Control Self Assessment
‘in control’
Door: Marjolein Citroen (1020072)
Afstudeerscriptie Faculteit Bedrijfskunde Rijksuniversiteit Groningen
April 2003
De toepassing van CSA in de internal audit methodiek
e
Begeleiders Universiteit
Eerste begeleider: A.D.Wansink RA Tweede begeleider: Drs. B.J.W. Pennink
Begeleider Ernst & Young W.G. de Munnik RA
Voorwoord
Voor u ligt mijn scriptie ‘Control Self Assessment ‘in control’’ waarmee ik mijn studie Bedrijfskunde, met afstudeerrichting Accountancy, afsluit.
Mijn ervaringen bij het schrijven van een afstudeeropdracht zijn vooral positief. Ik heb een leuke opdracht gekregen en het verloop is voorspoedig gegaan. In de afgelopen maanden ben ik bijgestaan door veel hulpvaardige mensen, zowel binnen Ernst & Young als daarbuiten. Graag wil ik hier van de gelegenheid gebruik maken deze mensen te bedanken.
In de eerste plaats gaat mijn dank uit naar naar begeleiders bij de universiteit, Dick Wansink en Bartjan Pennink en mijn begeleider bij Ernst & Young, Wilmar de Munnik. Zij hebben veel tijd en moeite gestoken in mijn begeleiding en mij voorzien van vele constructieve opmerkingen. Daarnaast wil ik de medewerkers van Business Risk Services en mijn naaste collega’s bij de Accountancymaatschap bedanken voor alle hulp en ondersteuning tijdens mijn afstudeeropdracht. Tevens gaat mijn dank uit naar mijn vriendinnen die mij reeds zijn voorgegaan in het schrijven van een afstudeeropdracht en die mij gedurende mijn afstudeeropdracht vele nuttige adviezen hebben gegeven.
Als laatste wil ik een speciaal dankwoord richten aan mijn moeder en mijn zus. Zij hebben gedurende mijn gehele studie altijd onvoorwaardelijk achter mij gestaan en mij daarbij enorm gesteund en gemotiveerd.
Bedankt Greetje Engwerda en Susanne Citroen!
Marjolein Iris Citroen April 2003
Managementsamenvatting
Potentiële risico’s kunnen organisatiedoelstellingen in de weg staan. Organisaties zijn daarom op zoek naar middelen om deze risico’s te onderkennen en te beheersen. Business Risk Services, onderdeel van Ernst & Young Accountants, ondersteunt haar klanten door het bieden van op maat gesneden oplossingen voor het interne beheersingsvraagstuk. Organisaties blijven echter op zoek naar nieuwe middelen en methodes om de organisatie te beheersen. Control Self Assessment (CSA) is zo’n nieuwe methode. Bij CSA zijn het management en/of werkgroepen van een organisatie verantwoordelijk voor de beoordeling van de effectiviteit van het internal control systeem van de organisatie. Business Risk Services wil haar klanten tegemoet komen door de dienst van CSA in het dienstenpakket op te nemen, waarbij de dienst van CSA een plek dient te krijgen in de Internal Audit Methodiek van Ernst & Young. Deze methodiek ondersteunt de medewerkers van Business Risk Services bij de uitvoering van de diverse internal audit diensten en kan gezien worden als één van de belangrijkste instrumenten die de medewerkers van Business Risk Services ter beschikking staan.
Dit onderzoek dient inzichtelijk te maken óf CSA in de Internal Audit Methodiek kan worden toegepast en hoe dat moet gebeuren. De invloed die CSA uitoefent op de Internal Audit Methodiek is daarbij bepalend.
Het eerste doel in dit onderzoek is het vaststellen van deze invloed door te kijken naar de verschillen en overeenkomsten tussen beiden. Een theoretisch kader van management control en internal control theorieën maakt inzichtelijk op welke kenmerken zij van elkaar verschillen en overeenkomen. Hiermee wordt bepaald welke bijdrage CSA kan leveren aan de Internal Audit Methodiek en welke knelpunten daarbij kunnen ontstaan. De hierop gevonden antwoorden dienen voor de vaststelling van de wijze waarop CSA in de Internal Audit Methodiek kan worden toegepast, het tweede doel van dit onderzoek.
Door grondige bestudering van de Internal Audit Methodiek en CSA vanuit de theorie én de praktijk is getracht van beide methoden een compleet beeld te geven.
CSA is, net als de Internal Audit Methodiek, een beheersinstrument van het management. CSA wijkt echter af van de Internal Audit Methodiek door de deelname van de werknemers in het internal audit proces. Deze deelname maakt soft controls zichtbaar en daardoor ook beoordeelbaar. Dit biedt mogelijkheden voor de boordeling van het internal control systeem op een andere wijze dan de beoordeling die met de huidige Internal Audit Methodiek wordt uitgevoerd. Huidige ontwikkelingen, zoals de diverse boekhoudschandalen en de Sarbanes Oxley wet, doen de vraag naar alternatieve beoordelingswijzen toenemen. Met CSA kan Business Risk Services inspringen op deze ontwikkelingen.
Door de verschillen met de Internal Audit Methodiek kan een verbreding en verdieping van de internal audit diensten ontstaan die, ondanks eventuele onderkende maar overkomelijke knelpunten, vele voordelen biedt. De verbreding wordt veroorzaakt door de toevoeging van nieuwe werkzaamheden, zoals het faciliteren van het CSA proces, het adviseren bij de implementatie, het bijbrengen van kennis en de promotie van CSA. Mogelijkheden voor de verdieping komen door de beschikbaarheid van informele informatie en de bewustwording van de werknemers voor internal control. De verbreding en verdieping van de internal audit diensten leidt tot een vergroting en verrijking van aanwezige kennis: een onmisbare kerncompetentie in de huidige kenniseconomie. Deze taakverrijking zorgt daarnaast voor een vergroting van het werkplezier van de medewerkers van Business Risk Services. Een ander voordeel van CSA is de aanwezigheid van Business Risk Services op bewogen momenten bij de klant. Door op deze cruciale
momenten de nodige hulp en ondersteuning bieden, kunnen huidige klantrelaties verstevigd worden. De ondersteuning van CSA in de Internal Audit Methodiek brengt structuur aan in het CSA proces waarbij aanwezige competenties worden aangewend. Aangezien klanten vooral op zoek zijn naar de ondersteuning van CSA door technologische en methodologische hulpmiddelen, is dit een belangrijk argument voor de toepassing van CSA in de Internal Audit Methodiek.
Aan de hand van de gemaakte analyse worden drie diensten onderscheiden. Zij nemen allen een eigen plaats in de Internal Audit Methodiek en hebben ieder hun toegevoegde waarde. De drie diensten zijn:
Ondersteuning van de implementatie (Co-develop Expectations)
Een goede opzet en grondige voorbereiding is essentieel bij de invoering van CSA. Met hun kennis van internal control en CSA kunnen de medewerkers van BRS initiatie geven aan het CSA proces, zorg dragen voor de promotie van de toepassing van CSA en het management ondersteunen bij opzet en planning van het CSA proces.
Ondersteuning van het proces (Risk Assessment)
Bij de ondersteuning van het proces ondersteunen de medewerkers van BRS de organisatie bij de uitvoering van CSA. De werkzaamheden bestaan uit het plannen van workshops, het maken van vragenlijsten, het leiden van discussies, het bijbrengen van kennis aan de deelnemers en het verwerken en rapporteren van de resultaten.
Audit op CSA (Execution)
Een zelfbeoordeling brengt met zich mee dat de resultaten minder betrouwbaar zijn dan een beoordeling die door een onafhankelijk partij wordt uitgevoerd, zoals bij een internal audit. Om de betrouwbaarheid van de CSA resultaten te vergroten een audit op CSA noodzakelijk.
De drie diensten kunnen gezamenlijk, maar ook afzonderlijk bij de klant worden uitgevoerd. Het verdient de aanbeveling om voor de uitvoering van de diensten gebruik te maken van het hierop afgestemde werkplan. Naast een plek in de Internal Audit Methodiek, krijgen de diensten ook een plaats in het internal audit proces. Hierbij worden de volgende aanbevelingen gegeven:
• De toepassing van enkel een audit op CSA kan bij bestaande klanten leiden tot een afname van internal audit diensten en dient derhalve vermeden te worden.
• Aanvullend onderzoek naar de wensen van de klanten en de wijze van positionering van ieder onderscheiden dienst wordt aangeraden.
• Iedere dienst vereist andere vaardigheden van de internal auditor. Juiste selectie van internal auditors en bijscholing zijn van groot belang.
• Ter voorkoming van de belangenverstrengeling kunnen de ondersteuning van de implementatie en het proces uitgevoerd worden binnen Enterprise Risk Management.
