wordt gekeken wat de consequenties van de Warmtewet zijn. Hierbij wordt vooral ingegaan op welke gevolgen deze wet heeft op de BIV voor de uitwerking hiervan in de praktijk, paragraaf 2.2
“Warmtewet”.
2.1 Bestuurlijke informatieverzorging
In deze paragraaf wordt nader in gegaan op wat BIV is. BIV moet er voor zorgen dat de informatie tijdig, juist en beschikbaar is om juist risico’s te detecteren en een organisatie te kunnen besturen. Een organisatie gebruikt vele vormen en soorten informatie om de diverse onderdelen van de organisatie te kunnen (be)sturen.
Er zijn verschillende hulpmodellen ontwikkeld waarin diverse aspecten van risico en risicobeheersing centraal staan. Voor dit onderzoek is gekozen voor het COSO ERM model. Dit flexibele model stelt de organisatiedoelstellingen centraal waarbij een organisatie zelf op specifieke doelstellingen de nadruk kan leggen. Dit wordt verder uitgelegd in sub paragraaf 2.1.3 “COSO model”.
De definitie van Bestuurlijke informatieverzorging volgens Starreveld, Van Leeuwen en van Nimwegen:
“Alle activiteiten met betrekking tot het systematisch verzamelen, vastleggen en verwerken van gegevens, gericht op het verstrekken van informatie ten behoeve van het besturen-in-engere-zin (kiezen uit alternatieve mogelijkheden), het doen functioneren en het beheersen van een huishouding, en ten behoeve van de verantwoording die daarover moet worden afgelegd” (Leeuwen & Bergsma, 2012)
Het essentiële doel van de BIV is informatie produceren waarbij interne en externe stakeholders tijdig over deze informatie kunnen beschikken en op basis van die informatie beslissingen nemen.
Belangrijk is dat informatie niet meer mag kosten dan dat zij oplevert. Deze informatie moet aan bepaalde kwaliteitseisen voldoen zoals in figuur 2.1 “Kwaliteit van informatie” te zien is.
Begrijpelijk (de vorm waarin de informatie ter beschikking wordt gesteld, afgestemd op de wensen en bevattingsvermogens van de gebruiker);
Relevantie (indien de informatie helpt om beslissingen te nemen. Dit is afhankelijk van de soort beslissingen die de gebruiker moet nemen);
Betrouwbaar (de inhoud van de informatie moet kloppen).
De term “bestuurlijk” betekent hier dat het gaat om het besturen van organisaties. In het kader hiervan moet de informatie ervoor zorgen dat de besturing van de organisatie effectief en efficiënt kan
verlopen.
Informatie kan worden gezien als een product dat aan kwaliteitseisen moet voldoen.
Informatie is bedoeld om betere besluiten te kunnen nemen. Welke informatie mensen nodig hebben is afhankelijk van de behoefte en de mogelijkheid om de informatie te kunnen verwerken.
Begrijpelijkheid is de vorm waarin de informatie wordt verstrekt. De vorm moet uitnodigen om de informatie te lezen en verwerken. Bovendien moet het zijn afgestemd op de wensen van de gebruiker
en diens vermogen om dit te kunnen bevatten.
Zoals in onderstaande figuur 2-1 wordt weergegeven, zijn de belangrijkste criteria voor informatie:
relevantie en betrouwbaarheid.
Relevantie: De soort beslissing die gemaakt moet worden bepaald de relevantie van de informatie. De verschillende informatiebehoefte komt voort uit de verschillende functies van de gebruiker.
Betrouwbaarheid: Deze eis wordt gesteld aan alle informatie door elke gebruiker. Informatie is betrouwbaar als de inhoud klopt.
Bestuurlijke informatieverzorgingssysteem is opgebouwd uit verschillende onderdelen die samen zorgen voor relevante en betrouwbare informatie (Leeuwen & Bergsma, 2012). Deze onderdelen zijn:
• Organisatieleden, functieverdeling;
• Begrotingen, normen, tarieven;
• Procedures, wet- en regelgeving, richtlijnen;
• Inrichting administratie;
• Informatieverschaffing;
• Gegevens;
• Programmatuur;
• Hardware;
• Controleactiviteiten.
