Interne beheersingsomgeving

De interne beheersingsomgeving wordt wel gezien als het fundament van interne beheersing. De interne beheersingsomgeving kan worden vergeleken met het bouwen van een huis. Een huis zonder fundament zal op termijn instorten. Een vergelijkbare situatie geldt voor de interne beheersingsomgeving. Een systeem van interne beheersing zonder beheersingsomgeving zal op termijn instorten. Het fundament van een dergelijk systeem kan als volgt worden weergegeven:

De interne beheersingsomgeving verschilt per organisatie en dient dan ook per specifieke situatie te worden ingevuld. Een van de aspecten van de interne beheersingsomgeving betreft

Interne

de organisatiestructuur. Per organisatie is niet van te voren te zeggen welke organisatiestructuur het beste daarbij past. Dit is afhankelijk van meerdere factoren.

De aspecten van de interne beheersingsomgeving zijn:

- integriteit en ethisch handelen. Hiermee wordt bedoeld dat wanneer binnen ondernemingen niet met elkaar wordt afgesproken dat men ethisch handelt, mensen dit ook verschillend zullen interpreteren. Een onderneming zal dus moeten benoemen wat onder integriteit en ethisch handelen wordt verstaan. De mate waarin dit wordt uitgewerkt verschilt per onderneming. Een voorbeeld: in de bouwwereld wordt niet expliciet benoemd om ethisch te handelen. Ieder individu zal dan op basis van zijn/haar eigen waarden en normen gaan handelen. Deze waarden en normen kunnen verschillen per persoon. De een zal het wel acceptabel vinden vooroverleg te plegen over de prijsstelling en een ander niet. Dit leidt tot ongewenst handelen, met ongewenste en onzekere effecten waardoor het niet mogelijk is met een bepaalde mate van zekerheid te stellen dat de organisatiedoelstellingen worden gerealiseerd. Daarom is het noodzakelijk om integriteit en ethisch handelen te benoemen en te expliciteren. Bij een organisatie waarin veelal gelijkgestemde mensen werken, bijvoorbeeld een advocatenkantoor, zal dit een andere uitwerking hebben.

- Draagvlak voor competenties. In de onderneming zijn verschillende functies die er samen voor moeten zorgen dat de doelstellingen van de onderneming worden bereikt. Voor deze functies zijn verschillende competenties nodig. Hierom moeten voor alle functies binnen de onderneming functieomschrijvingen worden gemaakt en worden geanalyseerd wat voor competenties ervoor nodig zijn. De persoon die een functie uitvoert moet over de kennis en ervaring beschikken die nodig is om die functie uit te voeren. Een voorbeeld is dat een medewerker van de administratie kennis moet hebben van boekhouden. Als deze medewerker niet over deze kennis beschikt leidt dit tot onzekerheid in de financiële verslaggeving. Deze persoon kan bijvoorbeeld kosten op een verkeerde grootboekrekening boeken waardoor een fout in de jaarrekening ontstaat.

- Raad van commissarissen of Audit committee. In de onderneming moet een raad van commissarissen of audit committee aanwezig zijn die toezicht houdt op het bestuur. Hierdoor kan in de gaten worden gehouden dat het management in het belang van de onderneming handelt en niet haar eigen belangen nastreeft. Om deze taak naar behoren uit te voeren moeten deze commissies tijdig de juiste informatie ontvangen. Ook

moeten de leden van deze commissies over de juiste kennis en ervaring beschikken. Een voorbeeld is dat het audit committee belast is met het toezicht houden op de werking van het systeem van interne beheersing. Hiervoor moet het audit committee de juiste informatie van het bestuur krijgen. Ook moeten de leden van deze commissie over de kennis en ervaring beschikken om het systeem van interne beheersing te kunnen evalueren. Als het audit committee constateert dat er sprake is van een tekortkoming in de interne beheersing moet deze commissie de bevoegdheid hebben om corrigerende maatregelen te ontwerpen en te implementeren.

- Management filosofie en manier van leidinggeven. De manier van leiding geven heeft invloed op de organisatie. Het management bepaalt hoe de onderneming tegenover risico’s staat. Iedere onderneming heeft een andere risicostrategie. De ene onderneming zal er voor kiezen om veel risico’s te lopen, terwijl een andere onderneming juist zo min mogelijk risico’s wil lopen. De risicostrategie van de onderneming is bepalend voor het verdere systeem van interne beheersing. In de risicoanalyse wordt namelijk bepaald voor welke risico’s de onderneming beheersingmaatregelen opzet. Dit is afhankelijk van de risicostrategie en dus voor iedere onderneming anders.

- Ook de houding van het management tegenover de gegevensverwerkende en accounting functie is een belangrijke factor voor de doelstelling betrouwbare financiële verslaggeving. Het is belangrijk dat het management de gegevensverwerkende en accounting functie als een belangrijke en onmisbare functie ziet. Hierdoor zullen de medewerkers dit ook als een belangrijke en onmisbare functie zien en hier zorgvuldig mee omgaan. Dit leidt tot betrouwbare financiële rapportage.

