• No results found

Het ICS-systeem: sence and simplicity…?

N/A
N/A
Info
Downloaden
Protected

Academic year: 2021

Share "Het ICS-systeem: sence and simplicity…?"

Copied!
70
0
0

Bezig met laden.... (Bekijk nu de volledige tekst)

Download het nu ( 70 pagina )

Hele tekst

(1)

Het ICS-systeem: sence and

simplicity…?

Een casestudy naar het gebruik van een internal control system bij Philips Lighting Winschoten

(2)

Het ICS-systeem: sence and

simplicity…?

Een casestudy naar het gebruik van een internal control system bij Philips Lighting Winschoten

Rijksuniversiteit Groningen

Studierichting

:

MSc

Business

Administration

Specialisatie

: Organization en Management Control

Auteur

:

Fokke

Jan

Burema

Studentnummer

:

1449028

Afstudeerbegeleider :

drs. J. Westra-de Jong R.A.

2

e

Afstudeerbegeleider

: dr. T.A. Marra

Afstudeerorganisatie

: Philips Lighting Winschoten

: H.M Brouwerstraat 1

:

9760

AD

Winschoten

Begeleider

:

Dhr.

H.

Simmeren

(3)

Voorwoord

Voor u ligt de scriptie die is geschreven in het kader van de afronding van de Master of Science in Business Administration, afstudeervariant Organization and Management Control (OM&C), aan de Rijksuniversiteit Groningen.

Na een buitenlands verblijf van vijf maanden in Zuidoost-Azië was het plotseling bij

thuiskomst tijd om te gaan afstuderen. Na her en der geïnformeerd te hebben, werd ik getipt door Dieter van de Scheur dat er een afstudeerplek vrij kwam op de financiële administratie van Philips Lighting Winschoten. In het kennismakingsgesprek bleek het te klikken en zo kon ik in Oktober 2006 bij Philips Lighting Winschoten beginnen.

Via deze weg wil ik dan ook mijn begeleider, Hans Simmeren van Philips Lighting Winschoten, bedanken voor de feedback, de tips en de goede samenwerking.

Daarnaast wil ik mijn naaste collega’s van de financiële afdeling, Chris Hesseling en Gert Meiborg, bedanken voor een prachtige tijd. Als laatste wil ik alle medewerkers van Philips Lighting Winschoten, die mee hebben gewerkt aan de interviews, bedanken.

Een scriptie komt niet tot stand zonder begeleiding vanuit de Rijksuniversiteit Groningen. Ik moet zeggen dat ik het, tijdens het afstudeertraject, getroffen heb met de begeleiding van Mevrouw Westra-de Jong. Ik wil hier haar dan ook hartelijk voor bedankten. Daarnaast wil ik ook mijn tweede begeleider Meneer Marra bedanken voor de feedback wat uiteindelijk heeft geleid tot dit resultaat.

Tenslotte wil ik vrienden, studiegenoten en mijn ouders bedanken voor hun steun tijdens mijn studie, ook voor het corrigeren van mijn scriptie op de Nederlandse spelling en om van de meest onmogelijke zinnen nog een goed lopend verhaal te maken.

(4)

Samenvatting

Na de boekhoudschandalen zijn er binnen de financiële verslaggeving veel veranderingen gaande. Bedrijven moeten nu niet alleen een balans en een verlies- en winstrekening

overleggen, maar ook aantonen dat ze een deugdelijke verslaglegging hebben en dat er sprake is van een goede interne en externe beheersing van de processen en risico’s. De Sarbanes-Oxley regelgeving heeft hier een grote invloed op. Deze regelgeving verplicht bedrijven (onder andere Philips) die genoteerd zijn aan de New York Stock Exchange, om aan deze nieuwe regelgeving te voldoen.

Om aan deze nieuwe eisen te voldoen en deze te controleren heeft Philips een Internal Control System (ICS) opgesteld voor alle rapporterende organisaties. Philips probeert door middel van het ICS-systeem de bedrijfsrisico’s zoveel mogelijk te beheersen.

Het doel van het onderzoek is het in kaart brengen van de bedrijfsrisico’s bij Philips Lighting Winschoten en te analyseren of deze bedrijfsrisico’s door het ICS-systeem worden afgedekt. De probleemstelling voor de scriptie is als volgt geformuleerd:

Is er overeenstemming in het Internal Control Systeem tussen de externe beheersing en de interne beheersing van de bedrijfsrisico’s bij Philips Lighting Winschoten?

Bij het analyseren van de interne en externe beheersing van de bedrijfsrisico’s wordt gebruik gemaakt van een conceptueel model. Binnen dit conceptueel model wordt er onderscheid gemaakt tussen de strategische analyse en het gebruik van het COSO-raamwerk dat

ontwikkeld is door het Committee of Sponsoring Organizations of the Treadway Commission. In de theorie die zich richt op het invoeren van de regelgeving van Sarbanes-Oxley wordt veel gebruik gemaakt van het COSO-raamwerk. Bij het analyseren van de interne en externe beheersing bij Philips Lighting Winschoten is ook gebruik gemaakt van het COSO-raamwerk. Daarnaast is er een link gelegd met de strategie van Philips Lighting Winschoten door middel van de Strategic Scorecard.

Om te kijken of het ICS-systeem de risico’s goed afdekt, is er een analyse gemaakt van de interne en externe risico’s. Deze analyse is gedaan door middel van semi-gestructureerde interviews met de werknemers die de controles van het ICS-systeem uitvoeren. De

verschillende soorten interne en externe risico’s zijn gebaseerd op de theorie van het Business Risk Model.

Uit de analyse van het ICS-systeem en de interviews met de medewerkers is naar voren gekomen dat de interne risico’s binnen Philips Lighting Winschoten goed worden

(5)

Inleiding... 7

1. Philips Lighting Winschoten ... 8

1.1.1 Geschiedenis Koninklijke Philips Electronics N.V... 8

1.1.2 Beschrijving Philips Lighting Winschoten ... 9

1.2 Aanleiding tot onderzoek ... 10

2. Onderzoeksopzet en omschrijving begrippen ... 12

2.1 Aanpak van het probleem... 12

2.2 Probleemstelling... 13 2.2.1 Doelstelling ... 13 2.2.2 Vraagstelling ... 14 2.2.3 Deelvragen ... 15 2.2.4 Randvoorwaarden... 15 2.3 Conceptueel model ... 16 2.3.1 Strategie... 16

2.3.2 Begripsvorming Enterprise Governance ... 17

2.3.3 Geschiedenis ontstaan Corporate Governance ... 18

2.3.4 Business Governance ... 19

2.3.5 Sarbanes-Oxley ... 19

2.3.6 Accountability and assurance... 20

2.3.7 Value creation and resource utilization ... 20

2.4 Methode van onderzoek ... 21

3. Onderzoeksopzet ... 22

3.1 Definitie van Strategic Management Accounting ... 22

3.2 Formuleren strategie aan de hand van raamwerk... 23

3.2.1 Strategic Scorecard raamwerk... 24

3.3 COSO-raamwerk ... 26

3.3.1 COSO-raamwerk Enterprise Risk Management ... 28

3.3.2 Verklaring van de organisatiedoelen... 29

3.3.3 Componenten van ERM ... 30

3.3.4 Discussie... 33

3.4 Conclusie raamwerken ... 34

4. Beheersing bedrijfsrisico’s ... 35

4.1 Enterprise Governance en Strategic Management Accounting... 36

4.2 Corporate Governance en risico ... 36

4.2.1 Risicobeheersing door Sarbanes-Oxley ... 36

4.3 Internal control ... 37

4.4 Interne risico’s uit de theorie... 38

4.4.1 People risk ... 38

4.4.2 Direct process risk... 39

4.4.3 Indirect process risk ... 39

(6)

5. Gebruik ICS en interne beheersing ... 42

5.1 Ontwikkeling van het ICS-systeem... 42

5.2 Het ICS-systeem... 43

5.2.1 Processen die worden meegenomen in het ICS systeem... 43

5.2.2 Functies die bevoegd zijn om het ICS-systeem in te vullen ... 44

5.3 Analyse huidige ICS-systeem aan de hand van het ERM-raamwerk... 44

5.3.1 Internal environment ... 44 5.3.2 Object setting... 46 5.3.3 Event identification ... 47 5.3.4 Risk assessment... 48 5.3.5 Risk response... 52 5.3.6 Control activities ... 52

5.3.7 Information and Communication ... 53

5.3.8 Monitoring... 53

5.3.9 Samenvatting interne risico’s ... 53

6. Beheersing externe risico’s ... 55

6.1 Concurrenten ... 55

6.2 Leveranciers ... 56

6.3 Klanten ... 57

6.4 Nieuwe toetreders op de markt... 58

6.5 Economie... 58

6.6 Politiek ... 59

6.7 Technologie... 59

6.8 Sociale risico’s ... 60

6.9 Samenvatting externe risico’s ... 60

7. Conclusies, aanbevelingen en discussie ... 62

7.1 Opzet van het ICS-systeem ... 62

7.2 Aanbevelingen... 64

7.3 Discussie... 66

Literatuur lijst ... 68

(7)

Inleiding

“Philips Lighting Winschoten, worden daar geen gloeilampen gemaakt?” Deze vraag ben ik regelmatig tegengekomen toen ik vertelde dat ik mijn afstudeeronderzoek uitvoerde bij Philips. Philips Lighting Winschoten is een fabriek die gespecialiseerd is in het produceren van hoge kwaliteit glas/glazen buizen die in verschillende toepassingen worden gebruikt. Het uitgevoerde onderzoek richt zich op de beheersing van de interne en externe

bedrijfsrisico’s en de rol die het ICS-systeem hier in speelt. Het uiteindelijke doel van het onderzoek is aan te geven dat de interne en externe beheersing van de bedrijfsrisico’s zowel theoretisch als praktisch in balans zijn.

