Inleiding

Begrippen als interne beheersing (IB), administratieve organisatie (AO) en interne controles (IC) zijn onlosmakelijk met elkaar verbonden. Interne controles en audits worden uitgevoerd om te toetsen of het stelsel van beheersmaatregelen werkt zoals deze is opgezet.

1   Wat is Interne Beheersing? 

Organisaties zijn omgeven met interne en externe onzekerheden die de realisatie van de doelstellingen in gevaar kunnen brengen. Een organisatie is 'In Control' als ze deze onzekerheden onderkent en beheersmaatregelen neemt zodat de kans groter wordt dat de risico's zich niet gaan voordoen en de organisatie haar doelstellingen behaald. Het stelsel van interne beheersmaatregelen draagt daarmee direct bij aan de voorspelbaarheid en de realisatie van de doelstellingen van een organisatie.

1a   Waarom interne beheersing?

Als eigenaar of bestuurder van een organisatie kun je niet overal in het bedrijf aanwezig zijn. Dan bestaat het risico dat er door managers en medewerkers beslissingen worden gemaakt of handelingen worden uitgevoerd die niet in het belang zijn van de organisatie. De eigenaar/bestuurder kent de volgende zogenaamde 'controleproblemen':

• Medewerkers maken fouten;
• Medewerkers streven eigen belangen na;
• Medewerkers beschikken niet over de benodigde kennis en kunde;
• Medewerkers weten niet wat ze moeten doen;
• Medewerkers zijn niet gemotiveerd;

Je kunt en wilt als eigenaar of bestuurder niet alle beslissingen en handelingen van medewerkers controleren. Maar je wilt ook voorkomen dat verkeerde beslissingen of handelingen ten koste gaan van de doelstellingen van de organisatie. Of nog erger, leiden tot faillissement van je bedrijf. Zie hier het beheersingsvraagstuk (of control vraagstuk) waarvoor eigenaren en bestuurders staan. 

1b   Stelsel van interne Beheersmaatregelen

Eigenaren/bestuurders richten een stelsel van interne beheersmaatregelen in die een effectieve sturing en beheersing van de organisatie mogelijk moet maken. Dit stelsel van beheersmaatregelen is nodig om te borgen dat medewerkers de aan hen gemandateerde taken goed uitvoeren. En om te voorkomen dat er onregelmatigheden in de bedrijfsvoering (zoals diefstal, fraude of misbruik van informatie) plaatsvinden. Veel voorkomende beheersmaatregelen zijn:

• Procesbeschrijvingen, richtlijnen en instructies; een belangrijke maatregel om de interne beheersing te versterken is om specifiek gedrag van medewerkers voor te schrijven. Door de werkzaamheden binnen een organisatie op te delen in rollen, taken en verantwoordelijkheden wordt voor iedereen duidelijk wat van hen wordt verwacht en wat je van de anderen (voor gedrag) mag verwachten. Door het opstellen van richtlijnen of instructies geeft je nadere invulling aan hoe de taken precies moet worden uitgevoerd. En met interne controles kun je dan controleren of deze instructies ook daadwerkelijk zijn opgevolgd.

• Controletechnische Functiescheiding; dit houdt in dat werkzaamheden binnen een bedrijf worden opgesplitst (gescheiden) om fouten dan wel fraude tegen te gaan. Zodat een vergissing van een magazijnmedewerker (te veel uitgeleverde goederen) snel wordt opgemerkt en het lastiger wordt om goederen of geld te stelen. Functiescheiding creëert tegengestelde belangen tussen onafhankelijk van elkaar opererende medewerkers. Door onafhankelijke informatie van medewerkers met elkaar te vergelijken worden verschillen opgemerkt. Zo moet het aantal afgeleverde goederen (magazijnbeheerder) gelijk zijn aan het aantal ingekochte goederen (inkoper).

