Administratieve Organisatie (AO)

Inleiding 

De Administratieve Organisatie (AO) vormt binnen elke organisatie de basis voor het beheersen van de (financiële) risico's. In de administratieve organisatie worden de werkwijzen, regels, procedures, taken, bevoegdheden, verantwoordelijkheden en interne controlemaatregelen beschreven. Met als doel het vastleggen én veilig stellen van alle opbrengsten, het zeker stellen van de rechtmatigheid van de uitgaven én het beschermen van andere waarden/productiemiddelen van een bedrijf.

 

1   Wat is een Administratieve Organisatie (AO)?

2   Wet- en Regelgeving

3   Instrumenten

a      Mandateringsbesluit & Procuratieregeling
b      Risicomanagement
c      Procesbeschrijvingen & Werkinstructies
d      Verbandscontroles
e      Gedragscodes

4   AO-Handboek

5   Aandachtspunten AO

6   Gerelateerde Managementmodellen

a      Typologie van Starreveld
b      Three lines of Defence (3LoD-model)
c      Raamwerk Risicomanagementsysteem
d      In Control?  

 

1   Wat is een Administratieve Organisatie (AO)? 

Als eigenaar of bestuurder van een organisatie kun je niet overal in het bedrijf aanwezig zijn. Eigenaren of bestuurders geven daarom managers en medewerkers mandaat om namens de eigenaar/bestuurder beslissingen te nemen of handelingen uit te voeren. Omdat je als eigenaar of bestuurder niet alle beslissingen en handelingen van de managers en medewerkers kunt controleren wordt een stelsel van interne beheersmaatregelen ingericht die de volledigheid en juistheid van opbrengsten en kosten moet garanderen. En de waarde van het bedrijf moet beschermen. Het stelsel van interne beheersmaatregelen wordt in de administratieve organisatie vastgelegd.  

 
  • Goed Bestuur; in de administratieve organisatie worden bevoegdheden, regels en procedures vastgelegd die het kader vormen voor het administratieve proces. Een goed functionerende administratieve organisatie helpt om de juiste informatie op het juiste moment beschikbaar te krijgen. En maakt het mogelijk om de organisatie goed te beheren en te besturen.
 
  • Oorsprong; traditioneel gezien richt de administratieve organisatie zicht op het systematisch verzamelen, vastleggen en verwerken van gegevens t.b.v. betrouwbare financiële verslaggeving. De administratieve organisatie moet zo zijn ingericht dat alle opbrengsten en kosten juist en volledig in de boekhouding terecht komen. En dat de informatie daarover, de zogenaamde bestuurlijke informatievoorziening, betrouwbaar is. We hebben het hier over het vakgebied BIV-AO waarvan Starreveld in Nederland de grondlegger is.  
 
  • Bedrijfsprocessen; daar waar 50 jaar geleden de administratieve organisatie vooral betrekking had op het beheersen van de financiële processen zie je dat in de loop van de tijd de reikwijdte is verbreed naar alle bedrijfsprocessen waar risico's zich voordoen die ten koste kunnen gaan van de realisatie van de doelstellingen van de organisatie. Denk bijvoorbeeld aan de procedure dat nieuwe medewerkers om een Verklaring Omtrent het Gedrag (VOG) wordt gevraagd. Dit om het risico te verkleinen dat bedrijfsmiddelen worden ontvreemd of dat door het handelen van een medewerker imagoschade ontstaat. 
 
  • Code Tabaksblat; een andere ontwikkeling is dat overheden steeds strengere eisen stellen aan de betrouwbaarheid van de financiële informatie van bedrijven. Dit als reactie op een aantal boekhoudschandalen eind 20ste en begin 21ste eeuw. Veel gebruikte begrippen in dit kader zijn de Sarbanes-Oxley verklaringen, Code Tabaksblat, governance of ‘in control statements’. De administratieve organisatie, waarin deze aangescherpte eisen zijn vertaald in concrete beheersmaatregelen, is hierdoor de afgelopen twee decennia in omvang toegenomen.  
 

In de administratieve organisatie wordt de opzet van het stelsel van beheersmaatregelen vastgelegd. De werking ervan moet periodiek getoetst worden. Dit kan door het uitvoeren van interne controles of het uitvoeren van audits. Je toont dan aan dat managers en medewerkers conform de gemaakte afspraken handelen. Daarmee stel je met grote mate van zekerheid de volledigheid van de opbrengsten en de rechtmatigheid van de uitgaven vast. 