• Overwogen dient te worden het CSA proces te laten ondersteunen door CSA specifieke software
Kortom, met CSA kan een geheel nieuwe dienst worden aangeboden waarmee Business Risk Services zich kan positioneren bij potentiële en bestaande klanten, maar ook binnen Ernst & Young.
INHOUDSOPGAVE
Voorwoord i
Managementsamenvatting ii
Inhoudsopgave 1
1 Inleiding 8
2 Probleemdefinitie 9
2.1 Doel van het onderzoek 9
2.2 Probleemstelling 9
2.2.1 Doelstelling 10
2.2.2 Conceptueel model 10
2.2.3 Vraagstelling 12
2.2.4 Deelvragen 12
2.2.5 Randvoorwaarden 13
2.3 Onderzoeksopzet 13
2.3.1 Methodologie van een ontwerpgericht onderzoek 14 2.3.2 Onderzoeksstrategie en materiaalverzameling 14
2.3.3 Case-study 14
2.3.4 Bureau-onderzoek 15
2.3.5 Materiaalverzameling per deelvraag 15 2.3.6 Afbakening van de analyse-eenheid 17
3 Beschrijving van de organisatie 18
3.1 Algemeen 18
3.2 Ernst & Young Accountants 18 3.3 Business Risk Services 19
4 Theoretische achtergronden en ontwikkelingen 21
4.1 Management Control 21
4.1.1 Robert Anthony 21
4.1.2 William Rotch 23
4.1.3 Robert Simons 23
4.2 COSO 28
4.2.1 Deelcomponten 29
4.2.2 Samenhang tussen deelcomponenten en doelstellingen internal control 34
4.3 Cadbury 34
4.4 CoCo 35
4.5 Nederlandse ontwikkelingen 37
4.5.1 Interne controle 37
4.5.2 Corporate Governance 38 4.5.3 ABIB (Analyse en beoordelingsinstrument interne beheersing) 39
4.6 Recente ontwikkelingen: Sarbanes Oxley wet 41
4.7 Conclusies 41
5 Wat is de Internal Audit Methodiek? 44
5.1 Wat is internal audit? 44 5.1.1 Beheersing: hoe te meten? 46
6 Wat is Control Self Assessment? 48
6.1 Wat betekent CSA en waar dient het voor? 48 6.2 De ontstaansgeschiedenis van CSA 50 6.3 De methode voor de toepassing van CSA 52 6.3.1 De voor- en nadelen van elke methode 55 6.4 De focus van control self assessment 56 6.4.1 De voor- en nadelen van elke methode 59 6.5 Hoe verhoudt CSA zich ten opzichte van de diverse control modellen? 60 6.6 Welke gevolgen heeft CSA voor de internal auditor? 61 6.7 Hoe kan CSA succesvol worden toegepast? 62 6.7.1 Welke factoren zijn van belang voor een effectieve opzet? 62 6.7.2 Welke factoren zijn van belang voor het verdere verloop van CSA? 65 6.7.3 Welke valkuilen dienen vermeden te worden? 68
6.8 Conclusies 69
6.8.1 Algemene conclusies CSA 70 7 Wat is de invloed van Control Self Assessment op de Internal Audit Methodiek? 71 7.1 Wat zijn de overeenkomsten en verschillen tussen de Internal Audit Methodiek en
CSA? 71
7.2 Wat is de toegevoegde waarde van de toepassing van CSA in de Internal Audit
Methodiek? 75 7.2.1 Welke bijdrage kan CSA leveren aan de Internal Audit Methodiek? 76
7.2.2 Welke bijdrage kan de Internal Audit Methodiek leveren aan CSA? 79 7.3 Welke knelpunten zijn te onderkennen bij de toepassing van CSA in de Internal Audit
Methodiek? 80 7.4 Conclusie eerste centrale vraag 84
8 Op welke wijze kan CSA in de internal audit methodiek worden toegepast? 86 8.1 Waar moet de toepassing van CSA aan voldoen? 86 8.2 Welke mogelijkheden kunnen onderscheiden worden? 87 8.3 Hoe verhouden de onderscheiden diensten zich ten opzichte van elkaar? 89 8.3.1 Argumenten vóór de uitvoering van de drie diensten in onderlinge samenhang 89 8.3.2 Argumenten tégen de uitvoering van de drie diensten in onderlinge samenhang 90 8.3.3 Keuze van de mogelijkheden 90 8.4 Welke plaats krijgen de diensten in het internal audit proces? 91 8.5 Conclusie tweede centrale vraag 93
9 Literatuurlijst 96
1
Inleiding
Onlangs is de financiële wereld opgeschrikt door een nieuw boekhoudschandaal, en wel op Nederlandse bodem. Na het opschrikbarende Enron-schandaal in 2001, is afgelopen februari uitgekomen dat Ahold – dochter US Foodservices, een half miljard dollar te veel winst heeft geboekt over 2001 en 2002. Deze boekhoudschandalen wakkeren de discussie aan over de invloed van het internal control systeem op de besturing van de organisatie. Zonder goede beheersing immers geen goede besturing, maar hoe beheerst het management de organisatie? De vraag kan zelfs worden gesteld óf het management de organisatie wel beheerst. Zo zegt Harry Starren, directeur van de Baak, het managementcentrum van de ondernemersorganisatie VNO-NCW, in de Volkskrant hierover het volgende:
‘Veel managers hebben last van de illusion of control – tot het misgaat. Ze zijn dan niet de controle kwijt, die hebben ze nooit gehad.’1
De discussie over de beheersing van organisaties is niet nieuw. In de jaren tachtig heeft men - na meerdere schandalen op de financiële markten - het belang van het intern beheersingssysteem als voorwaarde van goed bestuur al onderkend. De hierdoor onstane discussie over corporate governance heeft geleid tot vele rapporten met aanbevelingen ter verbetering van het internal control systeem. Het nieuwste wapenfeit is de op 1 juli 2002 aangenomen Sarbanes Oxley wet, waarin het management verplicht wordt gesteld hier verantwoordelijkheid over te nemen. Men blijft echter op zoek naar nieuwe methoden ter beheersing van de organisatie. Enkelen menen zelfs dat oude beheersinstrumenten niet meer volstaan. In hetzelfde artikel in de Volkskrant is te lezen:
Ten onrechte denken veel topmanagers dat ze alle risico’s onder controle hebben. Van Ginniken bekritiseert de mantra van elke manager en adviseur: meten is weten, weten is voorspellen, voorspellen is beheersen.‘Dat berust op een illusie. Om processen echt te beheersen, moet je kijken ook naar paradoxen en dilemma’s. Het gangbare denken is te simplistisch. Dagelijks zullen er betrokkenen zijn die de cijfers masseren, slechts een enkele keer groeit het uit tot een nationale ramp.’2
Een alternatief voor de huidige beheersingssintrumenten is het van oorsprong Canadese Control Self Assessment, oftewel CSA. Deze methode wordt omschreven als een continue zelfevaluatie van de effectiviteit van het internal control systeem door het management en/of werkgroepen. CSA onderscheidt zich van andere methodes doordat het management verantwoordelijk is voor de toetsing van het internal control systeem. Business Risk Services, een specialisme binnen Ernst & Young op het gebied van internal auditing, wil haar klanten de ondersteuning van de dienst CSA aanbieden en zo het huidige dienstenpakket verbreden. In dit onderzoek wordt gekeken naar de mogelijkheden van de toepassing van CSA bij Business Risk Services van Ernst & Young.
1 Dirks, B. en Thijssen, W., De onttovering van een wereldimperium, Volkskrant, 1maart 2003
2 Dirks, B. en Thijssen, W., De onttovering van een wereldimperium, Volkskrant, 1maart 2003
2
Probleemdefinitie
In dit hoofdstuk wordt uiteengezet wat het doel van het onderzoek is en hoe het onderzoek wordt uitgevoerd. Daartoe wordt de doelstelling, vraagstelling, het conceptuele model, de deelvragen en de randvoorwaarden behandeld. Verderop wordt de wijze uiteengezet waarop het onderzoek wordt uitgevoerd, om zo te komen tot de algehele aanpak van de afstudeeropdracht.
2.1 Doel van het onderzoek
Business Risk Services heeft voor de uitvoering van haar diensten een eigen methodiek ontwikkeld, de internal audit methodiek. Business Risk Services wil weten of CSA in de huidige methodiek kan worden toegepast en hoe dat moet worden toegepast. Het doel van het onderzoek is daarom tweeledig. Eerst moet worden vastgesteld wat de invloed is van CSA op de Internal Audit Methodiek. Hierbij wordt van beide methodieken een beschrijving gegeven en beoordeeld wat de invloed is van de ene methodiek op de ander.