De in het beheer zijnde VvE’s en beheer van de verhuurbedrijven bij Kindt en Biesbroeck zijn individuele en op zichzelf staande administraties.
Een goede boekhouding is het systematisch verzamelen van financiële feiten, deze verwerken en het verstrekken van de financiële informatie en afgeleiden daarvan zoals allerlei kengetallen.
Financiële feiten leiden tot veranderingen in de activa, de passiva en het eigen vermogen. Welke wijze gehanteerd wordt voor het opzetten van rekeningen in de grootboeken is afhankelijk van de soort financiële feiten. Door een juiste systematiek in de indeling van de grootboekrekeningen kan de gebruiker beschikken over relevante gegevens op het gebied van activa en passiva en de verklaringen van het ontstaan van veranderingen.
Figuur 2-1 Kwaliteit van informatie (Leeuwen & Bergsma, 2012)
Er zijn een aantal gebruiksmogelijkheden van bestuurlijke informatie:
Het delegeren van taken en het afleggen van verantwoording;
Het nemen van beslissingen;
Informatie ten behoeve van het doen functioneren van de organisatie. (Vaassen, Meuwissen,
& Beek, 2011)
2.1.1 Corporate Governance
Bij het spreken over de bovengenoemde gebruiksmogelijkheden, duikt de term corporate governance op. Corporate Governance is eigenlijk een deugdelijk bestuur. Door een goede
corporate-governancestructuur wordt er een balans bereikt tussen het realiseren van
ondernemingsdoelstellingen, het afleggen van verantwoording aan stakeholders, het gewenste ondernemingsgedrag en een acceptabele kosten-batenafweging. (Drs. Claassen, 2009)
Het besturen van een organisatie houdt in dat er risico’s zijn. Hoe met deze risico’s wordt omgegaan is afhankelijk van de houding van het bestuur, de inrichting van de verschillende processen in de
organisatie en de wijze waarop verantwoording wordt afgelegd.
Door middel van een goed systeem van interne beheersing wordt duidelijk hoe een organisatie functioneert, geeft het aan het management en medewerkers vertrouwen dat de doelstellingen van de organisatie behaald kunnen worden en worden verrassingen voorkomen. (Leeuwen & Bergsma, 2012) 2.1.2 Interne controle en internal control
Besturing en beheersing zijn nauw verbonden met elkaar. Door besturing wordt getracht om een organisatie (of onderdelen daarvan) te beheersen zodat er richting de gestelde doelen wordt gewerkt.
Een andere term die vervolgens veel wordt gebruikt is “interne controle” en “ internal control”.
De Nederlandse term: “interne controle” is echter anders dan de Engelse term “internal control”.
De definitie van het Nederlandse “interne controle”: ”alle procedures en middelen die leiden tot de naleving van het budget en de geldende voorschriften, de beveiliging van de activa, het waarborgen van de deugdelijkheid en getrouwheid van de boekingen en het vergemakkelijken van
beleidsbeslissingen, met name door het op het juiste tijdstip beschikbaar stellen van de financiële gegevens.” (definities - interne controle)
De definitie van het Engelse “internal control”: “een proces dat in gang wordt gezet door het bestuur, de commissarissen, het management en ander personeel van een organisatie, dat een redelijke mate van zekerheid moet geven dat doelstellingen op de volgende terreinen worden gerealiseerd:
De effectiviteit en efficiency van de bedrijfsvoering:
De betrouwbaarheid van de financiële rapportage;
De naleving van relevante wet- en regelgeving, beleidsrichtlijnen en procedures
Het bewaken van de waarden van de organisatie”. (Vaassen, Meuwissen, & Beek, 2011) Het Nederlandse controle staat voor de toetsing van een realiteit (ist-positie) aan een norm (soll-positie). Deze controle bevat een terugkijkend en een constituerend1 element.
Het Engelse control bevat een constituerend, een terugkijkend en een vooruitkijkend element.