 

2   Wet- en Regelgeving

Wet- en regelgeving vormen een belangrijke toetsingskader voor de interne controleurs of accountant om de volledigheid, juistheid en rechtmatigheid van de opbrengsten en uitgaven vast te stellen. De wet- en regelgeving waaraan organisaties moeten voldoen neemt toe. Veelal als reactie op misstanden of schandalen die zich hebben voorgedaan. Zo heeft de overheid vanwege een aantal beursschandalen meer regels opgelegd aan de financiële sector. Maar moet bijvoorbeeld ook de zorgsector aan steeds meer kwaliteitseisen voldoen. Hierdoor wordt ook de omvang van de administratieve organisatie steeds groter.  

  • Algemene Wet- en Regelgeving; deze wet- en regelgeving zijn voor alle organisaties van toepassing. Onafhankelijk in welke sector een organisatie opereert. 
      • Wetgeving op de Jaarrekening (Burgerlijk Wetboek, Boek 2, Titel 9), in de wet zijn regels opgesteld hoe je een administratie moet voeren en een jaarrekening opstelt. Enerzijds worden modellen voorgeschreven waarin de balans, resultatenrekening en toelichting moeten worden gepresenteerd. Anderzijds worden waarderingsregels uitgewerkt over de manier waarop en tegen welke waarde alle bezittingen, tegoeden, schulden, opbrengsten, kosten en alle andere verrichtingen moeten worden vastgelegd.
      • Algemene verordening gegevensbescherming (AVG); sinds 25 mei 2018 geldt in de hele EU dezelfde privacywetgeving. Het algemene doel van de AVG is om de EU-burgers te beschermen op het gebied van privacyregelgeving en persoonsgegevens. De AVG biedt rechten aan de burgers met betrekking tot persoonsgegevens welke gedeeld worden met organisaties die dergelijke persoonsgegevens verzamelen, opslaan en verwerken.
 
  • Sectorspecifieke Wet- en Regelgeving; deze wet- en regelgeving is toegespitst op, zoals de naam het al zegt, de specifieke sector waarin een organisatie opereert. De wet- en regelgeving stelt eisen aan de specifieke activiteiten die in de betreffende sector worden uitgevoerd. Enkele voorbeelden hiervan zijn:  
      • Wet op het Financieel Toezicht (Wft); met deze wet wordt de toezichtsfunctie van de De Nederlandse Bank (DNB) en de Autoriteit Financiële Markten (AFM) vormgegeven. En wordt duidelijk aan welke eisen financiële instellingen moeten voldoen om als financiële instelling te mogen opereren. Deze eisen zijn als gevolg van de kredietcrisis in 2007 steeds zwaarder geworden. Denk daarbij bijvoorbeeld aan eisen die aan integer bestuur worden gesteld. 
      • Zorgverzekeringswet (ZvW) en Wet langdurige zorg (Wlz); alle zorginstellingen moeten zorg leveren die voldoet aan bepaalde kwaliteitseisen. Zorginstellingen zijn bijvoorbeeld verplicht het zorgplan met cliënten bespreken, medezeggenschap te regelen en een klachtenregeling te hebben. Dit staat in de Zorgverzekeringswet (Zvw) en de Wet langdurige zorg (Wlz). Veelal worden deze kwaliteitseisen, bijvoorbeeld het hanteren van het vier-ogen principe bij het toedienen van medicatie, vastgelegd in protocollen van de betreffende beroepsgroep.
      • Wet op de Europese Aanbesteding; de richtlijnen van de Europese Unie verplichten Europese overheden om overheidsopdrachten die een bepaald bedrag te boven gaan uit te schrijven via de procedure van een Europese aanbesteding. Deze verplichting geldt voor de Rijksoverheid, gemeenten, provincies, waterschappen, scholen, universiteiten en andere publiekrechtelijke instellingen.
 
