Boeksamenvatting bij Algemene Grondslagen Starrreveld: Bestuurlijke Informatieverzorging - Van Leeuwen & Bergsma - 6e druk


Wat is bestuurlijke informatie verzorging? - Chapter 1

Bestuurlijke informatieverzorging wordt als volgt gedefinieerd: alle activiteiten met betrekking tot het systematisch verzamelen, vastleggen en verwerken van gegevens, gericht op het verstrekken van informatie ten behoeve van het besturen in engere zin, het doen van functioneren en het beheersen van de huishouding, en ten behoeve van de verantwoordingen die daarover moeten worden afgelegd.

Deze definitie kan in vier delen opgedeeld worden. Bestuurlijke informatie voorziening richt zich op de productie van informatie waarmee:

  1. Managers kunnen besturen in engere zin: beslissingen nemen en kiezen tussen alternatieven.

  2. Managers organisaties beheersen.

  3. Werknemers hun functie kunnen bekleden.

  4. Verantwoording afgelegd kan worden door zowel managers als werknemers.

De definitie van informatie is datgene wat het bewustzijn van de mens bereikt bijdraagt tot zijn kennisbeeld. Voor de ontvanger is het belangrijk dat informatie nieuw en relevant is. Informatie is de vierde voortbrengingsfactor naast grond, kapitaal en arbeid.

Het begrip een ‘gegeven’ wordt als volgt gedefinieerd: het is een voorstelling van een idee of een feit in een bepaalde vorm dat deze door een proces kan worden verplaatst, bewerkt of bewaard.
Het meervoud van gegeven is data.

In deze cursus wordt de focus gelegd op een huishouding. Een huishouding richt zich op een gemeenschappelijk doel en is een door het economische principe beheerst geheel van procedures, mensen en middelen. Het gaat om profit en non profit organisaties. Wanneer het gaat om beide typen spreken we van een bedrijf. De term organisatie wordt gebruikt wanneer de organisatorische verhoudingen benadrukt worden.

Wanneer er wordt gesproken over besturen, is het nemen van beslissingen de kern. Het nemen van beslissingen, en dus het maken van keuzes kan verdeeld worden in twee typen: besturen in engere zin en besturen in ruimere zin. Wanneer er keuzes gemaakt worden tussen alternatieve mogelijkheden spreken we van besturen in engere zin. Met besturen in ruimere zin wordt bedoeld dat het meer omvat, namelijk ook het kenbaar maken van besluiten, het organiseren van de uitvoering en het beheersen ervan.

Informatieverzorging

Informatieverzorging heeft naast het verwerken van gegevens ook betrekking op het verstrekken van informatie. Relevante en betrouwbare informatie kan alleen verstrekt worden wanneer de basisgegevens verzameld, vastgelegd en verwerkt zijn. Gegevens kunnen op drie manieren verkregen worden:

  1. Grondgegevens of basisgegevens, zoals directe productiegegevens uit de werkplaats.

  2. Gegevens die uit externe bronnen worden verkregen en die alleen indirect betrekking hebben op het eigen bedrijfsproces, zoals cijfers gepubliceerd door het CBS.

  3. Gegevens die voortkomen uit een eerder informatieverzorgingsproces, zoals geproduceerde bedragen van verkoopfacturen.

Geformaliseerde informatie is informatie waarbij de basisgegevens systematisch in gedefinieerde vormen worden vastgelegd en de verwerking vindt plaats volgens vaste procedures en processen.

De kwaliteit van informatie hangt samen met de kwaliteit van het bestuurlijke informatieverzorgingssysteem dat de betreffende informatie geproduceerd heeft.

Het uitgangspunt is dat mensen beslissingen nemen op basis van hun eigen specifieke wensen en eigenschappen. De randvoorwaarde hiervoor is dat de baten van informatie groter moeten zijn dan de kosten van informatie. vervolgens moet de informatie begrijpelijk zijn. Daarna is de voorwaarde voor de bruikbaarheid voor het nemen van beslissingen is dat informatie relevant en betrouwbaar is.

Informatie is relevant wanneer het een bijdrage levert aan onderstaande punten:

  • Besturen in engere zin: het doen van keuzen uit alternatieven

  • De genomen beslissingen communiceren door de huishouding: het doen van functioneren.

  • De gang van zaken beheersen zodat afwijkingen voorkomen kunnen worden. Wanneer nodig is, kan er bijgestuurd worden.

  • Verantwoording afleggen wat betreft de uitvoering van de verrichte taken.

