3Samenvatting BIV- Interne Beheersing Voorjaar 2010 Amanda van Harmelen _____________________________________________________________________

1) Inleiding, visies op interne beheersing Koning, W.F. de, Visies op interne beheersing, Maandblad voor Accountancy en Bedrijfseconomie, april 2008, pp.170-177.In het artikel wordt de contingentiebenadering voor interne beheersing gesuggereerd. In deze benadering worden de te nemen beheersingsmaatregelen zo gekozen dat zij passen in de context van de organisatie, waarbij onder meer marktpositie, machtsverhoudingen, dynamiek, wijze van aansturing en cultuur een belangrijke rol spelen. Interne beheersing kan worden omschreven als de mate waarin en de wijze waarop het management bedrijfsprocessen onder controle heeft. In het artikel worden verschillende visies van interne beheersing met elkaar vergeleken met de metaforen van Morgan als startpunt: Organisaties worden door hem benaderd als zijnde machines, levende organismen, hersenen, culturen, politieke systemen, psychische gevangenissen, voortdurende verandering en middel tot overheersing. Organisaties als machines Morgen: Doelstellingen worden nauwkeurig omschreven en hierbij wordt in groot detail gewerkt. Gaat om plannen, organiseren en controleren. Deze wijze is alleen van toepassing in stabiele omgevingen met werkprocessen. Kan leiden tot starheid waardoor moeilijk aan veranderingen aangepast kan worden, daarnaast belemmert het optimale inzet van menselijke capaciteit. Starreveld: Legt een grote nadruk op procedures en richtlijnen en kan derhalve in deze categorie geschaart worden. Merchant: Spreekt in dit verband over action controls beheersingsmaatregelen die bepalen welke acties aan medewerkers wel en welke niet toegestaan zijn. Organisaties als organismen Morgan: In turbulente omgevingen zullen organisaties in staat moeten zijn zich snel aan te passen aan externe veranderingen. Levende systemen proberen door middel van zelfregeling een evenwicht met de omgeving te bereiken. Kaplan: Door middel van de BSC worden uitkomsten van processen gemeten, getoetst aan normen en bij afwijkingen wordt het proces bijgestuurd. Het startpunt hierbij is het benoemen van KSF, waar aan de hand van performance indicatoren worden bepaald om prestaties te kunnen meten en toetsten. Merchant: Result controls waarin meteen een prestatiebeloning wordt gekoppeld. Organisaties als hersenen Morgan: Flexibiliteit van organisaties kan ook worden bereikt door zelforganiseren en lerend vermogen in organisaties te stimuleren. Morgan legt daarbij een relatie met hersencellen, die als kenmerken hebben dat zij niet centraal worden aangestuurd, zich voortdurend vernieuwen en in principe elkaars taken kunnen overnemen. Simons: Suggereert als oplossing voor het dreigende gebrek aan beheersing bij empowerment de vier levers of control. Organisaties als culturen Morgan: De organisatiecultuur en met name de ethische waarden en integriteit binnen een organisatie van eminent belang zijn voor het niveau van interne beheersing. COSO: Organisatiecultuur is van belang bij interne beheersing (behoort tot control environment). Merchant: Cultural controls stimuleren van wederzijds toezicht van werknemers om individuen te sturen, die zich afwijkend gedragen van de normen en waarden van de organisatie.

Samenvatting BIV-IB

2

Organisaties als politieke systemen Morgan: Macht speelt een rol binnen ondernemingen, wat zijn invloed heeft op de interne beheersing. Macht kan extern zijn, bijvoorbeeld de afhankelijkheid van marktprijzen, maar kan ook intern gevonden worden, bijvoorbeeld door schaarste van productiemiddelen (kennis en vaardigheden). Mensen zitten in coalities van eigen belangen en onderhandelen over invloed en beheersing. Management is belast met de afstemming tussen deze coalities. Organisaties als psychische gevangenissen Morgan: Mensen hebben de neiging verstikt te raken in door henzelf bedachte concepten. Het vormt een psychische gevangenis van waaruit zij een verwrongen beeld van de werkelijkheid krijgen. Janis: Hierdoor kan groupthink onstaan. Leden van de groep denken hetzelfde en staan niet meer open voor andere signalen van de werkelijkheid dat dit beeld bijgesteld moet worden. Een leider kan dit doorbreken door bij besluitvorming nadrukkelijk kritiek en afwijkende meningen aan te moedigen. Organisaties als voortdurende verandering Morgan: In een dynamische omgeving zijn organisaties gedwongen zich regelmatig aan te passen aan gewijzigde omstandigheden. Interne beheersing kan hiermee voortdurend aangepast worden en kan zelfs achter de ontwikkelingen aanlopen. Hammer: Business Process Reeingineering geautomatiseerde informatiesystemen zo gebruiken dat het kan leiden dat de bedrijfsprocessen aangepast moeten worden om de systemen optimaal te benutten. Bij change management kan ITIL ingezet worden om de beheersing aan de passen aan wijzigingen van de ICT-omgeving. Organisaties als middel tot overheersing Morgan: De vrije markt economie heeft zijn voor en nadelen. Een voordeel is dat deze wijze van voortbrenging in een groot deel van de wereld welvaart heeft gebracht. Een nadeel is dat ondernemingen in hun winststreven werknemers onder zware druk kunnen zetten om prestaties te leveren. Andere visies op interne beheersing Door de opkomst van ICT is het belang van goede beheersing van informatiesystemen gegroeit. COBIT Control Objectives for Information and related Technology wordt gezien als standaard voor de beheersing van ICT.

Committee of Sponsoring Organizations of the Treadway Commission (COSO), Internal Control - Integrated Framework, 1992. (blz. 1-16)Internal control is a process, effected by an entitys board of directors, management and other personnel, which is designed to provide reasonakle assurance regarding the achievement of objectives on one or more categories: - Effectiviteit en efficiency van de bedrijfsuitvoering - Betrouwbaarheid van de financile informatie - Voldoen aan van toepassing zijnde wet- en regelgeving. Internal control wordt aangeduid als een proces. Het is geen losse gebeurtenis of een omstandigheid, maar een serie van acties die doordringen in de activiteiten van de onderneming. Het is derhalve continue van toepassing. Het internal control systeem is verstrengeld met de operationele activiteiten van de onderneming. Dit werkt dan ook het meest effectief als het ingebouwd is in de infrastructuur van de onderneming (ook kostentechnisch is dit beter).

Samenvatting BIV-IB

3

Het gaat niet enkel om handboeken en formulieren, maar wordt genitieerd door mensen van de organisatie. Mensen zetten de doelstellingen van ondernemingen en zetten control mechanismen op hun plaats. Daarnaast benvloedt internal control weer de acties van mensen. Er kan enkel reasonable assurance worden verkregen, hoe goed dit ook is ingericht en operationeel is. Er zijn beperkingen inherent aan internal control systemen, zoals: defecten door menselijke fouten, mogelijkheid voor management om om het systeem om te gaan, overweging van kosten en baten. Doelstellingen vallen in drie verschillende categorien: Bedrijfsactiviteiten effectief en efficint gebruik maken van de resources van de onderneming. Financiele informatie voorbereiding van betrouwbare interne en externe financile informatie. COSO onderscheidt 5 met elkaar in verband staande componenten: 1. Control environment Hierbij gaat het om de entiteit, de integriteit, de ethische waarden en normen, competenties. Het gaat om de tone at the top, operating styl en filisofie van de onderneming. Het geeft discipline en structuur. 2. Risk assessment De onderneming moet bewust zijn van de risicos die men dagelijks heeft. Daartoe moeten doelen gesteld worden. Daarnaast moeten mechanismen gedentificeerd, geanalyseerd en gemanaged worden op het gebied van aan doelstellingen gerelateerde risicos. 3. Control activities Gaat beleid en procedures omtrent control, welke moeten helpen om acties te identificeren welke risicos die doelstellingen in de weg staan te mitigeren. Hierbij kan gedacht worden aan Accordering, autorisatie, verificatie, aansluitingen, beveiliging van activa en functiescheiding. 4. Information and Communication Om al deze activiteiten heen hangen informatie en communicatie. Deze zorgen ervoor dat werknemers informatie kunnen vastleggen en verspreiden, zodanig dat bedrijfsactiviteiten te managen en te beheersen. 5. Monitoring Internal control systemen moeten gemonitord worden, een proces dat de kwaliteit van de performance van het systeem in de tijd beoordeeld. Dit kan door doorlopende monitoring activiteiten of door periodieke losse evaluaties.

Samenvatting BIV-IB

4

De control environment zorgt voor een atmosfeer waarin mensen hun activiteiten ontplooien en hun verantwoordelijkheden met betrekking tot beheersing uitvoeren en zorgt voor een fundament voor de overige componenten. In deze omgeving beoordeelt het management risicos met betrekking tot doelstellingen en implementeert beheersingsactiviteiten om er voor te zorgen dat risicos worden gemitigeerd. Daarnaast wordt relevante informatie en communicatie verspreid door de organisatie. Het gehele proces wordt gemonitord en aanpassing worden gedaan op moment dat dit benodigd is. Geen enkele onderneming heeft zijn interne beheersing op eenzelfde manier ingevuld. De vijf componenten komen wel terug, maar worden op een andere manier ingedeeld. Om te kijken of internal control effectief werkt (op een bepaald moment in de tijd) moet gekeken worden of de vijf componenten aanwezig zijn en of deze effectief functioneren.

Samenvatting BIV-IB

5

2) Management control in control Paape, L., Corporate governance : the impact on the role, position, and scope of services of the internal audit function. ERIM Ph.D. series research in management, Erasmus Universiteit Rotterdam, 2007. ( 4.2 t/m 4.4, blz. 104-122)In het artikel wordt uitgegaan van de New Institutional Economics (als tegenhanger van de neoklassieke theorie). Er worden een aantal aannames gedaan betreffende deze theorie: Methodologisch individualisme: elk individu is ander, waardoor het benodigd is om gedrag van mensen te onderzoeken om bestaande economische fenomenen te kunnen beschrijven. Maximalisatie: Mensen trachten binnen de limits het maximale van hun behoeftes in te lossen. Individuele rationaliteit (kan perfect of imperfect zijn) Opportunistisch gedrag Economische samenleving: Gaat om een groep mensen met zelfde normen en waarden, eigendomsrechten en de mogelijkheid om deze op personen van de samenleving te dwingen. Governance structuur: Gaat om autoriteit en het maken van beslissingen en the follow-up hiervan. Instituties: Gaat om de regels van het spel (zonder de spelers inbegrepen) en de functie van deze onafhankelijk van individueel gebruik. Organisaties: Gaat om instituties inclusief personen. Groepen individuen die trachten dezelfde doelen na te streven. Aangezien dit niet altijd lukt, moeten kosten of bronnen gebruikt worden wat resulteert in Transaction costs. De Agency Theory (AT) en Transactions Cost Economics (TCE) volgen de bovengeschreven theorie. Contracten zijn een belangrijk onderdeel van beiden theorien. Doordat er informatie asymmetrie ontstaat of mensen problemen simpelweg proberen te vermijden zijn er onderstaande theorien gentroduceerd: 1) Incentive theory of Agency-contract theory Beloningen en stimulansen worden gebruikt om gedrag te benvloeden zodanig dat het de eigenaren ten goede komt. In contracten worden dan ook bepalingen opgenomen aangaande informatie en gedrag. 2) Incomplete contract theory In contracten word teen clausule opgenomen waarin de ene partij het recht heeft om ex post te bepalen wat de werkelijke behaalde prestaties zijn en de andere partij om het contract te ontbinden indien men het daarmee niet eens is. 3) Transactions cost theory Het is onmogelijjk om de resultaten van het contract te bepalen. Derhalve wordt er supervisie en dwang uitgeoefend. Agency Theory Deze theorie is gebaseerd op twee actoren: de principal en de agent. De principal wil weten of de agent opereert zodanig dat dit de principal het best ten goede komt. Tussenbeiden wordt hiertoe een contract aangegaan, omdat de principal de acties en de informatie niet direct kan observeren. Hieruit ontstaat moral hazard informatie asymmetrie, aangezien de agent meer weet dan de principal. Hiertoe wordt in de meeste gevallen een derde partij ingeschakeld: een accountant. Er zal een verschil zijn tussen de beslissingen van de agent en de beslissingen van de principal indien deze zelf de leiding zou hebben. Hiertoe worden agency costs gemaakt: voor het monitoren, voor het verkrijgen van een band en overige kosten. Er wordt ook kritiek gegeven op de agency theory. Zo kan niet altijd een rechte relatie gelegd worden tussen de performance en de beloning. Het gebruik van beloningen en straffen is te mechanisch, aangezien er ook situaties bestaan waarin het volgen van de eigen belangen niet altijd de beste optie isSamenvatting BIV-IB 6

