Internal Control
Maturity Model
-
ICMM
EIAP Scriptie
Scriptant: Friso van de Velde
Mail: friso.van.de.velde@nl.pwc.com Tel: 06 20 38 66 72
Studentnummer: 6020407
Scriptiebegeleider: Albert Weenink (albert.weenink@randstadholding.com) Tweede lezer: Jan Groenewold (jan.groenewold@atradius.com)
Voorwoord
Sinds de start van de opleiding heeft het in control vraagstuk mij geboeid. In control is een abstract begrip dat voor iedere organisatie anders tot stand komt. Daarnaast ben ik sinds mijn indiensttreding bij PwC herhaaldelijk in aanraking gekomen met visies en uitwerkingen op het gebied van volwassenheidsstadia. In een poging meer grip op het in control vraagstuk te krijgen heb ik besloten mijn scriptie over dit onderwerp in relatie tot volwassenheid te gaan schrijven. Doel hierbij was om een model te ontwikkelen dat adequaat op de praktijksituatie- en behoefte aansloot.
Dank ben ik verschuldigd aan mijn scriptiebegeleider Albert Weenink, die mij vanuit zijn enthousiasme en praktijk ervaring heeft aangemoedigd de aansluiting van het ICMM op de praktijk te blijven houden. Daarnaast hebben we interessante gesprekken gehouden over het onderwerp van de scriptie en hebben we uitstekend kunnen samenwerken en de vaart er in gehouden. Ook dank ik Jan Groenewold voor de scherpe tweede lezing van mijn scriptie, dit is de kwaliteit van de scriptie ten goede gekomen.
Dank ben ik verschuldigd aan de deelnemers aan de verschillende workshops die ik heb gehouden. Ik heb het als erg interessant ervaren om te sparren over volwassenheidsstadia en internal control. Het heeft me positief verast dat deelnemers aan de workshops enthousiast waren over het ICMM en het leuk vonden om te vertellen over hun praktijkervaring en verbeterpunten die ze zagen.
Verder was het erg spannend hoe het ICMM landde bij de internal auditors van verschillende deelnemende organisaties. De deelnames hebben geleid tot interessante en verassende inzichten en ik heb de gesprekken als erg leuk en leerzaam ervaren. Hier viel me ook het enthousiasme op waarmee deelnemende internal auditors over het onderwerp wilden discussiëren en hun bereidheid het ICMM verder te gaan gebruiken.
PwC bedank ik voor de mogelijkheid om de RO opleiding te kunnen volgen. De studie heeft me als professional veel gebracht.
Tot slot bedank ik mijn vriendin Eveline en éénjarige dochter Lara. Het is erg druk geweest afgelopen twee jaar, ik dank Eveline voor alle steun en geduld.
Friso van de Velde Augustus 2014
Inhoud
1. Inleiding ... 5
1.1 Aanleiding... 5
1.1.1 Control ... 5
1.1.2 COSO internal control model 2013 ... 6
1.1.3 Volwassenheidsmodel ... 7
1.1.4 Kruisbestuiving ... 8
1.1.5 Praktijktoets ... 8
1.2 Onderzoeksdoelstelling en hoofd- en deelvragen ... 9
1.3 Onderzoeksmethode ...10
2. Beantwoording deelvragen ... 11
2.1 Deelvraag I: Kan COSO 2013 bijdragen tot internal control van een organisatie? ... 11
Conclusie – deelvraag I ... 11
2.1.1 Wijzigingen COSO 2013 ... 11
2.1.2 Componenten en principles ... 12
2.1.3 Relatie COSO 2013 domeinen ... 13
2.1.4 Voorwaarden voor effectieve internal control ... 13
2.1.5 Beperkingen COSO (2013) ... 14
2.2 Deelvraag II: Hoe wordt een volwassenheidsmodel ontwikkeld? ... 15
Conclusie – deelvraag II ... 15
2.2.1 Selectie uit methoden ‘De Bruijn’ en ‘Becker’ ... 15
2.2.2 Geselecteerde methode ‘De Bruijn’ ... 16
Fase 1: Scope (‘reikwijdte’) ... 16
Fase 2: Design (‘ontwerp’) ... 17
2.3 Deelvraag III: Hoe worden volwassenheidsstadia en een referentiekader ontwikkeld? ... 19
Conclusie – deelvraag III ... 19
Fase 3: Populate (‘ontwikkelen’) ... 19
2.3.1 ICMM - volwassenheidsstadia ... 20
2.3.2 ICMM - referentiekader ... 21
2.4 Deelvraag IV: Is een internal control volwassenheidsmodel toepasbaar in de praktijk? ... 30
Conclusie – deelvraag IV ... 30
Fase 4: Test (‘praktijktoets’) ... 31
Resultaten en interview verslagen ... 31
3. Visie ... 32
Fase 5: deploy (‘verspreiding’) & maintain (‘onderhoud’) ... 32
3.1 Visie ten aanzien van internal control ... 32
3.2 Visie ten aanzien van verder onderzoek en beperkingen ... 33
4. Conclusie ... 35
Hoofdvraag: Op welke wijze is het mogelijk om aan de hand van COSO 2013 de volwassenheid van internal control van een organisatie te meten? ... 35
Appendices ... 37
Appendix 1: Definitie internal control ... 37
Appendix 2: Verhouding COSO IC met COSO ERM ... 38
Appendix 3: Toelichting op COSO componenten ... 39
Appendix 4: Interviewscript ... 40
Appendix 5: Praktijktoets resultaten ... 42
A5.1 Privaat eigendom - Stork ... 42
A5.2 Beursgenoteerde organisatie – Randstad ... 44
A5.3 Financiële instelling – ABN AMRO ... 46
A5.4 Non-governmental organization (goed doel) – Stichting ZOA ... 48
A5.5 Publiekrechtelijk orgaan – Ministerie van Sociale zaken en werkgelegenheid ... 50
1. Inleiding
1.1 Aanleiding
1.1.1 Control
De afgelopen jaren is de maatschappij diverse malen geconfronteerd met tegenvallende resultaten van publieke en private organisaties. De maatschappij beseft dat financiële verslaggeving met name is gericht op het verleden en daarmee onvoldoende informatie verschaft over de robuustheid en winstgevendheid van organisaties en over het beleid van de bestuurders (gepland versus gerealiseerd).
De maatschappij, vertegenwoordigd door stakeholders: aandeelhouders, werknemers, leveranciers, klanten, omwonenden, overheid, etc. is tevens geïnteresseerd in de cultuur en integriteit van de organisatie en van de bestuurders en commissarissen.
De maatschappij verwacht van bestuurders dat ze tijdig inspelen op maatschappelijke ontwikkelingen en dat de hiermee gepaarde risico’s worden beheerst. De raad van bestuur en de raad van commissarissen dienen te rapporteren over het risicoprofiel van de organisatie en de risico’s die aan de strategie en de dagelijkse bedrijfsvoering zijn verbonden om vervolgens aan te geven in hoeverre deze risico’s, die het realiseren van de doelstellingen van de organisatie bedreigen, worden beheerst [NIVRA, 2009].