Op deze wijze kan worden vastgesteld of toepassing van CSA binnen de Internal Audit Methodiek mogelijk is. Vervolgens zal een aanpak worden opgesteld, waarmee Business Risk Services binnen de eigen methodiek de toepassing van control self assessment bij een klant kan ondersteunen en beoordelen.
Het onderzoek is door Business Risk Services als volgt geformuleerd:
Het onderzoek bestaat uit drie onderdelen; te weten:
• Wat is control self assessment? (theorie-onderzoek)
• Hoe kan control self assessment binnen de Internal Audit Methodiek van Ernst & Young worden ingepast?
• Maak een plan van aanpak waarin stapsgewijs wordt uiteengezet welke activiteiten moeten worden georganiseerd om control self assessment in de Internal Audit Methodiek te implementeren.
2.2 Probleemstelling
Onder de probleemstelling van een onderzoek wordt verstaan: een zorgvuldige weergave van de vragen die men door middel van het onderzoek poogt te beantwoorden3. De probleemstelling bestaat uit drie componenten: de doelstelling, de vraagstelling en de randvoorwaarden4. De doelstelling legt vast voor wie (enkelvoud of meervoud) het onderzoek wordt gedaan, wat er voor hen uitkomt (kennisprodukt) en waarom dat voor hen van belang is5. Aan de hand van de opdrachtformulering zoals deze hierboven geformuleerd is, wordt de probleemstelling opgesteld.
3 Leeuw, A.C.J. de, Bedrijfskundige Methodologie, Management van onderzoek, Van Gorcum, Assen, 1996, p. 81
4 Leeuw, A.C.J. de, 1996, p. 81
5 Leeuw, A.C.J. de, 1996, p. 85
2.2.1 Doelstelling
Het doel van dit onderzoek is het beoordelen van de invloed van control self assessment op de internal audit methodiek van Ernst & Young. Op grond hiervan wordt vastgesteld of control self assessment kan worden toegepast binnen de Internal Audit Methodiek en hoe dit kan worden toegepast. De uitkomsten van het onderzoek worden gebruikt om het dienstenpakket van de Business Risks Services te verbreden.
2.2.2 Conceptueel model
Om inzicht te krijgen in de kennis die nodig is om de doelstelling te bereiken, dient de probleemsituatie te worden geanalyseerd aan de hand van een conceptueel (causaal) model6. Het model is van achter naar voren opgesteld, zodat begonnen wordt met het omschrijven van het doel. Dit is een logische opbouw, aangezien de doelstelling van het onderzoek al wel bekend is, maar de weg waarlangs de doelstelling wordt bereikt nog niet.
Figuur 1. Conceptueel model van het onderzoek
…… Afbakening van het onderzoek
Informatiebronnen
Aard optiek
Onderzoeksobjecten Doel van het onderzoek
6Verschuren P., en H. Doorewaard, Het ontwerpen van een onderzoek, Lemma, Utrecht, 1995, p.4 CSA
internal audit methodiek Afstemmingscriteria Kenmerken
CSA
Theorie Management Control
analyse
analyse
Ontwerp/
Aanbevelingen Theorie
Internal Control/ CC
Onderzoeksoptiek Kenmerken
internal audit methodiek
Doel van het onderzoek
Het doel van het onderzoek is het maken van een ontwerp en het geven van aanbevelingen ten aanzien van de toepassing van control self assessment in de internal audit methodiek.
Onderzoeksobjecten
Het onderzoeksobject is het fenomeen wat bestudeert wordt en waar uitspraken over worden gedaan aan de hand van het uit te voeren onderzoek7. In dit onderzoek staan de internal audit methodiek en control self assessment centraal, zij zijn de onderzoeksopjecten.
Onderzoeksoptiek
De onderzoeksoptiek geeft aan vanuit welke invalshoek gekeken wordt en welke facetten daarbij worden bestudeerd8. Allereerst wordt de aard van de onderzoekoptiek vastgesteld. Uitgaande van de hiervoor geformuleerde doelstelling is de aard van het onderzoek een ontwerpgericht onderzoek, waarbij afstemming dient te worden verkregen tussen control self assessment en de internal audit methodiek.
Ontwerpgerichte onderzoeken worden vooraf gegaan door een diagnose, waarna een oplossingsrichting wordt vastgesteld. Vanuit de diagnosefase in dit onderzoek komen afstemmingscriteria naar voren, waarmee de onderoeksobjecten, control self assessment en internal audit methodiek, op elkaar worden afgestemd.
Vervolgens worden de informatiebronnen die richting geven aan de onderzoeksoptiek vastgesteld. De onderzoeksoptiek, oftewel de afstemmingscriteria, komt voort uit theorieën van Management Control, Internal Control, Corporate Governance en vanuit de kenmerken van CSA en de internal audit methodiek.
Voor de keuze van deze informatiebronnen is eerst gekeken naar de onderzoeksobjecten. Zo bestaan zowel CSA als de internal audit methodiek uit verschillende kenmerken die eisen stellen aan de afstemming, zoals de wijze van uitvoering van de methodiek, de belanghebbenden, de doelen en uitgangspunten en de theoretische achtergronden. Beide methodieken kennen diverse theoretische achtergronden, welke voornamelijk zijn gebaseerd op Management Control en Internal Control theorieën.
Deze theorieën zijn sterk gerelateerd aan ontwikkelingen op het gebied van Corporate Governance.
Ontwikkelingen en achtergronden van zowel Management Control, Internal Control en Corporate Governance worden derhalve als belangrijke informatiebronnen gezien. De verwachting bestaat dat een beschouwing van genoemde kenmerken, theorieën en achtergronden de juiste afstemmingscriteria geven waarmee een gedegen analyse en ontwerp kan worden gemaakt.
Uiteindelijk kan het model worden uitgeschreven en zal dan luiden als volgt:
• Een bestudering van de kenmerken van Control Self Assessment en de Internal Audit Methodiek en daarnaast van Management Control, Internal Control en Corporate Governance leveren gezamenlijk afstemmingscriteria waarmee control self assessment en de internal audit methodiek worden geanalyseerd. Deze analyse resulteert in aanbevelingen en een ontwerp voor de toepassing van control self assessment in de internal audit methodiek.
7 Verschuren, P. en H. Doorewaard, 1995, p. 44
8 Verschuren, P.en H. Doorewaard, 1995, p. 46
2.2.3 Vraagstelling
De vraagstelling formuleert de hoofdvraag (of hoofdvragen) die bij de doelstelling aansluit maar in voor onderzoek toegankelijke termen is geformuleerd9. De vraagstelling bestaat in overeenstemming met de doelstelling uit twee gedeeltes.
Centrale vragen:
• Wat is de invloed van control self assessment op de internal audit methodiek van Ernst & Young?
• Op welke wijze kan control self assessment in de internal audit methodiek van Ernst & Young worden toegepast?
2.2.4 Deelvragen
Omdat de vraagstelling te complex is om van daaruit gedegen onderzoek uit te voeren, zal de vraagstelling moeten worden opgedeeld in kleine stukjes, te weten deelvragen. Deze deelvragen zijn vervolgens weer opgedeeld in subvragen. Wanneer alle deelvragen zijn beantwoord, geldt dat tevens voor de vraagstelling.
1. Wat is de Internal Audit Methodiek?
1.1. Wat is internal audit?
1.2. Welke internal audit diensten worden binnen de Business Risk Services aangeboden?
1.3. Wat is de Internal Audit Methodiek?
1.3.1. Waar wordt de Internal Audit Methodiek voor gebruikt?
1.3.2. Uit welke processen bestaat de Internal Audit Methodiek?
2. Wat is Control Self Assessment?
2.1. Wat betekent CSA en waar dient het voor?
2.2. Hoe is CSA ontstaan?
2.3. Hoe wordt CSA toegepast?
2.4. Wat is de focus van CSA?
2.5. Hoe verhoudt CSA zich ten opzichte van de diverse control modellen?
2.6. Welke gevolgen heeft CSA voor de internal auditor?
2.7. Hoe kan CSA succesvol worden toegepast?
2.7.1. Welke factoren zijn van belang voor een effectieve opzet?
2.7.2. Welke factoren zijn van belang voor het verdere verloop van CSA?
2.7.3. Welke valkuilen dienen vermeden te worden?
3.Wat zijn de overeenkomsten en verschillen tussen de Internal Audit Methodiek en CSA?
