Stelsel van Interne Beheersmaatregelen

Inleiding 

Organisaties zijn omgeven met interne en externe onzekerheden die de realisatie van de doelstellingen in gevaar kunnen brengen. Een organisatie is 'in control' als ze deze onzekerheden onderkent en maatregelen neemt zodat de organisatie voorspelbaar wordt. Het stelsel van interne beheersmaatregelen draagt daarmee direct bij aan de realisatie van de doelstellingen van een organisatie. 

 

1   Wat is Interne Beheersing?

a      Waarom interne beheersing?
b      Interne Controle, Internal Control of Managementcontrol? 

2   Stelsel van Interne Beheersmaatregelen

a      Hard Controls
b      Soft Controls
c      Op zoek naar een balans!
d      Administratieve Organisatie (AO)
e      Werking

3   Gerelateerde Managementmodellen

a      Typologie van Starreveld
b      Three lines of Defence (3l-model)
c      Raamwerk Risicomanagementsysteem
d      In Control?  

 

1   Wat is Interne Beheersing? 

Over wat interne beheersing precies is zijn boekenkasten vol geschreven. Waarbij elke auteur zijn eigen definitie hanteert. Om meer duiding te geven aan het begrip 'interne beheersing' wordt eerst uitgelegd waarom 'interne beheersing' nodig is. Om vervolgens de verschillende interpretaties van het begrip 'interne beheersing' toe te lichten.    

 

1a   Waarom interne beheersing?

Als eigenaar of bestuurder van een organisatie kun je niet overal in het bedrijf aanwezig zijn. Dan bestaat het risico dat er door managers en medewerkers beslissingen worden gemaakt of handelingen worden uitgevoerd die niet in het belang zijn van de organisatie. Doordat de eigenaar of bestuurder niet over de schouder van alle medewerkers mee kan kijken kent de eigenaar/bestuurder de volgende zogenaamde 'controleproblemen':

 
      • Mensen maken fouten
      • Mensen streven eigen belangen na
      • Mensen beschikken niet over de benodigde kennis en kunde
      • Mensen weten niet wat ze moeten doen
      • Mensen zijn niet altijd gemotiveerd
 

Je kunt en wilt als eigenaar of bestuurder niet alle beslissingen en handelingen van medewerkers controleren. Maar je wilt ook voorkomen dat verkeerde beslissingen of handelingen ten koste gaan van de doelstellingen van de organisatie. Of nog erger, leiden tot faillissement van je bedrijf. Zie hier het beheersingsvraagstuk (of control vraagstuk) waarvoor eigenaren en bestuurders staan. Eigenaren/bestuurders richten daarom een stelsel van interne beheersmaatregelen in die een effectieve sturing en beheersing van de organisatie mogelijk moet maken. 

 

1b   Interne Controle, Internal Control of Managementcontrol? 

Er bestaat veel onduidelijkheid over wat er met het begrip 'interne beheersing' wordt bedoeld. Dit komt omdat de diverse vakgebieden die zich bezig houden met organisatieontwikkeling en managementcontrol het begrip 'interne beheersing' verschillend interpreteren. Om deze verschillen te duiden worden de begrippen interne controle, internal control en managementcontrol toegelicht.      

 

  • Interne Controle (accountants); bij deze interpretatie van 'interne beheersing' ligt de nadruk op het borgen en toetsen van de betrouwbaarheid van de (financiële) informatievoorziening. Zodat bestuurders, managers, aandeelhouders en andere belanghebbenden afgewogen beslissingen kunnen nemen. Bij deze enge interpretatie van 'interne beheersing' ligt de nadruk op de controle van de informatievoorziening. Wat mijn inziens slechts een klein, zij het een belangrijk, onderdeel uitmaakt van de sturing en beheersing van organisaties.        
 
In Nederland ligt het vakgebied Bestuurlijke Informatievoorziening & Administratieve Organisatie (BIV-AO) aan deze enge definitie van 'interne beheersing' ten grondslag. De typologie van Starreveld is dé klassieker op het gebied van borgen en toetsen van de informatievoorziening. De typologie van Starreveld wordt gebruikt als hulpmiddel om de volledigheid van de opbrengsten en de juistheid van de kosten vast te stellen. Starreveld leunt daarbij zwaar op het hebben van een goede administratieve organisatie en het uitvoeren van interne controles. Belangrijke beheersmaatregelen bij deze interpretatie van 'interne beheersing' zijn verbandscontroles, functiescheiding, procesbeschrijvingen en toegangsbeveiliging. 
 