- Het management moet niet gericht zijn op korte termijn doelstellingen. Dit kan leiden tot verkeerde verantwoordingen. Bijvoorbeeld een sales manager moet een omzet halen van 100.000 euro in de maand. Aan het eind van de maand merkt hij dat hij deze doelstelling niet gaat halen. Om deze doelstelling te bereiken gaat hij producten aan klanten verkopen waarvan hij al weet dat deze klanten in het beging van de volgende maand deze producten weer terug brengen. Hierdoor haalt de sales manager zijn doelstelling, maar de omzet is hoger weergegeven dan de omzet in werkelijkheid is (in het begin van de volgende maand wordt de omzet namelijk weer terug geboekt). Als de onderneming niet was gericht op deze doelstelling had de sales manager dit niet gedaan en was de omzet juist geweest.

- Organisatiestructuur. De organisatiestructuur is voor iedere onderneming anders en moet passen bij de onderneming en haar omgeving. Zo kan een onderneming in een stabiele omgeving een centrale ondernemingsstructuur hebben. Een onderneming die steeds moet reageren op veranderingen in de omgeving vereist een decentrale ondernemingsstructuur. Uit de organisatiestructuur moet blijken wat de verantwoordelijkheden van de managers zijn.

- De verdeling van taken en bevoegdheden. In de organisatie moeten de taken en bevoegdheden van alle medewerkers worden gedefinieerd en naar hen worden gecommuniceerd. Als een werknemer niet weet wat zijn taken zijn kan hij ze ook niet uitvoeren. De bevoegdheden van een werknemer moeten aansluiten bij zijn taken. Bijvoorbeeld een werknemer die belast is met de inkopen moet bevoegd zijn inkopen te doen. Als hij hier niet toe bevoegd is kan hij zijn taak niet uitvoeren.

- Human Resource Beleid en procedures. De organisatie moet beleid en procedures hebben met betrekking tot het in dienst nemen, opleiden en belonen van werknemers. Hierbij is het belangrijk dat competente medewerkers worden geworven en opgeleid. Om het functioneren van de medewerkers te vergroten moeten medewerkers regelmatig een functioneringsgesprek krijgen. Hierin moet het functioneren van de desbetreffende medewerker worden besproken en eventuele suggesties voor verbeteringen worden gegeven. Het human resource beleid moet de ethische waarden van de onderneming ondersteunen. Dit kan bijvoorbeeld door integriteit en ethische waarden een criterium te laten vormen in de beloning van medewerkers.

5.3 Risicoanalyse

In de risicoanalyse moeten de risico’s van de onderneming worden benoemd. Om de risico’s te kunnen bepalen moet eerst de doelstelling worden geformuleerd. In het kader van SOX en code Tabaksblat is dit betrouwbare financiële verslaggeving. Dus in de risicoanalyse moeten alle risico’s worden benoemd die de betrouwbaarheid van de financiële verslaggeving in de weg staan. Om deze risico’s te bepalen moeten de volgende stappen worden doorlopen.

Als eerst moet de materialiteit worden bepaald voor de jaarrekening en voor de individuele posten in de jaarrekening. Hierbij zou het criterium van de accountant als uitgangspunt kunnen worden genomen. De materialiteit geeft de omvang van een fout of onnauwkeurigheid in de jaarrekening aan waardoor, als die zich voordoet, ook iemand zonder financiële

achtergrond waarschijnlijk tot andere beslissingen zou komen. Hierbij moet de materialiteit op het niveau van de jaarrekeningpost voldoende laag zijn om ervoor te zorgen dat significante tekortkomingen van de interne beheersing worden geïdentificeerd.

Nadat de materialiteit is bepaald moeten de significante jaarrekeningposten worden bepaald. Deze zijn nodig om de processen die significant zijn voor de jaarrekening te bepalen. Een post of een groep posten is als significant aan te merken als zich fouten kunnen voordoen die van materieel belang zijn of als er een belangrijke samenhang is met jaarrekeningrisico’s.

Daarbij zal op de eerste plaats de materialiteit worden toegepast op de posten van de jaarrekening. Posten en/of groepen van jaarrekeningposten met totaalsaldi die ongeveer gelijk of groter zijn dan de toelaatbare fout, zijn waarschijnlijk significant. De materialiteit van het totaalsaldo van een post is echter niet de enige factor die van belang is bij het bepalen van de significante posten. Andere belangrijke risicofactoren bij het bepalen van een significante post of groep van posten zijn:

• omvang en samenstelling van de financiële post en de individuele transacties die verwerkt worden voor die post, waaronder ook de gevoeligheid voor diefstal of fraude;

• de mate van subjectiviteit bij het bepalen van het saldo (dat wil zeggen de mate waarin dit afhankelijk is van menselijk oordeel of inschatting). Als een post een grote mate van subjectiviteit kent is de post als significant aan te merken.