Organisaties zoeken een relatieve balans tussen risico en beheersing. Zonder risico’s te nemen zullen organisaties geen winst maken. Wanneer een organisatie in control is valt moeilijk te zeggen, te meer omdat in control een relatief begrip is. Dit betekent voor het in control vraagstuk dat een organisatie in eerste instantie moet onderkennen hoe de relatieve balans tussen risico en beheersing er uit ziet om vervolgens bij dit evenwicht te stellen dat een organisatie in control is. Indien een organisatie meer risico neemt zijn er vier mogelijkheden voor een organisatie om de balans te herstellen. Een organisatie kan de risicotolerantie beperken door de risico’s te vermijden of over te dragen, dan wel te mitigeren door beheersmaatregelen uit te breiden. Een vierde mogelijkheid voor een organisatie is om het risico te accepteren waarmee het de risicotolerantie vergroot. Als de tolerantie toeneemt kan een organisatie nog steeds – in relatieve zin – beweren dat het in control is [Paape, 2008]. In formele zin sluit dit aan bij Driessen en Moolenkamp, die stellen dat een organisatie in control is als een organisatie met een redelijke mate van zekerheid kan stellen dat er geen significante, onverwachte gebeurtenissen zullen plaatsvinden die de realisatie van de doelstellingen kunnen frustreren [Driessen, Moolenkamp, 2012]. Absolute zekerheden zijn er nauwelijks, onderzoek heeft uitgewezen dat de ‘rational man’ niet bestaat, maar op zijn best ‘bounded’ is [Kahneman, 2003].
Volgens Strikwerda is een raad van bestuur in control wanneer deze in staat is de materiële en immateriële activa in te zetten ten behoeve van de continuïteit van de organisatie. Hiervoor moet een raad van bestuur van een organisatie zowel internal als external control1 realiseren. Internal control bestaat volgens Strikwerda uit drie onderdelen:
Goed geformuleerde en uitgevoerde strategie;
Een juist bepaalde organisatiestructuur;
Een sub-unit power base: die functie, activiteit of competentie die het meest cruciaal is voor succes in de markt, moet in de interne organisatie ook de meest machtige positie innemen. Dat wil zeggen dat fundamentele succesfactoren een centrale positie in de organisatie dienen in te nemen
Strikwerda stelt verder dat een raad van bestuur met het oog op de toekomst in control dient te zijn en dat het COSO internal control model voornamelijk betrekking heeft op de interne organisatie [Strikwerda, 2004].
Het ‘Committee of Sponsoring Organizations of the Treadway Commission’ (hierna: COSO) definieert internal control als volgt:
Internal control is a process, effected by an entity’s board of directors, management and other personnel, designed to provide reasonable assurance regarding the achievement of objectives
relating to operations, reporting & compliance [COSO 2013 - 1]. 2
Internal control voorziet in verschillende behoeftes. Internal control geeft een raad van bestuur
vertrouwen en management een handvat om doelstellingen te realiseren. Internal control geeft verder weer in hoeverre een organisatie de realisatie van de doelstellingen bewerkstelligt en het de kans op ongewenste verassingen vermindert. Daarnaast is internal control in veel gevallen een voorwaarde voor toegang tot de kapitaalmarkt om te groeien als organisatie [COSO 2013 - 3].
1.1.2 COSO internal control model 2013
COSO is een vrijwillig private sector initiatief dat als doel heeft de bevordering van het presteren en
governance van organisaties door een effectieve internal control. Onder meer het IIA3 en AICPA4 zijn betrokken bij de COSO organisatie [McNally, 2013].
COSO heeft in 1992 een model (hierna: COSO 1992) ontworpen ten behoeve van de interne beheersing van organisaties. Het COSO internal control model bracht een ‘revolutie’ te weeg op gebied van interne beheersing, het bleek de eerste formele poging internal control te definiëren en een model hiervoor te gebruiken.
In 2002 nam het COSO 1992 aan belang toe, omdat het belang van internal control als zodanig in de Sarbanes-Oxly Act (SOX) wetgeving onder artikel 404 werd genoemd. De SOX wetgeving schrijft voor dat een organisatie beheersmaatregelen dient in te richten ten behoeve van internal control. Daarnaast verplicht de wetgeving de effectiviteit van deze beheersmaatregelen intern en extern te laten beoordelen. Onder meer gezaghebbende organisaties als de SEC5 en PCAOB6 bestempelde COSO als een adequaat raamwerk voor de inrichting van internal control [D’Aquila 2013; AICPA, 2012].
In Nederland heeft ‘Tabaksblat’ het COSO internal control model als voorbeeld voor organisaties genoemd in control te komen, in werkelijkheid hebben Nederlandse organisaties en masse het
internal control systeem gebaseerd op de COSO filosofie [Pruijm, 2007; Renes, 2003].
In 2013 heeft COSO het internal control model van 1992 herzien door het uitbrengen van het COSO
internal control - integrated framework (hierna: COSO 2013) met 17 principles die de vijf COSO
componenten ondersteunen. Zo kunnen organisaties beheersmaatregelen versterken en vertrouwen van stakeholders genereren om de doelstellingen van de organisatie te realiseren.
In het kort heeft COSO 2013 drie doelstellingen op de gebieden operations, reporting en compliance. COSO 2013 bestaat uit vijf componenten:
Control environment;
Risk assessment;
Control activities;
Information & communication;
Monitoring activities.7
De structuur van de organisatie is weergegeven aan de rechterkant van de kubus (zie figuur 1).
Er bestaat een directe relatie tussen de drie doelstellingen, van de organisatie en de vijf COSO componenten.
2Refereer voor een nadere toelichting op de COSO definitie van internal control aan Appendix 1 3IIA = Institute of Internal Auditors
4AICPA = American Institute of Certified Public Accountants 5SEC = Securities and Exchange Commission
6PCAOB = Public Company Accounting Oversight Board 7
Figuur 1: COSO internal control model (COSO, 1992/2013)
De 17 principles ondersteunen de vijf componenten. (refereer aan beantwoording deelvraag I). De
principles geven het conceptuele fundament van de componenten weer. Omdat de principles een
directe relatie hebben met de componenten kan een organisatie enkel de internal control omgeving beheersen door alle principles toe te passen [COSO 2013 - 1; PwC, 2012; AICPA, 2012].
Management van een organisatie kan aan de hand van COSO 2013 concluderen dat het systeem van
internal control effectief is, mits de COSO componenten en relevante principles in opzet en bestaan
aanwezig zijn en werken.
Met de aanwezigheid van het ontwerp van de COSO componenten en principles wordt bedoeld dat deze bestaan in het systeem van interne beheersing. Met werking wordt bedoeld dat componenten en
principles zijn geëffectueerd in het systeem van interne beheersing. Daarnaast is het systeem van
interne beheersing effectief als de 5 COSO componenten op geïntegreerde wijze op elkaar aansluiten [McNally, 2013].
1.1.3 Volwassenheidsmodel
Volwassenheidsmodellen bestaan uit het concept dat een proces een levenscyclus met verschillende fases doorloopt. Volwassenheidsmodellen gaan van het principe uit dat na identificatie van het huidige volwassenheidsstadium een organisatie een hoger niveau van volwassenheid in fases kan bereiken [Lockamy, McCormack 2004].
Sinds het Capability Maturity Model (hierna: CMM) [Paulk, 1993] in 1993 door het Software
Engineering Institute werd gelanceerd zijn er talloze volwassenheidsmodellen uitgebracht.
Volwassenheidsmodellen identificeren het huidige stadium van een organisatie op ‘een’ onderwerp en geven aan op welke wijze een volgend volwassenheidsstadium bereikt kan worden. Daarnaast kunnen organisaties of onderdelen daarvan op het gebied van volwassenheid middels benchmarking modellen met elkaar worden vergeleken. Organisaties willen zich continu verbeteren (process
orientation en continuous process improvement for organizational design) en volwassenheidsmodellen kunnen hiervoor als bruikbare tool dienen [Röglinger, Pöppelbuss, 2011]. Het is interessant voor organisaties om vast te stellen op welk volwassenheidsstadium COSO 2013 wordt toegepast. Organisaties kunnen daaruit afleiden in hoeverre de doelstellingen door een effectieve toepassing van COSO 2013 worden gerealiseerd.