3.1. Wat zijn de overeenkomsten en verschillen tussen de Internal Audit Methodiek en CSA betreffende de volgende kenmerken:
9Leeuw, A.C.J. de, 1996, p. 85
• Uitgangspunten
• Theoretische achtergronden
• Werkwijze
• Belanghebbenden
4. Welke bijdrage kan de toepassing van control self assessment leveren aan de internal audit methodiek?
4.1. Wat is de toegevoegde waarde van de toepassing van CSA in de Internal Audit Methodiek?
4.2. Welke bijdrage kan CSA leveren aan de Internal Audit Methodiek?
4.3. Welke bijdrage kan de Internal Audit Methodiek leveren aan CSA?
5. Welke knelpunten zijn te onderkennen bij de toepassing van CSA in de Internal Audit Methodiek?
6. Aan welke vereisten dient de toepassing van control self assessment te voldoen?
6.1. Waar moet de toepassing van CSA aan voldoen?
6.2. Welke mogelijkheden kunnen onderscheiden worden?
6.3. Welke mogelijkheden staan centraal in het ontwerp?
7. Op welke wijze kan control self assessment in de internal audit methodiek worden toegepast zodat aan de vereisten wordt voldaan?
7.1. Welke plaats krijgen de diensten in de Internal Audit Methodiek?
7.2. Hoe passen de diensten in het auditproces van de Internal Audit Methodiek?
7.3. Op welke wijze kunnen de processen worden ingericht?
2.2.5 Randvoorwaarden
Elk onderzoek heeft randvoorwaarden. Dit zijn eisen die gesteld worden aan de onderzoeksuitkomsten of eisen die gesteld worden aan het onderzoeksproces. De randvoorwaarden bepalen de grenzen van wat er in het licht van een onderzoek mogelijk is. De volgende beperkingen zijn van toepassing:
• Het proces en de uitkomsten van het onderzoek dienen wetenschappelijk verantwoord te zijn.
• Dit onderzoek wordt gehouden tijdens een stage bij Ernst & Young in Groningen en is voorgenomen te voldoen aan de eisen van Ernst & Young.
• De duur van dit onderzoek is door Ernst & Young in beperkt tot zes maanden.
• Op dit onderzoek is geheimhouding van toepassing, zowel gedurende het onderzoeksproces alsmede na deze periode.
Beperkingen ten aanzien van de resultaten
• De klant als onderdeel van het krachtenveld waarin de toepassing van CSA zich bevindt, wordt buiten beschouwing gelaten. Er vindt derhalve geen marktonderzoek plaats naar de wensen van de klanten.
2.3 Onderzoeksopzet
In deze paragraaf wordt uiteengezet hoe het onderzoek wordt aangepakt om antwoord te kunnen geven op de vraagstelling. Allereerst wordt een beschouwing gegeven van de aanpak bij een ontwerpgericht
onderzoek, ter ondersteuning van de onderzoeksopzet. Vervolgens wordt de te volgen onderzoeksstrategie en de verwerving van het onderzoeksmateriaal behandeld.
2.3.1 Methodologie van een ontwerpgericht onderzoek
In het conceptuele model is al naar voren gekomen dat het onderzoek een ontwerpgericht onderzoek betreft. Volgens de Leeuw (1996) verloopt een ontwerpgericht onderzoek in vier fasen: diagnose, ontwerp, verandering en evaluatie. In de diagnosefase wordt getracht inzicht te verkrijgen in de probleemsituatie door pluriform naar de probleemsituatie te kijken. Dit pluriform kijken, oftewel conceptualiseren, wordt gedaan door vanuit meerdere invalshoeken naar de probleemsituatie te kijken. Daarnaast bestaat de diagnosefase uit een analyse, beoordeling en beschrijving van de probleemsituatie, waarbij de analyse verweven is met de andere stappen. In dit onderzoek bestaat de diagnosefase uit de behandeling van de eerste vijf deelvragen, waarin de invloed van CSA op de internal audit methodiek wordt vastgesteld. De twee onderzoeksobjecten die hier in centraal staan worden vanuit verschillende invalshoeken bekeken:
doelen en uitgangspunten, wijze van uitvoering, theoretische achtergronden en belanghebbenden.
Tijdens de ontwerpfase wordt de oplossingsrichting aangedragen en uitgewerkt. Het ontwerpproces is opgedeeld in meerdere fases en begint met de produktspecificatie. In de produktspecificatie wordt aangegeven wat het doel van het ontwerp is en welke randvoorwaarden en prestatiecriteria gelden. De produktspecificatie komt overeen met de beantwoording van de zesde deelvraag: Aan welke vereisten dient een audit op control self assessment te voldoen om een goede werking binnen de huidige methodiek te waarborgen?. Het tweede proces in de ontwerpfase is het ontwerpen in enge zin, hierbij worden alternatieve oplossingen gegenereerd. Dit tweede proces wordt tevens in deelvraag zes behandeld. In de zevende deelvraag wordt de laatste stap van het ontwerpproces verwerkt, de uitwerking van de oplossing.
2.3.2 Onderzoeksstrategie en materiaalverzameling
Het onderzoeksmateriaal wordt verzameld aan de hand van de onderzoeksstrategie. De onderzoeksstrategie is het geheel van samenhangende beslissingen over de wijze waarop het onderzoek uitgevoerd gaat worden10. In dit onderzoek wordt gebruik gemaakt van twee verschillende onderzoeksstrategieën.
2.3.3 Case-study
Het andere onderzoeksobject, de internal audit methodiek, kent theoretische achtergronden, maar is vooral een toepassingsgerichte methodiek. Veel kennis hiervan is in de praktijk terug te vinden. Daarom past een empirische aanpak, waarbij in de praktijk kennis wordt vergaard, hier goed. Om een goede diagnose te kunnen stellen moet in de diepte worden gegaan wat betreft de aanpak. De rapportage hierbij is vooral kwalificerend van aard. De onderzoeksstrategie die hier goed op aansluit is de gevalstudie, ook wel casestudy genaamd.
Volgens Verschuren en Doorewaard (1995) is de casestudy een empirische onderzoeksmethode, waarbij het onderzoeksobject in zijn natuurlijke omgeving wordt bestudeerd en waarbij meerdere
10 Verschuren, P. en H. Doorewaard, 1995, p. 133
onderzoeksmethoden worden gebruikt. In de casestudy wordt getracht een diepgaand inzicht te krijgen in objecten of processen om daaraan algemenere conclusies te verbinden. Er wordt meer in de diepte dan in de breedte gewerkt. De bestudering van de internal audit methodiek is dan ook arbeidsintensief. Er bestaan verscheidene varianten van de case study, kortweg onderverdeeld in de enkelvoudige case study en de vergelijkende case study. In de enkelvoudige case study wordt één enkele casus diepgaand bestudeerd, terwijl bij de vergelijkende case study meerdere casussen worden bestudeerd en onderling vergeleken. Een bestudering van de internal audit methodiek is een enkelvoudige case study, de te bestuderen casussen zijn te zien als subcasussen.
2.3.4 Bureau-onderzoek
De beantwoording van de tweede vraag - Wat is Control Self Assessment? - wordt gedaan door middel van een bureau-onderzoek, waarbij gebruik wordt gemaakt van bestaande literatuur. De keuze voor het doen van een bureau-onderzoek is voornamelijk ingegeven door het feit dat CSA binnen Ernst&Young simpelweg nog niet wordt toegepast.
Control self assessment leent zich moeilijk leent voor het inkaderen in cijfers en grafieken. Vandaar dat de beschrijving hiervan voornamelijk verbaal en beschouwend van aard is, dit wordt ook wel een kwalificerende benadering genoemd. De bestudering van CSA vindt plaats vanuit de breedte om zo een vrij compleet beeld te geven van CSA. Dit onderzoek heeft de kenmerken van een literatuuronderzoek aangezien voornamelijk wordt gewerkt met documenten en literatuur als informatiebronnen.
2.3.5 Materiaalverzameling per deelvraag
Hieronder wordt per deelvraag de wijze van de materiaalverzameling uitgewerkt.
• Wat zijn de kenmerken van de internal audit methodiek?
Om een beter begrip te krijgen van de internal audit methodiek wordt zowel op basis van de theorie als de praktijk onderzocht. Alvorens aan de Internal Audit Methodiek wordt toegekomen, wordt allereerst het begrip internal audit onderzocht. Aan de hand van literatuur wordt dit begrip verkend. De theorie van de Internal Audit Methodiek is voornamelijk de interne documentatie. Deze interne documentatie komt voort uit databases, waarin onder andere richtlijnen, voorbeelden en modellen zijn te vinden. De voornaamste documentatie is echter het handboek van de Internal Audit Methodiek. Hierin staan de verschillende processen van de Internal Audit Methodiek en haar doelstellingen beschreven. Om een compleet beeld te krijgen van de Internal Audit Methodiek wordt in de praktijk ervaring opgedaan door mee te lopen met een internal audit. Een leidraad bij de uitvoering van deze participerende observatie is het beschreven model van de Internal Audit Methodiek. Door de observatie wordt een vertaalslag gemaakt van het theoretische model naar de praktijk, zodat verschillen en overeenkomsten zichtbaar worden. De laatste onderzoeksmethode die hier wordt toegepast, is het houden van interviews en voeren van informele gesprekken met medewerkers van Business Risk Services. De interviews hebben een semi-gestrucureerd karakter. Door het open karakter van de interviews kunnen zaken aan het licht komen die tot een verbeterd inzicht leiden.
