• No results found

deploy (‘verspreiding’) & maintain (‘onderhoud’)

In document Internal Control Maturity Model - ICMM (pagina 32-37)

Naar aanleiding van de voor gaande hoofdstukken wil ik de Deploy & Maintain fasen aanwenden om mijn visie ten aanzien van internal control en verdere verspreiding, onderhoud en ontwikkeling van het ICMM weer te geven.

3.1 Visie ten aanzien van internal control

De volwassenheidsstadia zijn vanuit het volgende gedachtegoed opgebouwd.

Ad hoc - Geen of zeer beperkte vorm van internal control, er is nauwelijks documentatie op dit gebied

beschikbaar;

Repeatable - Beleid, procedures en processen zijn beperkt of op inconsistente wijze beschikbaar, er

wordt vaak gesteund op praktijkervaring;

Defined - Beleid, procedures en processen zijn effectief in opzet en bestaan, maar zijn over een

kalenderjaar gemeten niet effectief in werking;

Managed - Beleid, procedures en processen opereren effectief, compliancy is verwezenlijkt; Optimized - Verregaande efficiënte van inrichting beleid, procedures en processen.

In het managed stadium is dan ook het niveau bereikt dat internal control effectief wordt toegepast. Middels ondersteuning van software kan een organisatie het systeem van internal control efficiënter uitvoeren. In de volwassenheidsstadia zijn daarom verschillende gradaties van software-inzet weergegeven: basale administratieve software (defined) --> geïntegreerde GRC tooling (managed) --> Process/data mining en continuous monitoring (optimized).

In het optimized stadium levert de organisatie vertrouwen aan zijn stakeholders. Het systeem van internal control is afgeleid van de strategie. De organisatie is naar buiten gericht, naar alle

stakeholders toe en handelt pro actief door zijn verregaande inzicht in (de kosteneffectiviteit van)

interne beheersing om te zetten in competitief voordeel.

Op basis van de literatuur en de praktijkinzichten vanuit de ABN AMRO heb ik soft controls een nadrukkelijke positie gegeven in de volwassenheidsstadia, omdat deze mijns inziens het succes bepalen van een effectief systeem van internal control. De geselecteerde soft control elementen volgen het gedachtegoed van de opbouw van de volwassenheidsstadia.

Het ICMM is een tool om inzicht te verschaffen in het volwassenheidsstadium van internal control van de organisatie, waarbij de aandachtspunten voor verbetering worden geïdentificeerd. Tevens is het ICMM handzaam om inzicht te verkrijgen in de kenmerken van een effectieve en efficiënte inrichting van internal control.

COSO 2013 is een adequaat instrument om internal control te verwezenlijken en speelt in op de wensen van de huidige tijd. Voor een effectieve internal control dienen alle componenten op elkaar te zijn afgestemd en de principles effectief te opereren. Dat illustreert dat een organisatie voor alle

principles op het managed niveau uit moet komen. De deelnemende organisaties geven de indruk dat

dit niet realistisch is en dat dit bij een ambitie blijft (refereer aan Appendix 5). Ik zou het ICMM dan ook niet willen inzetten om uitsluitsel te geven of een organisatie wel of niet in control is.

Het is me opgevallen dat de interne vraag naar internal control afhankelijk is van de externe vraag naar internal control van stakeholders. Een financiële instelling dient een hoge mate van verantwoording aan toezichthouders af te leggen, evenals een beursgenoteerde organisatie richting zijn aandeelhouders. Een privaatrechtelijk beheerde organisatie behoeft over het algemeen minder verantwoording aan externen af te leggen en is de aandacht voor internal control meer een strategische keuze, zoals bij een geplande beursgang. Bij de overheidsorganisatie en goede doelen zou het voor de hand liggend zijn dat de maatschappelijke verantwoording hoog in het vaandel zou staan, maar in de praktijk geven de deelnemende organisaties aan dat er meer aandacht zou moeten zijn voor respectievelijk risico beheersing en interne beheersing in het algemeen.

In het verlengde van deze scriptie zou verder onderzoek interessant kunnen zijn naar de risk appetite

(van het bestuur) van de organisatie en of die in overeenstemming is met de wensen van diverse stakeholders van de organisatie.

3.2 Visie ten aanzien van verder onderzoek en beperkingen

Uit de interviews is gebleken dat ICMM de deelnemers aanspreekt en dat ze het ICMM willen en kunnen toepassen om inzicht te verkrijgen in het volwassenheidsstadium waarin de organisatie zich bevindt. De aandachtspunten die uit de beoordeling voortkwamen bleken herkenbaar. Ook hebben internal auditors aangegeven welke beperkingen zijn ten aanzien van het ICMM zagen.

Vooral de eerste 4 volwassenheidsstadia bleken voor deelnemers herkenbaar voor de beheersing van management en operationele risico’s, terwijl een organisatie mijns inziens pas echt in control is als ook de strategische risico’s worden beheerst. Strategische risico’s worden beheerst als het systeem van internal control continu op de strategie is afgestemd en wordt aangepast. Het is uitdagender om strategisch in control te zijn, daarom wordt overeenstemming van het IC systeem met de strategie pas in het optimized stadium gerealiseerd.