  • Bedrijfsspecifieke Regelgeving; naast de (sectorspecifieke) wet- en regelgeving waaraan een organisatie moet voldoen stelt een bedrijf vaak ook zelf eisen aan haar eigen handelen. Om de realisatie van haar doelstellingen zoveel mogelijk veilig te stellen. Op basis van een risicoanalyse stelt een bedrijf beheersmaatregelen op om bedrijfsrisico's te verkleinen.
      • Verklaring Omtrent het Gedrag; stel dat een zorginstelling te maken heeft met diefstal bij cliënten door een zorgmedewerker. Naast de zaakschade en het persoonlijk leed loopt de instelling reputatieschade op die de continuïteit van de organisatie in gevaar brengt. Wie wil er nu wonen in een zorginstelling waar je wordt bestolen? Daarom besluiten veel zorgorganisaties dat nieuwe medewerkers een Verklaring Omtrent het Gedrag (VOG) moeten overhandigen voordat ze worden aangenomen.
      • Nevenactiviteiten; in veel bedrijven zijn medewerkers verplicht om nevenactiviteiten die een goede functievervulling in de weg kunnen staan bij de manager te melden. Dit om mogelijke belangenverstrengeling tegen te gaan. 
 

De beheersmaatregelen die een bestuurder neemt moeten er in ieder geval toe leiden dat de organisatie voldoet aan wet- regelgeving. Non-compliance kan grote consequenties hebben. Zo kan een accountant zijn goedkeurende verklaring onthouden, kan de Inspectie voor Gezondheidszorg een vergunning van een huisarts of zorginstelling intrekken en kan de Autoriteit Financiële Markten geldboetes aan bestuurders opleggen. Wat ten koste kan gaan van de opbrengsten of imago van de organisatie. En in het ergste geval zelfs de continuïteit van de organisatie in gevaar brengen. 

 

3   Instrumenten Administratieve Organisatie

In de administratieve organisatie worden de maatregelen vastgelegd die een organisatie neemt om tot goede interne beheersing te komen. Zodat met grote mate van zekerheid de volledigheid, juistheid en rechtmatigheid van de opbrengsten en uitgaven vastgesteld kan worden. En dat wordt voldaan aan wet- en regelgeving. Een administratieve organisatie is dus geen doel op zich. De administratieve organisatie is een afgeleide van de sturingsinstrumenten die de bestuurder nodig acht om te kunnen sturen en beheersen. De administratieve organisatie bevat veelal de volgende (beheers)instrumenten. 

 

3a   Mandateringsbesluit & Procuratieregeling

Bij (middel) grote bedrijven is het voor de eigenaar of bestuurder ondoenlijk om alle beslissingen zelf te nemen en om zelf alle overeenkomsten met externe partijen af te sluiten. Eigenaren of bestuurders mandateren daarom managers en medewerkers om namens hen beslissingen te nemen en overeenkomsten met externe partijen aan te gaan. In het mandateringsbesluit en/of procuratieregeling wordt de verdeling van taken, bevoegdheden en verantwoordelijkheden binnen een organisatie vastgelegd. Zodat voor zowel de organisatieleden als voor de buitenwereld duidelijk wordt wie namens de organisatie beslissingen mag nemen. Hier vind je een voorbeeld procuratieregeling 

 
  • Categorieën mandatering; delegatie van bevoegdheden kan op allerlei soorten handelingen plaatsvinden. Dit is afhankelijk van welke beslissingen de eigenaar en/of bestuurder wil delegeren. De meest bekende is het delegeren van besluiten aan managers om personeel aan te sturen of contracten met leveranciers af te sluiten. Maar een mandateringsbesluit kan ook betrekking hebben op welke functionaris namens de organisatie met de pers mag praten of wie binnen de organisatie verantwoordelijk is voor de feitelijke betalingen.  
  • Beperking mandaat; in het mandateringsbesluit staat veelal ook de beperking van het mandaat aangegeven. Dit kan bijvoorbeeld een beperking zijn in het soort bevoegdheid of de hoogte van het bedrag waarvoor de gevolmachtigde bevoegd is. Zo mag het hoofd van de afdeling inkoop wel verplichtingen aangaan voor € 500.000 maar mag deze functionaris geen personeel aannemen. Hiertoe is alleen het hoofd van de afdeling P&O bevoegd.  
  • Procuratieregeling; de procuratieregeling is een specifieke vorm van mandatering. Onder procuratie wordt verstaan de bevoegdheid om in naam van de eigenaar (of bestuurder) overeenkomsten met externe partijen af te sluiten en/of transacties aan te gaan. De procuratie van functionarissen wordt vastgelegd bij de Kamer van Koophandel zodat externe partijen altijd weten of functionarissen bevoegd zijn, en tot welk bedrag, om contracten namens de organisatie af te sluiten.
 

