Technologie zoals data, software en informatietechnologie;
- Controles waarmee de informatie wordt beveiligd.
Hiermee wordt informatie verzameld en opgeslagen als bruikbare informatie waarmee belangrijke
beslissingen genomen kunnen worden en waarmee controles kunnen worden ingericht om
bezittingen te beschermen.
Interne beheersing volgens COSO
Interne beheersing is een proces uitgevoerd door de directie, management en overige
personeelsleden om een redelijke mate van zekerheid te verkrijgen omtrent het behalen van de
doelstellingen in de volgende categorieën:
- Operational (effectiviteit en efficiency van de bedrijfsvoering).
- Reporting (betrouwbaarheid);
- Compliance (voldoen aan geldende wet- en regelgeving);
,Interne beheersing volgens NV COS 315
Het proces dat is opgezet, wordt geïmplementeerd en onderhouden door de met governance
belaste personen, het management en andere personeelsleden met als doel een redelijke mate van
zekerheid te verschaffen dat de doelstellingen van de entiteit met betrekking tot de
betrouwbaarheid van de financiële verslaggeving, de effectiviteit en efficiëntie van de activiteiten
en de naleving van de van toepassing zijnde wet- en regelgeving worden bereikt.
Accountantscontrole = informatiecontrole
Slechts redelijke mate en geen volledige zekerheid (internal control) door:
- Fouten, vergissingen of fraude;
- Kosten en batenafweging.
Transitie van traditionele benadering naar de bredere benadering
Twee verschillende theoretische perspectieven die verklaren waarom organisaties tijd en geld
besteden aan internal control (Alwinge, 2013). Hierbij is de transitie van de traditionele benadering
naar de bredere en holistische benadering van internal control zichtbaar.
- Internal control vanuit een agency perspectief
Mensen zijn gericht op hun eigen belang, beperkt rationeel en risico-avers.
Controls zijn nodig om risico en informatie-asymmetrie te beperken.
De keuze van controls is gebaseerd op een economische kosten-batenafweging.
Controls bestaan vooral voor hun technische functionaliteit.
- Internal control vanuit een institutioneel perspectief
Mensen willen graag goed doen en conformeren zich aan de externe normen en
verwachtingen.
Controls worden gekozen om legitimiteit te verkrijgen.
Controls bestaan vooral als symbolische uiting.
Controls wijzigen en ontwikkelen zich op basis van politieke invloeden, het imiteren van
andere organisaties en hun werkwijzen, professionele standaarden en netwerken met
andere professionals.
- Bredere governance (3 lines of defence)
- Mens en cultuur bepalen of de voordelen van een effectief control systeem benut worden
- Mix van maatregelen en factoren
- Belang risicomanagement
- Naast betrouwbaarheid financiële rapportages ook effectiviteit en efficiency operations en
nalevering wet- en regelgeving
,Vier pijlers BIV-IB
1. Standaardisatie en de traditionele benadering (vanaf de jaren ’60): belangrijkste
theoretische concepten en modellen zijn Starreveld, Romney & Steinbart en kwaliteit van
informatie.
Nadruk op betrouwbare financiële rapportages en fraude.
2. Configuraties (vanaf de jaren ‘80): de opkomst van de mix van maatregelen en de
gedragskant van het vak – belangrijkste theoretische concepten en modellen zijn de control
varianten van Ouchi, de gedragsproblemen en control alternatieven van Merchant & Van der
Stede en de levers of control van Simons. Overige theoretische concepten en modellen zijn de
paradigma’s van Laloux, de landencultuur van Hofstede, de organisatiecultuur van Quinn,
het integriteitsklimaat van Kaptein en het model van soft controls van De Heus en
Stremmelaar.
De opkomst van clan, personal en cultural controls en empowerment.
3. Regulering (eind jaren ‘80/begin jaren ‘90 en hernieuwde aandacht begin 2000): vooral
vanuit de grotere nadruk op governance. De control resp. internal environment als basis. Hierin
staan de theoretische concepten en modellen COSO ICIF en COSO ERM centraal.
De controleomgeving wordt belangrijk (tone at the top en integriteitsklimaat). Impuls voor
risicomanagement.