Om volwassenheidsstadia te definiëren dient een volwassenheidsmodel te worden ontwikkeld, een aangedragen ontwikkelmodel voor volwassenheidsmodellen ziet er als volgt uit [De Bruijn, Rosemann, 2005]:
Bovenstaande generieke stappen moeten worden gevolgd om volwassenheidsstadia te bepalen. Daarnaast is het mogelijk een meer formele methode aan te houden voor de ontwikkeling van een volwassenheidsmodel (refereer aan figuur 3) [Becker, 2009]:
Figuur 3: Procedure model for developing maturity models (Becker, 2009)
1.1.4 Kruisbestuiving
Door de wereldwijze acceptatie van de COSO internal control modellen zal de uitgebreide content van COSO 2013 en onderliggende documentatie als fundament fungeren voor de totstandkoming van het internal control maturity model.
Deze volwassenheidsstadia zijn gebaseerd op de initiële volwassenheidsstadia die zijn uitgebracht door het CMM: ad hoc – repeatable – defined – managed – optimized.
De vijf tot stand gekomen internal control volwassenheidsstadia zullen worden vertaald naar de 17 COSO 2013 principles, waardoor een referentiekader zal ontstaan.
Het tot stand gekomen referentiekader wordt vervolgens door seniore experts vanuit verschillende invalshoeken in workshops gevalideerd.
1.1.5 Praktijktoets
COSO stelt dat COSO 2013 betrekking heeft op organisaties van verschillende typen, soorten en maten, zoals private, beursgenoteerde en publiekrechtelijke organisaties en Non-governmental
organizations (hierna: Ngo’s).
Nu is het interessant om na te gaan of het ontwikkelde model aansluit op de behoefte uit de praktijk. Een internal auditor kan door zijn onafhankelijke rol in de organisatie en zijn positie als waarborger van de derde lijn adequaat een dergelijke toetsing uitvoeren [IIA, 2013].
Het IIA formuleert de definitie van internal auditing als volgt:
“Internal auditing is an independent, objective assurance and consulting activity designed to add value and improve an organization’s operations. It helps an organization accomplish its objectives
by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk management, control and governance processes”[IIA, 2005].
Internal auditors van (1) een beursgenoteerde organisatie (Randstad), (2) een privaatrechtelijk beheerde organisatie (STORK) , (3) een publiek rechterlijkorgaan (Ministerie van Sociale zaken en Werkgelegenheid) en (4) van een goed doel (Stichting ZOA), zullen worden gevraagd de volwassenheid van de principles, componenten en onderlinge samenhang voor hun organisatie te beoordelen om zo het volwassenheidsstadium van de organisatie op het gebied van internal control vast te stellen. Concreet wordt via een online assessment gevraagd om de volwassenheid van de organisatie waarvoor ze werkzaam zijn aan de hand van 17 principles te beoordelen.
De typen organisaties worden aangevuld met (5) een financiële instelling die onder meer vanuit wet- en regelgeving veel aandacht hebben voor internal control (ABN AMRO).
Na een kwalitatieve beoordeling zal de internal auditor in een interview feedback kunnen leveren op de werking en toepasbaarheid van het model, het resultaat van de assessment de organisatie en een inschatting van de positionering ten aanzien van de andere typen organisaties.
Het resultaat van de assessments en interviews worden vastgelegd in deelvraag IV en Appendix 5.
1.2 Onderzoeksdoelstelling en hoofd- en deelvragen
Het doel van de scriptie is om een bijdrage te leveren aan het vakgebied, de onderzoeksdoelstelling luidt als volgt:
Onderzoeksdoelstelling: Ontwikkelen van internal control volwassenheidsmodel.
Een dergelijk model stelt een internal auditors in staat om aan de hand van het vernieuwde COSO
internal control (2013) model het volwassenheidsstadium van de organisatie waarvoor ze werkzaam
zijn vast te stellen. Een internal control volwassenheidsmodel ontbreekt en het te ontwikkelen model heeft tevens als doel om COSO 2013 handzamer te maken, zodat een volwassenheidsmodel voor
internal control in de praktijk adequaat toepasbaar is.
Organisaties kunnen aan de hand van het te ontwikkelen model de vraag van stakeholders naar de mate van internal control beter beantwoorden.
Naar aanleiding van het voorgaande luidt de hoofdvraag als volgt:
Hoofdvraag: Op welke wijze is het mogelijk om aan de hand van COSO 2013 de volwassenheid van
internal control van een organisatie te meten?
Uit de hoofdvraag destilleren de volgende deelvragen:
Deelvraag I: Kan COSO 2013 bijdragen tot internal control van een organisatie? Deelvraag II: Hoe wordt een volwassenheidsmodel ontwikkeld?
Deelvraag III: Hoe worden volwassenheidsstadia en een referentiekader ontwikkeld? Deelvraag IV: Is een internal control volwassenheidsmodel toepasbaar in de praktijk?
1.3 Onderzoeksmethode
De deelvragen I en II worden aan de hand van wetenschappelijk literatuuronderzoek beantwoord. Voor deelvraag I worden nationale en internationale bronnen over de totstandkoming en toepassing van COSO 2013 gebruikt.
Voor deelvraag II worden internationale bronnen over de ontwikkeling van volwassenheidsmodellen gebruikt. Een van de aangedragen ontwikkelingsmodellen (‘De Bruijn’ of ‘Becker’) wordt na een analyse geselecteerd om aan de hand van stappen uit het geselecteerde ontwikkelingsmodel het volwassenheidsmodel te ontwikkelen.
Onder deelvraag III vindt de daadwerkelijke ontwikkeling van de volwassenheidsstadia en het referentiekader plaats door internal control volwassenheidsstadia toe te passen op de 17 COSO
principles. De op dat moment tot stand gekomen volwassenheidsstadia en referentiekader worden
door seniore experts vanuit verschillende invalshoeken gevalideerd om zo de praktische toepasbaarheid, kwaliteit en relevantie te waarborgen.
Deelvraag IV bestaat uit de praktijktoetsing. Internal auditors van verschillende organisaties worden benaderd om op onafhankelijke wijze de mate van internal control van de organisatie waarvoor ze werkzaam zijn te kunnen toetsen. De toets is kwalitatief van aard, daarnaast krijgt de internal auditor de gelegenheid de beoordeling in een interview toe te lichten als ook om feedback ten aanzien van de werking van het model te leveren.
In hoofdstuk 3 zet ik mijn visie ten aanzien van internal control, mogelijk verder onderzoek en beperkingen voor toepassing van het tot stand gekomen Internal Control Maturity Model (ICMM) uiteen.
2. Beantwoording deelvragen
2.1 Deelvraag I: Kan COSO 2013 bijdragen tot internal control van
een organisatie?
Conclusie – deelvraag I
COSO 2013 is door de brede toepassing, wereldwijde acceptatie en internationale regulering als handvat representatief om internal control te verwezenlijken.
Organisaties kunnen COSO 2013 gebruiken voor de toepassing van een top down risk based aanpak van het internal control systeem. Vergeleken met COSO 1992 speelt COSO 2013 adequater in op technologische ontwikkelingen, de informatiebehoefte van stakeholders en vereisten op het gebied van wet-en regelgeving.
COSO 2013 is aan de hand van de principles en points of focus handzamer en identificeert aandachtspunten die het realiseren van internal control kunnen belemmeren. Voorwaarden zijn wel dat, in beginsel, alle principles effectief opereren en de componenten op elkaar zijn afgestemd.
2.1.1 Wijzigingen COSO 2013
De COSO organisatie meende dat de uitgangspunten uit het originele COSO 1992 aanpassing behoeften ter bevordering van de gebruiksvriendelijkheid en toepasbaarheid naar de wensen van de huidige tijd.
COSO 92 werd ruim 20 jaar geleden in 1992 gelanceerd en inmiddels hebben zich ontwikkelingen en gebeurtenissen voorgedaan: er zijn talrijke grote organisaties failliet gegaan door ineffectief risk
management, technologie heeft zich revolutionair ontwikkeld, markten waarop bedrijven opereren
zijn sterk geglobaliseerd, stakeholders zijn meer geïnteresseerd in de verantwoording over de bedrijfsvoering geraakt en vereisten op het gebied van wet- en regelgeving zijn ingrijpend gewijzigd en toegenomen [D’Aquila, 2013].