Onderdeel van de administratieve organisatie is dat er een goed beheer op het mandateringsbesluit en procuratieregeling wordt uitgevoerd. Wijzigingen worden door de secretaris van de raad van bestuur gearchiveerd en verwerkt in het procuratieregister. In het procuratieregister is de procuratie uitgewerkt met de namen van de functionarissen, de functiebenamingen en het personeelsnummer. De bijbehorende handtekeningen en parafen zijn vastgelegd in de betreffende formulieren en worden gearchiveerd en up-to-date gehouden. Het procuratieregister wordt na elke mutatie weer voor maximaal één jaar vastgesteld door de raad van bestuur. 

 

3b   Risicomanagementsysteem (ERM)

Het stelsel van interne beheersmaatregelen is gebaseerd op een analyse van de risico's die zich binnen de structuren, systemen en processen van de organisatie voordoen. Het is daarom van belang om de wijze waarop je risico's identificeert, waardeert en beheerst vast te leggen. Zodat verschillende risico's op soortgelijke manier gewaardeerd en afgewogen kunnen worden. Op de pagina Risicoanalyse is een raamwerk voor een effectief risicomanagementsysteem uitgewerkt. Op deze pagina beperk ik mij tot de stappen die je moet nemen voor een gedegen risicoanalyse: 

 
  • Risico-identificatie; voor het identificeren van risico’s zijn vele methoden beschikbaar. Risico-identificatie kan op basis van statistische modellen plaatsvinden, self-assessments, scenarioplanning of workshops. In de praktijk van House of Control blijkt dat de workshop de meest gehanteerde methode is.
  • Risicowaardering & Tolerantiematrix; in het risicobeleid geeft de organisatie de risicobereidheid van de organisatie aan. Om de kwalitatieve risicobereidheid meetbaar te maken wordt gebruik gemaakt van waarderingscriteria. Met behulp van de kansmatrix en de impactmatrix worden risico's op uniforme wijze gewaardeerd. Om vervolgens het risico uit te drukken in een getalswaarde als uitkomst van kans * impact (bijvoorbeeld 4 * 4 = 16). Dit wordt gevisualiseerd in de tolerantiematrix.
  • Risico-strategieën; voor het beheersen van risico's zijn er vier zogenaamde risicomanagement strategieën mogelijk. Per (soort) risico wordt vastgesteld of je het risico wil reduceren (bijvoorbeeld door werkprocessen anders in te richten), vermijden (door bijvoorbeeld een activiteit niet meer uit te voeren), over te dragen (bijvoorbeeld door een activiteit uit te besteden of het risico te verzekeren) of het risico te accepteren waarbij eventuele schade via het weerstandsvermogen van de organisatie afgedekt moet worden.   
  • Beheersingsmaatregelen; nadat is vastgesteld voor welke risico's welke strategie wordt gevolgd kunnen de maatregelen worden genomen. Het geheel van maatregelen moet leiden tot een effectief stelsel van interne beheersingsmaatregelen die als dusdanig in de administratieve organisatie wordt vastgelegd.
 

Effectief risicomanagement is meer dan het uitvoeren van een risicoanalyse. Risico's veranderen in de tijd. Om tot een effectief risicomanagementsysteem te komen moet je een continu risicoproces inrichten. Denk daarbij aan begrippen als risicobeleid, risicobewustzijn, lijnverantwoordelijkheid, risicobereidheid en risicotoleranties. En leg binnen de administratieve organisatie vast wie binnen de organisatie verantwoordelijk is voor het risicomanagementsysteem.  

 

3c   Procesbeschrijving & Werkinstructies

Elk bedrijf kent haar eigen bedrijfsprocessen. Door het (visueel) beschrijven van de opeenvolgende processenstappen en activiteiten in een bedrijfsproces wordt duidelijk wie op welk moment wat moet doen om tot een specifiek resultaat te komen. Procesbeschrijvingen en werkinstructies gebruik je voor het standaardiseren, efficiënter maken en verbeteren van bedrijfsprocessen. 