4. Complexiteit (heden en toekomst): de uitdagingen op het gebied van internal control/interne
beheersing in onze hedendaagse maatschappij en de uitdagingen voor organisaties hierbinnen.
Hierin staat het model van Bedford en Malmi over configuraties van control centraal.
Groeiend besef van de belangen van diversiteit aan stakeholders, verbreding naar gedrag en
ethiek binnen een steeds complexer wordende omgeving
,NV COS 315 – Risico’s op een afwijking van materieel belang
Risico’s op een afwijking van materieel belang identificeren en inschatten door inzicht te verwerven
in de entiteit en haar omgeving.
Doelstelling
De doelstelling van de accountant is het identificeren en inschatten van de risico’s op een afwijking
van materieel belang op het niveau van de financiële overzichten en beweringen als gevolg van
fraude of van fouten, door inzicht te verwerven in de entiteit en haar omgeving, met inbegrip van
haar interne beheersing, zodat een basis wordt verkregen voor het opzetten en implementeren van
manieren om op de ingeschatte risico’s op een afwijking van materieel belang in te spelen.
Interne beheersing (Link met COSO)
Het proces dat is opgezet, wordt geïmplementeerd en onderhouden door de met governance
belaste personen, het management en andere personeelsleden met als doel een redelijke mate van
zekerheid te verschaffen dat de doelstellingen van de entiteit met betrekking tot de
betrouwbaarheid van de financiële verslaggeving, de effectiviteit en efficiëntie van de activiteiten
alsmede de naleving van de van toepassing zijnde wet- en regelgeving worden bereikt.
Interne beheersing entiteit
De accountant dient inzicht te verwerven in de interne beheersing die relevant is voor de controle.
Hoewel de meeste voor een controle relevante interne beheersingsmaatregelen betrekking hebben
op de financiële verslaggeving, zijn niet alle interne beheersingsmaatregelen die betrekking hebben
op de financiële verslaggeving relevant voor de controle. Of een interne beheersingsmaatregel,
alleen of in combinatie met andere interne beheersingsmaatregelen, relevant is voor de controle, is
een kwestie van professionele oordeelsvorming door de accountant.
Relevante informatiesysteem (Romney & Steinbart)
De accountant dient inzicht te verwerven in het informatiesysteem, met inbegrip van de daarmee
verband houdende bedrijfsprocessen, dat relevant is voor de financiële verslaggeving, met inbegrip
van:
a. de transactiestromen in de activiteiten van de entiteit die significant zijn voor de
financiële overzichten;
b. de procedures, binnen zowel de IT- als handmatige systemen, waardoor de transacties tot
stand worden gebracht, vastgelegd, verwerkt, naargelang nodig gecorrigeerd,
overgenomen in het grootboek en in de financiële overzichten gerapporteerd;
c. de daarmee verband houdende administratieve vastleggingen, onderbouwende
informatie en specifieke in de financiële overzichten opgenomen rekeningen die voor het
tot stand brengen, vastleggen, verwerken en rapporteren van transacties worden gebruikt;
d. de wijze waarop in het informatiesysteem gebeurtenissen en omstandigheden,
uitgezonderd transacties, die significant zijn voor de financiële overzichten worden
vastgelegd;
e. het proces van financiële verslaggeving dat wordt gebruikt om de financiële
overzichten van de entiteit op te stellen, met inbegrip van significante schattingen en
toelichtingen; en
f. interne beheersingsmaatregelen met betrekking tot journaalboekingen, met inbegrip
van journaalboekingen die geen standaardjournaalboekingen zijn en worden gebruikt om
eenmalige, ongebruikelijke transacties of correcties vast te leggen.
Risico’s identificeren en inschatten:
Risico’s waaraan tijdens de controle speciale aandacht aan moet worden besteed:
- Frauderisico’s;
- Recente significante ontwikkelingen op economisch, boekhoudkundig of ander gebied;
- Complexiteit van transacties;
- Significante transacties met verbonden partijen;
- Subjectiviteit bij het waarderen van financiële informatie;
- Significante transacties die buiten het kader van de normale bedrijfsvoering vallen.