Informatie is betrouwbaar als:

  • Juistheid: komt de gegeven informatie overeen met de werkelijkheid? Juistheid heeft betrekking op de kosten.

  • Volledigheid: ontbreken er geen zaken in de verkregen informatie? Volledigheid heeft betrekking op de opbrengsten.

Externe informatiebehoeften waaraan de onderneming moet en/of wil voldoen kan onderscheiden worden in:

  • Bij individuele derden voorkomende informatiebehoefte.

  • Maatschappelijk levende informatiebehoefte.

Informatieverzorgingsprocessen

Een informatieverzorgingsproces bestaat uit het bewaren, overbrengen en verwerken van gegevens tot informatie.

De verdelingsbewerkingen bestaan uit de volgende stappen:

  • Het ordenen van detailgegevens

  • Het groeperen van detailgegevens

  • Het ontleden van groepsgegevens

  • Het uitvoeren van rekenkundige bewerkingen

  • Uitvoeren van vergelijkingen

  • Kiezen

Er zijn vier objecten bij bestuurlijk informatieverzorging waarover een kwaliteitsoordeel gegeven kan worden.

  1. De verstrekte informatie.

  2. Het informatieverzorgingsproces.

  3. Het ontwerp- en ontwikkelingsproces.

  4. De manier waarop het beheer en het onderhoud van het informatieverzorgingssysteem in de organisatie zijn verankerd.

Belangrijk bij het ontwerpen van informatiesystemen is dat de op te leveren informatie zoveel mogelijk moet voorzien in de informatiebehoeften van functionarissen en groepen, zoals die uit de verschillende toegewezen taken voortvloeien. Daarnaast moet er ook niet-geformaliseerde en algemene informatie verschaft worden.

Communicatie

Een organisatie communiceert zowel extern als intern. Extern communiceert een organisatie met afnemers, leveranciers en andere deelnemers aan het maatschappelijk verkeer en de inhoud hiervan kan als informatie of als gegeven beschouwd worden. Intern kan er hiërarchische en niet-hiërarchische communicatie plaatsvinden.

Het communicatieproces bestaat uit de volgende elementen:

  • Verzender (berichtgever)

  • Communicatiekanaal of lijn waarlangs het bericht getransporteerd wordt.

  • Ontvanger van het bericht

  • Respons of het antwoord in de vorm van een bevestiging.

Schema van het communicatieproces
Verzender -> Coderen -> Communicatiekanaal -> Decoderen -> ontvanger

Niet geformaliseerde informatie heeft betrekking op de communicatie tussen mensen binnen een organisatie en met de buitenwereld. Geformaliseerde informatie heeft betrekking op de basisgegevens die vastgelegd worden in duidelijk gedefinieerde vormen en verwerkt worden tot bruikbare informatie volgens vaste procedures.

Bestuurlijke informatieverzorgingssystemen

Een bedrijf kan op verschillende manieren gedefinieerd worden. Een bedrijf kan ook gezien worden als een systeem. Dit systeem is gericht op het voortbrengen van producten en diensten. Een systeem kan verdeeld worden in subsystemen en er kan een hiërarchie van systemen zijn. Het is mogelijk binnen een systeem verschillende aspectsystemen te onderscheiden. Voorbeelden zijn het informatieverzorgingssysteem, het bedrijfsmilieuzorgsysteem en het kwaliteitssysteem.

Statische systemen zijn systemen waarbij de structuur en de relaties tussen de elementen in het systeem niet onderhevig zijn aan verandering. Er spelen zich geen processen af.
Dynamische systemen zijn systemen waarbij de invoer getransformeerd wordt in uitvoer. Wanneer het subsysteem niet beschreven wordt, wordt het begrip black box gebruikt.

Een gesloten systeem is een systeem die geen relaties heeft/onderhoudt met de omgeving en worden de systemen ook niet beïnvloed door de omgeving.
Open systemen zijn echter wel beïnvloedbaar door de omgeving, zoals het informatieverzorgingssysteem. Een open systeem is situatieafhankelijk en moet zich dus aanpassen aan de omgeving. Een deterministisch systeem is volledig voorspelbaar en bij een probabilistisch systeem speelt toeval een rol.

Een huishouding is een uiterst complex dynamisch en open systeem dat in belangrijke mate wordt beheerst door probabilistische relaties tussen de verschillende elementen en met de omgeving.

Het bestuurlijk informatieverzorgingssysteem is samengesteld uit zowel de gegevens- en informatie elementen en uit de betrokken medewerkers, regelgeving, procedures, kaders, apparatuur en programmatuur.