• Waardekringloop & Verbandscontroles; de waardekringloop is het verband tussen de goederen en geldbeweging binnen een bedrijf. Bij bedrijven met een sterk verband tussen de goederen- en geldstromen (zoals bij handels- en productiebedrijven) is de goederenbeweging een belangrijke houvast voor de controle op de volledigheid van de opbrengsten. Van de waardekringloop kun je namelijk verschillende verbanden afleiden om de betrouwbaarheid van de financiële cijfers vast te stellen. Zo moet het aantal goederen in voorraad gelijk zijn aan het aantal ingekochte goederen minus het aantal verkochte goederen. Enkele veelvoorkomende verbands(controles) zijn: 

• Beginvoorraad + inkopen – eindvoorraad = verkopen
• Aantallen inkoop * inkoopprijs = kostprijs omzet = toename crediteuren
• Werkelijke productie * normatief verbruik grondstoffen = verwacht grondstoffen verbruik
• Uitgeleverde goederen * verkoopprijs = gefactureerde order = omzet = toename debiteuren 

• Toegangsbeveiliging; is een repressief beheersmaatregel. Medewerkers worden uitgesloten van bepaalde handelingen. Beveiliging is een sterk beheersinstrument voor het beschermen van waardevolle goederen of informatie tegen misbruik. Als het uitsluiten doorschiet kan wel een sfeer van onderling wantrouwen ontstaan wat weer een negatief effect kan hebben op de motivatie van de medewerkers.
  • Fysieke beveiliging; door ruimtes fysiek af te sluiten wordt mogelijk onbehoorlijk gedrag tegen gegaan. Het kan gaan om de kamer van de administrateur die de centrale kas beheerd tot de voorraadkast met kantoorbenodigdheden waarvan alleen de secretaresse de sleutel heeft.
  • Informatiebeveiliging; hier gaat het erom dat niet alle medewerkers vanuit privacy- of andere overwegingen toegang hebben tot de computersystemen. Zo bevindt de server zich veelal in een fysiek afgesloten ruimte en hebben de medewerkers (en het management) autorisaties met beperkte rechten om informatie te raadplegen of mutaties door te voeren.

1c   Administratieve Organisatie (AO)

In de administratieve organisatie worden de interne beheersmaatregelen van de organisatie beschreven. In het vakgebied BIV-AO ligt daarbij de nadruk op de beheersing van de financiële risico's. In de administratieve organisatie wordt onder andere duidelijk welke functionaris tot wel bedrag een verplichting mag aangaan. En hoe controletechnische functiescheiding in de verschillende (financiële) processen is doorgevoerd. De basis voor elke administratieve organisatie vormen:

• Sturingsfilosofie
• Organisatie- en Overlegstructuur
• Risicoanalyses
• Procesbeschrijvingen & Werkinstructies
• Verbandscontroles
• Mandateringsbesluit & Procuratieregeling
• Autorisatieschema's
• Vigerende Wet- en regelgeving

In de administratieve organisatie wordt dus duidelijk hoe een bedrijf de betrouwbaarheid van de (financiële) informatievoorziening borgt. De administratieve organisatie vormt daarmee het startpunt voor het uitvoeren van interne controles. Klopt het dat inkopen alleen plaatsvinden door medewerkers die daarvoor zijn gemachtigd? En blijkt uit de personeelsdossiers dat alle medewerkers over een Verklaring Omtrent het Gedrag (VOG) beschikken?

2   Interne Controles (IC)

In de administratieve organisatie (AO) is de opzet van het stelsel van beheersmaatregelen vastgelegd. Met interne controles stel je de werking van de beheersmaatregelen vast om zo de betrouwbarheid van de financiële informatie aan te tonen. Bij interne controles stel je vast of een organisatie werkt volgens de afspraken die in de processen, werkinstructies en richtlijnen zijn vastgelegd? We onderscheiden de volgende soorten 'interne controles'.  

2a   Reguliere (proces) controles

Sommige bedrijfsprocessen zijn dermate risicovol dat binnen het betreffende bedrijfsproces zelf al controles worden uitgevoerd om vast te stellen of de beheersmaatregelen (gemaakte procesafspraken) nageleefd worden. Zo controleert de salarisadministratie eerst of het afdelingshoofd van een medewerker akkoord is voordat het tot uitbetaling van reiskosten over gaat. En vindt er na een productie-batch steekproefsgewijs een kwaliteitscontrole plaats om vast te stellen of de geproduceerde goederen voldoen aan de gestelde eisen. 

Het uitvoeren van reguliere controles valt onder verantwoordelijkheid van de betreffende manager zelf. De manager gebruikt de cyclus van controles en aanbevelingen die worden gedaan om zijn/haar bedrijfsprocessen continu te verbeteren. Om zo de fouten die in het proces worden gemaakt op te lossen en de risico's die zich in de bedrijfsprocessen voordoen te ondervangen.           