voor een agent. Daarnaast wordt er gesproken over agenten die leiderschap (leadership) vertonen, die de welwillendheid hebben om hun taken goed te doen en in overeenstemming met de doelen van de principal. Als laatste kan compensatie een behoorlijke invloed hebben op agency costs wanneer deze niet goed gemanaged worden. Transaction Cost Economics Een transactie ontstaan wanneer een goed of service overgedragen wordt door middel van een technologische interface. Het ene stadium wikkelt een activiteit af, waar de volgende een activiteit begint. Om een transactie af te wikkelen dienen verschillende activiteiten gedaan te worden. Hiertoe moet informatie ingewonnen worden, moeten onderhandelingen plaatsvinden, moeten contracten opgemaakt worden (hiertoe zullen incomplete contracten ontstaan door opportunisme, rationaliteit, etc). Bij dit alles zijn kosten gemoeid. Er worden verschillende governance structuren aangeduid in het artikel: Market de prijs is het enige mechanisme om alle informatie te verzamelen. Men heeft geen andere informatie nodig om de juiste beslissingen te maken. Hirarchie hierbij worden contracten gebruikt waarin de gewenste uitkomsten worden vastgelegd. Hierbij bestaat de flexibiliteit om karakteristieken van het contract te veranderen. Hybride hierbij worden veelomvattende contracten opgesteld waarbij al rekening wordt gehouden met veranderingen (echter kunnen deze nooit compleet zijn). Door Williamson wordt het bepalen van de governance structuur beschreven aan de hand van een drietal kenmerken: - Asset specificity - Uncertainty/complexity - Frequency Het gaat om de beslissing, ga ik iets maken of ga ik het kopen. Organisaties breiden zich uit tot kosten van extra transacties gelijk zijn aan de kosten van dezelfde transacties in de markt.

Paape, L., In Control verklaringen: Gebakken lucht of een te koesteren fenomeen?, oratie, Nyenrode Business Universiteit, 2008. (Hoofdstuk 3 en 4, blz. 19-52)Als er verklaart wordt dat we in control zijn, betekent dit dat de bedrijfsvoering zodanig op orde is dat er geen majeure onverwachte gebeurtenissen zullen optreden (reasonable assurance). Majeur betekent binnen een bepaalde bandbreedte, onverwacht veronderstelt dat we in staat zijn de verwachtingen te expliciteren. Gebeurtenissen die voorzien zijn, zijn dan ook voorzien en er wordt verwacht dat er door middel van interne beheersingsmaatregelen op geanticipeerd wordt. Absolute zekerheid is ook teveel gevraagd aangezien mensen niet 100% rationeel zijn (dat is bounded). In control zijn is dan ook een relatief begrip. Het gaat om het vinden van een balans tussen risico en beheersing. Als de balans in evenwicht is dan is men in control. Indien de risicos toenemen, kan men de balans herstellen door: - de beheersingsmaatregelen uit te breiden om met nieuwe of grotere risicos om te kunnen gaan. De tweede oplossing is de risicobereidheid (risicotolerantie) uit te breiden. Risicotolerantie kan in een geldbedrag worden uitgedrukte en geeft een kwantificering van de fluctuaties van resultaten die acceptabel worden geacht. Een onderneming dient dan ook altijd aan te geven welke risicotolerantie in acht is genomen bij een in control verklaring, zonder dit zegt deze verklaring weinig. Paape definieert in control als volgt: Een organisatie is in control als zij beschikt over een Management Control System (MCS) dat haar in staat stelt binnen een vooraf gedefinieerde periode in x% van de gevallen/tijd binnen een vooraf

Samenvatting BIV-IB

7

gedefinieerde risicotolerantie te blijven. Indien buiten de risicotolerantiegrens wordt getreden, stelt het MCS de organisatie in staat dat tijdig te constateren en te herstellen.

In control wordt uit praktische overwegingen uitgevaardigd op een point-in-time (op een bepaalde datum, meestal einde boekjaar). Echter Paape geeft hierbij aan dat dit niet zinvol lijkt. Dit betekent dat de rest van het jaar de zaak niet op orde zou kunnen zijn. Het dient dan naar zijn idee ook de voorkeur om over te gaan tot een uitspraak over een bepaalde periode. Waarom is control nodig Mensen hebben een bounded rationality de menselijke vermogens schieten tekort. De verwerking van informatie gaat niet altijd goed en er worden fouten gemaakt (bewust door opportunisme). Inzichten vanuit de AT en TCE laten zien dat doelconguentie tussen agent en principaal niet automatisch veronderstelt moet worden en dat nastreven van eigen belang voorop kan staan. Wat is management control? Anthony geeft MC aan als: process by which managers influence other members of the organization to implement the organizations strategies. Hierbij wordt duidelijk dat het gaat om het beinvloeden van het gedrag van mensen. Concluderend stelt Paape dat een onderneming die zegt in control te zijn, een oordeel geeft over het MCS op het gebied van de volgende elementen: 1) de missie, visie en strategie 2) de wijze waarop doelen tot stand komen 3) de structuur van de organisatie 4) de wijze waarop de KPIs worden bepaald 5) hoe de performance wordt gemeten 6) de leiderschapstijl 7) de wijze waarop met beloningen wordt omgegaan 8) de cultuur van de tone at the top van de organisatie 9) hoe het gedrag van mensen wordt benvloed en hoe mensen worden gemotiveerd 10) de wijze waarop feedback is georganiseerd 11) het gebruik van informatie- en communicatiesystemen 12) hoe monitoring plaatsvindt

Samenvatting BIV-IB

8

13) wat de onderneming doet om de veranderingen in de omgeving te onderkennen en hierop in te spelen 14) hoe de samenhang tussen de hiervoor genoemde elementen geborgd wordt. Een organisatie mag uitspreken dat men meent in control te zijn en daarover een verklaring af te geven. Dit moet echter wel geclausuleerd zijn om duidelijk te maken dat een dergelijke uitspraak nogal wat beperkingen kent. De waarde van de verklaring ligt volgens Paape meer in het feit dat de oorzaak van zo een verklaring noopt tot het inrichten van een proces waarmee een beter beeld wordt verkregen van de sterkten en zwakten van de risicomanagement- en interne beheersingsystemen.

Samenvatting BIV-IB

9

3) Control environment, cultuur controls Kaptein c.s., Integriteitsklimaat als audit object, Maandblad voor Accountancy en Bedrijfseconomie, oktober, 2005, p.466-474.Door boekhoudschandalen wordt de interne beheersing van ondernemingen belangrijker. Door SOX en de Code Tabaksbalt zijn ondernemingen bezig om de interne beheersing te verrijken (bijvoorbeeld door toepassing van COSO). Het integriteitsklimaat als onderdeel van de beheersingsomgeving is een belangrijk fundament voor een effectieve interne beheersing en beinvloedt het controlebewustzijn van de medewerkers. Bij het testen van de opzet en werking van controlemaatregelen moeten werknemers meer worden betrokken omdat hun percepties en ervaringen bepalen zijn voor hun gedrag. Redenen waarom controlemaatregelen beperkt zijn; definiring van integriteitsklimaat 1. Een beperkte hoeveelheid effectieve controlemaatregelen Het instrumentarium aan onder andere procedures, reglementen en procuratietabellen is vaak al zeer uitgebreid. Een overvloed aan aanvullende regelgeving kan zorgen voor onwerkbare situaties waardoor de kwaliteit van de producten en dienstverlening vermindert, efficiency van werkprocessen wordt ondergraven en medewerkers de organisatie verlaten door toenemende bureaucratie. 2. Een beperkte reikwijdte van controlemaatregelen Maatregelen in zichzelf hebben slechts een beperkte reikwijdte. Door bijvoorbeeld samenspanning kunnen geldende regels en procedures worden ontlopen. 3. Controlemaatregelen staan niet op zichzelf Maatregelen staan niet op zichzelf. De werking van controlemaatregelen hangt immers af van het draagvlak onder management en werknemers. Zij zijn het die de maatregelen moeten begrijpen, moeten kunnen toepassen en hiertoe ook bereid dienen te zijn daarin ook te volharden. Bij het integriteitsklimaat gaat het om de wijze waarop mensen binnen de organisatie ervaren hoe zij gestimuleerd worden tot integer gedrag en hoe zij ontmoedigd en verhinderd worden tot frauduleus en corrupt gedrag. Het integriteitsklimaat duidt dus op de beleving van managers en medewerkers van de controlemaatregelen die de organisatie heeft getroffen, de mate waarin managers en medewerkers van mening zijn dat zij in staat worden gesteld om deze maatregelen na te leven alsmede de gedeelde opvatting hoe te handelen wanneer maatregelen ontbreken of onderling conflicteren. Het integriteitsklimaat bepaalt mede de werking van het stelsel van controlemaatregelen. Immers de ervaringen en beelden van medewerkers hierover vormen hun eigen werkelijkheid wat weer weerspiegelt worden in het gedrag van hen. Voor het oordeel over de weerbaarheid en kwetsbaarheid van een organisatie voor financile fraude dient derhalve het integriteitsklimaat hierin te worden betrokken. Bij een goed integriteitsklimaat zal een accountant zijn weer meer systeemgericht en op een hoger niveau kunnen oppakken. De dimensies Er bestaan verschillende dimensies van integriteitsklimaat.