Het bestuurlijke informatiesysteem is beperkter en omvat onder andere gegevens, bestanden, apparatuur en programma’s.

Logistieke informatiesystemen leveren informatie gericht op het plannen, begeleiden en beheersen van logistieke processen. Management informatiesystemen leveren informatie gericht op planning en control van de totale gang van zaken ten aanzien van het bedrijf.

Subsystemen als inkoop-, voorraad-, verkoop- en financiële systemen worden functionele informatiesystemen.

Procesinformatie is nodig voor de dagelijkse uitvoering van hun functie en projectinformatie is nodig voor het uitvoeren van projecten.

Besturen en beheersen

Besturen heeft betrekking op:

  • Het verkrijgen van een beeld van het resultaat.

  • Op grond hiervan kiezen voor een bepaalde handeling.

  • De uitvoering volgen om te kunnen corrigeren als dat noodzakelijk is.

Beslissen is een gegevensverwerkingsproces. Hierbij gaat het om het afwegen van alternatieven. Die afweging kan geschieden op grond van meetbare en onmeetbare criteria. Het is noodzakelijk een oordeel vooraf en achteraf te vormen.

Oordelen worden gevormd door de combinatie van feitenkennis (verkregen door rechtstreekse waarneming van verschijnselen) en interpretatie en redenering.

De oordeelsvorming vooraf (ex ante) is gericht op het nemen van beslissingen. Daarnaast heeft het een meer beperkter karakter.
De oordeelsvorming achteraf (ex post) is gericht op het uitoefenen van beheersing en controle, en het uitbreiden van het ervaringsmateriaal.

Er wordt onderscheid gemaakt tussen sturen en besturen. Bij sturen gaat het om een proces/object dat technisch in een bepaalde richting gaat. Bij besturen gaat het om een organisatie/groep mensen die in een bepaalde richting worden geleid. Het te besturen proces wordt gecontroleerd met behulp van een regelkring. Hierbij worden twee zaken onderscheiden: de voorwaartskoppeling (feed forward) en terugkoppeling (feed back).

Relevantie

Managementinformatie wordt door managers gebruikt om hun organisatie te besturen en te beheersen. We gebruiken hiervoor een tolmodel.

Het tolmodel bestaat uit de volgende factoren die van invloed zijn op de informatiebehoefte van het management.

  • De bovenkant van de tol.

    • Missie

    • Kritische succesfactoren

    • Doelen en doelstellingen

  • Het midden van de tol.

    • De aard van het proces.

    • De structuur van de organisatie.

  • De onderkant van de tol.

    • Managementstijl.

    • Cultuur.

Betrouwbaarheid

Organisaties moeten een intern betrouwbaarheidssystemen ontwikkelen om ervoor te zorgen dat informatie betrouwbaar is. De waardekringloop speelt hierin een belangrijke rol.
Iedere organisatie heeft primaire bedrijfsprocessen, ook wel kern- of basisverrichtingen genoemd (uitvoerend karakter). Het primaire bedrijfsproces heeft een doorstroming van zaken, zoals goederen en geld.De processtappen bij een handelsonderneming hebben het karakter van een gebeuren. De voorraadfasen hebben het karakter van een toestand.
In een handelsonderneming kent het primaire proces een waardenkringloop. De goederen- en geldstroom vormen geen waardekringloop.
Inkopen -> goederen -> verkopen -> vorderingen -> innen -> geld -> betalen -> schulden -> inkopen.

Een handelsonderneming heeft sterke kwantitatieve verbanden. Dit houdt in dat mogelijke afwijkingen zich bewegen binnen nauwe grenzen.

Controle wordt in dit opzicht vaak aangeduid als toetsing of beheersing. Er blijft altijd een controleplicht ook al zijn taken gedelegeerd aan ondergeschikte. Een leidinggevende heeft daarom naast informatie met betrekking tot zijn keuze en regelingsbeslissingen ook informatie nodig om zijn controle taak uit te kunnen oefenen.

Naast een controle op het verloop van de processen, bestaat er ook een bewaringscontrole. Dit kan het best gecontroleerd worden met behulp van informatie van onafhankelijke bronnen. Informatiecontrole heeft betrekking op de controle op fouten bij de gegevensverwerking en op de betrouwbaarheid van de te verwerken basisgegevens. Vaak vindt het afleggen van verantwoording plaats door middel van verantwoordingsverslagen.

Bij het afleggen van verantwoording kan er sprake zijn van legitiem belang (de werkelijkheid weergeven) en illegitiem belang (niet de werkelijkheid weergeven). Dit risico moet zoveel mogelijk geminimaliseerd worden.