2b   Verbijzonderde (gegevensgerichte) controles 

Verbijzonderde controles maken geen onderdeel uit van de reguliere bedrijfsprocessen. Verbijzonderde controles zijn aanvullende controles die veelal door een onafhankelijke AO-IC afdeling worden uitgevoerd. Verbijzonderde interne controles worden uitgevoerd in de processen met de grootste financiële en maatschappelijke risico's en is bedoeld om foutgevoelige processen te identificeren en de gerelateerde risico's te beperken. Dat is ook de reden dat verbijzonderde controles veelal plaatsvinden op de financiële- en salarisadministratie en de inkoopafdeling. 

• Gegevensgerichte controles; verbijzonderde controles zijn zogenaamde gegevensgerichte controles. Gegevensgerichte controles omvatten detailcontroles van transactiestromen, rekeningsaldi en cijferanalyses. Zo moet uit het balansdossier van de debiteurenpositie blijken welke concrete vorderingen aan deze positie ten grondslag liggen. Rekening houdend met de post van dubieuze debiteuren. En moet uit cijferanalyses blijken dat managementrapportages aansluiten op de grootboekrekeningen van de boekhouding.    

• Controleplan; de afdeling AO-IC (of auditafdeling) stelt elk jaar een controleplan op. Op basis van een risicoanalyse van de geldstromen wordt duidelijk welke verbijzonderde controles in het komend jaar worden uitgevoerd. En hoe vaak en welke teams deze controles gaan uitvoeren. Het controle plan wordt door de bestuurder / eigenaar vastgesteld. En door het controleplan met de accountant af te stemmen voorkom je dat de accountant zelf deze gegevensgerichte controles moet uitvoeren. De accountant kan zich beperkten tot de zogenaamde systeemcontroles. 

De tabel hiernaast betreft een passage uit het controleplan van de provincie Zuid-Holland. De tabel geeft aan welke verbijzonderde (gegevensgerichte) controles de provincie het komend jaar gaat uitvoeren en welke teams verantwoordelijk zijn voor de uitvoering ervan.    

2c   Systeemcontroles

Naast reguliere controles (in de bedrijfsprossen zelf) en de verbijzonderde controles kennen we ook nog de zogenaamde systeemcontroles. Het primaire doel van de systeemcontroles is om de organisatie inzicht te verschaffen in de opzet en de werking van het stelsel van beheersmaatregelen, zodat er een uitspraak kan worden gedaan over de aspecten volledigheid, juistheid en tijdigheid van de bestuurlijke informatievoorziening.   

Veelal worden systeemcontroles door een auditafdeling of kwaliteitsafdeling uitgevoerd. Maar ook de accountant voert systeemcontroles uit. Op basis van een risicoanalyse wordt de opzet en werking van de beheersmaatregelen van de meest risicovolle processen getoetst. Dit gebeurt door de resultaten van de reguliere en verbijzonderde controles te  'controleren'. Bijvoorbeeld door de onderliggende dossiers van een aantal van deze controles te beoordelen. Als blijkt dat deze controles goed zijn uitgevoerd en de resultaten ervan geen aanleiding geven tot aanvullende maatregelen is de conclusie dat de opzet en werking van de beheersmaatregelen voldoen. En de belangrijkste risico's beheerst worden.

2d   Audits

Een audit is een systematisch en periodiek onderzoek naar de organisatie en haar processen. Bij een audit onderzoek je of de organisatie en haar processen conform wet- en regelgeving, standaarden, normen en doelen worden uitgevoerd. Audits kunnen zich richten op een complete organisatie, maar bijvoorbeeld ook op een specifiek proces binnen een organisatie. Audits komen in alle maten en vormen voor. Veelvoorkomende audits zijn:

• Financial audit; audits worden vaak geassocieerd met financiële controles. De financial audit richt zich op het controleren van de boekhouding en verantwoordingsstukken zoals jaarrekeningen, subsidieaanvragen of rapportages. Bij een financiële audit staat de controle op de volledigheid van de opbrengsten en de rechtmatigheid van de uitgaven centraal.

• Operational audit; bij dit soort onderzoeken staat de doelmatigheid en effectiviteit van de bedrijfsprocessen centraal. Het kan dan gaan om zowel primaire, ondersteunende als bestuurlijke processen. Zo moet een onderzoek naar de planning- en controlcyclus antwoord geven op de vraag of deze voldoende bijdraagt aan een effectieve sturing van de organisatie. En kan een onderzoek naar een productieproces handvatten geven hoe de afval en uitval in het productieproces vermindert kan worden. 