De basis: ‘de internal control definitie en de kubuscomponenten’ blijven in COSO 2013 hetzelfde als in COSO 1992.8
“COSO 2013 builds on what has been proven useful in the original version”[COSO, 2013 - 2]. De volgende verschillen zijn er tussen COSO 1992 en COSO 2013 wel te onderkennen9:
Reporting objective - Een van de doelstellingen/objectives uit COSO 1992, reporting over
financiële doelstellingen is verbreed door financial weg te laten, daardoor is de reikwijdte van de doelstelling inzake rapportering verbreed naar niet-financiële (en meer extern gerichte) informatie over behaalde resultaten en een waarheidsgetrouwe financiële verslaggeving. COSO onderkent de vraag vanuit stakeholders om tijdige en waarheidsgetrouwe informatie te leveren. Er is een groeiende interesse vanuit stakeholders om op integrale wijze te rapporten, ook over onderwerpen waarmee een organisatie competitief voordeel kan behalen. De verbreding van de reporting doelstelling speelt op deze ontwikkeling in. In het algemeen kan het volgende gesteld worden over objectives [AICPA, 2013; D’Aquila 2013]:
Operations objectives: deze doelstellingen zijn gericht op de effectiviteit en efficiëntie
van de operationele en financiële processen van een organisatie (inclusief proces ten aanzien van het waarborgen van de activa van de organisatie);
Reporting objectives: deze doelstelling is gericht op interne en externe financiële en
niet-financiële rapportages voor diverse stakeholders;
8
Compliance objectives: deze doelstelling refereert aan het voldoen aan vereisten op het
gebied van wet –en regelgeving waaraan de (entiteit van de) organisatie dient te voldoen.
Principles en points of focus - Het meest significante verschil tussen de COSO 2013 en
COSO 1992 is dat de meest recente versie van het model principles en points of focus kent. 17
Principles en 81 points of focus voorzien in een meer gedetailleerde ondersteuning van de
COSO componenten om de effectiviteit van internal control te ontwikkelen en te beoordelen (refereer voor principles aan paragraaf 2.1.2). Management kan afhankelijk van de omstandigheden waarin de organisatie of entiteit zich bevindt besluiten of dergelijke points of
focus wel of niet geschikt zijn om toe te passen. Deze principle based approach is volgens
COSO toepasbaar op verschillende typen organisaties zoals private, beursgenoteerde en publiekrechtelijke organisaties en Ngo’s.
IT controls - IT risico’s zijn tegenwoordig nadrukkelijk aanwezig binnen organisaties.
Beheersmaatregelen ten aanzien van het informatiebeveiligingsbeleid moeten expliciet worden gewaarborgd. IT maakt het mogelijk om betrouwbare en actuele informatie aan
stakeholders te leveren. COSO 2013 erkent expliciet de fundamentele rol die IT heeft in elke
organisatie en daarom is de beheersing ervan evident (refereer aan principle 11 in paragraaf 2.1.2).
Effective governance - Organisaties en internal audit dienen de effectiviteit en
onafhankelijk van de governance structuur te meten (refereer aan principle 3 in paragraaf 2.1.2).
Professional judgment - COSO 2013 heeft in tegenstelling tot COSO 1992 meer aandacht
voor de eerste lijn’s betrokkenheid (management’s judgement) in de opzet en implementatie van het model als ook de beoordeling van effectiviteit van de werking (refereer onder meer aan principles 1-3, 12 en 17 in paragraaf 2.1.2).
2.1.2 Componenten en principles
COSO 2013 kent net als de voorganger COSO 1992 vijf componenten: Control environment, risk
assessment, control activities, information & communication en monitoring activities.
De componenten van COSO 2013 worden ondersteund door 17 principles en geven organisaties richting in de ontwikkeling van de opzet, implementatie en beoordeling van het internal control
framework.
Vervolgens zijn in figuur 4 de COSO 2013 componenten met daaraan gekoppelde principles weergegeven (refereer voor een opsomming en uiteenzetting van de vijf COSO 2013 componenten met daarop een toelichting aan Appendix 3).
Figuur 4: COSO internal control model – relation components and principles (COSO, 2013)
2.1.3 Relatie COSO 2013 domeinen
Zoals weergegeven in paragraaf 1.1.2 (refereer aan figuur 1) houden drie domeinen de COSO kubus bijeen: doelstellingen, componenten en bedrijfsonderdelen (afhankelijk van de structuur van de organisatie). Er bestaat een directe relatie tussen doelstellingen, hetgeen de organisatie wil realiseren, componenten, die uiteenzetten hetgeen nodig is om de doelstellingen te realiseren en de bedrijfsonderdelen. Elke component heeft betrekking op alle doelstellingen. De doelstellingen hebben niet enkel betrekking op specifieke entiteiten of onderdelen van de organisatie, maar bij bijvoorbeeld de doelstelling operations, op het geheel aan operationele processen in de organisatie. Indien er een KPI rapportage wordt opgesteld is er informatie benodigd van verschillende onderdelen van de organisatie, dan is de activiteit meer gericht op de middelste kolom, reporting, in plaats van op
operations.
Internal control is geen lineair proces waar een component enkel invloed heeft op de daarop
volgende component, want internal control is een dynamisch, iteratief en integraal proces waarbij componenten elkaar beïnvloeden.
Het systeem van internal control verschilt per organisatie en is afhankelijk van industrie, grootte, aard van bedrijfsmodel, risicotolerantie, afhankelijkheid van technologie, mate van gekwalificeerd personeel en vereisten vanuit wet- en regelgeving [COSO 2013 – 3].
2.1.4 Voorwaarden voor effectieve internal control
Een effectief systeem van internal control levert een redelijke mate van zekerheid dat de doelstellingen van de organisatie worden gerealiseerd. Een effectief systeem van internal control reduceert het risico van het niet behalen van de doelstellingen die betrekking hebben op de categorieën objectives tot een voor de organisatie acceptabel niveau.
De voorwaarden voor een effectief systeem van internal control zijn:
A. Alle 5 COSO componenten en 17 principles functioneren;
COSO 2013 stelt dat de principles een directe relatie hebben met de componenten en een organisatie de doelstellingen enkel kan beheersen door alle principles effectief toe te passen (‘present and
functioning’). COSO is van mening dat alle principles relevant en toepasbaar zijn op alle organisaties.
Als een principle afwezig is of niet effectief, dan kan de gelieerde component niet effectief zijn geïmplementeerd. In uitzonderlijke omstandigheden kan management vaststellen dat in het specifieke geval (industrie, omvang organisatie, etc.) het functioneren van een component onafhankelijk is van het functioneren van een bepaalde principle [COSO 2013 – 3, Deloitte, 2013]. Afwijkingen van de toepassing van de principles leiden tot een afnemende waarschijnlijkheid dat de doelstellingen van de organisatie worden behaald [Protiviti, 2013].
Beoordelingen van afwijkingen blijven subjectief van aard. Management beoordeelt de aard en ernst van de afwijking en of de afwijking leidt tot een significant gebrek in het systeem van internal control. Een significante afwijking wordt als volgt gedefinieerd:
“an internal control deficiency or combination of deficiencies that severely reduces the likelihood
that the entity can achieve its objectives”.
Een dergelijke afwijking bestaat indien management vaststelt dat een component niet functioneert of dat componenten niet geïntegreerd functioneren. Het bestaan van een significante afwijking voorkomt dat het systeem van internal control effectief wordt toegepast.