, Romney & Steinbart – Interne Beheersing
Het systeem van interne beheersing van een entiteit bevat naast handmatige elementen vaak ook
geautomatiseerde elementen. Het gebruik van handmatige of geautomatiseerde elementen in de
interne beheersing is van invloed op de wijze waarop transacties tot stand worden gebracht,
vastgelegd, verwerkt en gerapporteerd worden (NV COS 315).
Data processing cycle:
Data input:
Belangrijkste stappen bij de input van data zijn:
- het vastleggen van data op basis van een business activiteit (event);
- waarborgen dat data juist en volledig wordt vastgelegd;
- ervoor zorgen dat procedures (zoals goedkeuring van transacties) worden nageleefd.
De data moet vastgelegd worden bij de bron van de transactie. Starreveld noemt dit het belang
van de primaire vastleggingen. Informatie die over een activiteit verzameld moet worden betreft:
- de activiteit waar het om gaat, bijvoorbeeld de verkoop;
- de middelen die het raakt (bijvoorbeeld voorraad, debiteuren, kas);
- de betrokken personen (bijvoorbeeld de klant, medewerker).
Data processing (4 typen, CRUD):
- Creating new records (bv. klant toevoegen);
- Reading existing data;
- Updating previous record or data;
- Deleting data.
Information output:
- Online (soft copy);
- Printed out (hard copy).
Belangrijkste processen voor Romey & Steinbart:
- The Revenue Cycle: Sales to Cash Collection
- The Expenditure Cycle: Purchasing to Cash Disbursements
- The Production Cycle
- The Human Resources Management and Payroll Cycle
- Financing cycle
- General Ledger and Reporting System
Voordelen van IT voor interne beheersing:
- Vooraf bepaalde bedrijfsregels consistent toe te passen;
- Complexe berekeningen uit te voeren bij het verwerken van grote hoeveelheden gegevens;
- Verbeteren tijdigheid, beschikbaarheid en nauwkeurigheid van informatie;
- Aanvullende analyses van informatie vergemakkelijken;
- De uitvoering van activiteiten, beleidslijnen en procedures beter te monitoren;
- Risico beperken dat interne beheersingsmaatregelen worden omzeild;
- De mogelijkheid te verbeteren om een effectieve functiescheiding te bereiken door
beveiligingsmaatregelen te implementeren in toepassingen, databanken en
besturingssystemen.
, Starreveld – Interne beheersing
Definitie interne beheersing: “alle activiteiten met betrekking tot het systematisch verzamelen,
vastleggen en verwerken van gegevens, gericht op het verstrekken van informatie ten behoeve
van het besturen, het doen functioneren en beheersen van een huishouding en ten behoeve van de
verantwoording die daarover moet worden afgelegd”.
“Wet van samenhang tussen toestand en gebeuren” waardenkringloop geeft de samenhang aan
tussen de verschillende processen en geeft aan welke verbandscontroles gelegd kunnen worden.
“Wet van het rationeel verband tussen opgeofferde en verkregen zaken” gebaseerd op
afnemende mogelijkheid om controle op de volledigheid van de opbrengsten te baseren op het
verband tussen opgeofferde en verkregen waarden (binnen de waardenkringloop).
Functiescheiding had als belangrijkste doel om meerdere functionarissen bij een transactie te
betrekken. Functiescheiding geldt als fundament voor een adequaat systeem van interne controle
en beheersing, van belang voor totstandkoming betrouwbare, waarheidsgetrouwe informatie.
Beschikkend verkopers welke orders bevestigen;
Registrerend backoffice welke de orders in het systeem invoeren;
Controlerend manager die de orders beoordeelt en controller;
Uitvoerend administratieve medewerker welke de facturatie doet en de magazijnmedewerker;
Bewarend administratieve medewerker welke de ontvangsten van de vorderingen bewaakt.
Belangrijkste processen voor Starreveld:
- Verkoop en incassoprocessen
- Inkoop en betalingsprocessen
- Transformatieprocessen – voorraden, productieprocessen en vaste activa
- Personeels- en salarisprocessen
- Informatieverzorgende processen
Het typologiemodel is gericht op het vaststellen van de betrouwbaarheid van (financiële) informatie
– de volledigheid van de opbrengsten en schulden, en de juistheid van de kosten en vorderingen.
Het geeft aan hoe de interne controle en de informatievoorziening in te richten per type
organisatie.