• IT-audits; steeds meer bedrijfsprocessen worden geautomatiseerd. Het wordt dus steeds belangrijker om de doelmatigheid en effectiviteit van het applicatielandschap en de afzonderlijke IT-systemen te beoordelen. En om vast te stellen of en in welke mate de systemen bijdrage aan de naleving van wet- en regelgeving. Zijn gegevens voldoende beveiligd zodat gegevens van patiënten niet op straat komen te liggen? Is de functiescheiding zoals vastgelegd in het mandateringsbesluit goed verwerkt in het autorisatieschema van de systemen? etc.   

• Organisatiebrede audit; in een organisatiebrede audit wordt onderzoek gedaan naar de winstgevendheid, doelmatigheid en effectiviteit van de organisatie als geheel. En wordt onderzocht of en in welke mate de verschillende onderdelen van een organisatie effectief samenwerken. De aanbevelingen die hieruit voorkomen zijn bedoeld om de prestaties van de organisatie als geheel te verbeteren. Organisatiebrede audits worden vaak uitgevoerd door meer gerenommeerde adviesbureaus als McKinsey, Gartner of Berenschot.    

• Forensic audit; hier gaat het om onderzoek naar fraude. Het forensisch onderzoek heeft tot doel gegevens te verzamelen, controleren, veredelen, bewerken en analyseren, om tot een sluitende bewijsvoering te komen. Ook hier geldt weer dat er bedrijven zijn die zich in deze vorm van auditing gespecialiseerd hebben. 

Audits kunnen zowel door organisaties zelf als door externe partijen worden uitgevoerd. Interne onderzoeken worden vooral gebruikt door het management om de bedrijfsprocessen (continu) te verbeteren. Externe audits hebben vaak een meer onafhankelijk en controlerend karakter. Zo voert de inspectie van de Gezondheidszorg regelmatig (onverwachte) controles uit naar de kwaliteit van de zorgprocessen binnen zorgorganisatie. Waarbij zorgorganisaties geldboetes krijgen opgelegd als de Inspectie tekortkomingen vast stelt.  

2e   Controlepiramide

Zoals uit bovenstaande al blijkt kent elke organisatie controlemechanismen om de rechtmatigheid en doelmatigheid van beleid en uitgaven te borgen. Dit varieert van reguliere controles in bedrijfsprocessen tot aan de externe accountantscontrole. Deze controlemechanismen vormen samen de controlepiramide. Het is niet efficiënt en effectief wanneer alle betrokkenen in de controlepiramide dezelfde controles uitvoeren. Dit kost veel geld en leidt gegarandeerd tot frustraties. Daarom leunen de verschillende controlemechanisme op elkaar. 

1. Zelfcontrole; is wellicht het meest effectieve controlemechanisme. Als een medewerker gemotiveerd en bekwaam is en de medewerker weet wat van hem/haar wordt verwacht dan is de kans groot dat de medewerker handelt in het belang van de organisatie en weinig fouten zal maken. Zelfcontrole staat aan de basis van de controlepiramide. 

2. Reguliere procescontroles; medewerkers kunnen ongemotiveerd zijn, fouten maken of eigen belangen nastreven. Het is daarom van belang in de (risicovolle) bedrijfsprocessen reguliere procescontroles uit te voeren om vast te stellen of de processen conform de afspraken en standaarden worden uitgevoerd. Zo zal een administratief medewerker van een zorginstelling bij het zorgplan van elke patiënt, zoals opgesteld door de verpleegkundige, toetsen of het zorgplan voldoet aan de door de overheid gestelde eisen. 

3. Verbijzonderde controles; omdat de financiering van de activiteiten en daarmee de continuïteit van een zorginstelling mede afhangt van de kwaliteit van het zorgplan voeren de meeste zorginstellingen (naast de reguliere procescontroles door de administratief medewerker) ook onafhankelijke verbijzonderde controles uit op de zorgplannen. Enerzijds om de volledigheid van de opbrengsten te borgen. Anderzijds om de kwaliteit van het zorgplan proces continu te verbeteren. De afdeling AO-IC stelt steekproefsgewijs vast of de reguliere procescontroles goed zijn uitgevoerd en of de bevindingen die daaruit voortkomen door de zorgmanager worden opgevolgd.     