  • Internal Control (controllers); deze interpretatie van 'interne beheersing' gaat ervan uit dat als een organisatie haar doelstellingen wil bereiken dat ze de risico's die voortvloeien uit die doelstellingen moet proberen te beheersen. Volgens COSO, de grondlegger van 'internal control' moeten processen op zodanige wijze ontworpen worden dat er een redelijke mate van zekerheid is over het halen van de volgende doelen:
      • efficiency en effectiviteit van de door de organisatie uitgevoerde activiteiten;
      • betrouwbaarheid van de financiële verslaglegging;
      • naleving van voor de organisatie relevante wet- en regelgeving;
      • beveiligen van middelen tegen niet-geautoriseerde aankoop, gebruik of verkoop.
    Het begrip 'Internal Control' is daarmee breder dan het begrip 'Interne Controle'. Internal Control stelt dat voor een goede 'interne beheersing' niet alleen de bestuurlijke informatie betrouwbaar moet zijn. Maar dat het stelsel van beheersmaatregelen ook de doelmatigheid en effectiviteit van alle processen moet borgen. Waarbij dus naast de informatie over de financiën ook informatie over de aansturing van de primaire en ondersteunende processen centraal staan. Je kunt het ook zo zien; Interne Controle maakt onderdeel uit van het bredere Internal Control.
 
Het Internal Control Integrated Framework van COSO ligt ten grondslag aan deze meer brede interpretatie van 'interne beheersing'. COSO identificeert de relaties tussen de ondernemingsrisico’s en het interne beheersingssysteem. De door COSO gehanteerde definitie van interne beheersing luidt als volgt: Internal control is "a process effected by an entity’s board of directors, management and other personnel designed to provide reasonable assurance of the achievement of objectives". In het framework werkt het Committee of Sponsoring Organizations of the Treadway Commission (COSO) deze zienswijze uit.    
 
  • Management Control (bedrijfskundigen); hanteert dezelfde reikwijdte van 'interne beheersing' als internal control. Managementcontrol omvat net als Internal Control ook alle besturingsprocessen die de efficiency en effectiviteit van de bedrijfsactiviteiten moeten borgen. Zij het dat het perspectief van Managementcontrol breder is. Internal Control heeft een instrumenteel karakter. Waarbij 'harde beheersingsmaatregelen' als organisatiestructuur, automatisering, procesbeschrijvingen, risicomanagement en de administratieve organisatie centraal staan. Bij managementcontrol maken naast de 'harde beheersmaatregelen' ook de 'zachte beheersmaatregelen' nadrukkelijk onderdeel uit van het sturen en beheersen van de organisatie. Met zachte beheersinstrumenten (soft controls) ligt de nadruk op het creëren van een motiverende en stimulerende omgeving. Om zo het gedrag van medewerkers positief te beïnvloeden.  
 
Het 7S-model is het eerste integrale managementcontrolsysteem, ontworpen door voormalige McKinsey-medewerkers Richard Pascale, Tom Peters en Robert Waterman, om de kwaliteit te meten van de prestaties die een onderneming levert. Met behulp van het 7S-model wordt een complexe organisatie teruggebracht naar zeven factoren. Waarbij naast de meer harde beheersmaatregelen als strategie, structuur en systemen ook nadrukkelijk aandacht is voor de 'zachte beheersinstrumenten' als cultuur, leiderschap en de medewerkers. Het managementcontrolsysteem verschaft daarmee bestuurders één kader voor de aansturing van een organisatie. Het creëren van een management control systeem is het zoeken van een balans tussen de verschillende beheersinstrumenten.

 

Als je met iemand discussieert over het inrichten (of verbeteren) van het stelsel van beheersmaatregelen is dus de eerste vraag wat er precies wordt bedoeld met 'interne beheersing'. Heb je het over de beheersing van de financiële informatievoorziening, het beheersen van de organisatierisico's of over de sturing en beheersing van de organisatie in de meest brede zin van het woord? Afhankelijk van het antwoord op deze vraag geef je richting aan het stelsel van interne beheersmaatregelen. 