Het interne betrouwbaarheidssysteem maakt onderdeel uit van het bestuurlijke informatieverzorgingssysteem, ook wel interne controle genoemd.

Interne controle wordt gedefinieerd als een controle door of namens de leiding en interne toezichthoudende organen (RvC/RvT) op de oordeelsvorming en activiteiten van anderen.Het interne betrouwbaarheidssysteem zorgt voor:

  • Betrouwbare informatie

  • De bevoegdheden niet overschreden worden

  • Betrouwbaar handelen (naleving wet- en regelgeving)

  • Betrouwbaarheid bewaren

Elementen van het interne betrouwbaarheidssysteem:

  • Controleomgeving.

  • Risicoanalyse.

  • Maatregelen van interne controle.

  • Informatie en communicatie.

  • Monitoring en beheer.

Ontwikkeling van geautomatiseerde systemen, betrouwbaarheid van automatisering en ontwerp van administratieve processen

De geautomatiseerde systemen moeten betrouwbare en relevante informatie produceren. De omgevingsfactor natuur heeft invloed en de technologische ontwikkelingen hebben geleid tot veel verandering.

Informatiebeleid is het totaal aan doelstellingen, richtlijnen en keuzen. Deze worden opgesteld met betrekking tot het ontwikkelen en in stand houden van informatiesystemen. Dit is onderdeel van het automatiseringsbeleid.

Het ontwerpen van een bestuurlijke informatieverzorgingssysteem heeft betrekking op 4 vragen: wat, wie, hoe en wanneer. Telkens moet hierbij de waarom vraag gesteld worden. Aangezien het ontwerpen geld kost, moeten deze systemen geproduceerd worden onder optimale kosten-batenverhoudingen. Er wordt dus als eerst gekeken vanuit een bedrijfseconomische benadering.

Een administratief proces wordt gedefinieerd als een proces waarbij gegevens verzameld, vastgelegd en verwerkt wordt tot informatie.

Organisatie en beheer bestuurlijke informatieverzorging

Het beheer van de bestuurlijke informatieverzorging bestaat uit drie onderdelen.

  1. Uitvoerende taken om het systeem te laten functioneren.

  2. De controle op het functioneren van het systeem.

  3. De evaluatie.

Hoe kunnen systemen voor interne beheersing, interne controle en besturing worden opgezet? - Chapter 2

Structuur

Bij het besturen van een organisatie is de structuur erg belangrijk. De taakverdeling, verantwoordelijkheden, bevoegdheden en de onderlinge ordening van elementen van de organisatie hebben invloed op de informatiebehoefte van de managers. Dit wordt in dit hoofdstuk toegelicht aan de hand van vier aspecten:

  1. Basisstructuren

  2. Soorten organisatieonderdelen in de basisstructuur

  3. Soorten verantwoordelijkheidsgebieden

  4. De manier van coördinatie en beheersing

Er bestaan twee soorten basisstructuren:

  1. Functionele structuur: het totale proces is verdeeld over diverse afdelingen en hiertussen bestaan afhankelijkheden. De logische samenhang tussen de opeenvolgende bewerkingen is verbroken. Niemand is verantwoordelijk voor het eindproces en daarom vraagt het om centrale beheersing.

  2. Productiegerichte structuur: de logische samenhang tussen activiteiten blijft behouden, omdat de verantwoordelijkheid voor het realiseren van een bepaald product bij één organisatie eenheid ligt. Decentrale beheersing wordt hier gesteund. Nauw verwant zijn de volgende structuren:

    1. Geografische structuur: indeling gemaakt op basis van regio, land of continent.

    2. Markt- of klantgerichte structuur: producten- en diensten pakket is verdeeld over groepen, deelmarkten of deelsegmenten.

Er kan onderscheid gemaakt worden tussen lijn- en staforganen. Lijnorganen werken direct voor het primaire proces en staforganen worden vaak gezien als hulpdienst. Zij hebben een toegevoegde waarde.

Er bestaan vijf typen organisatieonderdelen:

  1. Gestandaardiseerde kostencentrum: de input staat in relatie tot de output. Het belangrijkste punt van het beheersingsproces is de efficiëntie van het omzrettingsproces. Voorbeeld: productieafdeling, waar de standaardkosten vergeleken worden met de werkelijke kosten.

  2. Opbrengstencentrum: verband tussen opbrengsten en kosten is minder duidelijk omdat het zelf marktgerichte activiteiten onderneemt en verantwoordelijk is voor de verkoop en distributie. Voorbeeld: verkoopafdeling dat zelf prijzen en aantallen kiest.