 
  • Taken, bevoegdheden en verantwoordelijkheden (TBV); met een heldere verdeling van taken, bevoegdheden en verantwoordelijkheden is voor iedereen duidelijk wie waar over gaat. Onder bevoegdheid wordt verstaan het recht om beslissingen te nemen of de plicht tot het uitvoeren van specifieke activiteiten die voor het uitvoeren van een taak nodig zijn. Onder verantwoordelijkheid wordt zowel de verplichting verstaan om een taak naar beste vermogen uit te voeren als de plicht om over de uitvoering van die taak te rapporteren. 
  • Functiescheiding; binnen bedrijfsprocessen wordt als intern beheersmaatregel gebruik gemaakt van de zogenaamde controletechnische functiescheiding. Dit houdt in dat binnen een proces de opeenvolgende activiteiten door verschillende medewerkers worden uitgevoerd. Zodat een vergissing van een magazijnmedewerker (te veel uitgeleverde goederen) snel wordt opgemerkt en het direct opvalt als er geld uit de kas is verdwenen. Functiescheiding creëert tegengestelde belangen tussen onafhankelijk van elkaar opererende medewerkers. Door onafhankelijke informatie van medewerkers (veelal vastgelegd in systemen) met elkaar te vergelijken worden onregelmatigheden in de kas, het banksaldo of voorraad opgemerkt.
  • Toegangsbeveiliging; vormt een belangrijke (beheers)maatregel om ervoor te zorgen dat alleen de daarvoor gemandateerde medewerkers specifieke activiteiten kunnen uitvoeren. We onderscheiden daarbij enerzijds zogenaamde fysieke beveiliging in de vorm van door sleutels afgesloten ruimten als het magazijn of de kluis. En anderzijds digitale beveiliging door medewerkers alleen die autorisaties te geven in de computersystemen die zij op basis van hun werk nodig hebben. Omdat digitalisering van bedrijfsprocessen steeds verder gaat vormt digitale toegangsbeveiliging een steeds belangrijkere beheersmaatregel.  
  • Vier-ogen principe; binnen processen wordt voor risicovolle activiteiten vaak het vier-ogen principe toegepast. Een beslissing van een medewerker wordt gecontroleerd door een andere medewerker. In de zorg is voor risicovolle medicatie deze zogenaamde dubbelcheck vereist. Samen met een collega controleer of je de juiste medicatie, dosering en toedieningswijze hebt voordat de medicatie feitelijk wordt toegediend.
  • Werkinstructies; legt met gedetailleerde aanwijzingen uit hoe een specifieke activiteit binnen een processtap moet worden uitgevoerd. We kennen allemaal de werkinstructies (veelal voorzien van plaatjes) om in het P&O-systeem verlof aan te vragen, de gemaakte uren te registeren of de gemaakte reiskosten te declareren. In tegenstelling tot bij procesomschrijvingen wordt bij werkinstructies op detailniveau beschreven welke stappen je moet nemen om een activiteit snel, juist dan wel veilig uit te voeren.     
  • Kaders, Richtlijnen en Normen; een ander beheersmaatregel om risico's die zich in bedrijfsprocessen voordoen te verkleinen is het opstellen van kaders, richtlijnen en normen. Zo mogen inkopers alleen inkopen doen bij een tiental geselecteerde leveranciers (kader), mogen de voorraden in principe niet hoger zijn dan een kwart van de jaaromzet (richtlijn) en wordt van de verkoopafdeling verwacht dat zij op elk product een winstmarge van minimaal 20% realiseren (norm).       

Procesbeschrijvingen en werkinstructies gebruik je in eerste instantie voor het standaardiseren, efficiënter maken en verbeteren van je bedrijfsprocessen. Tegelijkertijd vormen de verdeling van taken bevoegdheden en verantwoordelijkheden, het opstellen van werkinstructies en normen en richtlijnen én het gebruik van toegangsbeveiliging en het vier-ogen principe belangrijke beheersmaatregelen die een goede beheersing en besturing van de organisatie mogelijk maken. Procesbeschrijvingen vormen daarmee een belangrijk onderdeel van de administratieve organisatie.  