 

2   Stelsel van Interne Beheersmaatregelen

Een stelsel van interne beheersmaatregelen is een verzameling van (beheers)instrumenten die managers inzetten om richting te geven aan de organisatie en haar processen. Maar bovenal wordt door het inzetten van beheersinstrumenten geprobeerd het gedrag van medewerkers te beïnvloeden. Dit alles om de gestelde organisatiedoelen te realiseren. Waarbij een onderscheid wordt gemaakt tussen de zogenaamde hard controls (instrumentele beheersinstrumenten) en soft controls (mensgerichte beheersinstrumenten).  

 

2a   Hard Controls

Bij hard controls worden door organisaties maatregelen genomen die gewenst en ongewenst gedrag direct of indirect afdwingen. Zo wordt met behulp van werkinstructies duidelijk welke specifieke handelingen van de medewerkers worden verwacht. En door het afsluiten van de voorraadkast wordt ongewenst gedrag als diefstal bemoeilijkt. 

 
  • Organisatiestructuur; de wijze waarop taken binnen een organisatie zijn verdeeld en de wijze waarop vervolgens afstemming tussen deeltaken plaatsvindt is een belangrijk sturingsinstrument. Het heeft namelijk te maken met de verdeling van activiteiten over de verschillende afdelingen en medewerkers. Een organisatiestructuur is dus heel bepalend voor welke werkzaamheden een medewerker wel én niet mag uitvoeren. Verder moet de organisatiestructuur de strategie van de organisatie ondersteunen. Een strategie van productdifferentiatie wordt bijvoorbeeld niet ondersteund door een functionele indeling van de organisatie.
     
  • Processen & Procedures; binnen een organisatie worden activiteiten geordend in processen om zo efficiënter en effectiever met de middelen om te gaan. Met behulp van processen worden activiteiten gestandaardiseerd. En daarmee ook het handelen van de medewerkers. Wat het weer beter mogelijk maakt om werkzaamheden over te dragen of om van elkaar te leren.   
      • Functiescheiding; dit houdt in dat binnen een proces de beschikkende, bewarende, registrerende, controlerende en uitvoerende werkzaamheden worden gesplitst en toebedeeld aan verschillende personen binnen dat proces. Dit om bijvoorbeeld fraude tegen te gaan. Zo mag een inkoopmedewerker nooit én de inkoop doen, én de goederen in ontvangst nemen én de leverancier betalen.
      • Procuratieregeling; deze regeling geeft het mandaat weer van de medewerkers die namens de organisatie externe verplichtingen mogen aangaan. En voor welk bedrag zij dat mogen. De namen van de gemandateerden worden bij de Kamer van Koophandel gepubliceerd zodat externe partijen op de hoogte (kunnen) zijn wie namens deze organisatie verplichtingen mag aangaan. En wie niet..... (voorbeeld procuratieregeling ). 
      • Rollen, taken & verantwoordelijkheden; door de werkzaamheden binnen een organisatie op te delen in rollen, taken en verantwoordelijkheden wordt voor iedereen duidelijk wat van hen wordt verwacht en wat je van de anderen voor gedrag mag verwachten. Een goede taakomschrijving is dan ook een belangrijk beheersinstrument. 
      • Werkinstructies; instructies zijn een meer directe vorm van gedragsbeïnvloeding. Waarbij het zowel kan gaan om een globale taakomschrijving als om een gedetailleerde instructie zoals bij het gebruik van computersystemen vaak het geval is.
      • Interne Controles; is een beheersinstrument die achteraf controleert of de medewerkers zich hebben gehouden aan de procesafspraken of werkinstructies. De bevindingen van de betreffende controle worden veelal vastgelegd in een rapport en aan het management ter verbetering aangeboden. Die vervolgens het proces verder zal aanscherpen. 
     
  • Automatisering; naast het behalen van efficiencyvoordelen heeft automatisering ook grote invloed op het gedrag van de medewerkers. Immers bij automatisering worden een aantal activiteiten niet meer door de medewerkers zelf uitgevoerd. En voor die activiteiten die nog wel door medewerkers worden uitgevoerd bestaan vaak gedetailleerde werkinstructies om het computersysteem goed te kunnen gebruiken. Met het informatiseringstijdperk heeft het stelsel van beheersmaatregelen dan ook een andere invulling gekregen.
      • Autorisaties; de medewerker kan alleen nog taken uitvoeren waartoe het bevoegd is. Bij inkoopapplicaties zie je bijvoorbeeld dat de procuratieregeling in de geautomatiseerde processen is verwerkt. Keurt een inkoper een factuur boven een bepaald bedrag goed dan zal deze automatisch ook de goedkeuring van het afdelingshoofd vragen. 
      • Standaardisatie; computersystemen dwingen standaardisatie van processen af. Papier is geduldig. Een geautomatiseerd systeem niet! Een computersysteem kun je zo inrichten dat het gestandaardiseerde proces op een bepaalde manier moet worden doorlopen. Afwijkingen worden niet toegestaan. 
      • Invoercontroles; een ander voordeel van geautomatiseerde systemen zijn geautomatiseerde invoercontroles waardoor menselijke fouten minder snel worden gemaakt. Stel een bankmedewerker wil een lening afgeven van € 10.000. Maar doordat de medewerker vergeet de komma in te vullen ontstaat een bedrag van € 1.000.000. Met invoercontroles kunnen dit soort fouten voorkomen worden. 
     