  3. Onafhankelijke kosten- of uitgavencentrum: hier is geen duidelijke relatie tussen input en output. Beheersing wordt gemeten door budgetten te vergelijken met de werkelijkheid. Voorbeeld: R&D.

  4. Resultaatcentrum: dit centrum is verantwoordelijk voor de marktgerichte activiteiten en het omzettingsproces waardoor het bedrijfsresultaat gebruikt wordt als maatstaaf. Voorbeeld: een divisie of business unit.

  5. Investeringscentrum: hier zijn de managers verantwoordelijk voor de productie-middelen. Het rendement is de maatstaaf. Voorbeeld: divisie of werkmaatschappij.

Visie op het besturen

Er bestaan drie visies op besturing met betrekking tot het functioneren van organisaties:

  • Rationele functionering en besturing

  • Beperkte rationele functionering en besturing

  • Politieke functionering en besturing

Bij rationeel functionerende en besturende organisaties kijkt men naar de klassieke school die streven naar maximalisatie van de winst. Besturen is volgens hen een rationeel proces en tevens bestaat er volgens de klassieke school slechts één hiërarchie van doelen. Bij de besluitvorming moeten consequenties en alternatieven op voorhand bekend zijn. In een rationeel besluitvormingsproces worden drie stappen ondernomen:

  1. Verzamelen en analyseren van relevante informatie

  2. Een alternatief bepalen dat leidt tot het hoogste nut

  3. Keuze van dit alternatief

Bovendien is prestatiemanagement belangrijk. Onderscheid kan gemaakt worden tussen managementprestaties en economische prestaties. Er wordt overigens geen rekening gehouden met persoonlijke informatiebehoeften of voorkeuren. Informatie is volgens deze visie een objectieve afspiegeling van de werkelijkheid en informatiesystemen moeten ervoor zorgen dat informatie betrouwbaar is.

Bij beperkt rationeel functionerende en besturende organisaties speelt het begrip ‘bounded rationality’ een rol. Besluiten worden volgens Simon ook genomen op grond van intuïtie en heeft men een beperkte informatieverwerkingscapaciteit. Doelen geven meer een richting van handelen aan in plaats iets vast zoals bij de rationele organisaties. Bij de besluitvorming worden situaties onderkend en wordt er gekozen voor het meest optimale alternatief. De prestatiemeting is vrijwel hetzelfde als bij rationele organisaties. De besluitvormingsprocessen zijn echter vaak gevoelsmatig met het risico dat er soms niks mee gedaan wordt of niet de best mogelijke besluiten genomen worden.

Wanneer verschil van mening bestaat over de doelen, handelswijze en identiteit van een organisatie spreken we over organisaties die functioneren als politieke systemen. Hier kan sprake zijn van sub optimalisatie, omdat er een onderlinge strijd bestaat tussen belangengroepen. De organisatiedoelen zullen meestal vaak bepaald worden door de dominantste groep. Het is een politiek proces, omdat er rationeel gehandeld moet worden maar dit niet gedaan wordt. Beheersing is gebaseerd op het gedrag van groepen. Prestatiemeting is hetzelfde als bij rationele organisaties. Bestuurlijke informatieverzorgers moeten informatie leveren die aansluit op de wensen van de diversie politieke belangengroepen. Er mogen echter geen concessies gedaan worden aan de kwaliteit van de informatie.

De contingentie benadering wordt gezien als een benadering die uitgaat van de realiteit om vast te stellen welke theorie het best toepasbaar is in iedere situatie. Deze benadering stelt bij de prestatie meting de specifieke situaties centraal. Op basis van een analyse van de contigentiefactoren kan bestuurlijke informatie verschaft worden.

Diverse niveaus van besturing

Er bestaan verschillende manieren van besturen, namelijk:

  • Strategische benadering: bepalen van de missie, doelen en beleid.

  • Tactische besturing: hier worden de algemene doelen omgezet naar specifieke doelen.

  • Operationele besturing (operational control): efficiënte en effectieve uitvoering van specifieke taken.

Het interne beheersingssysteem of management control vindt plaats op tactisch en operationeel niveau.

Strategiebepaling

Dit wordt gedefinieerd als het proces dat als uitkomst heeft een strategie. Het strategisch management heeft zowel betrekking op het bepalen van de strategie als het implementeren van de strategie. Het gaat vaak om de doelen op lange termijn en met welke middelen deze bereikt kunnen worden.