• Wat is control self assessment?
De bestudering van CSA wordt gedaan aan de hand van een literatuurstudie. De literatuur wordt vastgesteld door het werk van de meest vooraanstaande deskundigheden op het gebied van CSA te kiezen.
• Wat zijn de overeenkomsten en verschillen tussen Control Self Assessment en de Internal Audit Methodiek?
De kenmerken van Control Self Assessment en de Internal Audit Methodiek zijn na beantwoording van de eerste twee deelvragen bekend. Op grond van deze kenmerken kan een vergelijking tussen beide worden gemaakt. De kenmerken worden onderverdeeld naar uitgangspunten, theoretische achtergronden, werkwijze en belanghebbenden.
• Welke bijdrage kan control self assessment leveren aan het audit proces van de internal audit methodiek?
Nadat beide methodieken grondig zijn bestudeerd, wordt gekeken hoe CSA een bijdrage kan leveren aan de Internal Audit Methodiek. Dit wordt gedaan door een analyse te maken van de overeenkomsten en de verschillen tussen beide methodieken aan de hand van de kenmerken die bij de behandeling van de voorgaande vragen naar voren zijn gekomen. Hierbij wordt gebruik gemaakt van de resultaten uit semi- gestrucureerde interviews met medewerkers van Business Risks Services.
• Welke knelpunten zijn te onderkennen bij de toepassing van CSA in het audit proces van de internal audit methodiek?
Nadat de overeenkomsten en verschillen tussen beide methodieken zijn vastgesteld en is bekeken hoe CSA een bijdrage kan leveren aan de Internal Audit Methodiek, worden eventuele knelpunten vastgesteld.
Daarbij wordt gebruik gemaakt van de resultaten van een semi-gestructureerde interviews met medewerkers van de Business Risks Services. De knelpunten worden geanalyseerd waarbij mogelijke oplossingen voor de knelpunten worden aangedragen.
De vijf voorgaande deelvragen geven antwoord op de eerste vraagstelling, namelijk het vaststellen van de invloed van control self assessment op de internal audit methodiek van Ernst & Young. De laatste deelvragen dienen de tweede vraagstelling te beantwoorden aan de hand van de antwoorden die zijn verkregen uit de voorgaande deelvragen.
• Aan welke vereisten dient de audit van control self assessment te voldoen om een goede werking binnen de huidige methodiek te waarborgen?
De opdrachtformulering en de antwoorden die op de eerste vijf vragen zijn gevonden worden gebruikt om te komen tot een verzameling van vereisten waaraan de toepassing van CSA binnen de internal audit methodiek moet voldoen. Aan de hand van deze vereisten worden mogelijke toepassingen aangedragen, waarna bekeken wordt welke van deze toepassingen centraal staan in het verdere ontwerp. Hierbij wordt getoetst aan de opgestelde vereisten.
• Op welke wijze kan control self assessment in de internal audit methodiek worden toegepast zodat aan de vereisten wordt voldaan?
Aan de hand van de vereisten wordt begonnen met het ontwerpen van een toepassing van CSA in de internal audit methodiek. De antwoorden op de deelvragen vormen hierbij de achtergrond. Tevens wordt gebruik gemaakt van bestaande modellen voor de toepassing van CSA die binnen Ernst & Young te
vinden zijn. Deze modellen worden aangepast aan de vereisten zoals deze in deelvraag zes zijn opgesteld.
Het ontwerp leidt tot een werkplan waarin de diverse stappen voor de toepassing van CSA worden uitgewerkt. Als aanvulling op dit werkplan worden aanbevelingen aangedragen.
2.3.6 Afbakening van de analyse-eenheid
De afbakening van de analyse-eenheid geeft de definitie van de te bestuderen case en bakent daarmee tevens de dataverzameling en de analyse af11. Niet alleen de definitie van de case dient te worden gegeven, andere variabelen zoals plaats en tijd moeten ook worden vastgesteld.
De bestudering van de internal audit methodiek geschiedt allereerst door de uitvoering van een internal audit bij een aanneembedrijf die onderdeel uitmaakt van een andere organisatie. Het aanneembedrijf richt zich vooral op de uitvoering van onderhoudsopdrachten voor woningcorporaties, ongeveer 10 % van de opdrachten wordt voor particuliere klanten gedaan. Het aanneembedrijf voert zowel kortlopende service opdrachten (het verhelpen van klachten) als langlopende opdrachten uit. De internal audt richt zich voornamelijk op de langlopende opdrachten en derhalve niet op de service opdrachten.
Het doel van de internal audit is na te gaan in hoeverre wordt de organisatie wordt beheerst bij de uitvoering van de volgende activiteiten:
• Planmatig onderhoud woonbedrijven;
• Onderhoud voor particulieren;
• Onderhoud voor beleggers in onroerend goed.
De keuze van de uitvoering van deze opdracht is gegeven door verschillende omstandigheden. In de opdracht wordt de gehele Internal Audit Methodiek doorlopen wordt, zodat inzicht kan worden verkregen in de voornaamste processen van de Internal Audit Methodiek. Daarnaast is de duur van de internal audit beperkt zodat deze binnen de geldende afstudeerfase kan worden afgerond. Al laatste is plaats van bestemming bepalend geweest voor de keuze van de opdracht. Het betreffende bedrijf bevindt zich in de nabije omgeving.
11 Yin, R.K., Case study research: Design and Methods, Sage, Beverly Hills, 1984. p. 32
3
Beschrijving van de organisatie
De afstudeeropdracht wordt uitgevoerd voor Business Risk Services, één van de adviesgroepen van Ernst
& Young Accountants. In dit hoofdstuk wordt een korte beschrijving gegeven van Ernst & Young, de Accountantsmaatschap en Business Risk Services.
3.1 Algemeen
Met Ernst & Young worden de gezamenlijke activiteiten bedoeld van Ernst & Young accountants, Ernst &
Young Belastingadviseurs en andere Ernst & Young werkmaatschappijen. Ernst & Young Nederland maakt deel uit van Ernst Young International, een wereldomvattende organisatie van accountants, belastingadviseurs en juristen (83.500 mensen in 130 landen). Per 30 juni 2002 is Ernst & Young gevestigd over veertig vestigingen over heel Nederland waar ruim 5000 medewerkers werken. Ernst &
Young Nederland is een combinatie van meerdere accountantskantoren wereldwijd, waaronder Arthur Young, Ernst & Whinney en de Nederlandse combinatie Moret & Limperg. Momenteel is Ernst & Young één van de Big Four, de vier grootste bedrijven wereldwijd op het gebied van consultancy en accountancy.
In het organogram is te zien dat Ernst & Young is opgedeeld in de maatschappen Ernst & Young Accountants en Ernst & Young Belastingadviseurs. Holland Van Gijzen Advocaten en Notarissen heeft een strategische alliantie met Ernst Young Belastingsadviseurs. Elk van de drie maatschappijen werkt met eigen adviesgroepen, maar dwars door die groepen heen zijn sectorgroepen marktgericht werkzaam voor verschillende marktsegmenten.
3.2 Ernst & Young Accountants
Ernst & Young Accountants is onderverdeeld in meerdere specialismen. Deze specialismen zijn:
Jaarrekeningcontrole en advisering, EDP audit, Actuariële dienstverlening, Administratieve dienstverlening en advisering, Bedrijfsadviseurs, Business Risk Services, Environment & Sustainability Services, Integrity Services & Investigations, Treasury & Financial Risk Management. Hieronder worden de voornaamste diensten uitgelicht en kort beschreven. De Business Risk Services wordt in een aparte paragraaf behandeld.
Jaarrekeningcontrole en advisering
Dit is de ‘core business’ van Ernst & Young en wordt daarom ook wel aangeduid met de Algemene Praktijk. Binnen dit specialisme wordt controle op de jaarrekening uitgevoerd en kan aansluitend advies worden gegeven.
EDP Audit
Door de steeds grotere afhankelijkheid van de informatiesystemen is het van groot belang dat deze systemen veilig, betrouwbaar en beschikbaar zijn. EDP auditors ondersteunen de klant bij het opzetten en onderhouden van hun informatiesystemen.
Actuariële dienstverlening
De Ernst & Young actuarissen hebben zich gespecialiseerd in het onderkennen en beheersen van financiële risico’s van een organisatie.