  • Planning & control; de planning- & controlcyclus heeft een centrale rol binnen elk stelsel van beheersmaatregelen. Met behulp van de planning- en controlcyclus wordt duidelijk of de organisatie op schema ligt om de doelstellingen te realiseren. En nog belangrijker wie welke acties moet uitvoeren om de realisatie van de doelstellingen veilig te stellen. Daarmee heeft de planning- en controlcyclus direct invloed op het gedrag van het management en de medewerkers.  
      • Managementrapportages; de jaarplannen en de managementrapportages vormen de basis van de planning- & controlcyclus. De managementrapportages laten zien in hoeverre de doelstellingen, zoals opgenomen in het jaarplan, worden gerealiseerd. Afwijkingen worden toegelicht. En er worden indien nodig acties geformuleerd om bij te sturen.
      • Kritische succesfactoren; om daadwerkelijk te kunnen sturen worden doelstellingen vertaald in kritische succesfactoren. Waarvan vervolgens weer prestatie-indicatoren worden afgeleid. Die worden voorzien van een norm zodat de uitvoering met de norm vergeleken kan worden. Door het meetbaar maken van doelstellingen wordt sneller duidelijk of en waar (bij)sturing nodig is. 
      • Risicomanagement; het beheersen van risico's maakt onderdeel uit van de planning & controlcyclus. Immers een risico die zich gaat voordoen kan de realisatie van de doelstellingen in gevaar brengen. Management en medewerkers moeten maatregelen nemen om de risico's te beheersen. Daarmee geeft ook risicomanagement richting aan het handelen van medewerkers.  
      • Budgetteren; het toekennen van budgetten aan afdelingen is een belangrijk coördinatiemechanisme. Door het toekennen van budgetten geeft het management aan welke activiteiten uitgevoerd moeten worden (en welke niet). Budgetteren is daarom ook een belangrijk instrument binnen het stelsel van beheersmaatregelen. 
     
  • Beveiliging; is een repressief beheersmechanisme. Medewerkers worden uitgesloten van bepaalde handelingen. Beveiliging is een sterk beheersinstrument voor het beschermen van waardevolle goederen of informatie tegen misbruik. Als het uitsluiten doorschiet kan wel een sfeer van onderling wantrouwen ontstaan wat weer een negatief effect kan hebben op de motivatie van de medewerkers.
      • Fysieke beveiliging; door ruimtes fysiek af te sluiten wordt mogelijk onbehoorlijk gedrag tegen gegaan. Het kan gaan om de kamer van de administrateur die de centrale kas beheerd tot de voorraadkast met kantoorbenodigdheden waarvan alleen de secretaresse de sleutel heeft. 
      • Informatiebeveiliging; hier gaat het erom dat niet alle medewerkers vanuit privacy- of andere overwegingen toegang hebben tot de computersystemen. Zo bevindt de server zich veelal in een fysiek afgesloten ruimte en hebben de medewerkers (en het management) autorisaties met beperkte rechten om gegevens te raadplegen of te wijzigen. 