Er bestaan meerdere benaderingen:

  • Entrepreneurial benadering: de organisatie zoekt naar nieuwe mogelijkheden in de omgeving en gaat uit van de kracht van de eigen organisatie. De leider beslist.

  • Adaptieve benadering: de beslissingsbevoegdheid is verspreid door de organisatie en vaak zijn er geen duidelijke doelen. Er wordt uitgegaan van het bestaande.

  • Planning benadering: de strategie is bij deze organisaties goed doordacht en er bestaat een gestructureerd strategieformuleringsproces.

Drie kernvragen van Keuning en Eppink

  • Op welke manier positioneert een organisatie zich in de markt? En op welke manier onderscheidt een organisatie zich van andere partijen? - positioneringsstrategie (kostenleiderschap en differentiatiestrategie).

  • In welke mate wil een organisatie zich differentiëren of specialiseren? - spreidingsstrategie (focusstrategie).

  • Hoe wordt de strategie gerealiseerd? - uitvoeringsstrategie (eigen kracht of met hulp van derden).

De volgende instrumenten kunnen gebruikt worden om een strategische keuze te maken:

  • Scenarioconstructie: verschillende scenario’s ontwikkelen

  • Portfoliotechnieken: de eigen competentie wordt vergeleken met de industrie/markt.

  • Key-succes factoren: belangrijke factoren selecteren en meten.

  • Benchmarking: eigen prestaties vergelijken met die van een ander (best practice).

  • Core competence: het gaat hier om de kracht van de organisatie.

  • Shareholder value/embedded value: levert een maximale beurswaarde op lange termijn.

  • Speltheorie: simulaties worden uitgevoerd.

  • Chaostheorie: factoren die de dynamische zelfordening bepalen.

De typen strategieën van Porter:

  1. Kosten-leiderschap strategie. Hier wordt concurrentievoordeel behaald door prijsverlagingen.

  2. Differentiatiestrategie: eigen positie in de markt versterken door unieke producten of diensten aan te bieden.

  3. Focusstrategie: een organisatie richt zich op een bepaald product of dienst.

Management en operational control

Management control en operational control zijn twee begrippen die vallen binnen het interne beheersingsysteem. Management control is gericht op de implementatie en realisatie van de vooraf bepaalde doelen. Dit cybernetische meet- en regelprincipe wordt ook diagnistic control genoemd. Het beheersingssysteem is vaak gericht op het beheersen van de resultaten. Er kan sprake zijn van tight control (afstemming over uitkomsten en te ondernemen acties) en loose control.

De typen beheersingssytemen van Robert Simon.

  • Diagnostic control systems: hier gaat het om kritische prestatie variabelen.

  • Belief systems: de normen en waarden worden tot uitdrukking gebracht. Duidelijk wordt waar de onderneming voor staat -> core values.

  • Boundary system: de grenzen van gedrag in organisaties is hier aangegeven. Vastgelegd is alleen wat men NIET moet doen. Risico’s moeten vermeden worden.

  • Interactive control systems: hier wordt gericht op onzekerheden binnen organisaties. Het gaat hier om onverwachte problemen, kansen en bedreigingen.

Er zijn zeven vragen opgesteld die betrekking hebben op de interne beheersingsgebieden (tactisch en operationeel).

  1. Verwachtingsbeoordeling: dit is een beoordeling van de oordeelsvorming ex ante.

  2. Beleidsbeoordeling: dit is een beoordeling van het feitelijke bedrijfsgebeuren.

  3. Uitvoeringsbeoordeling: zijn de opdrachten gegeven op verschillende organisatieniveaus goed en juist uitgevoerd?

  4. Voortgangsbeoordeling: is er sprake van voldoende voorruitgang en is er gehandeld op het juiste moment?

  5. Doelmatigheidsbeoordeling of efficiëntie beoordeling: is er efficiënt gehandeld?

  6. Kwaliteitsbeoordeling: voldoen de producten en diensten aan de gestelde kwaliteitseisen?

  7. Normbeoordeling: zijn de gestelde normen juist gehanteerd?

Twee metavragen kunnen beantwoord worden:

  1. Is het interne beheersingssysteem een doeltreffend en doelmatig geheel?

  2. Worden de voorschriften van het interne beheersingssysteem voldoende en goed nageleefd?

Soms kan het zijn dat er ongewenste effecten optreden bij het implementeren van interne beheersingssystemen. Vormen hiervan zijn:

  • Overdreven doelnastreving: het gevolg is dat werknemers eenzijdig gedrag kunnen aannemen. Een voorbeeld hiervan is star, rigide bureaucratisch gedrag (precies werken volgens de regels en niets meer doen) en strategisch gedrag (meten is weten).