 

3d   Verbandscontroles

Verbandscontroles spelen binnen de administratieve organisatie van een bedrijf een belangrijke rol. Verbandscontroles zijn relaties tussen twee of meer financiële stromen en/of financiële posities op basis waarvan je de volledigheid en/of juistheid van de administratie controleert. En je zo de betrouwbaarheid van de informatievoorziening aantoont. Met verbandscontroles kun je bijvoorbeeld berekenen hoeveel geld er (theoretisch) in de kas moet liggen of goederen in het magazijn. Of wat het uitstaande bedrag aan debiteuren of crediteuren zou moeten zijn. Met behulp van verbandscontroles verbeter je de betrouwbaarheid tussen de verschillende administraties. Veel voorkomende verbandscontroles zijn:  

 
      • Beginsaldo Crediteuren + Inkopen – Betalingen = Eindsaldo crediteuren
      • Beginsaldo Debiteuren + Verkopen - Ontvangsten - Eindsaldo Debiteuren
      • Beginvoorraad + Inkopen - Verkopen = Eindvoorrraad
      • Beginsaldo Liquide Middelen + Omzet – Betalingen = Eindsaldo Liquide Middelen    
 

Verschillen tussen de berekende eindsaldi (de soll-positie) en de werkelijke saldi (ist-positie) moeten worden geanalyseerd. Als bijvoorbeeld er structureel minder kasgeld aanwezig is dan op basis van de verbandscontroles wordt verondersteld moet met de kasmedewerkers het gesprek gevoerd worden en indien nodig additionele maatregelen worden genomen. Financiële computersystemen als SAP, Exact of AFAS maken allemaal gebruik van verbandscontroles om zoveel als mogelijk de volledigheid en juistheid van de opbrengsten en de rechtmatigheid van de kosten te borgen.

 

3e   Gedragscodes

Veel organisaties geven richting aan het handelen van de managers en medewerkers door mission statements, een visie en gedragscodes op te stellen. Ze zijn bedoeld om de medewerkers te helpen begrijpen welk gedrag van hen verwacht wordt in een situatie waarin er geen specifieke regel kan worden toegepast. Om het effect hiervan te vergroten moeten deze mission statements en gedragscodes worden ondersteund door trainingen en discussies hierover. Voor het effect van een gedragscode is het daarnaast van belang dat het management het goede voorbeeld geeft (practise what you preach!).

Deze zogenaamde mensgerichte sturingsinstrumenten (soft controls) hebben invloed op de motivatie, loyaliteit en normen en waarden van medewerkers. In de veronderstelling dat de persoonlijke doelstellingen in het verlengde van de organisatiedoelstellingen komen te liggen. En de werknemer daarmee altijd handelt in belang van de organisatie. Hoewel deze mensgerichte sturingsinstrumenten veelal het succes van een organisatie bepalen maken deze deze beheersmaatregelen veelal geen onderdeel uit van de administratieve organisatie. Dit omdat het effect van deze beheersmaatregelen niet of nauwelijks is vast te stellen. Tenzij een gedragscode zo concreet is (een medewerker mag geen cadeaus aannemen die meer waard is dan € 50) dat je naleving ervan kunt controleren.    

 

4   Handboek Administratieve Organisatie (AO)

In het AO-handboek staat de opzet van de administratieve organisatie van jouw bedrijf beschreven. In het AO-Handboek staat beschreven hoe het bestuur de organisatie wil aansturen. Voor een goede interne beheersing mag een AO-handboek dan ook niet ontbreken. Waarbij uit het AO-Handboek ook blijkt hoe de betrouwbaarheid van de informatie wordt geborgd. Het is niet voor niks dat de accountant als eerste vraagt naar het AO-handboek als zij een interim- of jaarrekeningcontrole gaat uitvoeren. In het Handboek AO wordt het stelsel van interne beheersmaatregelen beschreven waarbij wordt verwezen naar verschillende documenten: 