 

2b   Soft Controls

Soft controls zijn beheersinstrumenten die invloed hebben op de motivatie, loyaliteit, inspiratie en normen en waarden van medewerkers. Bij soft controls ligt de nadruk op het creëren van een motiverende en stimulerende omgeving. In de veronderstelling dat daarmee de persoonlijke doelstellingen van de medewerkers in het verlengde van de organisatiedoelstellingen komen te liggen. En de werknemer daarmee altijd handelt in belang van de organisatie. Veel gebruikte 'zachte beheersmaatregelen' zijn:

 
  • Besturingsfilosofie; geeft de basiswaarden weer hoe het management denkt de organisatie aan te sturen. De besturingsfilosofie is veelal een afgeleide van het mensbeeld dat het management heeft.  
      • Vertrouwen; het geven van vertrouwen is een krachtig instrument om medewerkers te motiveren en inspireren. Maar het vertrouwen kan natuurlijk beschaamd worden. Managers die ervan uitgaan dat medewerkers vooral hun eigen belang nastreven hanteren het adagium: "Vertrouwen is goed maar controle is beter". Dit mensbeeld leidt tot een stelsel van beheersmaatregelen die zwaarder leunt op 'controlerende' beheersinstrumenten. Wat ten koste kan gaan van de motivatie van mensen. 
      • Stijl van leidinggeven; afhankelijk van het vertrouwen in de medewerkers, de grote van de organisatie, de aard van de werkzaamheden en de taakbekwaamheid van de medewerker wordt gekozen voor een bepaald managementmodel. Maar wees je ervan bewust dat alle managementstijlen (zoals integraal management, collegiaal management, taakgericht management, management bij walking around) een eigen effect hebben op de motivatie en inspiratie van de medewerker. 
      • Voorbeeldgedrag; practise what you preach! Medewerkers willen best handelen naar wat de organisatie van hen verwacht. Maar dan moet het management wel het goede voorbeeld geven. Als medewerkers geen relatiegeschenken mogen aannemen en het management accepteert bijvoorbeeld wel snoepreisjes dan zetten de medewerkers hun vraagtekens daarbij. Met mogelijke consequenties van dien. 
     
  • Leiderschap; sterk leiderschap heeft een grote invloed op het handelen van de medewerkers. Sterk leiderschap werkt motiverend en in sommige gevallen zelfs inspirerend. Een goed voorbeeld van sterk leiderschap is dat van Steve Jobs. Waarbij de eigenschappen van de leider in dit geval ook in de organisatiecultuur zijn verankerd. 
     
  • Organisatiecultuur; vertegenwoordigt de kernwaarden van de organisatie. En het omvat de ongeschreven regels van de organisatie. Organisatiecultuur is wellicht het sterkste beheersinstrument omdat het de normen en waarden van de medewerkers betreft van waaruit zij in eerste instantie zullen handelen. Eventueel afwijkend gedrag wordt gecorrigeerd door sociale controle. Het veranderen van de organisatiecultuur is echter zeer lastig en een weg van de lange adem. 
      • Elkaar aanspreken; als medewerkers en managers elkaar aanspreken bij ongewenst gedrag (ongeoorloofd ziek, bij slecht presteren of bij het niet nakomen van afspraken) dan heeft de organisatie een intrinsiek sterk zelf reinigend vermogen. Het beïnvloedt het gedrag van medewerkers en daarmee de wijze waarop ze handelen.   
      • Kernwaarden; kernwaarden geven de eigenschappen van de medewerkers en daarmee van de organisatie weer waarmee in het verleden succes is behaald. Kernwaarden zitten in de genen van de organisatie verankert. Dit is een zeer sterk beheersinstrument. Maar als deze kernwaarden niet meer voldoen aan de eisen van deze tijd dan vormen ze een belemmering voor verandering. Dit omdat kernwaarden zeer lastig zijn te veranderen. 
     
  • Missie, visie & strategie; geven de ontwikkelrichting van de organisatie weer. Het geeft daarmee richting aan het handelen van het management en de medewerkers. De missie, visie en strategie vormen daarnaast de basis voor de planning & control. Waarbij de strategische doelstellingen worden vertaald in kritische succesfactoren en prestatie-indicatoren. Een goed geformuleerde missie, visie en strategie is daarmee een sterk beheersinstrument. Zij het dat in de praktijk blijkt dat het formuleren van een missie, visie en strategie nog niet zo eenvoudig is.
     