4. Systeemcontroles; bij systeemcontroles worden geen controles op individuele handelingen of dossiers meer uitgevoerd. Bij systeemcontroles wordt de opzet en werking van de beheersmaatregelen beoordeeld. De interne- of externe auditor steunt bij zijn oordeel op de resultaten van de reguliere- en verbijzonderde controles. Dit gebeurt door de resultaten van de reguliere- en verbijzonderde controles steekproefsgewijs te  'controleren'. Zo zal de accountant van de zorginstelling de onderliggende dossiers van een aantal van deze controles beoordelen. Zodat de accountant kan vaststellen dat de resultaten van de interne controles de werkgelijke gang van zaken binnen de zorginstelling weerspiegelen. 

Een accountant of een Inspectie baseert haar oordeel bij voorkeur op de reguliere- en verbijzonderde controles die intern al zijn uitgevoerd. Als zij echter concluderen dat de interne controles niet afdoende zijn zullen zij zelf verbijzonderde controles gaan uitvoeren. Wat veel tijd kost en over het algemeen behoorlijk prijzig is. Bij een effectieve controlepiramide is dat ook niet nodig. Voorwaarde is dan wel dat alle niveaus binnen de controlepiramide goed beeld hebben van de risico's en interne beheersingsmaatregelen die zijn genomen om de kwaliteit en rechtmatigheid van de processen te borgen. Afstemming over de controles en bevindingen die worden gedaan voorkomt dat er dubbele controles plaatsvinden. 

3   Three Lines of Defence Model (3LoD)

Het Three lines of Defence Model van het Institute of Internal Auditors (IIA) wordt vaak gebruikt om taken en verantwoordelijkheden rondom risicomanagement binnen een organisatie te beleggen. Wie is binnen de organisatie verantwoordelijk voor het beheersen van de risico's, wie voert de interne controles uit en wie heeft de verantwoordelijkheid voor de effectiviteit van het stelsel van beheersmaatregelen als geheel? 

De eerste verdedigingslinie (of; eerste lijn) voor het beheersen van risico's ligt bij de business- en proceseigenaren. Het management is dan ook als eerste verantwoordelijk voor het effectief beheersen van de risico's die voortkomen uit de werkprocessen. Het management moet ervoor te zorgen dat doelstellingen worden gerealiseerd zonder dat zich vervelende verrassingen voordoen. De werkprocessen vormen daarmee de eerste verdedigingslinie van de 'three lines of defense'. 

• De 1^ste lijn identificeert en beoordeelt risico's die zich in de werkprocessen voordoen die ten koste (kunnen) gaan van de realisatie van de doeltellingen van de organisatie. 
• De 1^ste lijn neemt maatregelen om de risico's die de tolerantiegrens te boven gaan te beheersen en past de werkprocessen hierop aan.  
• De 1^ste lijn is verantwoordelijk voor het risicobewust maken van de medewerkers.
• De 1^ste lijn past op basis van nieuwe kwaliteitseisen en/of veranderende wet- en regelgeving de werkprocessen aan.  
• De 1^ste lijn stuurt bij (neemt additionele maatregelen) als de risicorapportages die worden opgestelde door de 2^de lijn of de 3^de lijn daartoe aanleiding geven. 

De tweede verdedigingslinie (of: de tweede lijn) richt zich op de ondersteuning van de eerste lijn bij de beheersing van risico’s. De tweede lijn ondersteunt de eerste lijn bij de implementatie van effectief risicomanagement. De tweede lijn faciliteert het management bij het opzetten en/of bewaken van de eerstelijns controles. In de tweede lijn zitten vaak compliance- en risk specialisten. Denk daarbij aan functies als interne controleurs, financial controllers, kwaliteitsmedewerkers of specialisten op het gebied van wet- en regelgeving.  

• De 2^de lijn is verantwoordelijk voor het inrichten en bewaken van het risicomanagementsysteem. Dit altijd ter ondersteuning van het primair proces en haar bedrijfsvoering. De 2^de lijn is verantwoordelijk voor de implementatie van het organisatiebrede risicobeleid. Begrippen als risicobereidheid, risicotoleranties (tolerantiematrix) en risico-strategieën staan daarbij centraal. 
• De 2^de lijn ondersteunt het management bij het uitvoeren van risicoanalyses en het nemen van beheersmaatregelen.  
• De 2^de lijn ondersteunt het management bij het implementeren van nieuwe kwaliteitseisen en nieuwe wet- en regelgeving in de werkprocessen. 
• De 2^de lijn stelt risicorapportages op en rapporteert hierover aan het management.