  • Beïnvloeding van de meetgegevens. Werknemers kunnen hun prestaties optimaliseren. Dit kan gedaan worden door gegevensbeïnvloeding of vertekening.

  • Verstarring of vertraging in de uitvoering. Dit kan voorkomen wanneer een intern beheersingssysteem slecht ontworpen is.

  • Weerstand: soms kan een intern beheersingssysteem resulteren in conflicten en gevoelens van frustratie en/of spanning bij werknemers.

Interne controle

Interne controle/beheersing is een Angelsaksisch begrip. Het begrip interne controle is gericht op het verkrijgen van een redelijke mate van zekerheid over de effectiviteit en efficiëntie van de processen, bewaken van de activa, voldoen aan de wetten en regelgeving en de betrouwbaarheid van informatieverzorging.

Het COSO-rapport is vastgesteld door de Treadway commissie. COSO staat voor Committee Of Sponsoring Organisations. Het proces van de interne controle is in gang gezet door het management van de organisatie en de overige werknemers. Het is belangrijk te realiseren dat interne controle een dynamisch proces is. Telkens moet gekeken worden of de doelstelling behaald worden. Daarnaast begint het bij de top van de organisatie. Ook is het gericht op een redelijke mate van zekerheid omdat volledige mate van zekerheid niet mogelijk is.

Het COSO raamwerk hanteert de volgende tien uitgangspunten wat betreft control environment:

  1. Integriteit en ethische waarden: de managers zetten ‘the tone at the top’.

  2. De structuur van beloningen: bijvoorbeeld prestatie- of bonusbeloningen.

  3. Voorbeeldgedrag van de leiding van een organisatie op het gebied van normen en waarden, zoals een code of conduct (gedragscode).

  4. Scholing (opleiding) en de competenties van de werknemers van de organisatie. Het is belangrijk dat werknemers beschikken over de juiste bekwaamheden en vaardigheden.

  5. De kwaliteit van het toezicht dat wordt uitgeoefend op de organisatie. Toezichthouders moeten onafhankelijk zijn.

  6. De manier van leidinggeven. Bijvoorbeeld de mate waarin risico genomen wordt.

  7. De structuur van de organisatie. Deze moet in overeenstemming zijn met de COSO doelstellingen.

  8. De delegatie van bevoegdheden en verantwoordelijkheden van managers naar werknemers.

  9. Het beleid met betrekking tot humanresourcemanagement.

  10. Verantwoordelijk.

Risk assessment

Het is belangrijk de risico’s te identificeren die kunnen ontstaan bij de COSO doelen. De volgende uitgangspunten kunnen onderscheiden worden:

  • Het beheersen van risico’s met betrekking tot de betrouwbaarheid van de financiële verslaggeving.

  • De identificatie van de risico’s wat betreft de doelen.

  • De omvang en de impact van het risico schatten.

  • Het inschatten van de mogelijkheid dat risicovolle gebeurtenissen plaatsvinden.

  • Mogelijkheden voor activiteiten om te beheersen overwegen.

Control activities

Er kunnen controle activiteiten uitgevoerd worden om risico’s af te dekken. Voorbeelden van controle activiteiten zijn:

  • Top management reviews (cijferbeoordelingen).

  • Direct functional or activity management.

  • Information processing.

  • Fysieke controles.

  • Prestatie-indicatoren.

Informatie en communicatie

Aan informatie zitten kwaliteitseisen namelijk betrouwbaarheid (current, correct, protected, verifiable) en relevantie (sufficient, timely, accessible, retained).
Communicatie in een organisatie vindt zowel top-down als bottom-up plaats. Het is naast interne communicatie ook belangrijk te communiceren met derden over het functioneren van het eigen interne controle systeem.

Monitoring

Dit wordt gedefinieerd als het toezicht houden van de goede werking van het interne beheersingssysteem. Er wordt gecontroleerd of de interne beheersingsmaatregelen nageleefd worden. Er bestaan twee vormen van monitoren:

  • Ongoing monitoring: de dagelijkse activiteiten.

  • Separate evaluaties: afzonderlijke evaluaties.

De verschillen tussen het COSO raamwerk en het COSO ERMF model.

  • Uitbereiding component strategisch.

  • Risk assessment is uitgesplitst in vier componenten.

  • Focus op risico management.