Het onderzoek is opgedeeld in een aantal deelvragen. Deze deelvragen zijn uitgewerkt in de volgende hoofdstukken.

De scriptie begint in hoofdstuk 1 met de introductie van Philips als bedrijf en de aanleiding tot het onderzoek. Hoofdstuk 2 gaat verder met de onderzoeksopzet, de vraagstelling en het gebruikte conceptueel model. Daarnaast wordt de methode van onderzoek toegelicht. In hoofdstuk 3 wordt de theoretische definitie besproken van Strategic Management Accounting en de invloed hiervan op de organisatie. In hoofdstuk 3 wordt ook het gebruik van het COSO-raamwerk besproken, wat als leidraad wordt gebruikt voor de praktische uitwerking van het onderzoek. De verschillende interne en externe risico’s die besproken worden in de theorie worden uitgewerkt in hoofdstuk 4. De praktische uitwerking van de interne risico’s wordt besproken in hoofdstuk 5. De praktische uitwerkingen van de externe risico’s worden besproken in hoofdstuk 6. Hoofdstuk 7 vormt een samenvatting van de eerder genoemde hoofdstukken. Daarnaast worden in dit hoofdstuk de conclusie en de aanbevelingen besproken en vervolgens wordt het hoofdstuk afgesloten met een discussie over eventueel

vervolgonderzoek.

(8)

1 Philips Lighting

In dit hoofdstuk wordt de algemene bedrijfsbeschrijving van Koninklijke Philips Electronics N.V. weergegeven. In paragraaf 1.1.1 zal de geschiedenis van Koninklijke Philips Electronics N.V.worden beschreven. Daarnaast zal in deze paragraaf de visie van Philips en van Philips Components, de business unit waaronder Philips Lighting Winschoten valt, worden

behandeld. In paragraaf 1.1.2 zal ingegaan worden op de huidige situatie van Philips Lighting Winschoten. In deze paragraaf wordt tevens aangegeven door middel van een sterk

vereenvoudigd organogram onder welke business unit Philips Lighting Winschoten valt. In paragraaf 1.2 worden de aanleiding tot dit onderzoek en de eventuele gevolgen hiervan voor Philips Lighting Winschoten beschreven.

1.1.1 Geschiedenis Koninklijke Philips Electronics N.V.

In deze paragraaf wordt een beschrijving gegeven van het totale concern.

Koninklijke Philips Electronics N.V. is één van de grootste en bekendste producenten van elektronische producten ter wereld. De basis voor het bedrijf werd gelegd door Anton en Gerard Philips. Zij richtten in 1891 Philips op in Eindhoven. Het eerste product van Philips was de gloeilamp. Philips staat bekend om zijn vele innovaties. Al in 1914 werd het eerste laboratorium geopend. Innovaties die Philips in de loop van de tijd heeft ontwikkeld zijn: de compact disc, de draaiende scheerkop en recente de DVD-recorder. Philips is al erg vroeg begonnen met het opzetten van eigen toeleveringsbedrijven voor grondstoffen. Hierdoor had Philips al voor de Tweede Wereldoorlog verschillende productie- en verkooporganisaties in het buitenland. Ondertussen is Philips uitgegroeid tot een multinational met fabrieken in meer dan 27 landen en een omzet van 30,3 miljard euro in 2005.

Binnen Philips zijn vier verschillende product divisies te onderscheiden namelijk: Lighting, Medical Systems, Domestic Application and Products (DAP) en Consumer Electronics. In oktober 2006 heeft Philips 80,1% van haar belang in de divisie semi-conductors verkocht. Philips richt zich de laatste jaren steeds meer op de divisies Lighting en Medical Systems. Wat betreft de divisie Medical Systems zijn er enkele overnames geweest door Philips. Wereldwijd heeft Philips op dit moment ongeveer 126.000 werknemers.

Dat Philips een wereldwijd merk is, blijkt uit de verschillende marktposities die de product divisiess in nemen. Zo heeft de Philips Lighting divisie een nummer één positie op de markt van gloeilampen. Verder behoort Philips Consumer Electronics tot de top drie van de wereld op het gebied van consumentenelektronica en Philips Medical Systems is nummer één op de markt voor apparatuur waarmee patiëntendiagnoses worden gesteld. Ook wil Philips zich profileren als een bedrijf met veel onderzoek en innovaties. Philips heeft op dit moment 80.000 patenten geregistreerd en besteedt jaarlijks 2,6 miljard euro aan Research- and Development-uitgaven.

De visie die Koninklijke Philips Electronics N.V. op dit moment heeft, is:

(9)

Philips Lighting Components, de business unit waaronder Philips Lighting Winschoten valt, heeft als visie:

A clear worldwide leader in added-value solutions and technologies, setting the pace in the lighting components industry

Koninklijke Philips Electronics N.V. heeft veel verschillende onderdelen en markten waarop zij actief is. In het organogram in bijlage 1 wordt een totaal overzicht gegeven van de

bedrijfsstructuur. In dit organogram wordt ook de plaats aangegeven die Philips Lighting Winschoten inneemt. In de volgende paragraaf zal een beschrijving worden gegeven van de huidige situatie van Philips Lighting Winschoten.

1.1.2 Beschrijving Philips Lighting Winschoten

In deze paragraaf zal specifiek ingegaan worden op Philips Lighting Winschoten. Eerst wordt schematisch weergegeven onder welke divisie Philips Lighting Winschoten valt. Daarna volgt er een beknopte bedrijfsomschrijving van Philips Lighting Winschoten.

Het onderzoek waarop deze scriptie is gebaseerd, wordt uitgevoerd bij Philips Lighting Winschoten. Deze fabriek is onderdeel van de product divisie Lighting. Een overzicht van de organisatie wordt hieronder verkort schematisch weergegeven. In bijlage 1 is vermeld welke plaats Philips Lighting Winschoten inneemt in de totale organisatiestructuur van Koninklijke Philips Electronics N.V. Koninklijke Philips Electronics N.V.

DAP Components Philips Lighting Winschoten Lighting Lamps Consumer Electronics Medical Systems

(10)

is dan bij levering intern aan andere Philips vestigingen. De glazen buizen worden verwerkt in de volgende producten: beamers, theaterlampen, discolampen en stadionverlichtingen. De glazen buizen worden in drie verschillende productiehallen geproduceerd en zijn specifiek op basis van hun eigenschappen. Bij eigenschappen kan men denken aan de dikte van de glazen buis en de hoeveelheid licht die een glazen buis kan door laten. De afnemers van Philips Lighting Winschoten zitten over de gehele wereld.

Philips Lighting Winschoten heeft veel last van concurrentie uit China. Een aantal

productielijnen is inmiddels al naar China verplaatst omdat de arbeidskosten daar een stuk lager zijn. Een andere bedreiging is een mogelijke daling van de interne markt. Philips vestigingen hebben nu zelf de keuze of ze het glas afnemen van Philips Lighting Winschoten of van een concurrent buiten Philips. Het beleid ten aanzien van de productie en de producten is, dat men concurreert op basis van vooral kwaliteit, betrouwbaarheid en innovatie. Philips Lighting Winschoten ontwikkelt zich meer en meer tot een fabriek met specialistische glastoepassingen. Daarnaast wordt binnen Philips Lighting Winschoten innovatie als een belangrijk speerpunt gezien en dit is ook essentieel voor de toekomst om de concurrent voor te blijven. De strategie van het management van Philips Lighting Winschoten is hieronder weergegeven.

De strategie van Philips Lighting Winschoten is het handhaven en het uitbreiden van een goede marktpositie binnen de bestaande markten. Daarnaast investeert Philips Lighting Winschoten in nieuwe producten en klanten om aan de vraag van de markt te voldoen. Dit wil men bereiken door efficiënt te werken met goed gekwalificeerd personeel, meer kennis te genereren van markttrends en hierdoor adequaat te reageren op veranderingen in de markt. In de volgende paragraaf wordt aangegeven wat de aanleiding is tot het uitvoeren van het onderzoek bij Philips Lighting Winschoten.

1.2 Aanleiding tot onderzoek

Philips heeft als multinational te maken met nationale en internationale regelgeving waaraan zij zich moet houden. Deze regelgeving heeft onder andere betrekking op controles,

verslaglegging, transparantie en rapportages. Een deel van deze regelgeving is verplicht gesteld voor effectenbeurzen. Het aandeel Philips heeft noteringen aan de Euronext Amsterdam (AEX) en de New York Stock Exchange (NYSE).