Er is naar mijn mening daarom ook een heldere relatie tussen optimized en COSO ERM (refereer voor een toelichting op COSO IC en ERM aan Appendix 2).

Andere denkbare beperkingen dan wel aandachtspunten van het ICMM zijn volgens internal auditors:

 Specificering van cultuurelementen in de beschrijving van de volwassenheidsstadia --> Een mogelijkheid voor verder onderzoek zou het ontwikkelen van best practices zijn om COSO 2013 in verschillende type organisaties in te richten. Internal auditors hebben aangegeven dat specificering van het ICMM nodig kan zijn voor verschillende (landen-)afdelingen van de organisatie. Daarbij ligt het voor de hand dat cultuur een nadrukkelijke rol speelt in de verschillende beoordelingen van het ICMM;

Specificering van Cost of Control ten behoeve van het realiseren van efficiëntie in niveau 4 en 5 --> het verdient aanbeveling onderzoek te verrichten naar het identificeren van kosten van toepassing van verschillende volwassenheidsstadia: kosten vs. effectiviteit

Enablers van three lines of defence in IC-systeem;

Bieden van alternatief managed volwassenheidsstadium dat organisaties kunnen behalen zonder een geïntegreerde GRC tool te hebben ingericht;

Enkele andere beperkingen van het ICMM en het verrichte onderzoek in deze scriptie zijn als volgt: Het doel van de scriptie is geweest om het ICMM in de praktijk te toetsen en te laten aansluiten op de behoefte. Daarom is ook gekozen voor om vanuit de fundamentele basis van het CMM en COSO 2013 uit te gaan en deze te verrijken met praktische inzichten. In deze scriptie is gesteund op de praktijkinzichten die in de validatie workshops naar voren zijn gekomen, deze missen wel wetenschappelijke onderbouwing in enkele gevallen.

In control is een relatief begrip en organisaties gaan hiermee op hun eigen manier mee om.

Dit betekent voor het in control vraagstuk dat een organisatie in eerste instantie moet onderkennen hoe de relatieve balans tussen risico en beheersing er uit ziet om vervolgens bij dit evenwicht te

stellen dat een organisatie in control is. Er is geen absolute waarheid over het begrip in control, het ICMM is enkel een instrument om richting te geven en aandachtspunten te identificeren.

Het hoofddoel van de scriptie is geweest om een model te ontwikkelen die internal auditors kunnen toepassen om de mate van internal control te meten van de organisatie. Tijdens de praktijktoets is gebleken dat het ICMM het doel bereikt. Daarbij is gebleken dat het model toepasbaar is op verschillende type organisaties. De blijk van brede toepassing heeft wel tot gevolg dat de inhoud van het model generiek van aard blijft. Daarentegen kan het model per object worden gespecificeerd voor meer op maat gemaakte toepassing. Per type is er één organisatie als voorbeeld genomen om een beeld te krijgen van de praktische toepasbaarheid. Deze toets is statistisch niet representatief en ik concludeer dan ook niet dat het ICMM toepasbaar is op alle organisaties binnen de gehanteerde typen. Verder onderzoek zou interessant kunnen zijn naar het toepassen van een grotere en meer representatieve steekproef om conclusies te trekken over de verschillen in omgang met het in control vraagstuk tussen verschillende type organisaties. Hierdoor kan het ICMM worden door ontwikkeld naar model voor benchmarking. Naar aanleiding van meerdere beoordelingen kunnen statistische gegevens worden ontleend, waardoor resultaten representatiever worden per type organisatie.

4. Conclusie

Hoofdvraag: Op welke wijze is het mogelijk om aan de hand van

COSO 2013 de volwassenheid van internal control van een

organisatie te meten?

Het is mogelijk om aan de hand van COSO 2013 de volwassenheid van internal control van een organisatie te meten door een volwassenheidsmodel te ontwikkelen en toe te passen dat theoretisch en praktisch door wetenschappelijke literatuur en praktijkinzichten is getoetst en gevalideerd. Internal auditors kunnen met behulp van het ICMM een onafhankelijke beoordeling van de internal

control status van de organisatie uitvoeren waardoor de aandachtspunten voor een organisatie

inzichtelijk worden.

Het ICMM is tot stand gekomen door wetenschappelijke literatuur over bestaande modellen als fundament voor internal control en volwassenheidsstadia en de ontwikkeling van een dergelijk model te hanteren. In de scriptie is het theoretische fundament van COSO 2013 en het CMM gebruikt om de twee modellen met elkaar te vermengen voor de totstandkoming van een referentiekader. Om de praktische toepasbaarheid te waarborgen zijn de volwassenheidsstadia en referentiekader van het ICMM vanuit verschillende invalshoeken in verschillende workshops gevalideerd. Het ICMM is vervolgens getoetst op brede en praktijkgerichte toepassing. Op basis van deze praktijktoets concludeer ik dat het ICMM een handzaam model is, hetgeen is bevestigd door ervaren en gekwalificeerde auditors van deelnemende organisaties die hebben mee gedaan aan het onderzoek. Internal auditors zijn ten behoeve van het beantwoorden van de toenemende vraag naar verantwoording aan stakeholders, bij uitstek geschikt om het ICMM toe te passen. Een dergelijk handzaam model ontbrak en is in deze scriptie tot stand gekomen.