Samenvatting BIV-IB

10

Helderheid Dit betreft de helderheid van de verwachtingen die de organisatie stelt met betrekking tot integer gedrag. Organisatie dienen aan medewerkers helder en duidelijk te maken welk gedrag acceptabel en wel onacceptabel is. Een gedragscode is daarbij een belangrijk instrument, al gaat het bij het integriteitsklimaat om de vraag hoe managers en werknemers ervaren dat een intiteit op hun duidelijkheid verschaft. Voorbeeldgedrag Als het management in overeenstemming met de getroffen maatregelen zichtbaar handelt, kan de boodschap naar de rest van de werknemers versterkt worden. Het gaat om de tone at the top: de juiste morele toon. De uitstraling dat integer gedrag belangrijk is en dat iedere vorm van fraude en corruptie onacceptabel is moet door de werknemers ook als zodanig worden ervaren. Uitvoerbaarheid Organisaties moeten werknemers in de gelegenheid stellen om de gedragsnormen te realiseren. Medewerkers dienen daartoe te beschikken over voldoende tijd, middelen, instrumenten, informatie en bevoegdheden. Betrokkenheid Organisaties moeten onder hun medewerkers draagvlak creeren voor het te voeren integriteitsbeleid en de in dit kader voorgestane controlemaatregelen. Het gaat daarbij om vragen als: steunen medewerkers de getroffen maatregelen, erkennen zij het belang ervan en zijn zij gemotiveerd zich eraan te houden? Zichtbaarheid In organisaties met een hoge mate van transparantie zijn management en werknemers in staat im het gedrag van elkaar te corrigeren. Bovendien kan er zo geleerd worden van overtredingen en wordt de organisatie op het gebied van interne controlemaatregelen zelfleren en zelfregulerend. Bespreekbaarheid Vraagstukken op het gebied van fraude en corruptie moeten bespreekbaar zijn. Door over regels te spreken, worden gebruikers geholpen in een juiste en eenduidige interpretatie. In een organisatie met een hoge bespreekbaarheid wordt kritiek geaccepteerd en gestimuleerd. Sanctioneerbaarheid Dit kenmerk betreft de bereidheid van een organisatie om integer gedrag te belonen en niet-integer gedrag te bestraffen (sancties en beloningen). In kaart brengen Een manier om het integriteitsklimaat in kaart te brengen kan door middel van interviews of enquetes. Bij enquetes wordt ook nog een de anonimiteit gegarandeerd en kan statistische analyse plaatsvinden. De accountant kan bij de controle van de jaarrekening of de ICFR (Control of Financial Reporting) gebruikmaken van de uitkomsten van de enquetes. Het geeft informatie over de effectiviteit van de interne beheersing. In zijn werkzaamheden kan een accountant hierdoor gerichter te werk gaan.

Strikwerda, Hans. Postmodernisme, postmoderne organisaties en de implicaties voor management control, Maandblad voor Accountancy en Bedrijfseconomie, mei, 2003, p.242-250.Het zelfbeeld van de mensheid is aan verandering onderhevig. Het continue proces van bewustwording heeft zijn weerslag op de rol van wetten, gezag, omgang tussen mensen en via die weg ook op management control binnen ondernemingen en instellingen. Dit wordt ook wel aangegeven als postmodernisme. Het vak management control is gevormd in de jaren vijftig (Anthony). Echter nu we in een andere economie terecht zijn gekomen, moet de vraag gesteld worden of de aannames waarop het vakgebied management control berust, in die nieuwe economie nog wel opgaan.

Samenvatting BIV-IB

11

De fundamenten waarop een vakgebied als management control berust, kunnen worden onderscheiden in twee categorien: 1) Economisch-juridische uitgangspunten Hierbij gaat het om de verschillende rechten als gebruiksrecht, vruchtgebruik en vervreemdingsrecht. Waardecreatie vindt plaats als basis voor de winst van de onderneming binnen het juridische domein van de onderneming. Het gaat om de interne organisatie: controle op fysieke productiemiddelen, direct toezicht op werkprocessen, kennis die in machines gencorporeerd is. 2) Sociaal-maatschappelijk vlak Hierbij gaat het om utopisch denken als richtsnoer, benvloedbaarheid van gedrag, erkenning van gezag en wet, identificatie, socialisatie en dat individuen bewust een carrire nastreven. Het postmodernisme wordt wel eens samengevat als: er bestaan geen absolute waarheden. Direct daaraan verbonden wordt dan gesteld dat er geen voor ieder geldende wetten, normen en moraliteit bestaan. In de moderne samenleving werd nieuwe informatie en kennis steeds genterpreteerd in het licht van de vooruitgang, van de objectieve waarheid. Ieder mag zijn mening hebben. Er zijn niet langer universele toetsingsregels. Een postmodern mens voelt zich geen geheel, geen mens uit een stuk met een duidelijke identiteit, maar eerder een verdeeld en gefragmenteerd wezen. Postmoderne mensen horen zoveel stemming in hun plurale samenleving, ze weten zich door diverse machten beheerst en ze maken geen deel uit van een bezielde, richtingwijzende beweging. Vaak zijn ze ambivalent, dubbelzinnig. Hij beleeft plezier aan het extreme, de extase, het genot en zelfs pijn, want deze doorbreken de grip van de machthebbers en ondergraven de bureaucratische controle. Ze weten vraagstukken van verschillende zijden te belichten. Een postmoderne organisatie zijn netwerkorganisaties met semi-autonome cellen, platte organisaties, processen voor zelforganisaties, zichzelf leidende teams, spontane strategievorming van onderop, etc. Echter is de beschrijving van de postmoderne organisatie meer een reactie op een aantal disfunctionele aspecten van het dominante organisatiemodel uit de economie van de 1875 tot 1975. De geschetste ontwikkelingen kunnen de fundamenten en daarmee de effectiviteit van management control in een veranderende economie raken: Als fysiek kapitaal wordt verdrongen door immaterieel kapitaal (wat persoonsgebonden is), wordt het niet delegeren van her vervreemdingsrecht, aangetast. Als een stabiel sociaal systeem wordt vervangen door flexibiliteit, self employed kenniswerkers, etc. dan wordt het sociaal systeem aangetast. De postmoderne mens wil zich niet laten schikken in grotere systemen. Individuen zijn niet langer gevoelig voor inspanning, resultaten en beloningen, waardoor gedragscontrol weg is. De postmoderne mens identificeert zich met het lokale afdelingsbelang en heeft moeite zich met de onderneming als geheel te identificeren. Gaat niet om eigen lijfsbehoud, maar om een ontkenning (een verzet tegen een groter geheel). Gevolgen zijn dat men niet langer alle regels zomaar aanneemt en dat men zichzelf niet meer als onderdeel van de organisatie ziet, maar de organisatie zich als een van de onderdelen in zijn level. waarmee de loyaliteit aan de organisatie wegvalt. Als de postmoderne mens zich geen doel stelt, slecht met het hier en nu op speelse wijze bezig is, lijkt hiermee de noodzaak voor management control te vervallen.

Samenvatting BIV-IB

12

4) Soft controls Ouchi, W., 1979, A conceptual framework for the design of organizational control mechanisms, Management Science, Vol.25, No.9, p.833-848In het artikel van Ouchi staat de beheersing van een organisatie centraal. Hierbij worden de volgende twee vragen gesteld: 1) Wat zijn de mechanismen welke kunnen dienen om de organisatie te sturen naar de doelstellingen? 2) Hoe kan de design van deze mechanismen verbeterd worden en wat zijn de limieten van elk basis design? In het artikel worden drie fundamenteel verschillende mechanismen besproken welke voor een organisatie kunnen bijdragen bij het probleem van evaluatie en beheersing: - Markets Markten gaan om met het beheersingsprobleem door de mogelijkheid om individuele contributies precies te kunnen meten en belonen. - Bureaucracies Bureaucracies steunen op een mix van directe evaluatie met een sociale acceptatie van openbare doelstellingen. - Clans Clan steunen op een relatief compleet sociaal proces, welke doel incongruentie tussen individuen elimineert. Bij markets bestaat er de mogelijkheid te vergelijken wat er op de competitieve markt gebeurt. Prijzen bijvoorbeeld ontstaan aan de hand van de markt. Er wordt gebruik gemaakt van marktinformatie. In een markt dragen prijzen alle benodigde informatie in zich om te komen tot een efficinte beslissing. Er is geen noodzaak tot arbitrage. De bepaling of de performance goed is geweest, kan aan de hand van de markt gebeuren. De basis van bureaucracies houdt in dat beheersing uitgaat van persoonlijke surveillance en instructie van leidinggevenden. Hierbij zijn gestelde regels nodig waaraan voldaan moet worden (regels zijn in tegenstelling tot informatie van de markt niet allesomvattend). Om goed gebruik te maken van regels dienen deze door managers bekeken te worden aan de hand van werkelijke performance. Zo kan bepaald worden of werkelijke performance naar alle tevredenheid is geweest of niet. Voorbeelden van bureaucratische beheersingsmaatregelen zijn output schedules, budgetten, regels. Om de drie vormen te kunnen uitvoeren wordt gekeken naar de sociale vereisten en informatievereisten van de organisatie. Sociale vereisten zijn een set van overeenkomsten tussen mensen, welke als een soort van minimum, nodig is of een bepaalde vorm van beheersing te verkrijgen. Aan de hand hiervan kan de volgende onderverdeling gemaakt worden: Type control Market Bureaucracy Clan Sociale behoeften Wederzijdsheid Wederzijdsheid Legitieme autoriteit Wederzijdsheid Legitieme autoriteit Gedeelde waarden en Overtuigingen Informatiebehoeften Prijzen Regels Tradities

Wederzijdsheid houdt hierbij in dat er twee partijen zijn, waarbij men ervanuit gaat dat eerlijk wordt gehandeld. Gebeurt dit niet door n partij dan zal deze gestraft worden door alle members van het sociale systeem. Waar de markt het meeste steunt op informatie en het minste op sociale behoeften, is dit voor clan omgekeerd.

Samenvatting BIV-IB

13

In de werkelijkheid zal er nooit sprake zijn van n type van control. Echte organisaties zullen kenmerken vertonen van de verschillende modellen. Het probleem hierbij is om de informatiebehoeften en sociale behoeften per divisie, afdeling of taak te formuleren en te bepalen welke vorm van control hierbij het beste past. Er zijn volgens Ouchi twee manieren om aan beheersing van mensen te doen: - Om geld uit te geven om mensen, die de behoeften van de organisatie perfect opvullen, te zoeken en te selecteren. Dergelijke mensen zullen in staat zijn om zonder instructies aan de slag te gaan zonder al te nauwe supervisie. - Mensen aannemen die niet direct de behoefte vervullen, maar dit corrigeren door gebruik te maken van instructies, monitoring en evaluaties op hun werk. Ouchi gaat in zijn artikel ook in op de mogelijkheid om outputs te meten en hierbij de kennis van het transformatieproces: Kennis van het transformatieproces Perfect Behavior of output meting Behavior meting Imperfect Output meting Ritual and Ceremony 'clan'control

Mogelijkheid om output te meten

Hoog Laag

Behavioral control kan ingevoerd worden bij markets en bureaucracies, waar ceremonial vormen van control uitgevoerd kunnen worden bij clans. Organisatie in de manufacturing industry past waarschijnlijk het meest bij behavioral control of output control (market of bureaucracy). Organisaties in de publieke sector, service organisaties en organisaties met snelgroeiende technieken passen misschien beter bij cultural of clan control.