Environment & Sustainability
Binnen dit specialisme ondersteunt de milieuaccountant de klant bij milieuaangelegenheden, zoals het onderkennen van risico’s en financiële gevolgen van milieuwetten en bepalingen, het vormgeven van milieumanagement en de totstandkoming van de milieuverslaggeving.
Due Dilligence
Bij een overname, fusie of joint venture ondersteunt Ernst & Young bij de uitvoering van een Due Dilligence, oftewel een boekenonderzoek. Bij een dergelijk onderzoek worden, al dan niet gebruik maken van andere specialisten, de (financiële) risico’s in kaart gebracht om de klant te ondersteunen bij de transactie.
Uit de beschrijving blijkt dat de verschillende specialismen zich richten op één op meerdere risicogebieden van een organisatie. Dit is weergegeven in de onderstaande tabel.
Milieu Informatie Financieel Operationeel Bestuur en beheersing
Omgevings - Factoren Environ
ment &
Sustaina bility
EDP Audit Jaarrekeningcontrole Due Dilligence Actuariële dienstverlening
Business Risk Services
Enterprise Risk Management
Tabel 1. Risicoraamwerk van een organisatie met verschillende Ernst & Young diensten
3.3 Business Risk Services
Business Risk Services is in Nederland gevestigd in Amsterdam en Den Haag en telt ongeveer 25 werknemers. De medewerkers van Business Risk Services bieden een op maat gesneden oplossing van het interne beheersingsvraagstuk van een klant door de uitvoering van internal audit diensten. De internal audit diensten richten zich voornamelijk op interne bedrijfsprocessen, met als doel de stroomlijning van bedrijfsprocessen en verbetering van kostenefficiency.
Binnen de Business Risk Services worden verscheidene internal audit diensten aangeboden, variërend van volledige uitbesteding van de internal audit diensten tot het uitvoeren van een quick scan van de huidige internal audit afdeling. Een andere mogelijkheid is het aangaan van een partnership met Ernst & Young Business Risks Services waarbij tot een integrale aanpak voor de herinrichting van de internal audit afdeling wordt gekomen. Daarnaast kunnen op maat gesneden procesbeschrijving worden gemaakt. De diensten bieden inzicht in de beheersmaatregelen van de organisatie en geven concrete aanbevelingen voor mogelijke verbeteringen.
De wensen en verwachtingen van de klanten vormen de basis van de aanpak. Het is mogelijk dat de diensten worden uitgevoerd vanuit een zogenaamde geïntegreerde aanpak; dit houdt in dat meerdere disciplines binnen Ernst & Young – zoals financial, operational en EDP - samenwerken aan een internal audit. De uitvoering van een internal audit wordt vaak stapsgewijs uitgevoerd, waarbij per keer één of enkele processen in ogenschouw worden genomen. Het heeft daarom een langdurig karakter en bestrijkt vaak enkele jaren. De doelstellingen van de opdracht kunnen zeer verschillend zijn. Enkele voorbeelden aan de hand van bestaande opdrachten zijn:
• Het beoordelen van de kwaliteit van de interne beheersing van specifieke bedrijfsprocessen;
• Het beoordelen van de bevoegdhedenstructuur van specifieke bedrijfsprocessen;
• Vaststellen in hoeverre richtlijnen en wetgeving is verankerd in het handboek administratieve organisatie;
• Het beoordelen van een follow up van de bevindingen van eerdere internal audits.
4
Theoretische achtergronden en ontwikkelingen
In dit hoofdstuk wordt een beschouwing gegeven van de theoretische achtergronden van Control Self Assesment en de Internal Audit Methodiek. De behandeling van de theoretische achtergronden richt zich op Internal Control en hieraan gerelateerde theorieën, zoals Management Control. Dit hoofdstuk begint met de behandeling van Management Control, aangezien kennis en begrip van Management Control noodzakelijk zijn voor de begripsvorming van Internal Control. Hierna komen diverse Internal Control modellen aan bod, waarbij de nadruk ligt op het meest gezaghebbende model: het COSO model. Bij de behandeling van de van de diverse modellen wordt stilgestaan bij de verschillende ontwikkelingen die hebben geleid tot de ontwikkeling van het betreffende model. De behandeling van de Internal Control modellen wordt chronologisch in de tijd behandeld, waarbij zowel de Angelsaksische als de Nederlandse ontwikkelingen aan bod komen. Het hoofdstuk sluit af met de meest recente ontwikkeling op het gebied van internal control: de net aangenomen Sarbanes Oxley wet.
4.1 Management Control
Dit hoofdstuk begint met een uiteenzetting van verschillende management control theorieën. Hoewel vele verschillende management control theorieën bestaan zijn de hieronder beschreven theorieën zijn naar mijns inziens het meest omvattend en sluiten zij het beste aan op CSA en internal control. De selectie van deze theorieën is ingegeven door de vele verwijzingen die in CSA en internal control literatuur terug te vinden is.
4.1.1 Robert Anthony
Een halve eeuw geleden omschreef Professor Robert Anthony management control als ‘het proces van het vaststellen dat de organisatie doet wat management wil’. Volgens hem is het managen van een organisatie terug te brengen tot vier clusters van activiteiten12. Deze activiteiten zijn in een managementcyclus weergegeven die jaarlijks doorlopen wordt. De management controlcyclus bestaat uit de volgende fasen:
12 Driessen, A.J.G., Kerk, J.W. van der, en A. Molenkamp, Operational auditing, een managementkundige benadering, Kluwer Bedrijfsinformatie, Deventer, 1997, p. 143
1. Beleid formuleren (ondernemingsplan)
Onder het beleid vallen alle zaken die te maken hebben met het sturen en beheersen van de organisatie, zoals ondermeer het vaststellen van de missie, het formuleren van doelstellingen, het aangeven van de kaders waarbinnen de doelstellingen bereikt moeten worden, het scheppen van de voorwaarden om tot realisering te kunnen geraken en (eventueel) het aangeven van de weg waarlangs de realisatie van de doelstellingen moet plaatsvinden13.
2. Beleid inrichten (o.a. AO/IC, jaarplan)
De inrichtingsactiviteiten zijn erop gericht het geheel aan beheersingskaders en beheersingsmaatregelen te ontwikkelen en te implementeren. De inrichting kan betrekking hebben op alle activiteiten binnen een organisatiesegment14.
3. Beleid uitvoeren, meten en rapporteren
In het derde proces wordt het beleid uitgevoerd zodat de doelstellingen kunnen worden bereikt.
4. Evaluatie
Deze evaluerende activiteiten hebben betrekking op de relatie tussen het geformuleerde beleid, de wijze waarop de beheersingskaders en beheersingsmaatregelen zijn ingericht en de processen zijn uitgevoerd15.
Bij management control staan de uitkomsten van een proces in de organisatie centraal. Hierbij worden de actieplannen en budgetten gerelateerd aan de uitgezette strategie. Een onmisbaar onderdeel van management control is internal control. Internal control is gericht op de beheersingselementen van de vier fasen van de management cyclus16. Bij internal control gaat het daarentegen niet om de feitelijke uitkomsten van een proces, maar om de beheersing van dat proces. Door het proces te beheersen kunnen de doelstellingen worden bereikt. Het internal control systeem is inherent aan het management control systeem, waardoor de invulling van het internal control systeem afgeleid is van de keuzes die zijn gemaakt voor het management control systeem.
13 Driessen, A.J.G., Kerk, J.W. van der, en A. Molenkamp, 1997, p. 143
14 Driessen, A.J.G., Kerk, J.W. van der, en A. Molenkamp, 1997, p. 143
15 Driessen, A.J.G., Kerk, J.W. van der, en A. Molenkamp, 1997, p. 144
16Boer, H. den en L.C. van Zutphen, Business control en auditing, recente ontwikkelingen in internationaal verband, Academic Services, Schoonhoven, 1995, p. 11
Beleid formuleren
Inrichten
Uitvoeren Toetsen
4.1.2 William Rotch
Voortbouwend op de definitie van Anthony, heeft William Rotch (1993) een raamwerk ontwikkeld waarmee inzicht kan worden verkregen in de diverse aspecten van management control. In dit raamwerk ziet hij management control als een geheel van samenhangende componenten die elkaar wederzijds beïnvloeden. Hoewel hij onderkent dat de componenten in zijn raamwerk niet uitputtend zijn (zo zijn huidige economische omgevingsvariabelen niet meegenomen) tracht hij met het model de meest belangrijke componenten van een management control systeem in kaart te brengen.
Figuur 2. W. Rotch, Components of the Management Control System
Ter illustratie van deze wederzijdse beïnvloeding kan het volgende voorbeeld worden gegeven: een organisatie heeft als één van haar strategieën het opbouwen van een brede klantenkring. De verkoper in de organisatie heeft complete bevoegdheden over zijn werk, maar wordt enkel beoordeeld op zijn omzet.