Met andere woorden, een effectief systeem van internal control vereist geen absolute zekerheid van een effectieve werking van de 17 principles. COSO 2013 moet niet als checklist worden gehanteerd. Voor een succesvolle implementatie dient een organisatie te beginnen met het uitvoeren van een
mapping van bestaande beheersmaatregelen op de COSO 2013 principles. Management kan zo
vaststellen welke principles wel en niet zijn geïmplementeerd en waar activiteiten benodigd zijn om de principle op het gewenste niveau te krijgen.
De externe auditor kan de nieuwe opzet beoordelen om herhaling van werkzaamheden te voorkomen. Daarnaast kan internal audit de planning op het nieuwe model afstemmen, maar voor een succesvolle implementatie dient een organisatie de top-down risk-based approach uit te voeren [Protiviti, 2013; COSO, 2013 - 3].
B. De vijf componenten zijn op integrale wijze op elkaar afgestemd.
COSO 2013 stelt dat de componenten op elkaar dienen te zijn afgestemd (‘operate together’) zodat de componenten gezamenlijk het risico reduceren dat doelstellingen niet worden gerealiseerd. Voorbeelden van de wijze waarop componenten op elkaar aansluiten zijn (1) het hebben ingericht van een risk & control raamwerk waarvoor op verschillende niveaus en processen risico’s en beheersmaatregelen zijn vastgelegd om die vervolgens te monitoren, (2) beleidsdocumenten en procedures die als onderdeel van control activities bijdragen aan het identificeren en analyseren van risico’s in de risk assessment, (3) opgestelde en gecommuniceerde Codes of conduct die de kans op frauduleus gedrag trachten te mitigeren [COSO, 2013 – 3].
2.1.5 Beperkingen COSO (2013)
COSO 2013 is een handzaam model ter ondersteuning van internal control van de organisatie, maar het gebruik er van is afhankelijk van kwaliteit en geschiktheid onder bepaalde omstandigheden. Zo kunnen beperkingen ontstaan door inadequate menselijk beoordelingen, inadequate beoordelingen van beantwoording van risico’s (afweging van kosten en voordelen van inzet beheersingsactiviteiten), samenzwering en management override van beheersmaatregelen [Protiviti, 2013, COSO 2013 - 3].10
10
2.2 Deelvraag II: Hoe wordt een volwassenheidsmodel ontwikkeld?
Conclusie – deelvraag II
Een volwassenheidsmodel kan aan de hand van een ontwikkelmodel voor volwassenheidsmodellen worden ontwikkeld. Daarvoor moet echter wel de aard en andere kenmerken van het te ontwikkelen volwassenheidsmodel worden vastgesteld om een ontwikkelmodel te selecteren.
Voor de ontwikkeling van het ICMM is het ontwikkelingsmodel van De Bruijn geselecteerd, omdat het ICMM diagnostisch van aard is, de fundamentele content via COSO 2013 reeds beschikbaar is en de fasering adequaat op de deelvragen van de scriptie aansluit. De stappen van het De Bruijn model en de daaruit voortvloeiende eigenschappen fungeren als leidraad voor de ontwikkeling van het ICMM.
Om het volwassenheidsmodel vorm te geven is de reikwijdte en het ontwerp vastgesteld.
COSO 2013 heeft volgens COSO een brede toepasbaarheid, hetgeen daarom wordt getoetst door internal auditors van verschillende typen organisaties. Het ICMM wordt door verschillende type experts gevalideerd in drie verschillende workshops.
De volwassenheidsstadia van het CMM dienen door de wereldwijde acceptatie en generieke toepasbaarheid als basis dienen voor verdere ontwikkeling van het ICMM.
2.2.1 Selectie uit methoden ‘De Bruijn’ en ‘Becker’
Zoals beschreven de inleiding zijn er verschillende ontwikkelmodellen om volwassenheidsmodellen – en stadia te ontwikkelen (refereer aan paragraaf 1.1.3).
De methode van De Bruijn (refereer aan figuur 2) is ontwikkeld om volwassenheidsmodellen te ontwikkelen voor Business Process Management en de methode van Becker (refereer aan figuur 3) is gericht op IT management volwassenheidsmodellen. Beide methoden zijn procedureel van aard en hanteren fases om een volwassenheidsmodel te ontwikkelen.
De toepassing van volwassenheidsmodellen kan verschillend van aard zijn waardoor er verschillende typen modellen te onderscheiden zijn:
Descriptive (‘diagnostisch’) - het volwassenheidsmodel heeft een diagnostisch doel als het
is bedoeld om aan de hand van gegeven criteria de huidige situatie van de organisatie op een bepaald gebied in kaart te brengen (AS IS);
Prescriptive (‘normatief’) - normatieve volwassenheidsmodellen geven weer op welke wijze
aan de hand van richtlijnen gewenste volwassenheidsstadia te bereiken;
Comparative (‘vergelijkend/comparatief’) - een volwassenheidsmodel is comparatief als het
interne en externe benchmarking toestaat. Indien er veel data beschikbaar is van een groot aantal beoordelingen, kunnen de volwassenheidsstadia van verschillende organisaties of bedrijfsonderdelen met elkaar worden vergeleken [Röglinger, Pöppelbuss, 2011].
De Bruijn stelt zes fases voor om een diagnostisch volwassenheidsmodel te ontwikkelen dat zich kan ontwikkelen tot een normatief of comparatief model. De methode van Becker schrijft een handboek voor met acht fasen om tot een op wetenschap gefundeerd volwassenheidsmodel te komen. Becker’s methode is probleem oplossend van aard (‘prescriptive’), nadat de status quo van een organisatie is vastgesteld (‘descriptive’). Becker vergelijkt verschillende bestaande volwassenheidsmodellen om een nieuw model te ontwikkelen. De keuze om voor het ontwikkelen van het volwassenheidsmodel te steunen op de content COSO 2013 maakt een vergelijking met reeds bestaande modellen overbodig [Becker, 2009; DeBruijn, Rosemann, 2005; Röglinger, Pöppelbuss, 2011].
De methode van de Bruijn is voor deze scriptie het meest geschikt, omdat het doel van de scriptie is een diagnostisch volwassenheidsmodel te ontwikkelen dat zich in een vervolgtraject wellicht kan ontwikkelen tot een normatief of comparatief model. Daarnaast staat het model van De Bruijn toe om in de ontwikkelfase te steunen op aanwezige content om die vervolgens te laten valideren door experts. Verder sluiten de fases uit het model van De Bruijn aan op de deelvragen.
2.2.2 Geselecteerde methode ‘De Bruijn’
De fases van De Bruijn zijn generiek van aard, maar de volgorde is van belang. De keuzes tijdens het
scope proces beïnvloeden latere fases (refereer ook aan paragraaf 1.1.3 en figuur 2).
Figuur 5: Model development phases (De Bruijn, Rosemann, 2005) – fase 1: scope
Fase 1: Scope (‘reikwijdte’)
In de eerste fase van de ontwikkeling van het model moet de reikwijdte voor de toepassing van het ICMM worden vastgesteld.
Door de behoefte vanuit organisaties en stakeholders om in control te zijn over de doelstellingen van de organisatie ligt de focus van het te ontwikkelen volwassenheidsmodel, het Internal Control
Maturity Model (hierna: ICMM), op internal control.
COSO stelt dat COSO 2013 betrekking heeft op organisaties van verschillende typen organisaties, zoals private, beursgenoteerde en publiekrechtelijke organisaties en Non-governmental
organizations [COSO 2013 – 3].
Het ICMM is daarom ook gericht op verschillende typen organisaties zoals voorgesteld door COSO. Tijdens fase 5, de deploy fase wordt het model getest bij deze type organisaties, aangevuld met een financiële instelling die onder meer vanuit wet- en regelgeving veel aandacht hebben voor internal
control.
De internal auditor is door zijn onafhankelijk bij uitstek geschikt om een diagnostische toets op de organisatie uit te voeren op de mate van toepassing van COSO 2013 om het niveau van internal
control van de organisatie vast te stellen.