Vink, H.J. en M. Kaptein, Soft controls bij de rijksoverheid, Maandblad voor Accountancy en Bedrijfseconomie, Juni 2008, p.256-263.In het artikel worden de oorzaken van rechtmatigheids fouten bij de rijksoverheid onderzocht. Dergelijke fouten hebben vaak te maken met het fallen van interne beheersingsmaatregelen. Door het ontbreken van procedures, functiescheiding, registratie en controle ontstaat de kans op een onrechtmatigheid. Sinds de boekhoudschandalen is de aandacht toegenomen voor de zachte kant van organisaties als verklarende factor. Controls (soft controls en hard controls) zijn over de jaren heen door verschillende wetenschappers op een verschillende manier genterpreteerd. Softcontrols Hardcontrols Ontastbaar Tastbaar Gaan dieper en benvloeden de overtuiging of Gericht op gedrag en vaardigheden zelfs de persoonlijkheid van mensen Invloed uitoefenen op bewustzijn van management Opzet en het bestaan van maatregelen, het en medewerkers technische system van de organisatie Sociale system Onderscheid tussen soft en hard controls is in artikel dat soft controls informele beheersingsmaatregelen zijn, terwijl hard controls formele maatregelen zijn. Soft controls betreffen de gedeelde percepties en ervaringen inzake de cultuur en het klimaat binnen de organisatie. Hard

Samenvatting BIV-IB

14

controls zijn de expliciet vastgestelde en vastgelegde maatregelen binnen de organisatie, inclusief de uitvoering hiervan informele beheersingsmaatregelen die gedrag benvloeden. Voor het bepalen van de mate van aanwezigheid van soft controls kan gebruik gemaakt worden van het door Kaptein ontwikkelde organisatiekwaliteitenmodel. De zeven factoren hiervan luiden als volgt: - Helderheid duidelijkheid wanneer men de grens overschrijdt? - Voorbeeldgedrag geven rolmodellen het juiste voorbeeld? - Uitvoerbaarheid is er voldoende ruimte om juist te handelen? - Betrokkenheid bestaat er voldoende motivatie onder werknemers en bestuurders? - Transparantie hebben bestuurders en werknemers voldoende zicht op elkaars gedrag? - Bespreekbaarheid zijn dilemmas bespreekbaar en kan op gedrag aangesproken worden? - Handhaving bestaan er straffen, worden mensen gewaardeerd voor goed gedrag en wordt er geleerd van fouten en overtredingen? Uit onderzoek is gebleken dat men in 88% van de gevallen meer en beter werkende soft controls als oplossing ziet voor geconstateerde fouten. De verklaring van het falen van hard controls moet volgens het onderzoek gezocht worden in de afwezigheid of gebreken in de soft controls en niet zozeer in opzet en bestaan van harde regels. Bevindingen suggereren dat fouten alleen kunnen worden voorkomen als zowel hard controls als soft controls toereikend zijn. Uit het onderzoek blijkt verder dat er significante relaties zijn tussen de externe risicos en falende hard en soft controls. Uit de analyses blijkt dat in dit verband (onderzoek naar jaarverslagen 2006 van de rijksoverheid) de soft controls helderheid, transparantie, uitvoerbaarheid en handhaving door auditors met name relevant worden geacht als verklaring voor geconstateerde rechtmatigheidfouten. Het onderzoek laat het belang van soft controls zien, maar ook de samenhang tussen soft controls en hard controls. Het is wenselijk dat controllers en auditors de aanwezigheid van soft controls betrekken bij de inrichting en beoordeling van het totale complex aan beheersingsmaatregelen. De aanwezigheid van soft controls kan worden bepaald aan de hand van interviews, vragenlijsten, observaties of workshops.

Samenvatting BIV-IB

15

5) Risk management Committee of Sponsoring Organizations of the Treadway Commission (COSO), Enterprise Risk Management - Integrated Framework, Executive Summary, 2004Door de schandalen is de behoefte aan een enterprise risk management framework, welke key principes en concepten, een duidelijke richting en leiding geeft, toegenomen. Het (COSO 2004) Enterprise Risk Management Intergrated Framework is een uitbreiding van internal control, hierbij zorgen voor een robuustere en intensievere focus op risico management. Risico management omvat onder anderen: aangeven van risico appetite en strategie, opmaken van beslissingen aangaande risico response, aangrijpen van mogelijkheden en verbeteren van het inzetten van kapitaal. Hierdoor wordt het management in de mogelijkheid gesteld om een betere performance en winst neer te zetten, maar ook om verliezen van resources te voorkomen. ERM is a process, effected by an entity;s board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risk to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives. Het ERM model gaat uit van het behalen van doelstellingen van de onderneming, welke in de volgende vier categorien vallen: Strategic Strategische doelen gelieerd aan en ter ondersteuning van de entiteit zijn missie; Operations Effectief en efficint gebruik van de entiteit zijn middelen; Reporting Betrouwbaarheid van de rapportages; Compliance Voldoen aan de relevante wet- en regelgeving. ERM bestaat uit 8 verschillende samenhangende componenten. Internal Environment De interne organisatie geeft weer hoe bedrijfsrisicos worden ingeschat en benaderd door het personeel, daaronder valt: de risicomanagement filosofie, de risico bereidheid van de entiteit (Risk Appetite), de integriteit en de geldende normen en waarden binnen de entiteit; Objective Setting Doelstellingen moeten bestaan voordat het bestuur potentile events kan identificeren die direct invloed hebben op de entiteit zijn prestaties. ERM draagt bij aan het vormen van deze doelstellingen, die samenhangen met de missie en consistent zijn met de risico bereidheid; Event Identification Interne en externe events die invloed hebben op de entiteit moeten gedentificeerd worden, met een onderscheid naar kansen en bedreigingen. Kansen worden teruggekoppeld naar de strategie en Objective Setting; Risk Assesment Risicos worden geanalyseerd, rekening houdend met kans en impact, als basis voor hoe ermee moet worden omgegaan. Vervolgens wordt een onderverdeling gemaakt naar inherente- en restrisicos; Risk Response Het bestuur selecteert de te hanteren actie bij elke risico: vermijden, accepteren, verminderen of delen. Waardoor een pakket van acties wordt opgesteld die aansluit bij de risicotolerantie en risicobereidheid van de entiteit; Control Activities Beleid en procedures worden opgezet en gemplementeerd zodat de Risk Response op een deugdelijke wijze wordt uigevoerd; Information and Communication Relevante informatie wordt gedentificeerd, vastgelegd en gecommuniceerd naar alle lagen binnen de organisatie, binnen een tijdsbestek en op een zodanige wijze dat al het personeel zijn verantwoordelijkheden kan dragen en uitvoeren. Effectieve communicatie in de breedste zin van het woord gebeurt horizontaal en verticaal in de organisatie; Monitoring Het gehele ERM proces wordt gemonitored en wijzigingen worden gemaakt indien noodzakelijk. Monitoren wordt bereikt door het op de hoogte blijven door het bestuur of door

Samenvatting BIV-IB

16

tussentijdse evaluaties van het proces

Er is een directe relatie tussen de doelstellingen, welke de onderneming tracht te bereiken en de ERM componenten welke representeren wat nodig is om deze doelstellingen te bereiken. Bij de toepassing van risicomanagement volgens het COSO ERM model wordt effectief gebruik geformuleerd als zijnde de inschatting dat alle acht de componenten uit het model binnen de organisatie enerzijds bestaan en anderzijds effectief functioneren. Daarbij wordt nog de nuance aangebracht dat de acht componenten binnen middelgrote en kleine organisaties minder formeel en gestructureerd aanwezig zijn ten opzichte van grotere organisaties, desondanks kan een dergelijke organisatie nog steeds een effectieve ERM hebben

Baker, N., Real-world ERM, Internal Auditor, Vol. 65, Issue 6, December 2008, pp. 32-37Enterprise Risk Management (ERM) geeft aan dat risicos moet worden ingebouwd in de dagelijkse business beslissingen. De strategie moet gekoppeld worden aan het control framework en uitgedragen worden door de gehele organisatie. Om ERM tot succes te brengen moeten mensen betrokken worden die andere prioriteiten hebben. Dit is ook lastig aan ERM implementatie dat er veel mensen/partijen betrokken moeten worden bij het project. Hierbij moet men pragmatisch te werk gaan en zorgen dat een aanpak wordt gekomen die mensen in de onderneming kunnen snappen. Een simpel, consistent en goed begrijpbaar risico framework is vitaal. Het grootste issue met de implementatie van ERM is om mensen uit te leggen dat ERM niet op zichzelf staat en niet in isolatie werkt. Bijna niemand is tegen het framework en de theorie hierachter, echter de sleutel is eigendom. Als managers er niet dag in dag uit mee aan de slag gaan, maar het zien als iemand anders zijn taak, dan komt ERM niet tot leven of wordt het niet gemplementeerd. Zonder support en begrip van top management wordt de kans op succesvolle implementatie en de mogelijkheid om het in stand te houden significant verminderd. Daarnaast is het van belang dat de persoon die ERM introduceert ook invloedrijk moet zijn om zodanig de mensen kan dicteren dat ze ook daadwerkelijk aan ERM zullen gaan doen.

Samenvatting BIV-IB

17

Een goede manier om support te verkrijgen voor de implementatie van ERM is om verder te bouwen op wat de organisatie al doet. Versterken wat er al is en standaardiseren waar het kan is de remedie. Op deze manier zullen mensen zich inzetten om bij te dragen aan een oplossing omdat iets wat ze al jaren niet per definitie wordt veranderd. ERM moet een continue proces zijn aangezien de economische activiteiten constant veranderen. Risicos veranderen hierin mee. Niemand is capabel genoeg om scenarios te identificeren die zich mogelijk voor zullen doen. Derhalve kan geen enkele organisatie zeggen dat hun ERM zodanig is dat het perfect is ingevuld.

Beaumier, C.M. (2008), Socit Gnrale: History repeats itself, Bank Accounting & Finance, June-July 2008, pp. 39-43.Rogue trader = een individu wie op een bedrieglijke roekeloze manier de onderneming blootstellen aan hoge risicos en significante verliezen. Het artikel gaat over de verliezen bij Societe Generale, veroorzaakt door een medewerker Kerviel. Kerviels zijn taak was om een hedge positie te nemen op elke handelspositie. Echter was hij in de mogelijkheid om dit te ontduiken. Hij gebruikte hiertoe zijn kennis van de control environment in combinatie met anders werknemers accounts en passwords om posities in te nemen, waartegen fictieve hedge posities stonden. Hierdoor ontstonden verliezen tot een bedrag van 7 miljard dollar. Uit deze situatie kan opgemerkt worden dat de rol van information technology (IT) een belangrijke rol is gaan spelen bij risico management. Geen enkel control systeem is onschendbaar. Een holistische review van key risicos en control moeten zorgen dat de significante breuken herstellen. Deze reviews met constante monitoring en testing van de control omgeving, moet ervoor zorgen dat het moeilijker wordt voor rogue traders om ongecontroleerd te werk te gaan.