Het gevolg van de notering aan de NYSE is dat Philips zich ook moet houden aan de

Amerikaanse Sarbanes-Oxley regelgeving. De Sarbanes-Oxley act, die sinds 2002 van kracht, is, is gemaakt door twee Amerikaanse congresleden, Paul Sarbanes en Michael Oxley. De Sarbanes-Oxley regelgeving is het antwoord van de Amerikaanse regering op enkele grote boekhoudschandalen van Amerikaanse beursgenoteerde ondernemingen. Eén van de bekendste voorbeelden is het schandaal rondom het energiebedrijf Enron, waarbij een

schuldenlast van in totaal 20 miljard dollar en enkele frauduleuze boekhoudpraktijken tot het faillissement van Enron hebben geleid. Dit had later ook consequenties voor Arthur

(11)

Andere bedrijven die te maken kregen met boekhoudschandalen waren onder andere Worldcom, Qwest en Vivendi Universal. Door deze boekhoudschandalen verloren veel beleggers het vertrouwen in de verslaggeving en de internal control van ondernemingen. Om het vertrouwen in de verslaggeving enigszins terug te krijgen, is door het Amerikaanse congres de Sarbanes-Oxley wet in 2002 ingevoerd. De wet, die volgens Almelo (2002) het snelst geschreven is ooit, bestaat uit verschillende delen. De verschillende delen van Sarbanes-Oxley die van toepassing zijn op de regelgeving zullen in hoofdstuk 2 besproken worden. De wet is verplicht gesteld voor ondernemingen die in Amerika aan de NYSE genoteerd zijn, alsmede voor dochterondernemingen met een notering (Almelo, 2002). Koninklijke Philips Electronics N.V. heeft ook een beursnotering aan de NYSE, listcode (PHG), bron (www.nyse.com) en moet ook al is het een Europees bedrijf aan deze verplichte Sarbanes-Oxley regelgeving voldoen. In tegenstelling tot Amerikaanse bedrijven, die sinds 2004 de regelgeving moeten naleven, hebben buitenlandse bedrijven uitstel gekregen tot 2005 om hun boekhouding aan te passen aan de regelgeving van Sarbanes-Oxley.

Deze “nieuwe regels” brengen bij Philips Lighting Winschoten nieuwe handelingen op het gebied van interne en externe beheersing met zich mee. Het toetsen van de beheersing van de processen vindt plaats aan de hand van verschillende controles, die mede gebaseerd zijn op de regelgeving van Sarbanes-Oxley en die elk kwartaal moeten worden uitgevoerd. Tijdens deze controles is naar voren gekomen dat nog niet alle processen in balans zijn.

(12)

2 Onderzoeksopzet en omschrijving begrippen

In dit hoofdstuk zal een omschrijving gegeven worden van de onderzoeksopzet van de

scriptie. In paragraaf 2.1 zal een inleiding worden gegeven omtrent het onderzoek en het plan van aanpak. In paragraaf 2.2 wordt de probleemstelling van het onderzoek geformuleerd en onderverdeeld in een doelstelling (2.2.1), een vraagstelling (2.2.2) en een aantal deelvragen (2.2.3). Deze deelvragen vormen het raamwerk van het onderzoek. In paragraaf 2.3 wordt het conceptueel model behandeld en worden een aantal relevante begrippen gedefinieerd die belangrijk zijn voor het onderzoek. Het hoofdstuk wordt afgesloten met paragraaf 2.4 waarin de methode van onderzoek wordt beschreven.

2.1 Aanpak van het probleem

Omdat Philips te maken heeft met de regelgeving van Sarbanes-Oxley, moeten de divisies van Philips hier ook aan voldoen. Met andere woorden, de controlemaatregelen hebben betrekking op de gehele onderneming. De divisies rapporteren weer naar de Chief executive officer (CEO) en de Chief financial officer (CFO) van de raad van bestuur, zij geven uiteindelijk de verklaring af dat Philips in “control” is en voldoet aan de eisen die zijn geformuleerd in de regelgeving van Sarbanes-Oxley. Daarnaast vindt er een accountantscontrole plaats van de product divisie Lighting.

Philips Lighting Winschoten is onderdeel van deze product divisie en is zelf geen zelfstandige besloten vennootschap. Het gevolg hiervan is dat Philips Lighting Winschoten niet jaarlijks wordt gecontroleerd door de accountant. Binnen Philips zijn er controles die elke maand of elk kwartaal moeten worden uitgevoerd. Deze “internal control standards” zijn gebaseerd op de regelgeving van Sarbanes-Oxley en worden door de hiervoor verantwoordelijke personen ingevuld. Het doel van de wetgeving, in de vorm van de regelgeving van Sarbanes-Oxley, is dat ondernemingen het risico van mismanagement moeten minimaliseren.

De uiteindelijke verantwoordelijkheid van de controles ligt bij het managementteam van Philips Lighting Winschoten.

De wetgeving van Sarbanes-Oxley valt onder Corporate Governance. Aandeelhouders en andere belanghebbenden (stakeholders) verlangen steeds meer dat ondernemingen aandacht besteden aan Corporate Governance, dit komt mede door de ontwikkelingen die in hoofdstuk 1 zijn besproken. Het beleid van Corporate Governance wordt meestal meegenomen in de strategie van de organisatie. Een verklaring van het begrip Corporate Governance wordt gegeven in paragraaf 2.3.4. Daarnaast geeft Sarbanes-Oxley aan dat het bedrijfsrisico afgedekt moet worden door de internal controls en door het maken van risicoanalyses. Het managementteam van Philips Lighting Winschoten is verantwoordelijk voor het

formuleren van de strategie en het beleid voor de komende jaren. Op basis van de strategie zal nagegaan worden welke interne en externe bedrijfsrisico’s er bestaan en hoe deze

(13)

Het internal control systeem is door Philips zelf ontwikkeld en controleert of Philips Lighting Winschoten aan de eisen van Sarbanes-Oxley voldoet. Dit is inmiddels geïmplementeerd. Een aantal controles binnen de organisatie van Philips Lighting Winschoten voldoet echter nog niet aan de eisen van het ICS-systeem. De controlevariabelen kunnen zich in drie

verschillende fases bevinden op basis van een stoplicht. De volgende fases kunnen worden onderscheiden: Rood, Geel, Groen. “Rood”, hier moet onmiddellijk aandacht aan worden besteed en er moeten zo spoedig mogelijk verbeteringen worden ingevoerd. De kleur “Geel” geeft aan dat de controleprocessen nog niet optimaal zijn en dat er verbeteringen plaats moeten vinden. “Groen” betekent, dat het voldoet aan de eisen die door Philips zijn opgelegd op basis van de internal control standards. Philips heeft op dit moment een aantal

controlevariabelen nog op geel staan.

Aan het ICS-systeem worden regelmatig nieuwe controlevariabelen toegevoegd. Het gevolg is dat de organisatie hier weer op moet inspelen en waar nodig de eigen controleprocessen moet aanpassen of opnieuw formuleren.

Daarnaast kunnen zich vanuit de praktijk nieuwe aspecten voordoen die mogelijker wijze niet beschreven staan in de literatuur van Sarbanes-Oxley. Om hier een goed beeld van te krijgen, zal er een case-onderzoek plaats vinden door middel van open interviews bij Philips Lighting Winschoten. Op basis van de open interviews zal ook bekeken worden hoe de regelgeving en controles gebruikt worden in de praktijk en of er nog bedrijfsrisico’s niet afgedekt zijn. Voordat met het onderzoek wordt begonnen, wordt eerst een probleemstelling geformuleerd. Naast de probleemstelling zal ook aandacht besteed worden aan de doelstelling van het onderzoek en de deelvragen. Deze worden in de volgende paragraaf besproken.

2.2 Probleemstelling

Volgens de Leeuw (2000) bevat de probleemstelling drie verschillende aspecten waaraan voldaan moet worden voor gedegen onderzoek. De drie aspecten die de Leeuw (2000) noemt zijn:

• Doelstelling • Vraagstelling • Randvoorwaarden 2.2.1 Doelstelling

Met de doelstelling van het onderzoek geeft de Leeuw (2000) de reden aan, waarom het belangrijk of nuttig is om het onderzoek uit te voeren voor een bepaalde belanghebbende. Het doel van het onderzoek bij Philips Lighting Winschoten is om een analyse te maken van de bedrijfsrisico’s zodat er een betere afstemming is van de interne beheersing en de externe verantwoording op het gebied van Corporate Governance en risicomanagement met daarbij speciale aandacht voor de Sarbanes-Oxley regelgeving. Met andere woorden er moet een aantoonbaar goede beheersing komen van de bedrijfsrisico’s. De concrete doelstelling kan als volgt worden geformuleerd.

(14)

Het tweede onderdeel dat De Leeuw (2000) noemt met betrekking tot een onderzoeksplan is het formuleren van de vraagstelling. Hier zal in paragraaf 2.2.2 verder op ingegaan worden. 2.2.2 Vraagstelling

Nu het doel vastgesteld is, moet hieruit een vraagstelling geformuleerd worden. De Leeuw (2000) definieert de vraagstelling als volgt: de vraagstelling is het kennisproduct dat het onderzoek beoogt op te leveren. De vraagstelling die voor deze scriptie is opgesteld, is hieronder weergegeven.

Is er overeenstemming in het Internal Controles Systeem tussen de externe beheersing en de interne beheersing van de bedrijfsrisico’s bij Philips Lighting Winschoten?