 
      • Sturingsfilosofie & Besturingsmodel; is de wijze waarop het bestuur richting wil geven aan de organisatie. Deze uitgangspunten hebben betrekking op de manier van managen, de organisatiecultuur of de inrichting van de organisatie. De sturingsfilosofie is richtinggevend voor de beheersmaatregelen die het bestuur nodig acht. Indien het bestuur uit gaat van het beginsel van vertrouwen dan ontstaat een ander stelsel van beheersmaatregelen dan wanneer het bestuur ervan uitgaat dat medewerkers niet zijn te vertrouwen. 
      • Vigerende wet- en regelgeving; in het Handboek AO wordt de wet- en regelgeving die van toepassing is op de organisatie beschreven. Naast algemene wetgeving (bijvoorbeeld Wetgeving op de jaarrekening) en de sectorspecifieke wetgeving (bijvoorbeeld wet op de Europese aanbesteding voor overheden) betreft het hier ook de door de organisatie zelf opgestelde regelgeving (bijvoorbeeld het verplicht melden van nevenactiviteiten). Wet- en regelgeving vormen een belangrijk toetsingskader om de volledigheid, juistheid, en rechtmatigheid van de opbrengsten en uitgaven vast te stellen.      
      • Organisatie- & Overlegstructuur; van het organisatieschema (de zogenaamde hark) is af te lezen hoe de organisatie hiërarchisch is opgebouwd en wie welke taak uitvoert. Door aan de organisatiestructuur de overlegstructuur van de organisatie toe te voegen wordt duidelijk hoe doelen, taken en procesverbeteringen tussen de verschillende managementlagen, afdelingen en medewerkers op elkaar worden afgestemd. En hoe beslissingen binnen de organisatie tot stand komen.       
      • Procuratieregeling; in de procuratieregeling (of mandateringsbesluit) wordt de verdeling van taken, bevoegdheden en verantwoordelijkheden vastgelegd. Zodat voor zowel de organisatieleden als voor de buitenwereld duidelijk wordt wie namens de organisatie beslissingen mag nemen en/of overeenkomsten mag afsluiten.
      • Risicomanagementsysteem; in het handboek AO staan of wordt verwezen naar de risicoprocessen die men binnen de organisatie hanteert om tot een effectief risicomanagementsysteem te komen. Denk daarbij aan begrippen als risicobeleid, risicobewustzijn, lijnverantwoordelijkheid, risicobereidheid en risicotoleranties. En wordt duidelijk wie binnen de organisatie verantwoordelijk is voor de opzet en werking van het risicomanagementsysteem.
      • Procesbeschrijvingen; in het handboek AO wordt ook verwezen naar de bedrijfsprocessen van de organisatie en de risico's die zich daarin voordoen. Denk bijvoorbeeld aan het inkoop- en betalingsproces of het proces rondom het in dienst nemen van personeel. Door het (visueel) beschrijven van de opeenvolgende processenstappen en activiteiten in een bedrijfsproces wordt duidelijk wie op welk moment wat moet doen om tot een specifiek resultaat te komen. Begrippen als functiescheiding, vier-ogen principe en toegangsbeveiliging staan daarbij centraal. 
      • Kernwaarden; in het handboek AO staan of wordt verwezen naar gedragscodes, ethische codes, mission statements, visies etc. Ze zijn bedoeld om de medewerkers te helpen begrijpen welk gedrag van hen verwacht wordt in een situatie waarin er geen specifieke regel kan worden toegepast. Veelal worden in gedragscodes de kernwaarden van de organisatie beschreven.  
      • Audits- en Interne Controles; in de administratieve organisatie wordt niet alleen de opzet van het stelsel van beheersmaatregelen beschreven. Ook wordt duidelijk hoe de werking van het stelsel wordt getoetst. In de administratieve organisatie wordt duidelijk welke interne controles en audits plaatsvinden om de werking van het stelsel van beheersmaatregelen aan te tonen.   
 

Het AO-handboek omvat dus zowel (1) de wet- en regelgeving waaraan de organisatie moet voldoen, (2) een beschrijving van de opzet van het stelsel van beheersmaatregelen én (3) de wijze waarop de werking van dit stelsel wordt getoetst. 

 

5   Aandachtspunten AO 

De administratieve organisatie vormt de basis voor betrouwbare (financiële) informatie binnen een organisatie. En daarmee voor de sturing en beheersing van die organisatie. Neem daarbij de volgende aandachtspunten in acht:   