• de aard van de post (bijvoorbeeld tussenrekeningen vereisen over het algemeen meer aandacht);

• bijzondere boekhoud- en rapportageprincipes voor de betreffende post (account);

• het bestaan van transacties met verbonden partijen.

Na het bepalen van de significante posten, moet de onderneming een analyse maken van alle andere bekende risicogebieden die kunnen leiden tot significante fouten. Daarbij zou gebruik gemaakt kunnen worden van de volgende informatiebronnen:

• internal audit rapportages;

• aanbevelingen van de externe accountant uit het verleden;

• knelpunten die besproken zijn tijdens bestuursvergaderingen of andere interne overlegplatformen die van belang kunnen zijn.

De posten in het financieel verslag die worden beïnvloed door dergelijke risicogebieden moeten worden toegevoegd aan de lijst met significante posten.

Nadat alle significante posten zijn benoemd moeten alle processen die invloed hebben op de significante jaarrekeningposten worden geïdentificeerd. In deze processen moeten alle risico’s worden benoemd. Hierbij moet voor elk significant proces in de processtappen punten worden geïdentificeerd waarbij informatie wordt geïnitieerd, overgedragen of veranderd. Bij elk punt moet worden nagegaan wat er fout kan gaan. Vervolgens moet worden vastgesteld welke interne beheersingsmaatregelen dit kunnen voorkomen of detecteren.

Om het bovenstaande te verduidelijken zal hier een voorbeeld worden gegeven voor de post voorraden. De post voorraden heeft bijna altijd een materiële invloed op de jaarrekening. Dit komt doordat de post voorraden meestal een groot gedeelte uitmaakt van de totale activa. Hierdoor is de jaarrekeningpost voorraden een significante post. Nu moeten de processen die invloed hebben op de post voorraden worden geïdentificeerd. Twee processen die invloed hebben op de post voorraden zijn het inkoop- en verkoopproces. Hier zal alleen een voorbeeld worden gegeven voor het inkoopproces.

Het inkoopproces kent de volgende stappen:

Plaatsen bestelorder – goederenontvangstprocedure – ontvangst inkoopfactuur – betalen factuur

Na het bepalen van de processtappen moet voor elk punt waarbij informatie wordt geïnitieerd, overgedragen of veranderd de risico’s worden bepaald.

Een voorbeeld van een risico bij het plaatsen van een bestelorder is dat dit is gedaan door iemand die hier niet toe bevoegd is. Een voorbeeld van een beheersingsmaatregel om dit te voorkomen is een autorisatietabel te maken waarin staat wie er bevoegd is om in te inkopen. Een voorbeeld van een risico bij het betalen van de factuur is dat het bedrag naar de verkeerde rekening wordt overgemaakt. Een beheersingsmaatregel kan zijn dat een werknemer een betaaladvieslijst maakt, een andere werknemer deze controleert en vervolgens door iemand anders wordt betaald. Degene die de betaaladvieslijst betaalt mag hier geen wijzigingen meer in aanbrengen.

Ook moet er functiescheiding zijn. Degene die inkoopt mag de factuur niet verwerken of betalen.

5.4 Beheersingsactiviteiten

In de risicoanalyse zijn de risico’s bepaald en zijn er interne beheersingsmaatregelen ontworpen om deze risico’s te beheersen. In de onderneming moeten ook beheersingsactiviteiten aanwezig zijn die toezicht houden op de werking van de beheersingsmaatregelen. Als de beheersingsmaatregelen niet werken zoals de onderneming had beoogd wordt nog steeds het risico gelopen dat er een fout van materieel belang in de jaarrekening zit en de jaarrekening dus niet getrouw is. Om door te gaan op het voorbeeld in de vorige paragraaf over de risicoanalyse waarin is gezegd dat er als beheersingsmaatregel een autorisatietabel aanwezig moet zijn, moet er toezicht op de naleving hiervan worden gehouden. Dus dat er alleen door medewerkers die hiervoor geautoriseerd zijn wordt ingekocht. Er kan wel een autorisatietabel zijn, maar als niemand zich er aan houdt en hier geen toezicht op wordt gehouden is de beheersingsmaatregel niet effectief.

De risico’s die de onderneming loopt zijn aan veranderingen onderhevig. Hierdoor moet bewaakt worden dat de interne beheersingsmaatregelen nog gericht zijn op de actuele risico’s die de onderneming loopt. De onderneming is alleen in staat om nieuwe risico’s te identificeren en te beheersen als de risicoanalyse is ingebed in de processen van de onderneming.

Ook moet er toezicht op worden gehouden dat de procedures die worden uitgevoerd nog nodig zijn. Het kan zijn dat door veranderingen bepaalde risico’s voor de onderneming niet meer aanwezig zijn. De procedures die de onderneming had om deze risico’s te beheersen zijn dan niet meer nodig. Bijvoorbeeld dat de onderneming een systeem krijgt dat automatisch een order plaatst bij de leverancier als de voorraad onder een bepaald niveau komt. Hierdoor is de autorisatietabel niet meer noodzakelijk. Er ontstaan hierdoor echter wel nieuwe risico’s.