Het onderdeel externe beheersing zal worden geanalyseerd aan de hand van de theorie en de Sarbanes-Oxley regelgeving. De Sarbanes-Oxley regelgeving kan men onderverdelen in verschillende secties. De secties die goed toepasbaar zijn bij de beheersing van de

bedrijfsrisico’s zijn de secties 302 en 404. Sectie 302 richt zich op de verantwoordelijkheid die de CEO en de CFO van de onderneming hebben om de financiële rapportages zo getrouw mogelijk weer te geven. Daarnaast moeten de CEO en de CFO aangeven dat alle financiële controles en procedures zijn ingevoerd en dat veranderingen in het systeem, op het gebied van internal control, aangegeven worden (Wagner en Dittmar, 2006). Sectie 404 gaat hier verder op in en richt zich nog specifieker op de internal control en de verslaggeving daaromtrent. Sectie 302 en 404 zullen verder uitvoerig worden besproken in paragraaf 2.3.5.

Een belangrijk onderdeel van de interne beheersing van organisaties is internal control. Om de internal control binnen een organisatie te verbeteren, wordt in de theorie en in de praktijk gebruik gemaakt van verschillende raamwerken. Een raamwerk wordt ontwikkeld om meer inzicht te krijgen in de verschillende aspecten die van invloed zijn op de organisatie. De Security Exchange Commission (SEC) geeft aan dat management bij het gebruik van de Sarbanes-Oxley regelgeving gebruik moet maken van een raamwerk dat aan de criteria voldoet, die vermeld staan in Section II.B.3a van de Section 404 Final Rules, Parveen,e.t. (2006). Ook in het artikel van KPMG (2003) wordt aangegeven dat het raamwerk dat in 1992 ontwikkeld is door Committee of Sponsoring Organizations of the Treadway Commission (COSO) goed gebruikt kan worden voor het genereren van bruikbare criteria waarmee het management de internal controls kan analyseren, rapporteren en evalueren zodanig dat de bedrijfsrisico’s worden afgedekt.

Beheersing van de bedrijfsrisico’s richt zich niet alleen op de financiële aspecten van een onderneming maar ook op de strategische risico’s en de risico’s vanuit de omgeving. Het definiëren en afdekken van deze risico’s is een belangrijk onderdeel van de Sarbanes-Oxley regelgeving en het ERM-raamwerk.

(15)

2.2.3 Deelvragen

Om de vraagstelling beter te kunnen beantwoorden zal de vraagstelling onderverdeeld worden in deelvragen. Deze deelvragen vormen de basis van de hoofdstukken die in de scriptie

worden besproken.

• Hoe wordt vanuit de literatuur de strategie bepaald en welk raamwerk kan men daarvoor gebruiken?

• Wat houdt het Enterprise Risk Management raamwerk van COSO in en hoe kan het toegepast worden in de praktijk op de controlebeheersing van organisaties?

• Op welke manier zijn de strategie en de omgevingsfactoren van invloed op de risicobeheersing?

• Wat houdt het begrip Enterprise Governance in en waaruit is het raamwerk opgesteld? • Wat houdt de regelgeving van Sarbanes-Oxley in en welke risico’s worden hierin

aangegeven?

• Wat houdt internal control in en welke risico’s zijn daar mee verbonden?

• Hoe worden ICS-controlemaatregelen geaccepteerd en toegepast in de onderneming?

Nu de deelvragen bekend zijn, zullen in de volgende paragraaf de randvoorwaarden van de scriptie worden besproken.

2.2.4 Randvoorwaarden

Om een gedegen onderzoek te doen, is het belangrijk om vooraf enkele randvoorwaarden op te stellen. De randvoorwaarden die voor dit onderzoek gelden zijn:

• Het onderzoek zal alleen bij Philips Lighting Winschoten worden uitgevoerd

• Het onderzoek zal op basis van de richtlijnen van de Rijksuniversiteit Groningen een duur hebben van 5 maanden

• Het onderzoek zal zich richten op het gebruik van de regelgeving van Sarbanes-Oxley bij Philips Lighting Winschoten en dan voornamelijk de secties 302 en 404 van Sarbanes-Oxley die gericht zijn op internal control

(16)

2.3 Conceptueel model

In het conceptueel model wordt aangegeven uit welke onderdelen/begrippen het onderzoek bestaat. Het geformuleerde conceptueel model is gericht op strategische management accounting en is afgeleid van het Enterprise Governance framework, geformuleerd door CIMA/IFAC (2004). Het conceptueel model zal eerst worden weergegeven. Daarna zullen de verschillende onderdelen worden gedefinieerd en besproken.

2.3.1 Strategie Environment Environment Enterprise Governance Value creation and resource utilization Accountability and assurance Business Governance MCS (Internal) Corporate Governance (External) Sarban es-Oxley Strategy organization Strategic analyse COSO-framework

Vele raamwerken en business modellen beginnen met het formuleren van de

langetermijnstrategie van de onderneming. De rol van de strategie kan van invloed zijn op de interne beheersing en de bedrijfsrisico’s. Bij het formuleren van de strategie moet daarom rekening gehouden worden met omgevingen, concurrenten en marktwerking. Deze aspecten kunnen van invloed zijn op de risico’s en de beheersing van de organisatie. De strategie wordt door CIMA/IFAC (2004) geformuleerd als:

“Waar bevindt de onderneming zich nu, welke bedrijfsactiviteiten heeft zij, hoe worden nieuwe mogelijkheden geïmplementeerd en hoe wordt er met het bijbehorende risico omgegaan”

(17)

Strategic Scorecard en het ERM-raamwerk. In het volgende deel zal het begrip Enterprise Governance worden besproken.

2.3.2 Begripsvorming Enterprise Governance

De definitie die CIMA(2000) geeft van Enterprise Governance is als volgt:

“the set of responsibilities and practices exercised by the board and executive management with the goal of providing strategic direction, ensuring that objectives are achieved,

ascertaining that risks are managed appropriately and verifying that the organization’s resources are used responsibly”

Met andere woorden Enterprise Governance zorgt er voor dat met de geformuleerde strategie van het management, de doelen worden gehaald, de risico’s worden geminimaliseerd en de bedrijfsrisico’s worden beheerst.

Enterprise Governance is een term die de twee verschillende aspecten van het raamwerk beschrijft. Enterprise Governance geeft aan dat er een balans moet zijn tussen de management control gericht op de performance van een onderneming en de management control die

noodzakelijk is voor een goede interne beheersing. Daarnaast geeft CIMA (2000) aan dat er een koppeling moet zijn met de strategie van de organisatie. De twee begrippen die nauw verbonden zijn met Enterprise Governance worden hieronder gedefinieerd.

Enterprise Governance omvat alle accounting control aspecten van de onderneming en is uit twee verschillende onderdelen opgebouwd.

• Corporate Governance voornamelijk extern gericht • Business Governance voornamelijk intern gericht

(18)

2.3.3 Geschiedenis ontstaan Corporate Governance

Corporate Governance is een steeds belangrijker begrip geworden binnen de financiële wereld. Door de boekhoudschandalen bij o.a. Enron, Worldcom, Parmalat heeft men op het gebied van Corporate Governance strengere maatregelen genomen. Topmanagement heeft een grotere mate van verantwoordelijkheid gekregen met sancties in de vorm van celstraffen bij ondeugdelijk beleid.

Eén van de maatregelen die dit beschrijft is de Sarbanes-Oxley wetgeving waarin is

vastgelegd wat de verantwoordelijkheden zijn van het topmanagement. Andere aspecten die genoemd worden bij Corporate Governance zijn: de beloning van het topmanagement, de structuur van de raad van bestuur (eenzijdig of tweezijdig), de manier van internal control en de verantwoordelijkheden van het topmanagement. De regelgeving van Sarbanes-Oxley geeft richtlijnen voor een deugdelijk Corporate Governance. Daarnaast hebben een aantal bedrijven tegenwoordig een eigen audit commissie die zich, onafhankelijk van het topmanagement, bezig houdt met de internal control binnen de organisatie. Extern wordt het bedrijf nog gecontroleerd door een accountant, die tegenwoordig niet alleen de begroting en de balans controleert maar ook de processen en de informatiesystemen. Hieronder is een historisch overzicht van de verschillende rapporten waarin Corporate Governance wordt besproken. Een beknopt historisch overzicht is hieronder weergegeven:

• Cadbury-rapport (UK) uit 1992 gepubliceerd door The Financial Aspects of Corporate Governance

• COSO-rapport (US) uit 1992/1994 titel: Internal Control-Integrated Framework • CoCo-rapport (Canada) uit 1995 gepubliceerd door Guidance on Control • Committee on Corporate Governance (UK) uit 1998

• Sarbanes-Oxley regelgeving (US) uit 2002 gepubliceerd door Amerikaanse overheid • Code Tabaksblat (NL) uit 2004 gepubliceerd door commissie Tabaksblat

• COSO-rapport (US) uit 2004 titel: Enterprise Risk Management – Integrated Framework

Veel van deze rapporten zijn ontstaan door mismanagement van organisaties in het

betreffende land, waarbij als antwoord een rapport werd geschreven om deze misstanden in de toekomst te voorkomen. Hierdoor zijn er verschillen tussen landen op het gebied van

Corporate Governance codes. Op dit moment begint Sarbanes-Oxley redelijk standaard te worden en de stakeholders verwachten van steeds meer bedrijven dat ze het invoeren. Een ander belangrijk punt is dat de rapporten zich op verschillende punten van Corporate Governance richten. Zo zijn de rapporten van COSO en CoCo gericht op de interne beheersing en de risicobeheersing van ondernemingen. Het rapport van Committee on Corporate Governance gepubliceerd in 1998 richt zich meer op de externe verantwoording. Het rapport van Cadbury 1992 heeft zowel betrekking op de interne beheersing als de externe verantwoording.