Het model wordt tijdens de testfase op validiteit getoetst door seniore experts vanuit verschillende invalshoeken op het gebied van business en soft controls, risk en audit. In validatie workshop I wordt het ICMM gevalideerd door business control experts van een accountants- en advieskantoor, waarna het model in een volgende workshop wordt gevalideerd door een expert van de internal audit afdeling van een beursgenoteerde organisatie. Tijdens de derde validatieworkshop voorziet een soft controls expert van een financiële dienstverlener het ICMM van input op het gebied van cultuur elementen. Om de praktische en brede toepassing te valideren en te waarborgen wordt het model als pilot getest door ervaren en opgeleide internal auditors binnen een private, beursgenoteerde en publiekrechtelijke organisatie, een Ngo en een financiële instelling (refereer aan paragraaf 1.1.5). De reikwijdte van de scope ziet er in tabelvorm als volgt uit:
Eigen-schappen
van het
model
Toepassing
Focus Internal control*
Type Diagnostisch Normatief Vergelijkend
Toepassing op
organisaties Privaat-rechtelijk Beurs-genoteerd Publiek-rechtelijk Niet op winst gericht (NGO)
Financiële instelling
Uitvoerder Lijnorganisatie
(eerste lijn) Risk management/
compliance (tweede lijn)
Internal audit (derde lijn)
Gebruiker Stakeholders
Validiteitstoets
content model Business control experts accountants- en advieskantoor
Internal auditors van een beursgenoteerde organisatie Soft controls expert van een financiële instelling Validiteitstoets toepassing model
Privaat-rechtelijk Beurs-genoteerd Publiek-rechtelijk Niet op winst gericht (NGO)
Financiële instelling *Onderstreept en dik gedrukt = van toepassing
Figuur 6: scope
Figuur 7: Model development phases (De Bruijn, Rosemann, 2005) – fase 2: design
Fase 2: Design (‘ontwerp’)
In de tweede fase wordt vastgesteld (1) op wiens vraag aan verantwoording het model inspeelt, dit zijn verschillende stakeholders zoals de eigenaren, investeerders, RvB/RvC, OR, etc. (2) wie het model kunnen toepassen en hoe het model kan worden toegepast, namelijk door internal auditors die aan de hand van het model een onafhankelijke toets op de volwassenheid op het gebied van internal
control kunnen uitvoeren en (3) welk doel de toepassing van het model heeft: het verschaft stakeholders inzicht in de mate waarin de organisatie de realisatie van de doelstellingen beheerst
(refereer aan paragraaf 1.2).
Volwassenheidsmodellen hebben gemeen dat er verschillende stadia (van volwassenheid) worden onderkend, bijvoorbeeld waarbij stadium 5 de hoogste graad van volwassenheid belichaamt en niveau 1 de laagste. Deze stadia zijn geïntroduceerd door het CMM en sindsdien wereldwijd geaccepteerd [DeBruijn, 2005; Mutafelija, Stromberg 2003].
Het is handzaam de volwassenheidsstadia verschillende titels met een heldere indicatie van het stadium te geven. Om de voorwaarden van de stadia te definiëren kan een bottom-up of top-down
approach worden uitgevoerd.
Een top-down approach definieert eerst de titels van de verschillende stadia en geeft vervolgens de voorwaarden weer voor het bereiken van de stadia. Een bottom-up approach verloopt in omgekeerde volgorde, waarbij eerst voorwaarden worden geschetst waarna de titels van verschillende stadia worden geformuleerd [DeBruijn, 2005].
Voor deze scriptie wordt de top-down approach gehanteerd, omdat de stadia van het CMM worden gebruikt. Vervolgens worden de volwassenheidsstadia naar de aard van het CMM aan de hand van de content van COSO 2013 verder ingevuld.
Om COSO 2013 adequaat toe te passen met als doel in control te geraken over de realisatie van de doelstellingen van de organisatie, dienen de componenten en dus ook de 17 principles op samenhangende wijze toe te worden gepast. Nu is het voor organisaties interessant in hoeverre de 17
principles worden toegepast om een indicatie te hebben of en in hoeverre fundamentele
Het CMM dat initieel als model is uitgebracht om software te ontwikkelen, leent zich om volwassenheidswording als proces te onderkennen. Een volwassenheidsmodel draagt bij om een focusgebied zoals internal control op fundamentele wijze in de organisatie in te richten, waardoor de afhankelijkheid van individuen afneemt en de kans op duurzaam succes, productiviteit en kwaliteit, toeneemt. Er zijn fundamentele verschillen tussen volwassen en onvolwassen organisaties, ter illustratie:
In een onvolwassen organisatie wordt door medewerkers veel geïmproviseerd en reactief activiteiten uitgevoerd waardoor planning en budget niet worden gehaald of worden overschreden. Wanneer harde deadlines moeten worden gehaald gaat dit vaak ten kosten van de kwaliteit en functionaliteit. In een volwassen organisatie worden activiteiten proactief volgens procedure uitgevoerd waardoor targets wel en op tijd worden gehaald en dit niet ten kosten gaat van de kwaliteit. Procedures worden regelmatig geüpdate en rollen en verantwoordelijkheden zijn helder gedefinieerd. Resultaat van activiteiten wordt gemonitord en op objectieve wijze beoordeeld.
Deze illustratie geeft weer dat er verschillen kunnen zijn in de mate van volwassenheid op specifieke gebieden. Een volwassenheidsmodel kan een organisatie ondersteunen in het helder krijgen op welk niveau de organisatie op een specifiek gebied presteert en het voor de organisatie identificeert hoe opvolgende volwassenheidsstadia er uit zien en hoe die te bereiken. Een dergelijk model draagt er ook aan bij om te onderkennen op welk onderdeel een organisatie te kort schiet om de doelstellingen van de organisatie te realiseren [Paulk, 1993].
Het CMM heeft vijf niveaus gedefinieerd om de volwassenheid op specifieke gebieden te identificeren.
De vijf stadia van het CMM zijn met een toelichting als volgt (tussen haakjes staan de originele software termen die niet van toepassing zijn op internal control, zonder afbreuk te doen aan de strekking van de verschillende stadia):
i. Ad hoc – The (software) process is characterized as ad hoc, and occasionally even chaotic. Few
processes are defined, and success depends of individual effort;
ii. Repeatable – Basic project management processes are established to track cost, schedule and
functionality. The necessary process discipline is in place to repeat earlier success on projects with similar steps (applications);
iii. Defined – The (software) process for both management and (engineering) activities is
documented, standardized and integrated in a standard (software) process for the
organization. All projects use an approved, tailored version of the organization’s standard (software) process for developing and maintaining the subject matter (software);
iv. Managed – Detailed measures of the (software) process and product are collected. Both the
software process and products are quantitatively understood and controlled;
v. Optimized – Continuous process improvement is enabled by quantitative feedback from the
process and from piloting innovative ideas and technologies [Paulk, 1993].
De CMM volwassenheidsstadia zijn in opzet breed toepasbaar gehouden door de ontwikkelaars van het model en gegeven de processuele aard zijn ze geschikt om verschillende stadia op het gebied van IC te identificeren. De tot stand gekomen volwassenheidsstadia zullen het fundament vormen voor de
2.3 Deelvraag III: Hoe worden volwassenheidsstadia en een
referentiekader ontwikkeld?
Conclusie – deelvraag III
Volwassenheidsstadia komen in een creatief proces aan de hand van wetenschappelijke literatuur, aanwezige content (COSO 2013 en CMM) en praktijkinzichten tot stand. Daarna zijn de in control volwassenheidsstadia geplot op de content van COSO 2013, gevalideerd en aangevuld met praktijkinzichten in verschillende validatieworkshops. De experts die het CMM hebben gevalideerd komen uit de praktijk en hebben vanuit verschillende invalshoeken het ICMM van aandachtspunten voorzien. De experts waren respectievelijk gespecialiseerd in business controls, risk en audit en soft
controls.