  • Personeelsgerichte beheersmaatregelen; het betreft hier sturingsinstrumenten die direct op de motivatie van de medewerkers zijn gericht. Om zo hun gedrag in de organisatie te beïnvloeden. Dit wordt veelal gedaan door een juiste mix van passende arbeidsvoorwaarden, het mogelijk maken van persoonlijke ontwikkeling en het belonen van goed gedrag. 
      • Arbeidsvoorwaarden; als medewerkers ontevreden zijn over de arbeidsvoorwaarden heeft dit gevolgen voor de motivatie. Als de voorwaarden te goed zijn creëer je als organisatie een 'gouden kooi' waar mensen niet uit willen. Wat slecht is voor de in- en uitstroom in de organisatie. 
      • Opleiden en trainen; het opleiden en trainen van medewerkers draagt bij aan hun persoonlijke groei wat veelal een motiverende werking heeft. Tegelijkertijd hebben opleidingen en trainingen invloed op het handelen van de medewerkers omdat zij met meer kennis en verbeterende competenties de werkzaamheden gaan uitvoeren.    
      • Persoonlijke ontwikkeling; de mogelijkheid tot persoonlijke groei blijkt in de praktijk een belangrijke factor voor de motivatie van medewerkers. Als er perspectief is om te groeien (beloning, hiërarchisch, kennis, vaardigheden) heeft dit een motiverende werking op medewerkers.  
      • Belonen en straffen; het belonen van goed gedrag en het straffen van ongewenst gedrag is een belangrijk onderdeel van het stelsel van beheersmaatregelen. Voor alle organisatieleden wordt duidelijk welke gedrag van hen wordt verwacht. En als ze dat gedrag vertonen wordt dat ook nog eens beloond. Zo krijgen verkopers hogere bonussen naarmate ze meer omzet genereren. Overigens kunnen deze vormen van beloning ook tot perverse prikkels leiden. 

 

2c   Op zoek naar een balans!

De harde en zachte beheersmaatregelen zoals ze hierboven zijn opgesomd hebben allemaal als doel het richting geven aan de organisatie en haar processen en systemen. En bovenal om het gedrag van de medewerkers te beïnvloeden. Maar wil je als bestuurder in het stelsel van beheersmaatregelen de nadruk leggen op de zachte of op de harde beheersmaatregelen? En welke beheersmaatregelen ga je dan precies inzetten? Om te komen tot een evenwichtige stelsel van interne beheersmaatregelen geef ik je de volgende overwegingen mee: 

 
  • Mensbeeld; een belangrijke factor bij het inrichten van het stelsel van beheersmaatregelen is het mensbeeld dat de eigenaar/bestuurder heeft. Bij een positief mensbeeld (medewerkers werken naar eer en geweten en streven daarbij naar het goede) ligt bij het inrichten van het stelsel van beheersmaatregelen de nadruk op het gebruik van soft-controls. Bij een negatief mensbeeld (medewerkers zijn lui, maken veel fouten en streven vooral hun eigen belang na) zal de nadruk liggen op hard controls. Dan zullen meer repressieve beheersmaatregelen als interne controles, werkinstructies en functiescheiding gebruikt worden.   
 
  • Missie, visie en strategie; de missie, visie en strategie zijn ook richtinggevend voor het stelsel van beheersmaatregelen. Voor een strategie als first mover met productdifferentiatie zet de manager andere beheersinstrumenten in dan bij een strategie van massaproductie in een relatief stabiele omgeving. Zo ligt bij massaproductie de nadruk op standaardisatie van producten en processen. Terwijl bij productdifferentiatie de nadruk ligt op een decentrale organisatiestructuur en de persoonlijke ontwikkeling van de medewerkers.
 
  • De grote van de organisatie; het moge duidelijk zijn dat de grote van een organisatie ook bepalend is voor welke beheersinstrumenten de manager wil inzetten. Zo zijn vormen van directe sturing zoals oogtoezicht (over de schouders van medewerkers meekijken) in grote organisaties niet meer mogelijk. Hiervoor zullen andere beheersmaatregelen zoals standaardisatie van processen of prestatiemanagement voor in de plaats komen. En worden er hogere eisen gesteld aan de informatievoorziening en de planning en controlcyclus.
 
  • Wet- en regelgeving; verder moet je bij de inrichting van het stelsel van beheersmaatregelen rekening houden met wet- en regelgeving. Zo ben je als organisatie verplicht om een jaarrekening op te stellen en te voldoen aan de AVG-wetgeving. Bij het inrichten van het stelsel van beheersmaatregelen moet je rekening houden met de eisen die hieruit voortvloeien. Zo moeten zorgorganisaties kunnen aantonen dat zij voor iedere cliënt een zorgplan hebben opgesteld willen zij voor financiering in aanmerking komen. Wet- en regelgeving stelt dus eisen aan het stelsel van beheersmaatregelen van een organisatie.     
 