(19)

Philips heeft te maken met het “rule based”-principe omdat ze aan de eisen van Sarbanes-Oxley moet voldoen.

2.3.4 Business Governance

Hieronder vallen de management control systemen die gericht zijn op de performance van de organisatie en die gebruikt kunnen worden om de internal control te beheersen.

Business Governance is meer toekomst gericht en Corporate Governance kijkt vooral naar het verleden, Horngren e.a. (2005). Daarnaast richt Business Governance zich meer op de

kritische succesfactoren en de strategie van de onderneming. De performance van de onderneming is hierbij erg belangrijk. De performance kan via verschillende raamwerken worden geïmplementeerd en gemeten. Het Enterprise Governance framework, geformuleerd door CIMA/IFAC (2004), zal toegepast worden bij Philips Lighting Winschoten en wordt in hoofdstuk 3 en 4 besproken.

2.3.5 Sarbanes-Oxley

Sarbanes-Oxley is de regelgeving die betrekking heeft op de external en internal control van een onderneming en geeft richtlijnen om de processen beter te beheersen en hierdoor

bedrijfsrisico’s af te dekken. Sarbanes-Oxley heeft zowel een relatie met internal control als met external control. De internal control relatie kan men als volgt zien: de interne processen worden door gebruik te maken van Sarbanes-Oxley beter beheerst en er vinden vaker

controles plaats. De regelgeving van Sarbanes-Oxley wordt gebruikt om aan externe partijen te verklaren dat de organisatie “in control” is. Binnen Sarbanes-Oxley zijn twee regelgevingen erg belangrijk 302 en 404. De inhoud van beide regelgevingen wordt kort besproken.

Sarbanes-Oxley regelgeving 302

De regelgeving 302 van Sarbanes-Oxley is vastgesteld in augustus 2002 en is de voorloper van de regelgeving van 404. Regelgeving 302 richt zich voornamelijk op de

verantwoordelijkheid van de CEO en de CFO van organisaties. De CEO en de CFO van de organisatie moeten elk kwartaal, onafhankelijk van elkaar, hun goedkeuring geven aan de verslaggeving van de onderneming. In de verklaring staat dat, mochten er internal control zwakheden gevonden zijn, dit aangegeven moet worden.

Daarnaast moet in de verklaring staan of er grote veranderingen hebben plaats gevonden die van invloed kunnen zijn op de internal control van de onderneming. De Security Exchange Commission omschrijft de definitie “interne control” als volgt: “Een proces ontworpen door en onder supervisie van een CEO of CFO om te zorgen voor een betrouwbare financiële verslaglegging en voor een getrouw beeld van de financiële balans voor externe doeleinden opgesteld aan de hand van de huidige accountingprocedures en -richtlijnen”.

(20)

Sarbanes-Oxley regelgeving 404

De regelgeving met betrekking tot sectie 404 van Sarbanes-Oxley richt zich op de verslaglegging van adequate financiële rapportages, hierin meegenomen de verantwoordelijkheid van het management en de bruikbaarheid van de financiële

verslaglegging. Het managementrapport moet volgens Sarbanes-Oxley voldoen aan strenge eisen, KPMG (2003).

Deze eisen vanuit de regelgeving zijn voornamelijk gericht op de externe verslaglegging van de onderneming maar hebben consequenties voor de interne control. Door een verklaring af te geven dat alle bedrijfsrisico’s worden afgedekt, moet dit ook blijken uit de interne controles. Deze controles zijn er om aan te tonen dat de bedrijfsprocessen op de juiste manier verlopen en dat hierdoor het risico wordt geminimaliseerd. Een veel gebruikte methode om de interne bedrijfsrisico’s in kaart te brengen, is het gebruik van het ERM-raamwerk.

Wanneer de bedrijfsrisico’s zijn afgedekt, wordt begonnen met het verklaringsproces. Samenvattend kan men zeggen dat het verklaringsproces als volgt verloopt. Het management van de organisatie verstrekt een schriftelijke conclusie over de werkzaamheid van het internal control systeem en de financiële verslaglegging. Deze schriftelijke conclusie wordt

gecontroleerd door een externe accountant. Het management moet in deze schriftelijke

conclusie alle zwakheden aangeven die in het afgelopen jaar aanwezig waren of zijn ontstaan. Het grootste verschil tussen de regelgevingen van sectie 302 en 404, die beschreven staan in de regelgeving van Sarbanes-Oxley, is dat sectie 302 zich hoofdzakelijk richt op de

verantwoordelijkheid van het management voor de financiële verslaglegging, terwijl sectie 404 zich meer richt op de beoordeling van de interne controle en de invloed van het

management daarop, KPMG (2003). 2.3.6. Accountability and assurance

Dit begrip beschrijft het vertrouwen dat een onderneming afgeeft aan de externe omgeving. Wanneer de onderneming zich strikt houdt aan de eisen die opgesteld zijn en aangeeft de bedrijfsrisico’s te hebben afgedekt en een goed beleid ten aanzien van Corporate Governance voert, geeft dit meer vertrouwen aan de externe omgeving van de onderneming. Als externe omgeving kan gezien worden de klanten, de leveranciers, de vermogensverschaffers en de overheid.

2.3.7. Value creation and resource utilization

Dit begrip richt zich op het efficiënter toekennen van middelen en zorgt er voor dat door het beter beheersen van interne en externe bedrijfsrisico’s er meer waarde wordt gecreëerd voor de onderneming, CIMA/IFAC (2004).

(21)

2.4 Methoden van onderzoek

In deze paragraaf zal nader worden ingegaan op de manier waarop het onderzoek wordt uitgevoerd. Hierbij zal aangegeven worden wat voor soort onderzoek er plaats vindt en welke methode daarbij gebruikt wordt. Eerst zal beknopt de literatuur, die gericht is op de

verschillende manieren om strategieën te definiëren, worden besproken. Dit beknopte literatuuronderzoek zorgt voor de nodige achtergrondinformatie. Daarnaast zal onderzocht worden welke raamwerken in de literatuur genoemd worden met als doel het bedrijfsrisico te verminderen en een betere balans te vinden tussen de interne beheersing en de externe beheersing. Daarbij wordt gelet op de opbouw waaraan een internal control framework moet voldoen.

Het onderzoek heeft niet als doel om nieuwe theorieën te ontwikkelen, maar wil inzicht geven in hoe de theorie wordt toegepast in een praktijkorganisatie. Aan de hand van de strategie en het internal control framework zal gekeken worden welke bedrijfsrisico’s de onderneming heeft afgedekt en welke nog onderkend moeten worden. Dit zal gedaan worden met behulp van een case-onderzoek.

Berry en Otley (2004) hebben onderzoek gedaan naar case-based research in de accountancy. Ze geven in hun artikel aan dat de meeste casestudies gebaseerd zijn op single casestudies. Hierbij wordt vaak de auteur Yin geciteerd. De conclusie van het artikel van Berry en Otley (2004) is dat casestudies zeer bruikbaar zijn om processen en het gebruik van internal control te analyseren in organisaties en dat er een goede koppeling gemaakt kan worden tussen de literatuur en de praktijk. Het case-onderzoek zal uitgevoerd worden bij Philips Lighting Winschoten. Voordeel van een case-onderzoek is dat het onderzoek niet te breed wordt gemaakt, maar beperkt blijft tot de risicobeheersing van Philips Lighting Winschoten. Het eerste gedeelte van de scriptie zal bestaan uit het doen van bureauonderzoek. Onderdelen die hierbij gebruikt worden zijn literatuuronderzoek en het analyseren van interne rapporten op het gebied van ICS. Daarnaast wordt informatie gehaald van internet sites en uit Corporate Governance codes die gepubliceerd zijn door adviesinstanties op het gebied van Corporate Governance.

Het tweede gedeelte van de scriptie bestaat uit veldonderzoek. Hierbij zal gekeken worden op welke manier de internal control maatregelen door de rest van de organisatie worden

(22)

Hoofdstuk 3 Strategie formuleren in theorie en in praktijk

In dit hoofdstuk zal de definitie worden besproken van Strategic Management Accounting (SMA) en de invloed hiervan op de organisatie (hieronder schematisch weergegeven). De strategie is van vele factoren afhankelijk en brengt ook bedrijfsrisico’s met zich mee voor de organisatie. Deze factoren zullen besproken worden aan de hand van de Strategic

Scorecard en het ERM-raamwerk dat in de theorie genoemd wordt. De deelvraag die in dit hoofdstuk behandeld wordt, is:

Hoe wordt vanuit de literatuur de strategie bepaald en welk raamwerk kan men daarvoor gebruiken?

In paragraaf 3.3. wordt specifiek ingegaan op het COSO-raamwerk. In het laatste gedeelte van dit hoofdstuk wordt de discussie besproken die op dit moment over het COSO-raamwerk gevoerd wordt. Uiteindelijk wordt het hoofdstuk afgesloten met een conclusie.