*In tegenstelling tot de rest van de scriptie worden de volwassenheidsstadia en het model in het Engels beschreven, met als doel om geen afbreuk te doen aan de Engelstalige terminologie uit de literatuur, betrokken experts en deelnemende organisaties aan de praktijktoets.
Figuur 8: Model development phases (De Bruijn, Rosemann, 2005) – fase 3: populate
Fase 3: Populate (‘ontwikkelen’)
Door de volwassenheidsstadia van het CMM te hanteren wordt de top-down approach gevolgd door per principle de mate van volwassenheid naar de aard van de CMM niveaus, van ad hoc tot
optimized, te beschrijven. Hierbij wordt gebruik gemaakt van de points of focus, dit zijn de
kenmerken van de principles.
Uit de wetenschappelijke literatuur is onder meer vastgesteld dat een organisatie COSO 2013 effectief toepast als de principles in opzet en operatie effectief zijn, het risico’s beheerst op een acceptabel niveau, IT inzet om efficiëntieslagen te behalen, een organisatie vertrouwen wekt richting
stakeholders en aan de vraag naar betrouwbaarheid en actuele data van stakeholders voldoet
(refereer aan de beantwoording van deelvraag I).
De ontwikkeling van het ICMM is een creatief proces gebleken.
Na verricht literatuuronderzoek (refereer aan deelvraag I en II) zijn de CMM volwassenheidsstadia verrijkt met praktijkinzichten in de eerste validatieworkshop. De volwassenheidsstadia zijn vervolgens geplot op de 17 COSO principles, waarna een beoordeling op de eerste aanzet van het referentiekader heeft plaatsgevonden door de deelnemers aan de eerste validatieworkshop.
De volwassenheidsstadia en de eerste versie van het referentiekader zijn gevalideerd in de tweede validatieworkshop, waarna aan de hand van nieuwe inzichten de volwassenheidsstadia zijn aangescherpt en een nieuwe versie van het ICMM tot stand is gekomen. In de derde validatieworkshop was het object de gevalideerde versie van het ICMM naar aanleiding van de tweede validatieworkshop.
Validatieworkshop I – PwC, Business Controls Advisory (Ronald Teuthof, Partner; Wim Mandemakers, Senior Manager)
Tijdens deze workshop is het onderscheid verduidelijkt tussen een effectieve en efficiënte toepassing van COSO 2013.
Om effectiviteit van de principles aan te tonen dient te worden vastgesteld en gedocumenteerd dat
middel van automatisering: toepassing van Governance, Risk en Compliance tooling, data en
process mining en continuous monitoring.
Door een effectieve en efficiënte toepassing van COSO 2013 richt internal control zich meer op het creëren van waarde voor de organisatie door pro-actief kansen te benutten om de doelstellingen te verwezenlijken en hierover te berichten aan stakeholders om vertrouwen te creëren of te waarborgen. Indien de effectiviteit van de toepassing van de principles is bereikt kunnen de principles in overeenstemming met de strategische doelstellingen van de organisatie worden uitgevoerd.
Het uiteindelijke doel voor een organisatie is het creëren van vertrouwen naar de stakeholders toe. Validatieworkshop II – Heineken International, Global audit (Roger Sans Font,
Global audit manager for a region)
Tijdens deze workshop zijn aandachtspunten voor de praktische toepasbaarheid naar voren gekomen. In het model is meer aandacht gekomen voor regionale toepassing, omdat het model aan relevantie kan winnen door verschillende bedrijfsonderdelen individueel te beoordelen. Daarbij dient wel gelet te worden op regionale culturele verschillen.
Het belang van de stakeholders is tijdens de workshop benadrukt. Voor de toepassing van COSO 2013 is het nodig om de vraag naar verantwoording over de bedrijfsvoering te beantwoorden.
Daarnaast is het voor internal audit een kans om aan de hand van het ICMM in gesprek te treden met het hogere eerste lijnsmanagement over de mate van in control waarin de organisatie zich bevindt. Een organisatie investeert afhankelijk van de risk appetite in internal control, inzicht in de cost of
control is benodigd om goede afwegingen op het gebied van IC activiteiten te maken.
Validatieworkshop III – ABN AMRO, Group audit (Theo Verzijlbergen, Senior manager)
In de derde validatieworkshop is de invloed van soft controls op internal control besproken: helderheid, voorbeeldgedrag, bespreekbaarheid, uitvoerbaarheid, betrokkenheid, transparantie, aanspreekbaarheid en sanctioneerbaarheid [Kaptein, 2007].
De toepassing van soft controls op stadia van volwassenheid en de principles is toegelicht en bediscussieerd en heeft geleid tot aanvullingen op het ICMM.
De eigenschappen van de volwassenheidsstadia (2.3.1) hebben als fundament gefungeerd voor het vaststellen van de 5 volwassenheidsmogelijkheden per principle (2.3.2).
2.3.1 ICMM - volwassenheidsstadia
i. Ad hoc
There is no (in)formal or very limited internal control in place. Policies, procedures and processes have not or slightly been defined. Therefore, successful execution of IC activities in order to achieve organizational objectives depends of individual effort and result becomes unpredictable. The organization reacts case by case on risk events.
Soft control elements are very limited effective (clarity, congruency, discussability, feasibility, supportability, transparency, accountability, sanctionability).
ii. Repeatable
Policies, procedures and processes have been somewhat formalized. However, policies, procedures and processes are documented for most of the organizational units and owners have been assigned to risks and controls. IC activities are executed based on previous experiences. However, inconsistency in performance appears for executed IC activities throughout the organization. Responsibility for
Internal control is taken within the organization. Lines of defence are partially integrated.
Not all soft control elements are in place (clarity, congruency, discussability, feasibility, supportability, transparency, accountability, sanctionability).
iii. Defined
Policies, procedures and processes are effective in design. Evidence of IC activities is available and documented in basic registration tools (point solutions).Baseline controls have been implemented and IC is primarily used for internal goals. Good governance is established within the organization by meeting (international) generally accepted standards. The organization focuses on risk mitigation in a retro-spective way. Control awareness is established. Soft control elements are in place.
However, not all soft control elements are effective (clarity, congruency, discussability, feasibility, supportability, transparency, accountability, sanctionability).
iv. Managed
Policies, procedures and processes operate effectively and evidence is transparent and communicated internally. The organization is compliant with laws and regulations and proves compliance via declarations to its stakeholders to maintain sustainable relationships. Reporting process is performed with the end result in mind, reports are set-up bottom-up in accordance with the organization’s objectives KPI’s are aligned with organization’s objectives. Cost of control is transparent to management and compared to measured benefits.
The organization documents IC activities in a GRC solution in an integrated way. Therefore, different lines of defence document IC activities in a GRC tool. Lines of defence perform IC activities in accordance with strategic objectives. Results of IC activities are predictable. The organization aims to gain external trust by providing assurance on non-compliant subject matters. Accountability for execution has been defined and is effective in operation.
Cost of control increases in level I to level iii/iv, in order to achieve an effective IC-system. Efficiency increases from level iv onwards, because of automated controls in order to monitor controls continuously. Compliance awareness is established in phase iv.
Soft control elements operate effectively (clarity, congruency, discussability, feasibility, supportability, transparency, accountability, sanctionability). Root/causes of deficiencies in the IC system are identified with support of soft controls, recommendations are provided and followed-up.
v. Optimized
The organization provides trust via continuous assurance to stakeholders in order to create value. Organization's IC-system is effective by aligning objectives and derived KPI’s in the area of operations, reporting and compliance with strategic objectives. Organization's IC-system is efficient and controls are automated or managed through self-remediation. Continuous monitoring activities provide the organization with real-time insights in performance and level of control, which enables the organization to monitor event driven and to act in a proactive way. The organization provides continuous assurance by informing internal and external stakeholders proactively. The organization provides obtained assurance reports to stakeholders about subjects on which the organization aims to realize competitive advantage.