Hierdoor is het niet waarschijnlijk dat hij tijd en energie zal investeren in een brede klantenkring, aangezien hij hier niet op afgerekend wordt. Dit kan voorkomen worden door alle componenten van het management control systeem op elkaar af te stemmen.
4.1.3 Robert Simons
Een andere heersende authoriteit op het gebied van management control is Robert Simons. Volgens Simons (1995) wordt control door de meeste managers te nauw opgevat door dit enkel te zien als vergelijking van werkelijkheid versus plan. In tijden van grote concurrentie, snelle veranderingen in producten en markten en de opkomst van de kenniseconomie volstaat deze opvatting echter niet meer. Om succesvol te kunnen opereren in veranderende omgevingen zijn creativiteit en initiatief van werknemers noodzakelijke voorwaarden. Simons heeft hierop ingespeeld door te komen met een theoretisch model waarin wordt getracht verschillende aspecten van management control in balans te brengen.
Onderscheiden worden vier instrumenten van control, te weten: diagnostic control systems, boundary Giving direction
Motivation
Rewards and incentives Producing change Monitoring activities
Measuring performance Information systems and communication
Strategy Leadership style Organization structure Definition of objectives
systems, beliefs systems en interactive control systems. Deze vier instrumenten, of zoals Simons ze noemt
“Levers of control”, zijn weergegeven in de onderstaande figuur:
Figuur 3. Levers of Control, Simons
In zijn theorie richt Simons zich voornamelijk op de informatiekenmerken van management control systemen. Daarom hanteert hij de volgende definitie van management control:
“Management control systems are the formal, information-based routines and procedures managers use to maintain or alter patterns in organizational activities17.”
Het theoretische model ziet strategie als de kern van het management control systeem. De stategie van de organisatie wordt via de vier verschillende levers in de organisatie geïmplementeerd. Daartoe is een gedegen analyse en begrip van de concepten in de tweede laag van belang. Deze concepten – kernwaarden, vermijdbare risico’s, kritische succes factoren en strategische onzekerheden – worden beheerst door één van de vier levers. Afhankelijk van de geformuleerde strategie wordt het belang van iedere lever bepaald. Internal controls zijn van essentieel belang om de betrouwbaarheid van de vier levers te bewaken. Volgens Simons beschrijven de internal controls de gedetailleerde procedures en waarborgen omtrent de bewerking, verwerking en bewaring van informatie.
Diagnostic Control Systems
Aan de hand van diagnostic control systems kunnen de prestaties van individuen en afdelingen gemeten en afgezet worden tegen het gestelde doel. Afhankelijk van de gekozen strategie worden de variabelen
17 Simons, R., Control in an age of empowerment, Harvard Business Review, Maart/April 1995
gedefinieerd die de resultaten van de betreffende strategie het best kunnen weergeven. Deze variabelen noemt Simons critical performance variables. Het is van groot belang dat vaststelling van de critical performance variables is gebaseerd op de gekozen strategie. Strategie wordt in de diagnostic control systems opgevat als plan met daarin de vereisten waaraan de uitkomsten van werkprocessen moeten voldoen. Een manier om de kritische variabelen te onderkennen en deze meetbaar te maken is de Business Balance Scorecard van Kaplan en Norton. Zij verdelen de diagnostische control systems in vier categorieën: een financieel perspectief, een interne bedrijfsprocessen perspectief, een klant perspectief en innovatie en leer perspectief. Kaplan en Norton veronderstellen dat effectieve managers gebruik maken van diagnostic controls in ieder van de vier categorieën om op deze manier de organisatie haar doelstellingen te laten halen.
Een organisatie waar veel gebruik wordt gemaakt van diagnostic controls is de Belastingdienst. De Belastingdienst is een ambtelijke organisatie in een stabiele omgeving. Planning en budgetbeheersing zijn belangrijke aspecten van het management control systeem, er bestaat daarom een grote nadruk op de diagnostic controls. De belastingdienst heeft een specifieke afdeling voor het beantwoorden van telefonische fiscale vragen in het leven geroepen, de BelastingTelefoon. Bij de Belastingtelefoon wordt per persoon en per afdeling precies bijgehouden hoeveel telefoontjes in het uur worden afgedaan, hoeveel worden doorverbonden, wat de gemiddelde gespreksduur is en wanneer de pieken en dalen zijn. Deze gegevens staan in grafieken vermeld en worden door de interne controle afdeling en de afdeling zelf bewaakt. In de grafiek wordt met rood aangegeven wanneer een bepaalde afdeling zich in de ‘gevarenzone’ bevindt. Deze gevarenzone is afgeleid van de normen en streefwaarden die in het budget staan opgenomen. Indien een afdeling te lang in de gevarenzone verkeert, wordt dit aan de betreffende afdeling gemeld waarna zij een correctieve actie dienen te ondernemen.
Vaak ziet het management deze controls als het gehele management control systeem, maar enkel diagnostic controls zijn niet toereikend om effectieve control te kunnen garanderen. Het gebruik van diagnostic controls kan gedrag uitlokken welke in strijd is met gestelde doelstellingen.
Toen op een gegeven moment vanuit de media berichten kwamen dat de Belastingtelefoon veelal niet bereikbaar was, werd door het management de druk opgevoerd grotere aantallen telefoongesprekken af te doen. Terwijl voorheen de kwaliteit van de antwoorden zeer belangrijk werd gevonden, kwam de nadruk nu te liggen op kwantiteit. De nadruk op kwantiteit leidde ertoe dat veel telefoongesprekken werden doorverbonden naar andere afdelingen of dat zij onvoldoende werden beantwoord. Dit ging ten koste van de andere doelstelling van de Belastingtelefoon, namelijk de kwaliteit.
Een effectief management control systeem dient daarom ook elementen van de andere levers te bevatten.
Beliefs systems
De waarden en normen van een organisatie en haar missie en visie zijn de controls die vallen onder beliefs systems. Beliefs systems geven richting aan het menselijk handelen binnen een organisatie. Zonder beliefs systems weten werknemers in grote en gedecentraliseerde organisaties niet wat belangrijk is voor de organisatie en welke plaats zij daarin innemen. Volgens Simons dienen beliefs systems te voldoen aan de volgende vereisten:
1. Beliefs systems zijn formele controls
2. Beliefs systems zijn dragers van informatie
3. Beliefs systems worden door managers gebruikt ten behoeve van het behouden of wijzigen van het stramien van de organisatie
Beliefs systems kunnen weergegeven en gecommuniceerd worden door credo’s, verklaringen van strategie en verklaringen omtrent de missie van een organisatie. Daarnaast dienen beliefs systems als inspiratiebron bij de zoektocht naar nieuwe mogelijkheden of oplossingen. Op deze manier kunnen zij bijdragen aan de waardecreatie van de organisatie.
In de afgelopen jaren is de marktomgeving van Ernst & Young sterk veranderd door beursschandalen als Enron en WorldCom. Deze beursschandalen hebben geleid tot grote twijfels over de onafhankelijkheid en integriteit van de beroepsgroep. Door deze veranderende omstandigheden heeft Ernst & Young besloten haar internationale strategie aan te passen. De nieuwe strategie is gericht op marktleiderschap en ziet kwaliteit als essentiële voorwaarde om dit te bereiken. Bij het uitdragen van de nieuwe strategie wordt gebruik gemaakt van de beliefs systems. Door een A4tje waarop de kernpunten van de nieuwe strategie staan vermeld wordt getracht de strategie kenbaar te maken en deze te verankeren in het handelen van werknemers wereldwijd. De bestaande tagline (slogan), die wordt gebruikt als onderschrift bij officiële documenten, dient tevens aangepast te worden. Was de tagline voorheen ‘From thougt tot finish’, met de focus op kwaliteit is de tagline aangepast naar ‘Quality in everything we do’.
Boundary Systems
Boundary systems zijn de gestelde grenzen aan verantwoordelijkheden, uitgedrukt in negatieve termen of minimum vereisten. Zij werken samen met de beliefs systems: beliefs systems creëren de ruimte voor allerlei mogelijke kansen, terwijl de boundary systems deze ruimte beperken door het domein af te perken.
Door de werknemers te vertellen binnen welke ruimte ze mogen handelen wordt een omgeving gecreëerd waarin voldoende ruimte bestaat voor ontplooiing. Er worden twee soorten boundary systems onderscheiden: business conduct boundaries en strategic boundaries. Business conduct boundaries zijn de gedragscodes van de organisatie welke zijn beïnvloedt door wet- en regelgeving, de beliefs systems en algemeen aanvaarde gedragsregels binnen de sector. Zij hangen daardoor veelal samen met de beliefs systems. Business conduct boundarys bestaan voornamelijk in organisaties die in een dynamische omgeving verkeren of waarin gebrek aan vertrouwen binnen de organisatie bestaat.
