artikel

Uitgangspunten voor effectief toezicht

Strategie

Toezicht op de werking van interne beheersingsmaatregelen op strategisch en procesniveau is erop gericht organisaties te helpen bij het bereiken van organisatiedoelstellingen.

Uitgangspunten voor effectief toezicht

Volgens COSO ERM richt toezicht zich hierbij op het verkrijgen van een redelijke mate van zekerheid over:

  • betrouwbare financiële verslaggeving;
  • het voldoen aan wet- en regelgeving;
  • een effectief en efficiënt gebruik van middelen;
  • de realisatie van globale doelen, die afgestemd zijn op en ondersteunend aan de missie.

Karakteristieken effectief toezicht

Een effectief stelsel van interne beheersing is kritisch voor het succes van de organisatie en is onmogelijk zonder een adequaat stelsel van toezicht. Effectief toezicht kenmerkt zich door een aantal samenhangende karakteristieken:

  • Rapporteren over de effectiviteit van interne beheersing over een bepaalde periode: continu toezicht op de effectiviteit van het gehanteerde stelsel van interne beheersing gedurende een bepaalde periode en rapportage hierover aan het hogere hiërarchische niveau. Interne beheersing betreft hier alle componenten van het integraal beheersingskader;
  • Rapporteren van geïdentificeerde tekortkomingen: het tijdig identificeren van en communiceren over tekortkomingen in het stelsel van interne beheersingsmaatregelen aan verantwoordelijke functionarissen binnen de lijnorganisatie. Het rapporteren van tekortkomingen richt zich op de oorzaken van de geconstateerde tekortkomingen in de beheersing;
  • Tijdig nemen van corrigerende maatregelen: gerapporteerde tekortkomingen worden tijdig en accuraat opgevolgd, zodat risico’s kunnen worden weggenomen voordat deze het bereiken van de organisatiedoelstellingen in gevaar kunnen brengen. Aanvullend leiden de gerapporteerde tekortkomingen tot het initiëren van verbeteracties.

Basisingrediënten voor effectief toezicht

COSO ERM kent een drietal basisingrediënten die tezamen het fundament vormen voor een adequaat stelsel van toezicht. Deze basiscomponenten zijn de monitoringsomgeving, monitoringsprocedures en communicatiestructuur. In figuur 8.9 is de samenhang tussen deze basiscomponenten schematisch weergegeven.

Figuur 8.9: Basisingrediënten voor effectief toezicht (bron: COSO Guidance on Monitoring 2007)

Eerste ingrediënt: Monitoring

Het eerste ingrediënt om tot effectief toezicht te komen is een adequate ‘monitorinsgomgeving’. De monitoringsomgeving heeft betrekking op de tone at the top, de attitude van de (hoofd)directie ten aanzien van het belang van toezicht. De monitorinsomgeving beperkt zich niet alleen tot de tone at the top. Ook de competenties, intelligentie en vaardigheden van de medewerkers die betrokken zijn bij het monitoren van het proces zijn van elementair belang. Begrijpen zij wat er wordt gerapporteerd en kunnen zij de achterliggende oorzaken van het gerapporteerde begrijpen?

Tweede ingrediënt: prioriteiten

Het tweede ingrediënt van effectief toezicht is het aanbrengen van prioriteiten in de te beoordelen beheersingsmaatregelen. Het prioriteren van de beheersingsmaatregelen op basis van bovenliggende risico’s is van wezenlijk belang voor het efficiënt houden van het monitoringsproces. De ontwikkeling van een dergelijk uitgebalanceerd monitoringsproces vergt voldoende ‘vlieguren’ van alle betrokkenen. Het vertrekpunt om tot een uitgebalanceerd monitoringsproces te komen, is het vastleggen van het aanwezige beheersingsraamwerk, ook wel ‘controle-baseline’ genoemd (zie figuur 8.10). Op basis van dit raamwerk wordt toezicht gehouden en worden mogelijk wijzigingsverzoeken geïdentificeerd. Wijzigingen worden vervolgens vertaald naar een nieuw en aangepast beheersingsraamwerk.