Samenvatting BIV-IB

18

6) Objects of control Merchant, K. en W. van der Stede, Management Control Systems,.Performance Measurement, Evaluation And Incentives, Pearson Education Limited, 2nd Revised edition, 2007. Hoofdstuk 1: blz. 5-16, Hoofdstuk 2: blz. 25-35, Hoofdstuk 3: blz. 76-93.In een MCS feedback loop meten managers performance, vergelijken deze meting met een performance standaard en waar nodig wordt actie ondernomen. Merchant maakt een onderscheid tussen proactieve en reactieve management controls. Proactief wil zeggen dat hiermee getracht wordt het probleem te voorkomen voordat de organisatie er de effecten van voelt. Wanneer een MCS op een goede manier is ontworpen, zorgt het ervoor dat het gedrag van werknemers zodanig wordt beinvloedt dat het de kans vergroot dat de doelstelingen van de organisatie worden behaald. Allereerst moet er een doelstelling voor de organisatie geformuleerd worden. Hierbij is het benodigd dat de werknemers begrijpen wat een organisatie wil bereiken. De strategie hierbij geeft aan hoe de organisatie tot de genoemde doelstelling zal komen. Wanneer er een formele strategie is gesteld, wordt het voor managers gemakkelijker om goede management control activiteiten te implementeren. Beheersing kan ingevuld worden vanuit twee soorten functies: 1. Strategic control Waarbij managers de vraag stellen of de strategie wel redelijk is. Hierbij ligt de focus van het management extern en wordt er gekeken naar de omgeving van de organisatie en de plaats die de organisatie daarin heeft. 2. Management control Waarbij managers zich de vraag stellen of werknemers zich wel op de juiste geschikte manier gedragen. Hierbij ligt de focus vooral intern en wordt gekeken hoe de acties van werknemers benvloed kunnen worden. Merchant benoemd 3 categorien van oorzaken van management control problemen: 1. Lack of direction Soms presteren werknemers slecht omdat ze geen idee hebben wat de organisatie van hen verlangt. Derhalve dient het management de werknemers te informeren op welke manier zij hun bijdrage kunnen maximaliseren zodanig dat doelstellingen van de onderneming worden behaald. 2. Motivational problems Sommige werknemers kiezen ervoor niet overeenkomstig de wens van de organisatie te werken. Dit komt voor aangezien het niet altijd zo is dat de doelstellingen van individuen en de doelstellingen van de organisatie op n lijn liggen. Individuen zullen vaak ook voor eigen belang gaan. 3. Personal limitations Sommige mensen weten wat er van hen wordt verwacht, ze zijn gemotiveerd om dit te doen, maar kunnen simpelweg geen goede performance neerzetten omdat er persoonlijke belemmeringen bestaan. Dit kan komen door een gebrek aan intelligentie, training, ervaring, uithoudingsvermogen, of kennis van de opdracht. Ook het gebrek aan informatie kan hieronder geschaard worden. Er kan op verschillende manieren met controlproblemen omgegaan worden. Merchant noemt hierbij de uit de weg gaan van problemen aan de hand van de volgende vier mogelijkheden: Activity elimination Dit kan door de potentiele risico te overleggen aan een derde partij aan de hand van aanbestedingscontracten, licentieovereenkomsten of het afstoten van de investering. Automation Door gebruik te maken van computers, robots en andere vormen van automatisering kan ervoor zorgen dat de blootstelling aan control problemen minder wordt. Werkt meestal consistenter dan mensen doen.

Samenvatting BIV-IB

19

Centralization Hierbij worden de key beslissingen genomen op het level van topmanagement. Dit kan bijvoorbeeld bij overnames, desinvesteringen, grotere kapitaalintensieve uitgave, onderhandelen over verkoopcontracten, veranderingen in de organisatie en aannemen/ontslaan van bestuurders. Risk Sharing Hierdoor kunnen verliezen van risicos gedeeltelijk ingeperkt worden. Dit kan bijvoorbeeld door verzekeren of door het opstellen van een joint venture. Voor beheersingsproblemen welke niet kunnen worden voorkomen volgens de bovenstaande methoden, moeten controls mechanismen opgesteld worden. De collectie van deze control mechanismen wordt het management control system (MCS) genoemd. Merchant benoemd in zijn beschrijvingen 4 soorten controls om beheersingsproblemen te lijf te gaan. Dit zijn result controls (indirecte control methode), action controls, personnel controls en cultural controls (directe control methoden). Result controls Result controle benvloeden de acties van werknemers omdat zij bezorgd zijn aangaande de consequenties van de acties. Hierbij geven organisatie niet precies aan wat werknemers moeten doen, deze worden empowered om zelf acties te nemen waarvan zij deneken dat het de gewenste resultaten bereikt. Hiermee worden werknemers getriggerd om hun talenten verder te ontwikkelen en geplaatst te worden op posities waarin ze het beste presteren. Voorbeelden van result controls zijn betalingen, zekerheid van een baan, promoties, zelfstandigheid en erkenning. Dit kan alleen bereikt worden indien de gewenste resultaten beheerst kunnen worden door de werknemers welke de acties ondernemen en waar de resultaten effectief gemeten kunnen worden. Result controls kunnen alle vormen van control problemen (bovengenoemde drie) inperken. De implementatie van result controls dient te gaan in de volgende vier steps: 1) Aangeven welke resultaten gewenst zijn 2) Het meten van de performance 3) Het aangeven van targets waarvoor werknemers kunnen gaan 4) Geven van beloningen om gedrag te bemoedigen zodanig dat naar de resultaten wordt toegewerkt. Action controls Het gaat hierbij om het ondernemen van acties zodanig dat bereikt wordt dat mensen zich gedragen in het beste belang van de organisatie. De acties zelf zijn een focus van control. Het kan hier gaan om: - Behavioral constraints Hierbij gaat het vooral om het beperken van mogelijkheden om dingen te doen die niet gedaan moeten worden. Dit kan op een fysieke manier, maar ook op een administratieve wijze (functiescheiding en inperking van de beslissingsbevoegdheid). - Preaction reviews Dit is het nauwkeurig toezicht houden op de action plans van werknemers. Hierbij kan men de plannen goedkeuren, vragen om meer uitleg of vragen om verbetering voordat men akkoord gaat met het plan. - Action accountability Dit houdt in dat werknemers verantwoordelijk worden gehouden voor hun acties. Dit kan door middel van administratieve wijzen (werkregels, policies en procedures, codes of conduct), maar ook niet administratief door middel van meetings. De werknemers moeten begrijpen wat van hen wordt verwacht en moeten voelen dat hun acties worden opgemerkt en beloond dan wel bestraft. - Redundancy Overtolligheid, wat inhoudt dat er meerdere middelen (mensen of machines) worden ingezet. Mocht de n falen, dan kan de ander nog het goede doen. Personnel controlsSamenvatting BIV-IB 20

Deze controls gaan uit van de natuurlijke drang van mensen om zichzelf te beheersen en te motiveren. Hierbij staat self-monitoring centraal. Hierbij wordt ervanuit gegaan dat mensen goed werk willen verrichten en toegewijd zijn aan de doelstellingen van de organisatie.Er zijn drie methoden om personnel controls te implementeren: 1) Selectie en vervaning van werknemers 2) Training (geeft aan welke acties en resultaten binnen de organisatie verwacht worden, daarnaast geeft het mensen een groter gevoel van professionalisme) 3) Job design en het geven van de benodigde middelen (informatie, uitrusting, staff support, etc) Cultural controls Deze beheersingsmaatregelen worden ingezet om wederzijdse performance aan te moedigen: hierbij is druk vanuit de groep voor individuen om aan bepaalde normen en waarden te voldoen een voorbeeld. Het gaat hierbij om gedeelde tradities, normen, geloof, waarden, ideologien, houdingen en manieren van gedrag. Tone at the top en een code of conduct zijn hierbij belangrijke voorbeelden.

Specific Actions

Results

Personnel

Behavioral constraints: Results Upgrade capabilities: - Fysiek (sloten, accountability: - Selectie etc.) - Standaarden - Training - Administratief - Budgetten - Assignment (functiescheiding) - Management by objectives - Franchising Action accountability: Improve communications: - Regels - Verduidelijk verwachtingen - Policies/procedu - Verschaf info voor res cordinatie - Codes of conduct Preaction review: Encourage peer control: - Direct toezicht - Werkgroepen - Mandaten/procur - Shared goals atie - Budget reviews

Samenvatting BIV-IB

21

7) Levers of control Simons, R. (1995), Control in an age of empowerment, Harvard Business Review, vol. 73, no. 2, March-April, pp. 80-88.Het model van Simons gaat in eerste instantie uit van de strategie van de onderneming. De vraag bij het model is in hoeverre gezorgd kan worden dat werknemers hun creativiteit niet teveel op hol laten slaan (de empowerment van mensen in toom houden), maar binnen de doelstelling van de onderneming blijven. Hiertoe zijn de onderstaande vier levers of control geschetst die als een soort van hefboom werken, ze dienen in evenwicht te zijn om te komen tot een juiste invulling van de bedrijfsstrategie door de werknemers. Het gaat om de volgende vier hefbomen - Belief systems - Boundary systems - Interactive control systems - Diagnostic control systems

Diagnostic control systems Dit type control systems gaat uit van plannen, zodat voor afgesproken doelen kunnen worden behaald. Er wordt gemonitord op doelen en rentabiliteit (winstgevendheid) en er wordt gemeten of de voortgang richting de van tevoren gestelde targets gaat. Feedback geeft de managers een handvat om input aan te passen en te fine-tunen, op zon manier dat de toekomstige output dichter bij de doelstellingen ligt. Hierbij is het van belang dat controls zo worden ingevuld dat er functiescheiding en onafhankelijk supervisie aanwezig is om de internal controls te laten werken.

