H2 Control en controlmodellen
H2.1 Waarom control?
Control is er om financiële en niet-financiële doelstellingen te kunne behalen. Een
organisatie moet hiervoor ‘in control’ zijn.
Waarom control? om te voorkomen dat er situaties als een onvoldoende voor een
project, Enron, Ahold en Volkswagen ontstaan (heeft te maken met de openingscasus van dit
hoofdstuk). Dit is een ‘negatieve formulering’, namelijk wat je wil voorkomen. Positief
geformuleerd gaat het om de volgende punten in een bedrijf:
- Efficiëntie en effectiviteit van bedrijfsprocessen
o Efficiënt wil zeggen dat er een goede verhouding is
tussen de input (kosten) en de output
(opbrengsten). Er wordt geen geld of tijd verspilt.
Nu kun je heel efficiënt werken, maar toch je doel
niet bereiken. Dan ben je niet effectief.
- Betrouwbare rapportages
o Dit wil zeggen dat de informatie die naar buiten gaat, maar ook die het bedrijf
binnenkomt, betrouwbaar is. Door eerder gebeurde boekhoudschandelen is
er nu bepaalde wet- en regelgeving om beleggers en andere
belanghebbenden bij het bedrijf te beschermen. Is de Verenigde Staten is dit
de Sarbanes-Oxley-wet SOx en in Nederland de Corporate Governance Code
(die van de VS is een wet en die van NL niet, maar wel via het BW titel 2.9 in
de wet verankerd).
Code geldt voor beursgenoteerde bedrijven en bestaat uit ‘principes’
en ‘best practices’. ‘Goed bestuur en goed toezicht’.
Het bestuur moet verantwoording afleggen doorgaans in de vorm
van een ‘in control statement’.
- Naleven van wet- en regelgeving
o Dit wordt ook wel compliance genoemd.
Deze drie elementen maken samen dat een bedrijf al dan niet ‘in control’ is.
Deze opsomming is gebaseerd op COSO. Hierover volgt in paragraaf 2.3 meer.
H2.2 Wat is control?
Vanuit de theorie zijn er meerdere controlmodellen beschikbaar die het vraagstuk ‘wat
control inhoudt’ wetenschappelijk benaderen. Voorbeelden hiervan zijn:
- Simons, 1995
- Merchant, 2007
- Malmi & Brow, 2008
- Fereira & Otley, 2009
Behandeling van deze modellen valt buiten het
kader van dit boek. Toch gaan we wel aandacht
besteden aan het model van Simons, omdat daarin
op hoofdlijnen duidelijk wordt gemaakt waaruit een
goede control bestaat. Hij onderscheidt namelijk
vier levers of control, ofwel ‘hefbomen’ die gezamenlijk voor een goede control zorgen.
, 1. Belief systems missie en visie, maar ook cultuur is hier van belang. Waar geloven
we in? Maar om niet ‘uit de bocht te vliegen’ introduceert Simons de..
2. Boundary systems dit zijn grenzen waar mensen niet overheen mogen. Regels in
de vorm van richtlijnen, maar ook gedragscodes. Volgen mensen dit en presteren ze
goed? Dit kan je zien met de …
3. Diagnostic control systems dit is het tegenover elkaar zetten van bereikte
resultaten en doelstellingen. Betrouwbare informatie over wat bereikt is.
4. Interactive control systems een soort helicopterview om te kijken of de
doelstelling nog wel haalbaar is. Dit gebeurt samen met betrokkenen in en buiten de
organisatie.
In dit model komt het onderscheid tussen hard controls
en soft controls naar voren.
Hard controls = structuren, taken, verantwoordelijkheden
en procedures. Denk aan punt 2 en 3 uit het model.
Soft controls = overtuigingen, ideeën en opvattingen van
mensen. Denk aan punt 2 in het model.
H2.3 COSO Internal Control Framework
De COSO-kubus
COSO = Committee of Sponsoring Organizations of the Treadway
Commision), bestaande uit accountants, auditors, financiele
deskundigen en de Amerikaandse Rekenkamer die in 1992 een
rapport publiceerde over internal control.
Het COSO Internal Control Framework wordt weergegeven in de
COSO-kubus. Deze geeft de relatie weer tussen:
- De doelstellingen van een organisatie
- De control componenten
- De onderdelen van de organisatie waarop het framework van
toepassing is
- De bovenste zijde heeft de gebieden weer waarop de organisatie in control moet zijn,
namelijk operations, reporting en compliance.