  • Aard van het bedrijfsproces; is ook een belangrijke ontwerpvariabele voor het stelsel van beheersmaatregelen. Merchant geeft aan dat de inrichting van het stelsel van beheersmaatregelen afhankelijk is van (1) de mate waarin de resultaten meetbaar zijn en (2) de mate waarin duidelijk is welke acties van het personeel wordt verwacht. Zo wordt duidelijk op welke beheersmaatregelen in het stelsel de nadruk moet worden gelegd. Zo zal een universiteit bij de aansturing van haar docenten de nadruk leggen op zachte beheersmaatregelen zoals selectie, sociale controle, organisatiecultuur, opleiding en dergelijke. En minder op harde maatregelen als standaardisatie van processen of digitalisering van werkprocessen.
 
  • Administratieve lasten; houdt bij de inrichting van het stelsel van beheersmaatregelen ook rekening met de administratieve lasten die de verschillende beheersmaatregelen met zich meebrengen. Waarbij vooral harde beheersmaatregelen veelal een administratieve last met zich meenemen. Als je een regel oplegt dat medewerkers geen internet voor privédoeleinden mogen gebruiken of dat medewerkers verplicht zijn om improductieve uren te schrijven dan moet je dit ook gaan controleren. Wat leidt tot een administratieve last.   
 
  • Perverse prikkels; wees je er verder van bewust dat de beheersinstrumenten allemaal hun eigen neveneffecten hebben. Bij te veel interne controles voelen mensen zich gecontroleerd wat ten koste van de motivatie kan gaan. En hoe gedetailleerder de werkinstructies zijn hoe minder de medewerkers zelf nog geneigd zijn om na te denken. En dat lijkt ook niet (altijd) de bedoeling. En natuurlijk de klassieker van beloning in aandelenopties. Managers richten zich op het korte termijn resultaat en verliezen de lange termijn (de continuïteit van de organisatie) uit het oog. Met alle gevolgen van dien.
 

Het inrichten (of aanscherpen) van een stelsel van beheersinstrumenten is het op zoek gaan naar een balans tussen bovenstaande overwegingen. Het stelsel van beheersmaatregelen verschilt dus per organisatie. Er geldt niet 'onze size fits all' Wel is het zo dat organisaties die soortgelijke voortbrengingsprocessen hebben veelal dezelfde beheersmaatregelen kennen. Zo lijken stelsels van beheersmaatregelen van universiteiten veel op elkaar. 

 

2d   Administratieve Organisatie (AO)

In de administratieve organisatie wordt het stelsel van beheersmaatregelen vastgelegd. De administratieve organisatie is daarmee een afgeleide van de beheersinstrumenten die de bestuurder nodig acht om te kunnen sturen en beheersen. In de administratieve organisatie worden veelal de volgende beheersinstrumenten beschreven/opgenomen.

 
      • Missie, visie en strategie
      • Organisatie- en Overlegstructuur
      • Procuratieregeling / Mandateringsregeling
      • Risicomanagementsysteem
      • Procesbeschrijvingen
      • Rollen, taken en verantwoordelijkheden
      • Planning & controlcyclus
      • Verbandscontroles
      • Werkinstructies
      • Vigerende wet- en regelgeving
 

De administratieve organisatie gaat verder dan alleen de financiële aspecten van een bedrijf. Denk bijvoorbeeld aan het opvragen van een Verklaring Omtrent het Gedrag (VOG) voordat medewerkers definitief worden aangesteld. Dit soort beheersmaatregelen maakt ook onderdeel uit van de administratieve organisatie. De administratieve organisatie vormt het startpunt voor het uitvoeren van interne controles. Klopt het dat inkopen alleen plaatsvinden door medewerkers die daarvoor zijn gemachtigd? En blijkt uit de personeelsdossiers dat alle medewerkers over een VOG beschikken?     

 

2e   Werking van het Stelsel van Beheersmaatregelen 

In het besturingsmodel en de administratieve organisatie (AO) van de organisatie is de opzet van het stelsel van beheersmaatregelen vastgelegd. Met het uitvoeren van audits en interne controles stel je de werking van de beheersmaatregelen vast. Met het uitvoeren van audits en interne controles stel je vast of het stelsel van interne beheersmaatregelen werkt zoals het bedoeld is. 