Hoofdstuk 3 Environment Environment Enterprise governance Value creation and resource utilization Accountability and assurance Business governance MCS (Internal) Corporate governance (External) Sarban es-Oxley Strategic Management Accounting Strategic analyse COSO-framework Hoofdstuk 4

Eerst wordt het begrip Strategic Management Accounting beschreven en vervolgens de invloed die dit heeft op Enterprise Governance.

3.1 Definitie van Strategic Management Accounting

(23)

regelmatig terugkomen in de literatuur met het begrip strategie zijn: de concurrentiestrategie van Porter, het planningsproces van Ansoff en de vijfvoudige definitie van Mintzberg.

Het begrip strategie is heel breed en kan beïnvloed worden door contingency variabelen. Onder contingency variabelen verstaat men de externe factoren die van invloed zijn op de organisatie. Een voorbeeld hiervan is de fase in de levenscyclus waarin het product van de onderneming zich bevindt. Een product en een organisatie in de “groei” fase hebben een andere strategie dan een product en een organisatie in de “volwassen” fase. Ook op basis van verschillende doelen kunnen strategieën geformuleerd worden. Zo kunnen strategieën

verschillende insteken hebben. Een insteek voor het formuleren van een strategie kan

bijvoorbeeld management accounting als basis hebben. Om een beter inzicht te krijgen in de bedrijfsrisico’s op het gebied van management accounting zal dit begrip worden gebruikt in het conceptueel model.

Strategie kan voor vele doeleinden gebruikt worden en één van de toepassingen daarvan is Strategic Management Accounting (SMA).

SMA richt zich op het gedeelte van de strategie waarbij de financiële toepassingen en de externe omgeving centraal staan. Horngren e.t. (2005) geeft aan dat SMA externe informatie combineert met interne informatie. Daarnaast bevat SMA zowel financiële als niet-financiële informatie. Dit komt overeen met Enterprise Governance waarbij ook een onderscheid wordt gemaakt tussen de externe omgeving en de interne omgeving met daarbij de nadruk op de internal management accounting, CIMA/IFAC (2004). Om beide aspecten mee te nemen in de strategie is er gekozen voor SMA. Zoals al eerder is aangegeven in paragraaf 2.3.2. richt Enterprise Governance zich op het behalen van doelen en het afdekken van bedrijfsrisico’s. Bovendien zorgt Enterprise Governance er voor dat organisatiemiddelen verantwoordelijk worden gebruikt. Dit zijn aspecten die belangrijk zijn voor SMA en waar volgens

CIMA/IFAC (2004) aandacht aan wordt besteed. Het formuleren van de strategie aan de hand van een raamwerk wordt in de volgende paragraaf besproken.

3.2 Formuleren strategie aan de hand van een raamwerk

In de literatuur zijn verschillende artikelen geschreven en raamwerken gemaakt over het formuleren en implementeren van strategieën. De verschillende raamwerken kunnen gebruikt worden om de controles te beheersen. De auteur Payne (2003) geeft het volgende aan:

“Without a framework it is difficult for auditors to be able to substantiate their view on control”

Payne, (2003)

Mede op basis van deze bovengenoemde reden is er voor gekozen om een raamwerk te gebruiken om zo de interne en externe bedrijfsrisico’s in kaart te brengen en te beheersen. In deze paragraaf zullen enkele methodes worden toegelicht. De gekozen theoretische methode wordt later in de hoofdstukken 5 en 6 vergeleken met de in de praktijk toegepaste methode bij Philips Lighting Winschoten. Het formuleren van de strategie heeft een belangrijke invloed op het conceptueel model dat beschreven staat in paragraaf 2.3. Het conceptueel model begint met het kiezen van een juiste strategie op korte en lange termijn. Tijdens het formuleren van de strategie moet aandacht besteed worden aan de bedrijfsrisico’s die er mogelijk zijn en die weer invloed hebben op de internal controls.

(24)

weergegeven. In paragraaf 3.2.2 wordt gebruik gemaakt van de Strategic Scorecard die beschreven staat in het artikel van CIMA/IFAC (2004). Als laatste wordt het COSO-raamwerk in paragraaf 3.3 beschreven. De literatuur geeft aan dat dit COSO-raamwerk het beste gebruikt kan worden om de regelgeving van Sarbanes-Oxley in te voeren, KPMG, (2003). Beide raamwerken kunnen mogelijk gebruikt worden om de strategie van een onderneming te analyseren. Deze paragraaf wordt afgesloten met een conclusie en de keuze van het raamwerk dat het beste toepasbaar is om de bedrijfsrisico’s aan de hand van de strategie van Philips Lighting Winschoten te analyseren.

In de literatuur wordt het gebruik van de Balanced Scorecard van Kaplan en Norton (1996) vaak genoemd. De Balanced Scorecard wordt als raamwerk gebruikt om de strategie en visie van de onderneming naar interne en externe doelstellingen te formuleren.

CIMA/IFAC (2004) heeft de nodige kritiek op het gebruik van de Balanced Scorecard van Kaplan en Norton. Ze is van mening dat de Balanced Scorecard niet te gebruiken is bij een sterk wisselende omgeving waarbij vaak complexe beslissingen moeten worden genomen, CIMA/IFAC (2004). Daarnaast vindt ze de Balanced Scorecard niet goed bruikbaar bij het analyseren van bedrijfsrisico’s en vindt ze het geen marktgerichte prestatiemaatstaaf. CIMA/IFAC (2004) geeft de voorkeur aan de Strategic Scorecard. De Strategic Scorecard is door CIMA/IFAC zelf ontwikkeld en wordt in de volgende paragraaf besproken.

3.2.1 Strategic Scorecard raamwerk

CIMA/IFAC geeft aan dat door gebruik van de eigen Strategic Scorecard er beter ingespeeld kan worden op zowel interne als externe bedrijfsrisico’s en dat er meer oog is voor

veranderingen in de omgeving. Door veranderingen in de omgeving moet de strategie ook mee veranderen. Dit wordt bij de Balanced Scorecard volgens CIMA/IFAC niet gedaan. De Strategic Scorecard probeert dit manco op te vullen.

Uit onderzoek aan de hand van een casestudie, uitgevoerd door CIMA/IFAC, is gebleken dat de strategie van de onderneming van invloed is op het presteren van de onderneming.

CIMA/IFAC geeft aan dat, bij het formuleren van een strategie door een onderneming, aan de volgende richtlijnen voldaan moet worden:

• Keuze en duidelijkheid van de strategie • Uitvoering van de strategie

• Vaardigheid om de strategie snel aan te passen aan veranderingen

• Vaardigheid om goede overnames te doen, veel overnames zijn er de oorzaak van dat strategieën niet meer werken of zelfs tot faillissement leiden

Om de strategie in de praktijk beter te kunnen toepassen en hier meer richtlijnen voor te geven, heeft CIMA/IFAC de Strategic Scorecard ontwikkeld. Het uitgangspunt van de Strategic Scorecard is gebaseerd op vier doelen:

• Assisteren van het management van de onderneming bij het formuleren van een strategie voor de onderneming

• Sturing geven aan de organisatiestrategie en inspelen op veranderingen • Een getrouw beeld geven van de gehele organisatie

(25)

De Strategic Scorecard is onderverdeeld in vier verschillende elementen en is hieronder in figuurvorm weergegeven.

Strategic Position

Strategic Options

Strategic Implementation

Strategic Risks

Figuur 3.1 bron: Strategic Scorecard CIMA/IFAC (2004)

De verschillende elementen en onderdelen van de Strategic Scorecard worden hieronder toegelicht. Als eerste wordt de Strategic Position besproken.

Strategic Position

Dit onderdeel vormt voornamelijk informatie voor het topmanagement over hoe de onderneming er voor staat en in welke markt.

Onderdelen die Horngren e.t. (2005) noemt om de strategische positie van een onderneming te bepalen zijn:

• Micro environments (markt, concurrenten, klanten) • Macro environments (conjunctuur, politiek, wetgeving) • Threats from significant/abrupt changes (strategie, stemming) • Business position (marktaandeel, prijsdifferentiatie, kwaliteit) • Capabilities, SWOT analysis

• Stakeholders (investeerders, werknemers, leveranciers)

Wanneer een analyse gemaakt is van de positie die de onderneming inneemt, kan het

management beter vaststellen wat er gedaan moet worden om de positie te handhaven en/of te verbeteren. Daarnaast geeft het een overzicht waar eventuele risico’s kunnen ontstaan voor de organisatie met betrekking tot de omgeving. Deze aspecten komen overeen met het Business Risk Model dat is ontwikkeld door PricewaterhouseCoopers (2002)

Strategic Options

Dit onderdeel geeft aan welke strategische opties een onderneming heeft. Ondernemingen kunnen zich richten op verandering van scope. Verandering van scope kan betekenen, een verandering van geografisch gebied, product, markt of sector. Voor Philips Lighting Winschoten zou een nieuw product door innovatie een strategische optie kunnen zijn.

(26)

Strategic Implementation

Horngren e.t. (2005) geeft aan dat de strategie geïmplementeerd moet worden aan de hand van doelstellingen, tussendoelen en deadlines. Dit komt overeen met de algemene literatuur over projectmanagement. Dit onderdeel is niet echt vernieuwend en komt overeen met de algemene opvatting van dit moment op het gebied van projectmanagement en het formuleren van de strategie.