Figuur 8.10  Ontwikkeling van de controle-baseline (bron: COSO Guidance on Monitoring 2007)

Figuur 8.10 Ontwikkeling van de controle-baseline (bron: COSO Guidance on Monitoring 2007)

Zo kan het bijvoorbeeld zijn dat op de Crediteurenadministratie inkoopfacturen handmatig worden vergeleken met de binnenkomende pakbonnen en bestellingen. Als de hoeveelheid transacties toeneemt en die toename van dien aard is dat handmatige controle niet meer mogelijk is, kan een dergelijke controle bijvoorbeeld in de applicatie worden ingericht. In dat geval is toezicht op de juiste uitvoering van de handmatige controle niet langer nodig. Ingeval het toezicht slechts op onderdelen heeft plaatsgevonden, zullen de relevante onderdelen van de controle-baseline worden getoetst met onafhankelijke audits.

Derde ingrediënt: communicatiestructuur

Het derde ingrediënt van effectief toezicht is de ‘communicatiestructuur’. De bevindingen die voortkomen uit het monitoringsproces dienen tijdig te worden gecommuniceerd naar de relevante functionarissen binnen de organisatie. Deze functionarissen dienen vervolgens tijdig en adequaat corrigerende maatregelen te treffen. Zo zal de constatering van een verkoopmanager dat een order niet juist is uitgeleverd, worden gemeld aan de afdeling Logistiek. Deze afdeling zal vervolgens een spoedlevering verzorgen.

Kwaliteit van informatie

Toezicht heeft betrekking op het verzamelen en analyseren van betrouwbare en relevante controle-informatie die conclusies over de effectiviteit van het stelsel van interne beheersing onderbouwt. Informatie is betrouwbaar als ze in overeenstemming is met de achterliggende werkelijkheid. Betrouwbaarheid kan hierbij worden opgesplitst in de kwaliteitsaspecten juistheid, accuratesse en volledigheid. De relevantie van controle-informatie heeft betrekking op de vraag of informatie het besluitvormingsproces, het proces van delegatie en het afleggen van verantwoording, dan wel het functioneren van de organisatie, beïnvloedt. Relevantie kan nader worden onderverdeeld in nauwkeurigheid, tijdigheid en begrijpelijkheid.

Een tweede onderscheid van controle-informatie in relatie tot de monitoringsfunctie is het onderscheid tussen directe en indirecte informatie. Directe controle-informatie kan gebruikt worden om de werking van één specifieke beheersingsmaatregel aan te tonen. Directe controle-informatie kan worden verkregen door:

  • waarnemingen in systemen en processen
  • waarnemingen ter plaatse
  • verificaties
  • rekenkundige bewerkingen
  • of het inwinnen van inlichtingen.

Voorbeelden van werkzaamheden die bedoeld zijn om directe controle-informatie te verkrijgen zijn:

  • data-analyse
  • het bijwonen van inventarisaties
  • het narekenen van inkoopfacturen
  • of het uitvoeren van enquêtes.

‘Directe controle-informatie’ is in hoge mate relevant voor het uitvoeren van toezicht, doordat deze direct aantoont of een specifieke beheersingsmaatregel wel of niet effectief is. ‘Indirecte controle-informatie’ omvat alle andere soorten informatie waaruit signalen kunnen worden verkregen die aangeven of controlemaatregelen wel of niet effectief zijn. Voorbeelden van indirecte controle-informatie zijn risico- of prestatie-indicatoren of benchmarkgegevens. ‘Indirecte controle-informatie’ wordt veelal gebruikt om één of meer niet-werkende beheersingsmaatregelen op te sporen.

Bron: Handboek Risicomanagement

Door: Urjan Claassen

Reageer op dit artikel