The organization conducts data analysis via automated interfaces with integrated GRC solutions in order to compose actual data representation and KPI performance on dashboards and to predict occurrence of future events. Performance awareness is established. Long term relationships with stakeholders are enforced continuously.
Soft control elements retain operating effectively and a continuous improvement culture is in place (clarity, congruency, discussability, feasibility, supportability, transparency, accountability, sanctionability). Root/causes of deficiencies in the IC system are identified with support of data and process mining.
2.3.2 ICMM - referentiekader
In het grijs in de linker kolom staan de principles genummerd van 1-17.
Bovenin in het geel van links naar rechts staan de volwassenheidsstadia ad hoc – repeatable –
defined – managed - optimized.
Nr. & Principle Maturity level
Nr Principle Ad hoc Repeatable Defined Managed Optimized
Component:
Control environment
1 The organization demonstrates a commitment to integrity and ethical values. The organization shows limited commitment to integrity and ethical values. Standards of conduct are not in place. Standards of conducts have been somewhat formalized. Inconsistency appears in conducting organization’s moral values. Therefore, incongruent behavior appears. Standards of conduct have been formalized, are clear and are effective in design. The organization is feasible and acts supportive towards establishing a culture in which an ethical culture is maintained. Standards of conduct are effective in operation. Therefore, evidence is in place that standards of conduct have been understood by personnel. The organization performs self-correcting activities and is compliant with rules and regulations. (high and middle) Management demonstrates congruent behavior ('tone at the top' and 'walk the talk'). Personnel are being held accountable for individual activities and are sanctioned. Moral/ethical objectives are aligned with strategic objectives of the organization. The organization is able to communicate performance in the field of ethical 'compliance' internally and externally. 2 The board of directors demonstrates independence from management and exercises oversight of the development and performance of internal Independent board oversight is limited in place. Oversight structures consist of deficiencies. However, the board of directors demonstrates independence and oversight activities informally. Therefore, Oversight structures are effective in design and feasible. Board of directors oversees management's assessments of risks; Oversight is provided to senior management in development and performance of IC Oversight is tested periodically and is clear and effective in operation. The organization complies with laws and regulations and issues third party declarations The organization analyses and discusses information relating to entity's achievement of (strategic) objectives.control. inconsistency appears in the development and performance of internal control.
activities. (e.g. in control statement). 3 Management establishes, with board oversight, structures, reporting lines, and appropriate authorities and responsibilitie s in the pursuit of objectives. Structures, reporting lines, and authorities & responsibilitie s are in general not clear. Structures, reporting lines, and authorities & responsibilitie s are documented partially, consist of deficiencies, and are not always clear in relation to objectives. Therefore, policies, procedures and processes are not documented consistently for most of the organizational units. Lines of defence are partially integrated. Structures,
reporting lines, and authorities & responsibilities are effective in design. Senior management established directives, guidance and control to enable management and other personnel to understand and carry out IC responsibilities. Good governance is established within the organization by meeting (international) generally accepted standards. Structures, reporting lines, and authorities & responsibilities are feasible, clear and understood and effective in operation, and are documented in an integrated way in a GRC tool. Board of directors retains authority over significant decisions. Personnel are being held accountable for individual IC activities. Structures, reporting lines, and authorities & responsibilities are adapted to actual circumstances in order to achieve (strategic) objectives ('Structure follows strategy'). Lines of defence are integrated with strategic objectives. 4 The organization demonstrates a commitment to attract, develop, and retain competent individuals in alignment with objectives. No HR policy or expressed commitment from the organization towards personnel. HR policy is defined in a limited way and consists of deficiencies. The organization acts in a reactive manner in the field of HR. HR policy supports internal control in the achievement of the entity's objectives and is effective in design. Accountability for performance of key business functions has been defined.
Organization is compliant with labour safety laws, rules, regulations and standards. Present competencies and experience are aligned with HR policy. Shortcomings are evaluated and remedial actions are taken. HR policy is feasible. Management acts congruent with regards to HR activities. HR objectives, personnel profiles and development plans are aligned with strategic objectives. Individual performance and added value is measured automatically. The organization acts pro-actively in the field of HR and uses HR to achieve competitive advantage.
5 The organization holds individuals accountable for their internal control responsibilitie s in the pursuit of objectives. Roles and responsibilitie s are not transparent. Role and responsibilitie s have not been formalized. Therefore, individuals are held accountable in a limited way. Roles and responsibilities are aligned with the objectives and are effective in design. KPI's and IC responsibilities are transparent for the first line. IC framework is documented in a basic registration tool. Control awareness is established. Tasks which result from roles and
responsibilities are clear and transparent and have been aligned with compliance obligations, execution is evaluated periodically with the support of a GRC tool. Personnel are being held accountable for individual IC activities and are sanctioned. Roles and responsibilities are assessed in an integrated way taking the lines of defence into account. Compliance awareness is established. Roles and responsibilities are aligned with strategic objectives. Performance is measured automatically via automated controls. Performance awareness is established. Control deficiencies are self-remediated.
Component:
Risk assessment
6 The organization specifies objectives with sufficient clarity to enable the identification and assessment of risks relating to objectives. Objectives do not enable the organization to identify and assess risks relating to objectives. The organization defines objectives informally. Objectives are slightly ambiguous to stakeholders in the risk assessment process. The process of setting objectives for operations, reporting and compliance in order to assess risks, is effective in design. Specified objectives are documented and available for interested personnel. Objectives are clear and feasible and reflect management's choice for operations, complies with accounting standards, externally established standards and frameworks for reporting and complies with laws and regulations for compliance. The organization communicates defined Objectives are aligned with strategic objectives and achievement of objectives is monitored event driven with support of dashboards. Risks and opportunities are identified automatically.objectives as well as the achievement of objectives. The organization identifies risks and opportunities pro-actively. 7 The organization identifies risks to the achievement of its objectives across the entity and analyses risks as a basis for determining how the risks should be managed.
The
organization does not have a process for risk identification in place. The organization reacts case by case on risk events. Risk assessment process is done informally and consists of deficiencies. Risk assessment process is effective in design. The organization focusses on risk mitigation in a retro-spective way. The organization analyses all business segments on
internal and external risks for impact and likelihood
periodically, which could endanger the realization of organization's objectives.
Appropriate levels of management are involved in the risk assessment process. Risk assessment process is feasible and effective in operation. The result of the risk assessment is reflected in an integrated GRC tool. Therefore, risks are responded effectively (the organization is compliant in identifying risks in relation to law and regulations). The organization analyses to what extent risks impact strategic objectives. The organization analyses risk interdependenci es and adjusts the risk response in a proactive way by conducting continuous monitoring automated controls. 8 The organization considers the potential for fraud in assessing risks to the achievement of objectives. The organization does not consider fraud in the assessment of risks. The incorporation of fraud assessment is done informally and consists of deficiencies. Fraud assessment process is effective in design and preventive. Fraud assessment takes incentives and pressures into consideration. Fraud awareness is established. Fraud assessment process is effective in operation. The organization allows a climate in which fraud events and matters are discussed. The organization ensures compliance with rules and regulations. Fraud policy is aligned with the control environment and strategic objectives. Automated fraud controls are in place to detect irregular events continuously. 9 The organization identifies and assesses changes that could significantly impact the system of internal control. Significant changes are not identified. Process of identifying and assessing changes is done informally throughout the organization and consists of deficiencies. Process is effective in design to analyze changes in a preventive and detective way in the internal and external
environment and with regards to the business model and leadership within the organization. Process in order to identify and assess changes is effective in operation. The organization evaluates if significant changes were responded accurately and timely. Events or changes which could endanger strategic objectives are identified automatically by processing online data. Events or changes are reacted upon in