Samenvatting BIV-IB

22

Belief systems Belief systems zijn beknopt, met een hoog toegevoegde waarde en inspiratievol. De zorgen ervoor dat werknemers denken aan de grondbeginselen van de onderneming: hoe de organisatie waarde creert, het level van performance dat de organisatie nastreeft en hoe verwacht wordt van individuen dat zij interne en externe relaties managen. Het gaat om inspiratie en promotie van commitments met de core values van de onderneming. Dit werkt echter alleen als de werknemers erin geloven, door te kijken naar acties van management, dat de beliefs van de onderneming diep geworteld zijn in de organisatie. Het dient duidelijk te zijn wat de kernwaarden van de organisatie zijn, anders zullen werknemers hieraan zelf een invulling geven. Dit kan door managers die de core values en doelstellingen actief communiceren in de organisatie. Belief systems kunnen werknemers ook inspireren tot nieuwe mogelijkheden: nieuwe manieren om waarde toe te voegen. Boundary systems Boundary systems zijn gebaseerd op de power of negative thinking. Aan mensen vertellen wat zij moeten doen door instellen van standaardprocedures en boeken met regels ontmoedigd initiatieven en creativiteit (vanuit de empowerment) van ondernemende werknemers. Hen vertellen wat niet te doen zorgt voor innovatie, maar binnen een bepaalde bandbreedte. Er zijn minimale standaarden geformuleerd. Boundary systems zijn vooral een goed criteria voor ondernemingen waarbij de opgebouwde reputatie gebaseerd op vertrouwen van groot belang is voor de organisatie. Reputatie is het moeilijkst op te bouwen wanneer hierin een deuk komt. Interactive control systems Interactive control systems zijn de formele informatiesystemen die managers gebruiken om zichzelf en de beslissingen van ondergeschikten te benvloeden. Er is een viertal kenmerken te herkennen: 1) Continue verandering van informatie die door top-level management als potentieel strategisch aanmerkt. 2) De informatie is genoeg significant om regelmatig de aandacht van de managers op alle levels van de organisatie te trekken. 3) De data wordt het best genterpreteerd in face-to-face meetings tussen verschillende lagen van de organisatie. 4) Het is een katalysator voor een voorturend debat over de data, veronderstellingen en actieplannen. Samenwerkend zijn de boundary systems en de belief systems de yin en de yang die zorgen voor dynamische spanning tussen commitment en straf. De warme positieve belief systems zijn een tegenstelling op de donkere, koude beperkingen van boundary systems. Werknemers en managers worden aangemoedigd om actief te zijn in directie, motivatie en inspiratie en wordt er beschermd tegen opportunistisch gedrag.Harness employees creativity with te fours levers of control Potential Bijdragen Goed doen Bereiken Organizational blocks Onzekerheid over het doel Druk of verleiding Gebrek aan focus of bronnen Gebrek aan mogelijkheden of angst voor risico's Managerial solution Comm uniceren van core values en missies Specificeren en opleggen van regels van het spel Opbouwen en ondersteunen van duidelijke targets Open dialoog binnen de organisatie om het leereffect te ondersteunen Control Lever Belief systems Cboundary systems Diagnostic control systems Interactive control systems23

Creeren

Samenvatting BIV-IB

8) Theorie van Starreveld Leenaars, H. en E. Roos Lindgreen, Back to the future: Limpergs gedachtegoed in andere tijden, Maandblad voor Accountancy en Bedrijfseconomie, april 2005, p. 155-161.Limperg en moderne bestuurlijke informatieverzorging In de leer der organisatie (van Limperg) heeft hij een opmerking achtergelaten over bestuurlijke informatieverzorging: Arbeidsdeling (woord functiescheiding wordt niet gebruikt) leidt onherroepelijk tot hergroepering van soortgelijke taken, hetgeen de interne controle bemoeilijkt. Dit dient dan ook door de publieke accountant uitgevoerd te worden. Limperg komt in zijn uitwerking van de interne organisatie heel dicht bij Starreveld (een administratie die in functiescheiding tot stand gebrachte elkaar controlerende deelverantwoordingen op elkaar afstemt), maar wordt ook meteen weer de beperking aangeduid wanneer de huishoudens te klein zijn of de mensen te dicht op elkaar opereren. Moderne functiescheiding In tijden waarin de groepering van taken in functies op zijn best secundair rekening houden met interne controlemotieven, kan de resulterende functiescheiding als fundament voor een adequaat systeem van interne controle en beheersing ingevuld worden door de mogelijkheden van IT. Hoewel het belang van functiescheiding al preventieve maatregelen van interne controle niet kleiner is geworden het tegendeel is eerder juist gelet op steeds snellere bedrijfscycli, grotere financile belangen en een groeiend aandeel abstracte activiteiten leidt de uitstoot van arbeid en de daarmee samenhangende hergroepering van resterende taken tot de vaststelling dat er minder mogelijkheden zijn voor een implementatie la Starreveld. Daarbij moet nog worden aangetekend dat een noodzakelijke begeleider van functiescheiding, namelijk procedures: de in termen van detailtaken voorgeschreven betrokkenheid van functies bij bedrijfsprocessen moeilijker kunnen worden gehandhaafd in een veranderende omgeving. Procedures hebben immers de neiging om op zijn bes met enige vertraging te worden aangepast. Het belangrijkste verschil tussen de inrichting van organisatie uit de tijd van Limperg/Starreveld en nu is het verdwijnen van een groot gedeelte van de onafhankelijke registrerende functie; onafhankelijkheid van beschikkende en bewarende functie. Waar registratie van het bedrijfsgebeuren vroeger plaatsvond door de registrerende functies, wordt dit vandaag door productiemachines en applicaties gedaan, die onder controle staan van beschikkende en bewarende functies. De toepasbare functiescheidingen la Starreveld moeten vervangen worden door functiescheidingen nieuwe stijl (moderne functiescheiding). Dit is het door functionarissen zowel exclusieve als gedwongen gebruik van de computer, in casu van geautomatiseerde activiteiten om bepaalde taken te kunnen uitvoeren, waarbij registratie door volkomen automatisme wordt gewaarborgd. Waar derhalve functiescheiding la Starreveld is gebaseerd op procedureel voorgeschreven betrokkenheid van meerdere functionarissen bij bedrijfsprocessen is dit bij de nieuwe stijl steeds een volgens geprogrammeerde regels werkende automaat. Belangrijk hierbij zijn de begrippen authenticiteit (proces van bewijs dat iemand degene is waarvoor deze zich uitgeeft) en autorisatie (proces waarin bevoegdheden worden toegekend). Functiescheiding in ERP-systemen De grote onderlinge afhankelijkheid tussen bedrijfsprocessen maakt een ERP-systeem een daarmee de onderneming gevoeliger voor verstoringen; tegelijkertijd leidt de gentegreerde architectuur van het ERP-systeem tot een verhoging van het risico dat een onbevoegde via een tekortkoming in n module toegang krijgt tot het gehele systeem. Er wordt weinig gebruik gemaakt van goede authenticatie.

Samenvatting BIV-IB

24

Daarnaast is de autorisatie in ERP-systemen vaak ruimer ingericht dan op grond van de bestaande, in de organisatie vastgelegde functiescheidingen te bedoeling kan zijn.

Koning, F. de, Bestuurlijke informatieverzorging of interne beheersing, Maandblad voor Accountancy en Bedrijfseconomie, juli/augustus 2004, p.343-347.De definitie van bestuurlijke informatieverzorging volgens Starreveld is: alle activiteiten met betrekking tot het systematisch verzamelen, vastleggen, verwerken van gegevens, gericht op het verstrekken van informatie ten behoeve van het besturen-in-engere-zin (kiezen uit alternatieve mogelijkheden), het doen functioneren en het beheersen van een huishouding, en ten behoeve van de verantwoording die daarover moet worden afgelegd. De typologie van Starreveld maakt onderscheid in een aantal productiehuishoudingen met als doel aanknopingspunten te vinden voor de interne controle. De indeling in typen kan getransporteerd worden naar moderne logistieke begrippen en bijbehorende toepassingen, die veelal gebaseerd zijn op de plaats van het klantorderontkoppelpunt (KOOP = punt vanwaar de productie plaatsvindt volgens specificaties van de afnemer). Door de komst van de geautomatiseerde gegevensverwerking is de bestuurlijke en verantwoordingsinformatie hiervan afkomstig. De nadruk komt in toenemende mate te liggen op (ondersteuning van) de inrichting van de bedrijfsbrede informatiesystemen en controle van de informatie, die uit deze systemen afkomstig is. De invalshoek van bestuurlijke informatieverzorging is de kwaliteit van de op te leveren informatie, nader te specificeren in de kwaliteitsaspecten doelgerichtheid, doelmatigheid, betrouwbaarheid, beschikbaarheid en controleerbaarheid. Accounting information systems In Amerika bestaat het vak accounting information systems (AIS) wat vooral gebruik maakt van literatuur van Romney en Steinbart. Definitie van AIS: An accounting information system consists if people, procedures and information technology. Het heeft drie belangrijke functies binnen een organisatie: 1) Verzamelen en opslaan van data van activiteiten en transacties zodat de organisatie kan zien wat er gebeurt. 2) Omzetten van data in informatie die te gebruiken is voor beslissingen welke management kunnen helpen in het plannen, uitvoeren en beheersen van activiteiten. 3) Geeft adequate beheersingsmaatregelen om activa en data van een organisatie te beschermen. Data moet beschikbaar zijn, juist en betrouwbaar. Het belangrijkste verschil tussen Romney en Steinbart en Starreveld is dat eerstgenoemde geen gebruikmaken van een indeling van administratieve processen naar bedrijfstype (de typologie), maar van een indeling naar cycles: - de expenditure cycle - de production cycle - de human resource/payroll cycle - revenu cycle - financing cycle. Hierbij zijn geen goede relatie gelegd tussen de verschillende cycles in de vorm van een waardekringloop zoals Starreveld dit wel heeft gedaan. Wel is door Romney en Steinbart een duidelijke relatie gelegd tussen de cycles en de geautomatiseerde gegevensverwerking (iets wat in Starreveld wordt gemist).

Samenvatting BIV-IB

25

De ontwikkelingen in het vakgebied laten zien dat er meer aandacht dient te zijn voor administratieve en bestuurlijke informatieverzorging en inspelen op de ontwikkelingen op het gebied van ICT. Interne beheersing Nationaal en internationaal wordt interne beheersing ingevuld door de verplichting voor beursgenoteerde ondernemingen te rapporteren over internal control. Hiertoe wordt veelal gebruik gemaakt van COSO om hieraan invulling te geven. De typologie van Starreveld zou aangepast moeten worden aan de hand van de moderne logistieke begrippen en bijbehorende toepassingen, die in belangrijke mate gebaseerd zijn op de plaats van het klantorderontkoppelpunt (KOOP) in het productieproces. WerkstukStarrevelds evergreens Starreveld (1970) baseerde een belangrijk deel van zijn interne beheersingsraamwerk op een indeling van organisaties naar logistieke functies (de vermaarde typologie). Daarnaast is de waardekringloop n van de belangrijkste concepten. Beide aspecten uit het werk van de heer Starreveld zijn van belang bij het beheersen van een huishouding. Het doel van het typologiemodel van Starreveld was de grote verscheidenheid in verschillende soorten huishoudingen terug te brengen tot een beperkt aantal grondtypen. Uitgangspunt bij de indeling van het model is de opzet van de administratieve organisatie en interne beheersing ter waarborging van de volledigheid van de opbrengstverantwoording. Hierbij vormt de waardenkringloop het uitgangspunt. Aan de indeling liggen de volgende selectiecriteria ten grondslag: - Soortcriterium In hoeverre zijn interne controlemaatregelen inzetbaar om te waarborgen dat de omzet volledig wordt verantwoord. Dit criterium bepaalt welke typen worden onderscheiden. - Volgordecriterium De mate waarin bij de controle op de volledigheid van de opbrengstverantwoording gebruik gemaakt kan worden van de onderliggende verbanden uit de waardekringloop. Dit criterium is bepalend voor de hirarchie van de indeling. Het eerste volgordecriterium is het onderscheid tussen profit en non-profit organisaties. Bij de profit organisaties die voor de markt opereren wordt een onderscheid gemaakt tussen de volgende hoofdtypen: - Handelsbedrijven (zonder technisch omzettingsproces); - Industrile bedrijven; - Agrarische en extractieve bedrijven; - Dienstverlenende bedrijven; - Sprake van een goederenbeweging; - Beschikbaarheid van ruimte; - Overig; - Financile instellingen. Per type wordt er door Starreveld een bestuurlijk informatieverzorgingsysteem ontworpen met de eisen waaraan de organisatie moet voldoen om de huishouding te beheersen. Deze komen voornamelijk terug in de waardekringloop. Het waardekringloopmodel is in 4 processen uiteen te zetten. Dit betreffen: inkopen, verkopen, betalingen en ontvangsten. Het model geeft de samenhang aan tussen diverse processen en op welke wijzen er verbandscontroles kunnen worden gelegd.