De derde verdedigingslinie (of: de derde lijn) van een effectief risicomanagementsysteem wordt volgens het 3LoD -model gevormd door de audit functie. De audit functie voert onafhankelijk van de eerste- en tweede lijn een beoordeling uit van de risico’s en de risicobeheersing binnen de organisatie. De derde verdedigingslinie geeft de Raad van Bestuur zekerheid over de kwaliteit van het risicomanagementsysteem en zekerheid over de risico's zoals deze door de eerste- en tweede lijn worden gepresenteerd overeenkomen met de werkelijkheid. Dit om te voorkomen dat de Raad van Bestuur (al dan niet bewust) wordt verrast door risico's die zich in één keer gaan voordoen.  

• De 3^de lijn beoordeelt de effectiviteit van het stelsel van interne beheersingsmaatregelen in het algemeen en die van het risicomanagementsysteem (zoals deze in de 1^ste en 2^de lijn is vormgegeven) in het bijzonder. 
• De 3^de lijn beoordeelt de kwaliteit van de risicocontroles en de mate waarin gevolg wordt gegeven aan de uitkomsten ervan. 
• De 3^de lijn rapporteert onafhankelijk aan de Raad van Bestuur en veelal ook aan de Raad van Toezicht.  

Het belangrijkste verschil tussen de derde lijn en de eerste- en tweede lijn is de hoge mate van organisatorische onafhankelijkheid van de derde lijn. De afdeling Internal Audit mag (risico)processen niet sturen of uitvoeren. De audit afdeling is dus niet verantwoordelijk voor de effectiviteit van het risicomanagementsysteem. Van de auditafdeling wordt wel verwacht dat deze advies geeft over het verbeteren van het risicomanagementsysteem. De audit functie kan intern gepositioneerd zijn of kan door externe partijen ingevuld worden.

4   Gerelateerde Managementmodellen

Zoals in de inleiding al aangegeven zijn er boekenkasten volg geschreven over het begrip 'interne beheersing'. Hieronder vindt je een aantal managementmodellen die op hun eigen manier invulling hebben gegeven aan de sturing en beheersing van organisaties. 

• Typologie van Starreveld; de typologie van Starreveld is dé klassieker op het gebied van administratieve organisatie en interne beheersing (AO/IB). Het typologiemodel van Starreveld geeft concrete handvatten hoe je de interne beheersing van een organisatie vorm kan/moet geven. Starreveld laat zien dat bij elke type organisatie bepaalde beheerinstrumenten meer voor de hand liggen dan andere.

• COSO ERM; is verreweg het meest gebruikte raamwerk voor het beoordelen en inrichten van risicomanagement. Al meer dan twintig jaar geleden heeft het Committee of Sponsoring Organizations of the Treadway Commission(COSO), het Interne Beheersing Geïntegreerd Raamwerk (Internal Control Integrated Framework) uitgevaardigd om ondernemingen en andere organisaties te helpen met het beoordelen en verbeteren van de interne beheersingssystemen. Het Raamwerk is door COSO in een kubus weergegeven.   

• Raamwerk Risicomanagementsysteem; op basis van het Enterprise Risk Management van COSO heeft House of Control een Raamwerk Risicomanagement ontwikkeld. Het raamwerk omvat 8 concrete stappen die je moet doorlopen om met succes risicomanagement in jouw organisatie te introduceren of te verbeteren. Begrippen als integraal risicomanagement, risicobewustzijn, risicobereidheid, risicotolerantie en risico strategieën staan daarbij centraal. Ook wordt duidelijk hoe je risico's kunt identificeren, waarderen en categoriseren zodat je de juist maatregelen kunt nemen om je risico's te beheersen.

• 'In Control'; een organisatie is 'in control' als ze voorspelbaar is. Dat wil zeggen dat de bedrijfsvoering op alle niveaus dusdanig op orde is dat met redelijke mate van zekerheid kan worden gesteld dat de doelstellingen worden gerealiseerd. Op deze pagina wordt ingegaan op wat 'in control' nu precies betekent, welke vormen van control we onderscheiden, wat het verschil is tussen hard en soft controls en welke instrumentje je als organisatie in kunt zetten om 'in control' te komen.