Constituerend: hierbij worden organisatorische maatregelen getroffen om afwijkingen van de vastgestelde criteria zo veel mogelijk te voorkomen.
Terugkijkend: het detecteren van afwijken van de gestelde criteria en het nemen van corrigerende maatregelen en het afleggen van verantwoording.
1 Constituerend: vaststellen, verordenen (Constitueren, 2014)
Vooruitkijkend: beslissingen nemen om afwijkingen van de gestelde criteria tot een minimum te beperken. (Vaassen, Meuwissen, & Beek, 2011)
De doelen van internal control hangen met elkaar samen. In een organisatie is men afhankelijk van betrouwbare informatie om goede beslissingen te kunnen nemen. Een raamwerk dat de verschillende elementen van een internal control systeem beschrijft en waarin de samenhang zichtbaar is, is het COSO-model.
2.1.3
COSO model voor een dienstverlenende organisatie
COSO staat voor Committee of Sponsoring Organizations (of the Treadway Commision). Deze commissie is in het leven geroepen na de fraudeschandalen in Amerika en de behoefte aan richtlijnen voor internal control door en voor organisaties.
De commissie heeft algemeen aanvaarde criteria opgesteld die noodzakelijk zijn voor de opzet en beoordeling van interne beheersingssystemen. In 1992 verscheen het eerste COSO-rapport en model.
In de grafische weergave van het COSO-model is de relatie te zien tussen:
1. de doelstellingen van een onderneming;
2. de controlecomponenten;
3. de activiteiten waarvoor interne controle nodig is.
In het eerste model COSO-ICS wordt het onderdeel ‘strategisch’ nog niet benoemd. Dit wordt in het model COSO-ERM uit 2004 wel benoemd evenals de verdieping in het risicomanagement. Dit is te zien in Figuur 2-2 COSO ICS (1992) en COSO ERM (2004
)
.Ondernemingsdoelstellingen
Het COSO-model onderscheidt de samenhang tussen de ondernemingsrisico’s en het interne beheersingssysteem. Om met een redelijke mate van zekerheid de doelstellingen te kunnen behalen worden deze in vier categorieën onderscheiden:
Strategic – strategisch; het bereiken van strategische doelstellingen
Operations – operationeel; effectiviteit en efficiëntie van bedrijfsprocessen
Reporting – rapportage/financieel en niet financieel; betrouwbaarheid van financiële en niet financiële informatieverzorging
Compliance – toezicht; naleving van relevante wet- en regelgeving Figuur 2-2 COSO ICS (1992) en COSO ERM (2004)
Dit onderscheidt van ondernemingsdoelstellingen maakt het mogelijk om afzonderlijke aspecten van Enterprise Risk Management (ERM) te bekijken. Er zit overlapping in deze categorieën en
ondernemingsdoelstellingen (een doelstelling kan in meer dan één categorie vallen). Hierdoor worden de verschillende behoeften vanuit de onderneming bevredigd. Dit categoriseren staat ook onderscheid toe tussen wat van elke categorie van doelstellingen kan worden verwacht. (Enterprise Risk
Management - Integreted Framework, 2004)
Voor een dienstverlenend bedrijf zijn de ondernemingsdoelstellingen operations en reporting erg belangrijk. Dit zijn de interne processen die het hart vormen van de administratieve processen. In dit onderzoek is het onderdeel compliance ook belangrijk daar de administratie moet voldoen aan de eisen vanuit de Warmtewet. Het onderdeel strategie wordt in dit onderzoek buiten beschouwing gelaten daar dit niet relevant is. Er zijn geen strategische doelstellingen die in dit onderzoek moeten worden meegenomen.
Controle componenten van ondernemingsrisicomanagement
De controleomgeving: De controleomgeving is basis voor elk systeem van interne beheersing.
Het is de cultuur in een organisatie met betrekking tot het belang van interne beheersing. Het vormt de basis hoe de organisatie naar risico’s kijkt, risico’s detecteert en er naar handelt.