Strategic Risks

Dit is een belangrijk onderdeel om de interne en de externe beheersing van de bedrijfsrisico’s te onderkennen en te minimaliseren. CIMA/IFAC geeft aan dat door gebruik te maken van het ERM-raamwerk, het risico zowel intern als extern goed in beeld kan worden gebracht. In de volgende paragraaf zal specifieker in gegaan worden op het raamwerk en hoe het ERM-raamwerk de risico’s beheerst.

Discussie

De Strategic Scorecard is een hulpmiddel om de strategie te formuleren voor een

onderneming. Onderdelen van de Strategic Scorecard kunnen gebruikt worden om de externe beheersing en interne beheersing van de bedrijfsrisico’s bij Philips Lighting Winschoten te minimaliseren. De Strategic Scorecard zelf is handig om te gebruiken en maakt een koppeling tussen verschillende factoren. Het externe gedeelte van de organisatie wordt belicht door gebruik te maken van het raamwerk van Horngren e.t. (2005).

Horngren laat door middel van de verschillende stappen zien waarop de externe omgeving beoordeeld moet worden en waar mogelijk externe bedrijfsrisico’s kunnen ontstaan. De interne beheersing van de bedrijfsrisico’s wordt belicht door gebruik te maken van het ERM-raamwerk. Het ERM-raamwerk is een model waarbij de onderneming geanalyseerd wordt en waarbij nagegaan kan worden of men de interne bedrijfsrisico’s goed beheerst. De Strategic Scorecard geeft beide aspecten weer en daarnaast de koppeling tussen de externe omgeving en de interne omgeving. Gezien het feit dat de regelgeving van Sarbanes-Oxley invloed heeft op zowel de interne als externe verslaglegging is de Strategic Scorecard goed te gebruiken hiervoor. In de volgende paragraaf wordt verder ingegaan op het interne gedeelte van risicobeheersing aan de hand van het ERM-raamwerk.

3.3 COSO-raamwerk

In deze paragraaf wordt ingegaan op de volgende deelvraag:

Wat houdt het Enterprise Risk Management raamwerk van COSO in en hoe kan het toegepast worden in de praktijk op de controlebeheersing van organisaties?

Het originele COSO-raamwerk is ontwikkeld in 1992 door de Committee of Sponsoring Organizations of the Treadway Commission en heeft als doel informatie te geven en het management te helpen met het verbeteren van de interne beheersingssystemen zodat er meer inzicht in de internal control wordt verkregen.

Samenvattend kan worden gezegd dat het COSO-raamwerk een model is dat gebruikt wordt om een controleaanpak aan te geven, COSO (1992,1994).

(27)

“Internal control is een proces dat beïnvloed wordt door het management van de organisatie, dat ontworpen is met als doel, om een redelijke mate van zekerheid te krijgen dat de

organisatiedoelen worden behaald.”

Binnen het COSO-raamwerk zijn er nieuwe ontwikkelingen gaande. In 2004 hebben de leden van de COSO-commissie een nieuw raamwerk ontwikkeld, genaamd Enterprise Risk

Management (ERM). Het nieuwe raamwerk is ontstaan omdat er een duidelijke behoefte ontstond naar een raamwerk dat op effectieve wijze risico’s kan identificeren, beoordelen en managen, COSO (2004). Het nieuwe ERM-raamwerk heeft niet de bedoeling het oude

COSO- raamwerk te vervangen maar vormt een aanvulling op het oude COSO-raamwerk. De definitie die de auteurs geven aan ERM is als volgt:

“ERM is een proces dat bewerkstelligd wordt door het bestuur van de onderneming, het management en ander personeel en wordt toegepast bij het formuleren van de strategie en binnen de gehele onderneming ontworpen om potentiële gebeurtenissen die invloed zouden kunnen hebben op de onderneming te identificeren en om risico’s te managen zodat deze binnen de risico-acceptatiegraad vallen, om een redelijke zekerheid te bieden ten aanzien van het behalen van de ondernemingsdoelstellingen.” (COSO, 2004)

Het doel van het nieuwe ERM-raamwerk is:

” to enable organizations to standardize enterprise risk management so that organizations can more easily benchmark, establish best practices, and have more meaningful dialogue about the critically important issue of risk management” (Ballou,Heitger, 2005)

Het doel van het nieuwe ERM-raamwerk is gericht op risicobeheersing van de organisatie en niet meer specifiek gericht op de internal control wat vroeger met het oude COSO-raamwerk wel het geval was. Met andere woorden het ERM-raamwerk geeft een totaal beeld van de risico’s die een organisatie loopt. Het verschil dat de literatuur aangeeft tussen het oude COSO-raamwerk en het nieuwe ERM-raamwerk wordt hieronder aangegeven.

Een van de belangrijkste punten van het nieuwe ERM-raamwerk is, dat het beter de

bedrijfsrisico’s scheidt op basis van verschillende gebieden en deze koppelt aan de controles (www.ioma.com).

Het ERM-raamwerk zorgt voor een beter beeld van de organisatie zowel financieel als niet- financieel. Door de invoering van de regelgeving van Sarbanes-Oxley moeten ondernemingen een getrouw beeld van de werkelijkheid geven en risico’s minimaliseren. Tegenwoordig moeten rapportages van ondernemingen niet alleen financiële resultaten rapporteren maar ook niet-financiële resultaten. Risico’s die het financiële resultaat van de onderneming in de toekomst beïnvloeden, moeten ook mee worden genomen in de verslaglegging.

Ondernemingen moeten nu een actieve houding aannemen in het beheersen van de risico’s. Het ERM-raamwerk kan hiervoor gebruikt worden om de risico’s en de relaties tussen de risico’s van de onderneming in kaart te brengen en te beheersen.

Het ERM-raamwerk is een totaal overzicht van alle risico’s van de onderneming, niet alleen maar gericht op één speciale afdeling maar men kijkt naar de gehele organisatie. Door het ERM-raamwerk krijgt men een portofolio van interne en externe risico’s.

(28)

risicomanagement door de organisatie wordt erkend en dat beslissingen op basis van een risico-analyse gemaakt moeten worden. Daarnaast krijgt men een cultuurbesef binnen de organisatie waardoor duidelijk is welke risico’s de organisatie loopt.

In de volgende paragraaf wordt verder ingegaan op het bespreken van het ERM-raamwerk zelf. Hierbij worden de risicocategorieën besproken waaruit het ERM-raamwerk bestaat. 3.3.1 COSO-raamwerk Enterprise Risk Management

Het ERM-raamwerk brengt een aantal nieuwe aspecten mee voor de organisatie. In de literatuur worden de volgende genoemd (COSO, 2004):

• ERM is een proces dat voor alle werknemers en voor de gehele organisatie geldt • ERM maakt deel uit van de strategie van de onderneming

• ERM kan gebruikt worden voor verschillende scenario-analyses met betrekking tot risicobeheersing

• ERM geeft een betrouwbaar beeld voor het management en de stakeholders van de organisatie

In tegenstelling tot het COSO-raamwerk van 1992 maken de auteurs van het ERM-raamwerk van 2004 een onderscheid in de verschillende organisatieonderdelen. Deze onderdelen richten zich zowel op de interne als de externe risico’s van de organisatie. De auteurs hebben de onderdelen in vier verschillende organisatiedoelen verdeeld (COSO, 2004):

• Strategic • Operations • Reporting • Compliance

Deze organisatiedoelen richten zich op verschillende aspecten van risicobeheersing binnen de gehele organisatie. Binnen deze categorieën kan overlap voorkomen. Het ERM-raamwerk zorgt er voor dat het management van een organisatie niet alleen naar één bepaald risico kijkt maar ook naar de samenhang tussen de risico’s. Het totale raamwerk is in figuur 3.2 als kubusvorm weergegeven:

Figuur 3.2 Enterprise Risk Management (COSO, 2004)

(29)

van de organisatie worden aan het einde van paragraaf 3.3.4 besproken. Eerst worden de vier verschillende categorieën van het ERM-raamwerk weergegeven. Deze vier verschillende ondernemingsdoelen zijn aangegeven in figuur 3.2 op de top van de kubus.

3.3.2 Verklaring van de organisatiedoelen

Elke divisie formuleert haar doelen zo dat ze in lijn liggen met de totale business- en

organisatiedoelen. Wanneer de doelen zijn vastgelegd, moet het management vaststellen wat de risico’s zijn die het behalen van de doelen kunnen belemmeren. Bij het analyseren van de risico’s moet vastgesteld worden, wat de invloed van het risico is en de mogelijkheid dat het risico ontstaat. Dit moet gedaan worden bij elke organisatiedoelstelling. De organisatiedoelen van het management kunnen in de hieronder besproken onderdelen worden onderscheiden (COSO, 2004).

Strategic

Dit houdt in het controleren van de gestelde doelen en strategieën van de onderneming en of hierbij een risico-analyse gemaakt is. Daarnaast maakt men een financiële analyse om te kijken of de resultaten in lijn liggen met de vooraf gestelde doelen en strategieën. Het

periodiek analyseren van deze gegevens kan motiverend werken voor de werknemers binnen een organisatie. Andere voorbeelden die vallen onder “ strategic” zijn: het vaststellen van budgetten, het formuleren van code of ethiek en het reageren op nieuwe omstandigheden (technologie, trends).