Samenvatting BIV-IB

26

Uit onderstaand figuur kunnen 5 clusters omtrent administratieve organisatie worden afgeleid: 1. Er is een organisatiestructuur met processen en functies te onderscheiden; 2. Elk proces wordt beheerst door een administratie (ook geautomatiseerde gegevensverwerking en een kasregister valt hier onder ); 3. Voor het correct laten functioneren van een administratie zijn procedures noodzakelijk; 4. De belangrijkste interne controle (IC)-maatregelen zijn in de waardekringloop terug te vinden, zoals: a. Controletechnische functiescheidingen; b. Verbandscontroles tussen geld en goederen; c. Als sluitstuk voor de interne controle hanteert Starreveld de inventarisatie. Als de werkelijke voorraad sluit met de administratieve voorraad, mag men concluderen dat de functiescheidingen hebben gewerkt. 5. De informatieverstrekking ten behoeve van de besturing, beheersing en verantwoording van de organisatie worden gevormd door de voorgaande 4 clusters.

Om de betrouwbaarheid van de informatiestromen (en dus informatievoorziening) binnen de waardekringloop te waarborgen, heeft Starreveld een heel instrumentarium van zogehete interne controlemaatregelen ontwikkeld. Van belang is het scheiden van de beschikkende functies (zie figuur de rondjes, de activiteiten), de bewarende functies (zie figuur, de blokjes, de standen) en de registrerende en controlerende functies (zie figuur, in het midden), de zogenaamde controletechnische functiescheidingen. Deze functiescheidingen zijn van belang voor de hechtheid van de waardekringloop. De waardekringloop is op zijn beurt van belang voor het vaststellen van het aspect volledigheid van de opbrengstverantwoording.

Samenvatting BIV-IB

27

Samenvatting BIV-IB

28

9) Contingentiebenadering (Spekl) Spekl, R.F. (2002), Variteit in management controlstructuren. Een transactiekostenperspectief, Maandblad voor Accountancy en Bedrijfseconomie, vol. 76, no. 9, september, pp. 409-417.Het vakgebied management control (MC) bestudeert de middelen en processen die organisaties gebruiken om het gedrag van medewerkers te benvloeden met het oog op het bereiken van de organisatiedoeleinden. Er bestaan verschillende MC-structuren die zijn opgebouwd uit een aantal verschillende instrumenten; vormgeving van de organisatiestructuur, verdeling in taken, verantwoordelijkheden en bevoegdheden, planning en budgettering, systemen voor prestatiemeting en beoordeling en beloningstructuren. MC kan in verband worden gebracht met de contingentiebenadering ofwel de situationele benadering. Resultaten variren omdat situaties variren. Een techniek die in een bepaald geval werkt, hoeft niet in alle gevallen vruchten af te werpen. De leider heeft de taak na te gaan welke benadering in een bepaalde situatie, onder bepaalde omstandigheden en op een bepaald moment de beste bijdrage levert aan verwezenlijking van de doelen van het management. De leider is flexibel en kan zijn stijl van leidinggeven aanpassen aan de situatie. Veranderende omstandigheden zorgen derhalve ook voor veranderende vormen van control. TCE is een theorie die een verklaring wil bieden voor de relatie tussen economische activiteiten enerzijds en de organisatievorm die wordt gekozen om die activiteiten te beheersen anderzijds. Hierbij dient rekening gehouden te worden met de menselijke aspecten welke transacties benvloeden: gedragsassumpties en kenmerken van transacties. Transaction Cost Economics (TCE) en MC gaan beiden in op het begrijpen en verklaren van control. Er wordt een drietal structuren onderscheiden binnen TCE: 1. beheersing via de markt, waarbij activiteiten worden onderworpen aan de tucht van de markt; 2. hybride beheersing, waarbij beheersing in hoofdzaak komt door contractuele bepalingen; en 3. hirarchische beheersing, waarbij de beheersing vorm wordt gegeven door interne normering, hirarchische bevoegdheden en monitoring. De verschillen in controlinstrumentaria leiden ertoe dat elk van de generieke structuren is toegerust met een uniek, maar beperkt probleemoplossend vermogen. Hierbij kan de ene structuur een probleem het hoofd bieden, waar een andere dat niet kan, dit komt overeen met de contingentiebenadering. Economische activiteiten verschillen van elkaar en hebben elk hun eigen beheersingsproblemen. Deze problemen zijn te herleiden tot de kenmerken van de transacties. Volgens TCE kunnen transacties een drietal kenmerken hebben: de onzekerheid en complexiteit die aan de activiteit zijn verbonden, de mate van specificiteit van de met een activiteit samenhangende investeringen en de frequentie waarmee de transactie wordt herhaald. De specificiteit van de met een activiteit samenhangende investeringen gaat om de aanwezigheid van de verliezen die ontstaan als investeringen die transacties zouden moeten ondersteunen voor alternatief gebruik worden ingezet. De onzekerheid en complexiteit die aan een activiteit is verbonden refereert aan de mate van specificeerbaarheid van de bedoelde performance en de voorspelbaarheid van (de invloed van) de omgeving waarin de transactie wordt uitgevoerd. De verklaring voor de relatie tussen activiteiten enerzijds en controlstructuren anderzijds wordt gevonden in de efficintie van de match tussen beide: een bepaalde activiteit wordt ondergebracht in een bepaalde controlstructuur, omdat die structuur een efficintere oplossing biedt voor de problemen die aan die activiteit zijn verbonden dan andere structuren.

Samenvatting BIV-IB

29

TRANSACTION COST ECONOMICSBounded rationalily opportunism Control problems Control solutions MCS of organizational unit

Activity of organizational unit Effective matchFiguur 1: Transaction Cost Economics (Bron: Management control system design and effectiveness, Kruis, 2008)

Het model van Spekl is een op TCE gebaseerde MC-theorie. Het model verklaart controlstructuren door de activiteiten in te delen aan de hand van een drietal kenmerken. Activiteiten zijn bijvoorbeeld de productie van een goed of dienst, human resources of research and development. Activiteiten en de hieruit voortvloeiende controlproblemen worden gekenmerkt door de mate van: - onzekerheid (van het transformatieproces) Door marktdynamiek, technologische veranderingen, complexiteit van de activiteiten en omgeving. Mate van onzekerheid bepaalt de mogelijkheid om op voorhand standaarden te definiren die kunnen worden ingezet voor sturing van gedrag. Bij beperkte onzekerheid controle krijgt een prescriptief karakter met rol voor werkinstructies, standaardprocedures en prestatietargets. Bij toenemende onzekerheid controle zal steunen op globale indicatie van gewenste performance en zal zich richten op algehele commitment. - specificiteit (van de investeringen) Betreft de toegang tot marktgerelateerde sturingsinstrumenten, hoe specifieker, hoe beperkter de toepassingsmogelijkheden. Bij geringe specificiteit beschikken partijen over de mogelijkheid uit te wijken naar andere partners en is er weinig opportunisme. Mate van specificiteit heeft effect op de invloed van afhankelijkheid tussen contractpartijen en daarmee de ruimte voor opportunistisch gedrag. Bij hoge specificiteit bestaan geen alternatieve vragers en aanbieders en moet control geheel van binnen de organisatie komen. Bij gematigde specificiteit kunnen aanknopingspunten gevonden worden voor formulering van benchmarks (er bestaat zekere mate van marktwerking). - (ex-post) informatieasymmetrie Betreft de beoordeelbaarheid van de geleverde prestaties. Gaat om de mate waarin de organisatie in staat is om achteraf zinvolle uitspraken te doen over de kwaliteit van de geleverde performance. Bij lage ex post informatieasymmetrie is de informatie en de gegroeide inzichten goed en betrouwbaar gedeeld in de organisatie. Bij zeer specialistische info/informatie met opportunistische vertekening kan geen betekenisvol oordeel worden gevormd over de performance (ook niet achteraf). Het model van Spekl beschrijft welke vorm van control het meest effectief is bij de beheersing van activiteiten, welke aan de hand van kenmerken kunnen worden ingedeeld in een bepaald archetype. Elk van deze archetypen wordt gekenmerkt door een controlinstrumentarium dat het mogelijk maakt bepaalde soorten activiteiten te beheersen, maar andere niet. Zo is niet elk instrumentarium eenSamenvatting BIV-IB 30

geschikt MC-middel om elk controlprobleem te beheersen. Onderstaande 4 archetypen worden in het artikel besproken. * Arms length control Bij deze vorm van control worden normen en standaarden gevormd (meestal afgeleid vanuit de markt) en is de betrokkenheid van het management beperkt. In aanvulling hierop kunnen instrumenten worden ingezet als hirarchische interventie en performanceafhankelijke beloningen ter vergroting van doelovereenstemming. Deze worden echter alleen ingezet indien de prestaties ongunstig afsteken bij die van gelijksoortige aanbieders. * Machine control Normen en standaarden kunnen niet aan de markt worden ontleend, maar worden binnen de organisatie zelf gedefinieerd. Er wordt gebruik gemaakt van relatief harde, taakstellende budget targets, intensieve monitoring, systematische performancemeting en beoordeling en nauwkeurige definiring van de taken en verantwoordelijkheden. Uitkomstgericht/resultaatgericht control op basis van performance targets en daaraan verbonden beloningen. Gedragsgericht standard operating procedures en monitoring. * Exploratory control Op voorhand kunnen geen gewenste resultaten gedefinieerd worden. Proces wordt beheerst door heirvan te leren (ervaring). Komt vaak voor bij innovatieve ondernemingen. Er zijn geen nauwkeurig omschreven taken en verantwoordelijkheden. Door de vele netwerken en projectteams die ontstaan, kan geen opportunistisch gedrag ontstaan. Op langere termijn kan namelijk de individuele performance gemeten worden. Door interactie ontstaat een samen beeld van performance. De criteria ontstaan gaandeweg het proces. De frequente communicatie tussen uitvoerders en managers maken het tot een interactief zoekproces naar de beste werkwijzen ter realisering van de doelstellingen. * Boundary control Voor activiteiten met volledige onzekerheid, kan door ervaring geen standaard ontstaan en kan performance ook niet achteraf worden gemeten. Dit komt voor bij sterk specialistische kennis en vaardigheden. Beheersing verschuift van stimuleren van gewenst gedrag/uitkomsten naar voorkomen van ongewenste handelingen/resultaten. Dit kan invulling krijgen door bijvoorbeeld autorisatietabellen, strikte functiescheiding, goedkeuringsprocedures.