Risicobeoordeling: (risk assessment). De analyse en beoordeling van geïdentificeerde risico’s uit zowel externe (bv economische, politieke, sociale of technologische) factoren dan wel interne (bv organisatiestructurering, processen, personeel of systemen). D.m.v.
risicobeoordeling wil men zodanig maatregelen treffen dat het restrisico tot een aanvaardbaar niveau wordt teruggebracht. Het restrisico is het risico dat beheersingsproblemen niet kunnen worden vermeden en dat zowel preventieve2 als repressieve3 beheersingsmaatregelen niet doeltreffend zijn of niet getroffen.
Hierbij moet constant de afweging worden gemaakt of de kosten niet hoger zijn dan de baten.
Controlemaatregelen: Controlemaatregelen zijn maatregelen die, afhankelijk van de
doelstelling en aard van het risico, bedoeld zijn om afwijkingen van vooraf vastgestelde criteria te detecteren en/of te voorkomen. Het gaat dan respectievelijk over repressieve en
preventieve maatregelen.
Informatie en communicatie: Effectieve communicatie vindt horizontaal, verticaal en bilateraal plaats in een organisatie. Hierdoor wordt relevante informatie geïdentificeerd, verzameld en gecommuniceerd in een vorm en tijdsbestek dat het medewerkers mogelijk maakt om hun verantwoordelijkheden uit te voeren. (Drs. Claassen, 2009) Informatie is zowel een object van beheersing (hoe kan de informatie worden verbeterd?) als een beheersingsmaatregel (hoe kan de informatie worden gebruikt ter verbetering van de organisatie en de medewerkers beter onder controle krijgen?). (Vaassen, Meuwissen, & Beek, 2011)
Monitoring: (bewaking van de goede werking) De efficiënte werking van het
risicomanagementsysteem wordt over een bepaalde periode vastgesteld en daar waar nodig worden correcties aangebracht. Er zijn twee vormen van monitoring:
- ongoing monitoring, de dagelijkse activiteiten waarmee toezicht gehouden wordt op de effectieve werking van het interne beheersingssysteem;
2 Preventieve maatregelen: organisatorische maatregelen zoals o.a. controle technische functiescheiding, begroting, uitvaardigen procedures en het stellen van limieten.
3 Repressieve maatregelen: daadwerkelijke controlehandelingen gericht op het vaststellen van de werking en naleving van preventieve maatregelen zoals o.a. inventarisatie, cijferbeoordeling, materiële verbandcontroles en detailcontroles. (Leeuwen & Bergsma, 2012)
- separate evaluations, dit zijn de afzonderlijke evaluaties van het interne
beheersingssysteem die uitgevoerd worden door het hoofd Administratie en de controller.
(Leeuwen & Bergsma, 2012)
Het ERM model heeft hier nog een aantal componenten aan toegevoegd omdat er dieper wordt ingegaan op het risicomanagement voor organisaties. Voor de volledigheid worden deze hieronder benoemd, maar verder in het onderzoek niet gebruikt.
Vaststellen van doelstellingen: (objective setting) Een organisatie zal zijn doelstellingen laten aansluiten bij de missie en visie.
Identificeren van kritieke gebeurtenissen: (event identification) Identificatie van
gebeurtenissen; interne en externe risico’s en kansen die positieve dan wel negatieve invloed kunnen hebben op het behalen van ondernemingsdoelstellingen.
Reactie op risico: (risk response) De set met risicobeheersingsmaatregelen die zijn ontwikkeld om risico’s af te stemmen op de risicotolerantie en risicoacceptatiegraad van de organisatie (vermijden, accepteren, verminderen of delen van risico).
Activiteiten (onderdelen van de onderneming) waarvoor interne controle nodig is De derde dimensie van de COSO-kubus geeft de onderdelen van de onderneming weer:
Dochteronderneming - Subsidiary
Bedrijfseenheid - Business unit
Afdeling – Division
Onderneming als geheel - Entity-level
Het COSO-model weerspiegelt de mogelijkheid om te focussen op het risicomanagement van de onderneming in totaliteit of per categorie, doelstellingen, per component, per bedrijfsonderdeel of een deel hiervan. Deze dimensies vormen samen een geïntegreerd systeem dat aan de veranderende omstandigheden kan worden aangepast.