Aangezien met vertrouwelijke gegevens gewerkt wordt en de Belastingdienst baat heeft bij een goede reputatie voor de medewerking van belastingplichtigen, bestaat binnen de Belastingdienst grote behoefte aan vertrouwen. Daarom krijgt iedere werknemer bij indiensttreding een boekje met regels welke gelden zowel tijdens als na werktijd. Hierin worden zaken behandeld als integriteit, verboden activiteiten etc. Zo mogen buiten diensttijd geen werkzaamheden uitgevoerd worden die in strijd kunnen zijn met de eigenlijke werkzaamheden. Daarnaast wordt bij indiensttreding een eed of belofte afgelegd waarmee de werknemer belooft zich te houden aan de geldende wet- en regelgeving. Uiteraard is dit niet altijd controleerbaar en het niet naleven hiervan wordt niet altijd gesanctioneerd, menigeen rijdt immers wel eens te hard. Maar het afleggen van een eed of belofte maakt de werknemers zeker bewuster van bepaalde verantwoordelijkheden.
De strategic boundary is bedoeld om de richting waarin de organisatie zich strategisch beweegt te sturen.
Bij de uiteenzetting van Ernst&Young’s nieuwe strategie worden richtlijnen en modellen gegeven waarbinnen de strategie zich mag ontwikkelen. In deze richtlijnen worden de markten en diensten besproken en middels trainingen en workshops aan management gecommuniceerd.
Interactive control systems
Organisaties bevinden zich in een dynamische omgeving waarin zij geconfronteerd worden met kansen en bedreigingen. Veranderingen in de omgeving kunnen andere eisen stellen aan de organisatie. Interactive control systems zijn de formele informatie systemen die nodig zijn om deze veranderingen waar te nemen.
Door deze controls is het mogelijk de beslissingen op lagere niveaus waar te nemen en te beoordelen hoe met deze veranderingen wordt omgegaan en of nog creatieve ideeën bestaan hoe op deze veranderingen in te springen. Zij verschillen van diagnostic control systems in de zin dat de informatie die wordt aangedragen van strategische aard is en van zo’n groot belang voor de organisatie wordt geacht dat deze de continue aandacht verdient van managers op elk niveau. Daarnaast is persoonlijk contact de beste manier om de informatie te bespreken en te begrijpen en dient het interactive control system als katalysator voor discussie omtrent onderliggende data, veronderstellingen en actieplannen. Doorgaans wordt één diagnostisch control systeem verkozen tot interactive control systeem. De keuze van een interactive control system wordt bepaald door vijf criteria die door het management als noodzakelijk worden gezien om een control als interactive control aan te merken.
1. het control systeem moet toekomstgerichte informatie kunnen verschaffen op basis van patronen en trends in veranderingen;
2. de informatie uit het control systeem moet makkelijk te begrijpen zijn wil de discussie effectief zijn;
3. het control systeem dient door managers uit meerdere lagen van de organisatie te worden gebruikt;
4. het control systeem moet aanzetten tot herziene actieplannen wil het interactief worden gebruikt;
5. de informatie die door het control systeem verzameld en gegeven wordt dient gerelateerd te zijn aan de strategische onzekerheden van de organisatiestrategie.
Hoewel de eerste vier condities als noodzakelijk worden gezien, zijn zij niet toereikend om enkel te dienen als voorwaarden voor interactieve control systems. De laatste criteria wordt echter gezien als kritieke voorwaarde waaraan een interactive control system dient te voldoen.
De samenhang van de verschillende componenten
De implementatie van de verschillende control levers is afhankelijk van de levenscyclus van de organisatie. In kleine of net startende organisaties is weinig behoefte aan control systemen. Daar bestaat weinig delegatie en indien er al gedelegeerd is, wordt meer gebruik gemaakt van rechtstreekse communicatie. Hoe groter de organisatie groeit, des te meer behoefte aan formele control systemen ontstaat. Als eerste zullen de diagnostic control systems en boundary systems geïmplementeerd worden om zo controle te kunnen uitoefenen op de gedelegeerde taken en bevoegdheden. In een later stadium zijn de beliefs systems en interactive control systems aan de beurt. Gezamenlijk zorgen deze control systemen voor de juiste balans tussen de verschillende neigingen die binnen de organisatie en deze systemen bestaan. Simons beschrijft dit als de Yin en Yang, het negatieve en positieve die elkaar in evenwicht dienen te houden. De positieve control systemen, de yang, zijn de beliefs systems en de interactive control systems. Zij stimuleren intrinsieke motivatie door de creatie van een informatierijke omgeving waarin
leren en het delen van informatie bemoedigd wordt. De positieve control systemen zijn verbonden aan de negatieve control systemen (yin), de diagnostic en boundary systems. Deze systemen zorgen voor extrinsieke motivatie aangezien naleving van de gestelde normen en eisen beloningen kunnen opleveren, terwijl het niet naleven kan leiden tot sancties.
4.2 COSO
De noodzaad van internal control om de doelstellingen van de organisatie te behalen is in de afgelopen jaren in steeds grotere mate door verschillende partijen erkend. In de jaren zeventig en tachtig kwam een wereldwijde discussie op gang over de opzet en werking van internal control. Eén van de aanleidingen hiervoor waren een groot aantal faillissementen en fraudes, waaronder het Watergate schandaal. De discussie gaf de aanzet voor de oprichting van diverse commissies met als doel het geven van een nadere definiëring van interne beheersing en een raamwerk om interne beheersingssystemen te toetsen. De meest bekende van deze commissies is het Committee of Sponsoring Organisations of the Treadway Commission (COSO). Zij brachten in 1992 het COSO rapport uit, met als doelstelling het management te helpen met het verbeteren van internal controlsystemen en het verkrijgen van een gemeenschappelijke begrip ‘internal control’ bij alle betrokken partijen. De oprichting van de diverse commissies hadden vele verscheidene definities, zienswijzen en raamwerken van internal control voortgebracht. Met het COSO rapport is getracht een eenduidige en wereldwijde visie op internal control te creëren.
Volgens het COSO rapport is internal control een proces dat wordt uitgevoerd door de directie en ander personeel om een redelijke mate van zekerheid te verkrijgen dat doelstellingen worden gehaald in de volgende categorieën:
• Effectiviteit en efficiency van bedrijfsprocessen
• Betrouwbaarheid van financiële verslaggeving
• Naleving van relevante wet- en regelgeving
• Bewaring van activa
De begripsomschrijving omvat een viertal fundamentele elementen:
• Internal control is een proces. Het is niet één enkele gebeurtenis, maar een continu proces dat geïntegreerd dient te zijn met de bedrijfsprocessen van een organisatie. Internal controls zijn het meest effectief wanneer zij in de infrastructuur van de organisatie zijn gebouwd.
• Internal control wordt uitgevoerd door mensen. Internal control wordt daarom beïnvloedt door mensen, maar mensen zelf worden ook beïnvloedt door internal control. Omdat mensen vaak inconsistent handelen dient het internal control systeem hierop afgestemd te zijn. Het bestaat daarom niet enkel uit procedures en formulieren, maar ook uit een beschrijving van de inhoud en de grenzen van de taken die mensen op elk niveau in de organisatie uitvoeren.
• Internal control kan alleen een redelijke zekerheid geven dat organisatiedoelstellingen worden gehaald, maar geen absolute zekerheid. Bepaalde ontwikkelingen en condities vallen eenvoudigweg buiten het terrein van het management. Deze oncontroleerbare risico’s kunnen zowel intern als extern van aard zijn.
• Internal control is gericht op het behalen van doelstellingen in één of meerdere overlappende categorieën. De indeling in vier categorieën biedt de mogelijkheid om te focussen op één categorie in het bijzonder.
4.2.1 Deelcomponten
Interne beheersing bestaat uit vijf onderling met elkaar verbonden componenten. Deze componenten worden geïntegreerd in het management proces. Zij zijn voortgekomen uit de manier waarop een organisatie door het management wordt geleid. De componenten zijn weergegeven in de onderstaande piramide:
Figuur 4. De COSO piramide, Committee of Sponsoring Organizations of theTreadway Commission
Control environment (beheersingskader)
Het beheersingskader is het fundament van de internal control piramide, bepalend voor de richting en structuur van de overige componenten. Het beheersingskader wordt beïnvloed door de cultuur en geschiedenis van een organisatie. De belangrijkste factoren van het beheersingskader zijn:
Normen en waarden
De doelen van een organisatie en de manier waarop deze doelen worden gehaald zijn voor een groot gedeelte bepaald door voorkeuren, waarden en normen en managementstijl van de organisatie. De
Monitoring
Control activities
Risk assessment
Control environment Informatie en
Communicatie