Operationeel

Operationeel richt zich op het organiseren van processen zodat men op een effectieve en efficiënte manier gebruik maakt van de middelen. Hieronder vallen het vastleggen van de handelingen in procedures en het zorgen voor functiescheidingen. Een ander voorbeeld is dat wanneer er grote investeringen plaats vinden, het hoofdkantoor hiervoor ook toestemming moet geven.

Rapportage

In de loop der jaren werden er steeds strengere eisen gesteld aan de rapportage. Een voorbeeld hiervan is de Sarbanes-Oxley regelgeving. Daarnaast is er per land zelf ook nog regelgeving waaraan men moet voldoen. Het belangrijkste van rapportage is dat het een betrouwbare verslaglegging geeft van de processen en de resultaten (COSO, 2004). Tevens verlangen de stakeholders van de onderneming steeds meer inzicht in de interne processen en de

bedrijfsrisico’s waar de onderneming mee te maken heeft. Andere aspecten die onder “rapportage” vallen zijn intellectuele eigendommen en reputatie. Binnen Philips zijn er hele afdelingen belast met het beschermen van intellectuele eigendommen en patenten. Dit komt o.a. doordat Philips veel te maken heeft met namaakartikelen uit Azië.

Compliance

(30)

3.3.3 Componenten van ERM

In deze paragraaf worden de componenten van het ERM weergegeven.

Gebaseerd op onder andere de literatuur van COSO (2004) worden acht componenten

beschreven die met elkaar verband houden. Deze componenten gaan uit van aspecten die een manager tegenkomt wanneer hij een organisatie runt. De componenten van het

ERM-raamwerk zijn: Internal environment

In de theorie, COSO (2004), noemt men controles van werknemers één van de belangrijkste componenten. Binnen internal environment onderscheidt het ERM-raamwerk verschillende belangrijke onderdelen, waaronder het creëren van een risicobewustzijn binnen de organisatie. Ook met het oog op de stakeholders is het belangrijk dat binnen de organisatie iedereen zich bewust is van de risico’s van de onderneming. Hierbij moet men denken aan integriteit, ethiek en volgens de richtlijnen werken. De reden waarom de theorie aangeeft dat dit één van de belangrijkste componenten is, dat het noodzakelijk is voor alle andere controles dat de werknemers controlebewust zijn.

Daarnaast vallen hier ook autorisatie en functiescheidingen onder. Het topmanagement moet dit ondersteunen en hierbij een voorbeeldfunctie innemen. Andere aspecten ten aanzien van het personeel komen hier ook naar voren. Hierbij moet gedacht worden aan het selecteren, trainen en evalueren van het personeel. De controles moeten gezien worden als het fundament van alle internal environment, COSO (2004). De organisatiestructuur moet ook aangepast worden aan de risico’s. Zo moet bepaald worden hoe de onderneming omgaat met risico’s. Sommige risico’s zijn niet te vermijden en dan moet men proberen de risico’s te verminderen en/of te delen. Daarnaast moet men aangeven wie van het managementteam verantwoordelijk is voor welke risico’s.

Object setting

Het vaststellen van de strategische doelen is de eerste stap van risicobeheersing door het management. De doelen moeten door de gehele onderneming bekend zijn en daarnaast moet er rekening gehouden worden met de doelen van de stakeholders. Hierop moet men inspelen zodat het risico geminimaliseerd wordt. Wanneer de doelen vastgesteld zijn, moet het

management kijken welke gebeurtenissen mogelijk invloed hebben op de doelen en daarnaast de invloed die de gebeurtenissen hebben op de risico’s van de organisatie.

Event identification

(31)

Risk assessment

Risk assessment richt zich op risicobeoordeling van de doelstellingen van het bedrijf en de daarbij toegepaste strategie. Per doel moeten de risico’s en de invloed daarvan in kaart worden gebracht. De beheersing van de risico’s moet zowel intern als extern gericht zijn en kan plaats vinden door gebruik te maken van een aantal technieken. Veel gebruikte

technieken zijn worst-case scenario’s en het aangeven van de marge waarbinnen het risico mag vallen.

De risico’s kunnen worden ingedeeld naar bedrijf, product divisie, afdeling of per werknemer en aan de hand van het ERM-raamwerk kunnen de verschillende risico’s in kaart worden gebracht.

Risk response

Het management moet vaststellen hoe er omgegaan moet worden met de risico’s. Mogelijke opties zijn het accepteren, vermijden, delen of het reduceren van de risico’s. Deze opties hebben direct invloed op de manier waarop de organisatie omgaat met risicobeheersing. Stel er wordt vastgelegd dat men alle risico’s vermijdt dan moet dit ook tot uitdrukking komen in de verschillende controlemaatregelen. Daarnaast moet het management bekijken hoe vaak een risico voorkomt en wat de impact van het risico is op de organisatie.

Control activities

De controleactiviteiten hebben invloed op de gehele organisatie en hebben ook een link met risk assessment. De controleactiviteiten hebben voornamelijk betrekking op de interne controlemaatregelen en het identificeren van de controleactiviteiten die erop gericht zijn om efficiënt de kans op risico’s en de hiermee samenhangende kosten te verminderen.

Binnen de literatuur van het management control is de controleactiviteit één van de

belangrijkste aspecten. Men kan verschillende controlemanieren onderscheiden. Voorbeelden daarvan zijn fysieke controle, functiescheidingen en toegangscontrole. Bij het vaststellen van de controleactiviteiten moet ook rekening gehouden worden met de daarbij behorende kosten. Om een goed beeld te krijgen van de kosten moet de organisatie een overzicht maken van alle eventuele kosten die gepaard gaan met een risico. Wanneer dat gedaan is, moet er een

afweging gemaakt worden of deze financiële risico’s te minimaliseren zijn door een

verzekering af te sluiten of door een controleactiviteit te formuleren. In de literatuur (COSO, 2004) van ERM staat aangegeven dat de controleactiviteiten plaats moeten vinden in de gehele organisatie.

Information and Communication

Informatie is het verzamelen, het voortbrengen en het rapporteren door informatiesystemen, COSO (2004). Binnen de literatuur van COSO worden verschillende aspecten van informatie genoemd. Informatie moet geïntegreerd zijn in de productie, de verkoop en de financiële administratie. De kwaliteit van informatie moet volgens COSO voldoen aan: tijdigheid, juistheid, toepasbaarheid, correctheid en noodzakelijkheid. De kwaliteit van de informatie hangt mede af van het functioneren van de controleactiviteiten en de medewerkers. De organisatie moet de beschikking hebben over actuele informatie, ook van actuele

(32)

informatievoorziening zijn aan vele regels gebonden. De regelgeving van Sarbanes-Oxley valt hier ook onder.

Monitoring

Monitoring geeft aan dat de controles efficiënt, juist en tijdig plaats vinden. Het zijn allemaal acties die erop gericht zijn om het controlesysteem te controleren over een bepaalde tijd. In deze controle kan onderscheid gemaakt worden tussen de frequentie, de manier van

controleren (scope) en het evaluatieproces. Het gehele proces moet gecontroleerd worden op het nog afgedekt zijn van de risico’s en het nog relevant en recent zijn van interne controles.

Het invoeren van ERM zorgt ervoor dat de organisatie zich bewust is van de interne en externe risico’s en dat er een duidelijke koppeling bestaat tussen de doelen en de

componenten. Men kan echter niet verwachten dat de organisatie functioneert zonder risico’s. Vooral de beheersing van de externe risico’s is voor de organisatie moeilijk.

Referenties

Download het nu ( PDF - 70 pagina - 498.67 KB )

Outline

Componenten van ERM Risk assessment

GERELATEERDE DOCUMENTEN

ADHD-artsenhandleiding over de risico s van methylfenidaat

• bij elke aanpassing van de dosis en daarna minimaal eens per 6 maanden en bij elk bezoek moet de patiënt gecontroleerd worden op ontwikkeling van de novo of verslechtering van

De risico s van ziektekiemen in

Maar ik ben ervan overtuigd dat er onder de gevallen van voedselvergiftiging door het eten van bedorven eieren of vlees ook gevallen zitten waar- bij verse

Brand Eenvoudige Risico s

 veroorzaakt wanneer het gebouw in aanbouw, wederopbouw of verbouwing is, voor zover wij aantonen deze omstandigheid enigszins heeft bijgedragen tot het zich

De risico s van het ontwikkelen van transportmodellen

• Het programma van eisen wordt mogelijk op basis van onvoldoende informatie opgesteld, waardoor offertes (en mogelijk ook het project) mogelijk suboptimaal zijn.. 2.3

Hoofdstuk 2 VERANTWOORDING EN RISICO S

Kwaliteitszorg en risico’s voor leerlingen Bij een klein deel van de besturen in het voortgezet onderwijs (15 procent van de eenpitters en 2 procent van de meerpitters) is

Risico s in Zicht WEGEN VAN RISICO S Handreiking voor samenwerkende overheden

Het bevoegd gezag Wet milieubeheer (gemeente of provincie) betreedt het terrein van de ruimtelijke ordening, het bevoegd gezag RO (gemeente) is medeverantwoordelijk voor

Zorgplicht voor PSA risico s

● Conclusie: de werkgever is zelfs aansprakelijk indien de schade door toedoen van de werknemer zelf is ontstaan.

Kenmerken en risico s van beleggen

Hieronder worden allereerst de belangrijkste risico’s voor de klant beschreven en vervolgens de kenmerken van de financiële instrumenten waarin door de klant belegd kan worden en