 
  • Noodzakelijk kwaad of effectief sturingsinstrument?; het moge inmiddels duidelijk zijn dat een administratieve organisatie onontbeerlijk is voor elk bedrijf. Als je de AO ziet als noodzakelijk kwaad doe je je eigen organisatie tekort. Een effectieve AO draagt bij aan het structuren van de organisatie, de processen en haar systemen. En het voorziet managers en medewerkers in hun informatiebehoefte om de processen, systemen en de organisatie aan te sturen. 
  • AO als 'speeltje' van de financiële administratie?; omdat financiële stromen binnen een organisatie uiteindelijk altijd een plek krijgen binnen de financiële administratie speelt de financiële administratie een belangrijke rol in de administratieve organisatie. Maar dat wil niet zeggen dat de AO het 'speeltje' is van de financiële administratie. Integendeel. De opzet en werking van het stelsel van beheersmaatregelen moet ervoor zorgen dat er geen onregelmatigheden binnen de organisatie plaatsvinden. Daarmee ligt de verantwoordelijkheid van een goede administratieve organisatie bij de eigenaar/bestuurder zelf.    
  • Omvang 'administratieve organisatie'; de administratieve organisatie mag nooit een doel op zich worden. Dit leidt tot onnodige administratieve lasten. Bij een effectieve administratieve organisatie is sprake van een balans tussen noodzakelijke (sturings)informatie enerzijds en de administratieve lasten die daarmee gepaard gaan anderzijds. Waarbij over het algemeen geldt hoe groter de organisatie hoe omvangrijker de AO.
  • Inrichten van de administratieve organisatie; de feitelijke inrichting van de administratieve organisatie verschilt per organisatie. De inrichting hangt onder andere af de sturingsfilosofie van de organisatie, van het type organisatie (handel-, productie- of dienstverlenend bedrijf), de grootte van de organisatie, de organisatiestructuur en de risico's die zich in de bedrijfsprocessen voordoen.
  • Continu Verbeteren; de AO moet zo zijn ingericht dat sprake is van een proces van continu verbeteren. Belangrijk onderdeel van de AO is het uitvoeren van audits en controles. Geconstateerde afwijkingen worden onderzocht op oorzaak en gevolg. De bedrijfsprocessen worden vervolgens hierop aangepast. Er ontstaat een proces van continu verbeteren. 


Elke organisatie beschikt (al dan niet bewust) over een administratieve organisatie. Het hebben van procesbeschrijvingen, werkinstructies, een procuratieregeling of functiescheiding zijn allemaal aspecten die onderdeel uitmaken van de administratieve organisatie. Door de verschillende aspecten van de administratieve organisatie op elkaar af te stemmen ontstaat een effectief stelsel van beheersmaatregelen. Op basis waarvan de eigenaar/bestuurder richting kan geven aan de organisatie. En op basis waarvan de accountant de volledigheid, juistheid, en rechtmatigheid van de opbrengsten en uitgaven kan vaststellen.

 

6   Gerelateerde Managementmodellen 

Het moge duidelijk zijn dat een administratieve organisatie niet mag ontbreken voor een goede interne beheersing van een bedrijf. Het begrip 'interne beheersing' is echter breder dan alleen de administratieve organisatie. Hieronder worden vier bekende modellen toegelicht die het begrip 'administratieve organisatie' plaatsen in een bredere context.

 
  • Typologie van Starreveld; de typologie van Starreveld is dé klassieker op het gebied van administratieve organisatie en interne beheersing (AO/IB). Het typologiemodel van Starreveld geeft concrete handvatten hoe je de interne beheersing van een organisatie vorm kan/moet geven. Starreveld laat zien dat bij elke type organisatie bepaalde beheerinstrumenten meer voor de hand liggen dan andere.

 
  • Three Lines of Defence (3LoD-model); het Three lines Model of Defense model van het Institute of Internal Auditors (IIA) wordt als instrument ingezet om risico's te beheersen en om aan de buitenwereld te laten zien dat je als organisatie 'in control' bent. Het model wordt gebruikt om taken en verantwoordelijkheden rondom risicomanagement binnen een organisatie te beleggen. Wie is binnen de organisatie verantwoordelijk voor het beheersen van de (afzonderlijke) risico's en het stelsel van beheersmaatregelen?  

 
  • Raamwerk Risicomanagementsysteem; In het raamwerk wordt op eenvoudige wijze uiteengezet hoe je in 8 stappen kunt komen tot een effectief risicomanagementsysteem. Zodat risico’s tijdig worden onderkend, de impact ervan kan worden ingeschat zodat medewerkers tijdig kunnen reageren en indien nodig passende maatregelen nemen. Daarmee verhoogd risicomanagement de voorspelbaarheid van de organisatie!

 
  • 'In Control'; een organisatie is 'in control' als ze voorspelbaar is. Dat wil zeggen dat de bedrijfsvoering op alle niveaus dusdanig op orde is dat met redelijke mate van zekerheid kan worden gesteld dat de doelstellingen worden gerealiseerd. Op deze pagina wordt ingegaan op wat 'in control' nu precies betekent, welke vormen van control we onderscheiden, wat het verschil is tussen hard en soft controls en hoe je als organisatie kunt bepalen of je 'in control' bent of niet. 

Deel House of Control via Social Media