MODEL VAN SPEKLExpost informatie asymmetrie

BOUNDARY CONTROL hoog

EXPLORATORY CONTROL

ARM'S LENGTH CONTROL gematigd

MACHINE CONTROL hoog

Specificiteit van de investeringen

Samenvatting BIV-IB

laag

hoog

Onzekerheid van het transformatieproces

laag

31

10) IT Governance Nolan & McFarlan, Information Technology and the Board of Directors, Harvard Business Review, 83, no. 10, October, 2005, p.96-106.Hoe IT moet worden gemanaged ligt aan de historie van de onderneming, de industry waarin men opereert, de competitieve situatie, de financiele positie en de kwaliteit van IT management. In het artikel wordt aangegeven in welke positie een onderneming zich bevind op IT gebied en of er actie ondernomen moet worden. Om de directie of de raad van bestuur inzicht te verschaffen in de IT binnen hun bedrijf is in dit artikel een matrix met een bijbehorende vragenlijst opgesteld om IT governance te meten, namelijk de IT Strategic Impact Grid.

De auteurs bepalen de betrokkenheid van de Raad van Bestuur volgens twee strategische vragen, namelijk: 1) hoeveel het bedrijf afhankelijk is van kosten effectieve, ononderbroken, veilige en goed werkende IT systemen (defensieve IT) 2) hoeveel het bedrijf gebruik maakt van IT om concurrentievoordelen te behalen, door middel van het aanbieden van nieuweIT diensten of nieuwe producten (offensieve IT) De strategische aanpak is ingedeeld in 4 modus: Support modes Bedrijven in deze modus hebben een relatief lage behoefte aan betrouwbaarheid en strategische IT. De primaire functie van IT is ondersteuning van de werknemers. IT systemen in deze modus beschikken doorgaans over de volgende kenmerken: - Foutcorrecties en back-ups worden handmatig gedaan

Samenvatting BIV-IB

32

- Klanten en leveranciers hebben geen toegang tot het interne systeem - Onderbrekingen van maximaal 12 uur hebben geen ernstige gevolgen - High speed internet is niet noodzakelijk Een voorbeeld is een detacheringsbureau. Factory modus Bedrijven in deze modus moeten kunnen beschikken over zeer betrouwbare systemen maar de systemen hoeven niet vernieuwend of modern te zijn. De systemen zijn te vergelijken met fabrieken indien de lopende band door een mankement stil valt, stop de productie. Ze lijden onmiddellijk verlies als de systemen gebreken vertonen. Ondernemingen in deze modus communiceren in het algemeen middels extranetten met klanten en leveranciers. Een voorbeeld is een ziekenhuis. Turnaround modus Dit betreffen bedrijfven die in het midden zitten van een strategische transformatie op IT gebied. In deze modus bedragen technologie uitgaven doorgaans meer dan 15% van de kosten. De nieuwe systemen beloven belangrijke proces en service verbeteringen, kostenbesparingen en concurrentievoordeel. Bedrijven in deze modus hebben een relatief lage behoefte aan betrouwbaarheid als het gaat om hun bestaande systemen. Evenals bedrijven in de ondersteunende modus heeft een onderbreking van maximaal 12 uur geen ernstige gevolgen voor de activiteiten. Zodra een wijziging is doorgevoerd verplaatsten ze naar een ander modus. Voorbeeld is banken die steeds meer producten en diensten online aanbieden. Strategic modus Voor sommige bedrijven is innovatie zeer belangrijk. Nieuwe technologie transformeert niet alleen de manier waarop de markt worden betreden, maar ook de manier waarop de dagelijkse activiteiten worden verricht. Bedrijven in de strategische modus hebben net zoveel behoefte aan betrouwbaarheid als bedrijven in de fabricage modus, maar ze zijn ook op zoek naar kostenbesparingen en competitieve voordelen. De IT uitgaven zijn doorgaans groot. Voorbeeld is Apple. Managers dienen hun onderneming in te delen in n van de modus. Hieraan ligt een vragenlijst, aan de hand waarvan men de stand van de IT Governance kan bepalen.

Samenvatting BIV-IB

33

Werkstuk IT Governance

Samenvatting BIV-IB

34

Samenvatting BIV-IB

35

WerkstukIT Goverancne

11) ERP-systemen, application controlsWalker, K.B., SOX, ERP, and BPM, Strategic Finance, December 2008, Vol. 90 Issue 6, p.47-53.In 2002 is de Sarbanes-Oxley Act (SOX) van toepassing geworden. Sectie 404 van de SOX wet geeft standaarden voor documentatie, bepaling en testactiviteiten omtrent internal controls die zorgen voor besturing tijdens het opmaken van de financiele stukken. De wet stelt dat het management van beursgenoteerde entiteiten een verklaring afleggen over de effectiviteitn van de internal controls in elk jaarlijkse rapportage. SOX compliance gaat om financial reporting, focussen op goede bedrijfsvoering en zorgen dat juiste controls bestaan om mogelijke gebieden met bezorgdheid door het management gedentificeerd kunnen worden. Sommige managers gebruiken het om de bedrijfsprocessen te verbeteren, efficiency te vergroten en het concurrentievermogen te vergroten. Enterprise resource planning (ERP) en business process management (BPM) zijn tools om ervoor te zorgen dat bedrijven geholpen worden in de compliance met SOX. ERP ERP staat voor automatisering tussen de verschillende afdelingen binnen een onderneming om het management bij te staan in het fabricage en distributieproces. ERP zorgt ervoor dat geen gefragmenteerde en tegenstrijdige systemen meer bestaan. Het kan assisteren bij SOX voor accounting, internal controls en samenbrengen van de fysieke en financile keten van toeleveranties. Support voor accounting Dubbele files en overtollige data zijn niet langer noodzakelijk (er is n gezamenlijke database). Er kan een match gemaakt worden in betalingsprocessen die volledig automatisch verloopt. Er kan een audit trail gemaakt worden van de brondocumenten naar de saldibalans en er kan een tracking gemaakt worden tussen de werkelijke activiteit en het daarvoor bestemde budget. Support voor internal controls Controls in informatiesystemen kunnen er in drie level zijn: 1. Op organisatieniveau, gerelateerd aan de gehele organisatie en de structuur hiervan 2. Op entiteitniveau, wat betrekking heeft op een business unit of afdeling 3. Op procesniveau, gerelateerd aan de documentatie en beheersing van een specifiek bedrijfsproces. Beheersingsmaatregelen op procesniveau kunnen verder verdeeld worden naar: - General IT controls Security administration User id, passwords, specifieke toegang tot modules. Data management limiteren van de mogelijkheid voor individuen om bepaalde data te gebruiken of te veranderen en beschermen van data door een beveiligde omgeving te creren met back-ups. Problem management test- en productieomgevingen, procedures voor oplossen van problemen en effectieve probleemoplossende practices. Asset management administratieve vastlegging van alle IT activa (gebruik en locatie), routine update en onderhoudswerkzaamheden en persoonlijke toegang tot de systeemhardware. Change management procedures en documentatie voor autorisatie van veranderingen in het systeem. - Application integrated controls

Samenvatting BIV-IB

36

Controls kunnen ingezet worden bij applicaties die samenwerken om financile data en rapporten te produceren. Controls kunnen zijn: identificeren van bronnen en gebruik van bepaalde data, invoering van functiescheiding en benodigde autorisaties in het systeem. - Data ownership controls Grove toegangsbeveiliging, geautomatiseerde bedrijfsprocessen, gebruik van workflow voor bewijs van transacties en goedkeuring. Support for merging fysieke en financile supply chain Sommige ERP ontwikkelaars hebben global trade management (GTM) toegevoegd zodat managers meer inzicht hebben in de supply chain bedrijfsprocessen. Op deze manier heeft het management inzicht in hoe de voorraad lager kan worden aangehouden, hoe de dagen van debiteuren outstandings ingekort kunnen worden en hoe de cash-to-cash cycle verkort kan worden. Compliance gaps in ERP ERP systemen kunnen niet altijd geheel compliant zijn met SOX. Voorbeelden: - Lastig om informatie in een bruikbaar format uit het systeem te krijgen - Met de informatie is lastig een verband te leggen naar de verschillende afdelingen en organisaties. - In ERP systemen worden geen procedures en policies gedocumenteerd. - Er zijn niet voldoende mechanismen die waarschuwen indien er een ongewoon bedrijfspatroon wordt gesignaleerd. - Er kan niet altijd een geconsolideerd overzicht van de entiteit worden gegeven BPM software Om te zorgen voor een integratie tussen deelnemers in de supply chain is de ontwikkeling van business process management (BPM) ontstaan. Dit geeft inzicht in alle delen van een transactie welke zicht uitspreidt over meerdere applicaties, functies, en individuen in n of meerdere organisaties. BPM workflow zorgt voor een fasering in het proces en geeft taken welke individuen moeten volgen om ervoor te zorgen dat het proces juist verloopt. Een aantal BPM functies die in een software product aanwezig moeten zijn: - Geeft real-time inzicht in de informatie in elke fase van het bedrijfsproces. - Documenteert en verplicht tot bedrijfsregels en interne beheersingsmaatregelen voor bedrijfsprocessen. EPR systemen zorgen voor doorzichtigheid in informatie in transacties, BPM zorgt voor doorzichtigheid in bedrijfsprocessen. BPM kan data consolideren uit meerdere informatiesystemen. Om te zorgen dat er compliance wordt bereikt dienen meerdere partijen bij de inzet betrokken te worden: 1) Beveiligings en IT-experts 2) Experts op het gebied van controle, financin, wet- en regelgeving en naleving van SOX 3) De personeelsleden die met het systeem dagelijks werken.

Samenvatting BIV-IB

37

Sneller, L. en J. Bots, Invloed van ERP op de waarde van de onderneming, Maandblad voor Accountancy en Bedrijfseconomie, april 2009, p.126-135.In het artikel wordt teen case study verricht op Hagemeyer waarbij wordt onderzocht of de invoering van een ERP systeem de waarde van de onderneming heeft benvloed. ERP systemen zijn informatiesystemen met de volgende twee belangrijke kenmerken: 1) data-integratie, wat betekent dat gegevens slechts eenmaal hoeven te worden ingevoerd, waarna ze in de gehele onderneming beschikbaar zijn. 2) best practice procesinrichting, wat een algemeen aanvaarde en door veel ondernemingen ingevoerde werkwijze is waarvan de waarde in de praktijk van de bedrijfsvoering is aangetoond. Oorspronkelijk werd ERP ingezet door ondernemingen die hun productieplanning met de financile administratie wilden integreren om zo nu middelen optimaal in te zetten. De huidige applicaties bieden data-integratie en best practices voor vrijwel alle bedrijfsprocessen. Nadelen van ERP in het artikel zijn: - een implementatie duurt een aantal jaren - een implementatie is duur en kost vaak meer dan begroot Voordelen van ERP in het artikel: - de productiviteit van de onderneming neemt toe - de rentabiliteit ten opzichte van concurrenten neemt toe - efficintere gegevensinvoer - integriteit van gegevens wordt verbeterd - overtolligheid van gegevens wordt verminder - betere basis voor besluitvorming wordt gerealiseerd - kwaliteit en efficintie van de bedrijfsprocessen kan worden verhoogd. Uit onderzoek is gebleken dat ERP in eerste instantie een grote inspanning is: het is duur, kost vaak meer dan begroot en duurt een lange tijd. Echter als de implementatie eenmaal is gedaan zijn ondernemingen voor het overgrote deel positief over ERP en beschouwen zij de implementatie als een