- De rechterkant laat zien dat COSO alle onderdelen van de organisatie omvat. De
onderdelen zijn: entity-level, division, operating unit en function.
- Maar de voorkant is het belangrijkst. Hier zijn de vijf stappen te zien die gezamenlijk
op de juiste wijze ingevuld, ervoor moeten zorgen dat een organisatie in control is.
Effectieve control in vijf stappen:
1. Control environment (controleomgeving)
2. Risk assessment (risicobeoordeling)
3. Control activities (beheersmaatregelen)
4. Information & communication (informatie en communicatie)
5. Monitoring (bewaken)
,H2.4 Risicomanagement
Voor dit onderdeel heeft COSO apart het ERM-model (Enterprise Risk Management)
ontwikkeld.
Hoewel dit model niet als een kubus is gepresenteerd, zien we toch elementen terug die we
ook in het COSO-ICFR-model gezien hebben.
Binnen ERM gaat het specifiek om de vraag hoe met risico’s wordt omgegaan die het
behalen van de bedrijfsdoelstellingen kunnen bedreigen.
Specifiek op risicomanagement gerichte punten: als onderdeel van de strategievorming zal
de ‘risk appetite’ moeten worden bepaald. hoe. Gaat de onderneming met risico’s om,
welke risico’s vindt de onderneming
acceptabel? (Onthoud: Ondernemen
is risico’s nemen. Zonder risico geen
winst!)
Event Identification = op wat voor
manier worden de te behalen doelstellingen beïnvloed? Bij een negatieve beïnvloeden
spreken we van een threat/bedreiging, bij een positieve invloed van een
opportunity/mogelijkheid.
De ernst van de beïnvloeding hangt af van de kans x impact. Hiernaast
zie je een risicomatrix daarvan:
Voor de belangrijkste risico’s wordt gekeken of er beheersmaatregelen
kunnen worden vastgesteld en gedefinieerd, de zogenoemde risk
response. In de Engelse literatuur worden de vier risk responses vaak
aangeduid met de term de 4 T’s:
Transfer (overdragen ofwel verzekeren)
Treat (beheersen)
Take (accepteren)
Terminate (vermijden, dus ermee stoppen)
, H2.5 Toepassingen in de praktijk
COSO is een belangrijk hulpmiddel bij het invoeren en bewaken van control binnen een
organisatie.
Voorbeelden van modellen die vanuit verschillende invalshoeken zijn ontstaan, zoals control,
kwaliteitsmanagement en strategie. We benoemen een drietal:
ISO 9001
o Internationale organisatie voor standaardisatie
o ISO 9001 komt uit de kwaliteitsmanagementhoek en kan gebruikt worden om
te beoordelen of een organisatie voldoet aan de eisen van klanten en andere
belanghebbenden.
o ISO-certificaat kan worden afgegeven
INK-model
o Instituut Nederlandse Kwaliteit
o Komt ook uit de kwaliteitshoek en is gebaseerd op de PDCA-cyclus.
o Wordt gerekend tot het terrein van de zogenoemde integrale kwaliteitszorg,
beter bekend als total quality management (TQM).
o Een succesvolle organisatie voldoet aan vijf fundamentele kenmerken:
1. Inspirerend leiderschap
2. Resultaatgerichtheid
3. Continu verbeteren en vernieuwen
4. Bouwen op vertrouwen
5. Samenwerking
In het INK-model worden negen
aandachtsgebieden
onderscheiden.
Links zie je vijf organisatie
gebieden en rechts de vier
resultaat gebieden.
Daarnaast is er nog een tiende
aandachtsgebied en dat is
‘Verbeteren en vernieuwen’. Dit
aandachtsgebied wordt wel de
feedbackloop in het model
genoemd.
PDCA-cyclus
Om het verbeterproces te kunnen richten en sturen, wordt
gebruiktgemaakt van een zogenoemde verbetercyclus, de
Demingcirkel.
1. Plan: plannen van verbeteractiviteiten en het stellen
van doelen.
2. Do: uitvoeren van geplande activiteiten.
3. Check: meten en nagaan in hoeverre de afgesproken
doelen behaald zijn.
4. Act(ualize): bijstellen van het plan, de norm of de
uitvoering.