Om de toepassing van het ICMM te vergroten zal ik in gesprek blijven met de internal auditors die hebben deelgenomen aan mijn onderzoek. Ik wil ondersteuning bieden in algemene en specifieke toepassing van het ICMM als ook mee te denken over de aandachtspunten die in het ICMM naar voren zijn gekomen. Voor verdere acceptatie ga ik internal auditors van andere organisaties benaderen om ze inzicht te geven in het niveau van internal control van hun organisatie. Zoals weergegeven in de Deploy & Maintain fasen ligt de weg naar respectievelijk verspreiding en ontwikkeling open, deze weg zal ik dan ook graag willen bewandelen. In mijn rol als dienstverlener op het gebied van het in control vraagstuk beheersing ga ik het ICMM als bruikbare tool onder de aandacht brengen.

5. Literatuur

AICPA (2012), White paper: COSO 2012 – Updated, Principles-based and more guidance. Geraadpleegd op 18 mei 2014 op www.aicpa.org/FRC.

 Becker, J. (2009), Developing maturity models for IT management – A procedure Model and its application, Business and Information system engineering, 3, 213-218.

COSO (2013 - 1), Internal control – Integrated framework. Executive summary. Geraadpleegd op 30 maart 2014 op www.COSO.org.

COSO (2013 - 2), Internal control – Integrated framework. Frequently Asked Questions. Geraadpleegd op 1 april 2014 op www.COSO.org.

COSO (2013 - 3), Internal control – Integrated framework. Framework & Appendices. Geraadpleegd op 30 maart 2014 op www.COSO.org, 1-5, 12-21, 24-27, appendix G.

D’Aquila, J. (2013), COSO’s internal control – Integrated framework: updating the Original Concepts for today’s Environment. The CPA Journal, October 2013¸ 22.

 De Bruijn, T., Rosemann, M. (2005), Understanding the main phases of developing a Maturity Assessment model, 16th Australian conference on Information Systems, Brisbane 2005, 2-11.

Deloitte (2013), COSO enhances its Internal control – integrated framework, Heads up, June 10, 2013. Driessen, A.J. G., Moolenkamp, A. (2012). Internal Auditing, een managementkundige benadering.

Wolters Kluwer: Deventer, 217-218.

IIA (2005), International Professional Practices Framework. Altamonte Springs, Florida, 2. IIA (2013), IIA position paper: the three lines of defense in effective risk management and control,

Altamonte Springs, Florida, 5.

Kahneman, D., (2003), Maps of Bounded Rationality: Psychology for Behavioral Economics  The American Economic Review, Vol. 93, No. 5 (Dec., 2003), p. 1449-1475.

 Kaptein, M., (2007), Developing and Testing a Measure for the Ethical Culture

of Organizations: The Corporate Ethical Virtues Model, ERIM REPORT SERIES RESEARCH IN

MANAGEMENT (Dec. 2007), p. 2-11.

 Lockamy III, A., McCormack, K. (2004), The development of a supply chain management process maturity model using the concepts of business process orientation, Supply chain management: An

international journal, volume 9, number 4, 272.

 McNally, J.S. (2013), The 2013 COSO framework & SOX compliance: one approach to an effective transition, Strategic finance, 2013, 1-6.

 Mutafelija, B. Stromberg, H. (2003), Systematic process Improvement using ISO 9001, 2000 and CMMI, Artech house: London, p. 3-5.

NIVRA (2009). Risicomanagement: een hype? Geraadpleegd op 15 februari 2014 op .

Paape, L. (2008). ‘In control’ verklaringen: gebakken lucht of een te koesteren fenomeen? Nyenrode Business Universiteit: Inaugerele rede, 21-22.

Paulk, M.C. (1993), Capability maturity model, Version 1.1, Institute for software research, paper 7. Protiviti (2013), The updated COSO Internal control framework, FAQ, geraadpleegd op 18 mei 2014 op

http://www.protiviti.com/en-US/Pages/The-Updated-COSO-Internal-Control-Framework-FAQ.aspx.  Pruijm, R. (2007), Waarom COSO? De Accountant, Januari 2007, p. 50.

 PwC (2012), COSO’s proposed Internal control Compendium, updated framework, and illustrative tools, National Professional Services Group, No. 2012-18.

Renes R. (2003), COSO, wat valt er te repareren? De Accountant, juni 2003, p. 109.

 Röglinger, M., Pöppelbuss, J. (2011), What makes a useful maturity model ? A framework for general design principles for maturity models and its demonstration in business process management, 19th

European conference on Information Systems, Helsinki 2011, p. 1-5.

Strikwerda, J., (2004), Organisatievormen en intern beheer 2004. Handboek Accountancy. Wolters Kluwer: Deventer.

Appendices

In document Internal Control Maturity Model - ICMM (pagina 32-37)