 
  • Audit, een audit is een systematisch en periodiek onderzoek naar de organisatie en haar processen. Bij een audit onderzoek je of de organisatie en haar processen conform wet- en regelgeving, standaarden, normen en doelen worden uitgevoerd. Audits kunnen zich richten op een complete organisatie, maar bijvoorbeeld ook op een specifiek proces binnen een organisatie. Voorbeelden zijn de financial-, de operational-, de IT-, de organisatiebrede- en de Forensic audit. 
 
  • Procescontroles; sommige bedrijfsprocessen zijn dermate risicovol dat binnen het betreffende bedrijfsproces zelf al controles worden uitgevoerd om vast te stellen of de beheersmaatregelen (gemaakte procesafspraken) nageleefd worden. Zo controleert de salarisadministratie eerst of het afdelingshoofd van een medewerker akkoord is voordat het tot uitbetaling van reiskosten over gaat. En vindt er na een productie-batch steekproefsgewijs een kwaliteitscontrole plaats om vast te stellen of de geproduceerde goederen voldoen aan de gestelde eisen. 
 
  • Verbijzonderde controles; verbijzonderde controles maken geen onderdeel uit van de reguliere bedrijfsprocessen. Verbijzonderde controles zijn aanvullende controles die veelal door een onafhankelijke AO-IC afdeling worden uitgevoerd. Verbijzonderde interne controles worden uitgevoerd in de processen met de grootste financiële en maatschappelijke risico's en is bedoeld om foutgevoelige processen te identificeren en de gerelateerde risico's te beperken. Dat is ook de reden dat verbijzonderde controles veelal plaatsvinden op de financiële- en salarisadministratie en de inkoopafdeling. 
 
  • Systeemcontroles; het primaire doel van de systeemcontroles is om de organisatie inzicht te verschaffen in de opzet en de werking van het stelsel van beheersmaatregelen, zodat er een uitspraak kan worden gedaan over de aspecten volledigheid, juistheid en tijdigheid van de bestuurlijke informatievoorziening. Veelal worden systeemcontroles door een auditafdeling of kwaliteitsafdeling uitgevoerd. Op basis van een risicoanalyse wordt de opzet en werking van de beheersmaatregelen van de meest risicovolle processen getoetst.

 

3   Gerelateerde Managementmodellen

Zoals in de inleiding al aangegeven zijn er boekenkasten volg geschreven over het begrip 'interne beheersing'. Hieronder vindt je een aantal managementmodellen die op hun eigen manier invulling hebben gegeven aan het vraagstuk van sturing en beheersing van organisaties. 

 
  • Typologie van Starreveld; de typologie van Starreveld is dé klassieker op het gebied van administratieve organisatie en interne beheersing (AO/IB). Het typologiemodel van Starreveld geeft concrete handvatten hoe je de interne beheersing van een organisatie vorm kan/moet geven. Starreveld laat zien dat bij elke type organisatie bepaalde beheerinstrumenten meer voor de hand liggen dan andere.

 
  • Three Lines of Defence (3L-model); het Three lines Model of Defense model van het Institute of Internal Auditors (IIA) wordt als instrument ingezet om risico's te beheersen en om aan de buitenwereld te laten zien dat je als organisatie 'in control' bent. Het model wordt gebruikt om taken en verantwoordelijkheden rondom risicomanagement binnen een organisatie te beleggen. Wie is binnen de organisatie verantwoordelijk voor het beheersen van de (afzonderlijke) risico's en het stelsel van beheersmaatregelen als geheel?  

 
  • Raamwerk Risicomanagementsysteem; In het raamwerk wordt op eenvoudige wijze uiteengezet hoe je in 8 stappen kunt komen tot een effectief risicomanagementsysteem. Zodat risico’s tijdig worden onderkend, de impact ervan kan worden ingeschat zodat medewerkers tijdig kunnen reageren en indien nodig passende maatregelen nemen. Daarmee verhoogd risicomanagement de voorspelbaarheid van de organisatie!

 
  • 'In Control'; een organisatie is 'in control' als als ze voorspelbaar is. Dat wil zeggen dat de bedrijfsvoering op alle niveaus dusdanig op orde is dat met redelijke mate van zekerheid kan worden gesteld dat de doelstellingen worden gerealiseerd. Op deze pagina wordt ingegaan op wat 'in control' nu precies betekent, welke vormen van control we onderscheiden, wat het verschil is tussen hard en soft controls en hoe je als organisatie kunt bepalen of je organisatie 'in control' is of niet. 

Deel House of Control via Social Media