Het COSO Enterprise risk management raamwerk. De acht componenten worden op de voorkant van de kubus weergegeven en zijn de volgende:

  • Internal environment

  • Objective setting

  • Event identification

  • Risk assessment

  • Risk response

  • Control activities

  • Information & communication

  • Monitoring

De bovenkant van de kubus heeft betrekking op de invalshoeken waarin de risico’s beheerst moeten worden:

  • Strategisch

  • Operationeel

  • Verslaggeving

  • Wet- en regelgeving

Internal environment bestaat uit de volgende acht componenten.

  1. Risk management filosofie: de waarden en normen wat betreft het omgaan met de risico’s.

  2. Risk appetite: hoeveelheid risico die een organisatie bereid is te lopen.

  3. De kwaliteit van het toezicht door de Raad van Commissarissen: wordt er verantwoord omgegaan met de risico’s?

  4. Integriteit, normen en waarden: bijvoorbeeld het feit dat de het management een voorbeeldfunctie heeft.

  5. Commitment to competence: werknemers op de juiste plek zetten met de juiste vaardigheden.

  6. Organisatiestructuur: deze moet passen bij de doelstellingen.

  7. Delegatie van bevoegdheden en verantwoordelijkheden.

  8. Human resource standaarden.

In dit tweede COSO model richt de onderneming zich naast strategische doelen ook op operationele doelen, doelen met betrekking tot betrouwbaarheid van financiële verslaggeving en doelen wat betreft naleving van wet- en regelgeving.

Event identification houdt in dat gebeurtenissen een positieve of negatieve invloed kunnen hebben. Er moet gekeken worden naar de omgeving. Met externe omgeving hebben we te maken met economische, natuur- en weersinvloeden, sociale en technologische invloeden. Met interne omgeving moet gekeken worden naar de infrastructuur, personeel, bedrijfsprocessen en de technologie.

Risk response is afhankelijk van de kans en de impact. De kans en de impact volgen uit de risk assessment. Deze figuur laat zien dat er vier mogelijkheden zijn namelijk accepteren, verzekeren, reduceren en vermijden.

Het financial reporting – guidance for smaller public companies richt zich specifiek op de financiële rapportage doelen. Dit raamwerk bestaat uit de volgende componenten:

  • Control environment

  • Risk assessment

  • Control activities

  • Information & communication

  • Monitoring

Interne controle en intern betrouwbaarheidssysteem

De interne controle heeft betrekking op de volgende punten:

  • Informatiecontrole

  • Bewaringscontrole

  • Bevoegdheidscontrole

Volgens COSO is het begrip interne controle ruimer dan het begrip interne betrouwbaarheidssysteem, omdat het ook betrekking heeft op de effectiviteit en efficiëntie van de processen. Het interne beheersingssysteem is alleen effectief wanneer informatie betrouwbaar is.

Hoe kunnen operationele processen worden beheerst? - Chapter 3

Een doelstelling van de interne controle is een controle zo efficiënt en effectief mogelijk uitvoeren. Er bestaan routine matige en niet-routine matige processen. De routine matige processen kunnen met behulp van een planning en control cyclus worden bestuurd.

Besturingsniveaus

Bij de operationele besturing van processen ligt de nadruk op de interne controle. Deze interne controle richt zich op de effectieve en efficiënte uitvoering van processen. Effectief wordt hier gedefinieerd als het voldoen aan de wensen van zowel de interne als externe klant. Efficiënt wordt hier gedefinieerd als de uitkomst behalen met zo weinig mogelijk middelen. Hier wordt onderscheid gemaakt tussen twee soorten processen:

  • Primaire proces: direct gericht op de realisatie van de product of dienst van de betreffende organisatie.

  • Ondersteunende proces: faciliteren het primaire proces en hebben hierbij een ondersteunende rol.

Om deze processen goed te laten functioneren is informatie nodig. Deze informatie wordt gegenereerd door de operationele of logistieke informatiesystemen. Deze informatiesystemen richten zich op de aansturing van opeenvolgende activiteiten die betrekking hebben op personeel, diensten, faciliteiten en materialen die door de processen worden uitgevoerd. Management informatiesystemen zijn echter vooral gericht op het verkrijgen van informatie vanwege de periodieke besluitvorming.

Niet optimaal bestuurbare en beheersbare processen

Een proces is beheersbaar als het voldoet aan de volgende voorwaarden:

  1. Geen dubbelzinnige doelstellingen

  2. Het resultaat moet meetbaar zijn

  3. Het proces moet bestaan uit herhalende activiteiten en de effecten van procesinterventies moeten van te voren bekend zijn.

  4. Er moet een mogelijkheid bestaan tot bijsturing wanneer dit noodzakelijk is.

Routine control, expert control en trial & error control gaan uit van rationeel bestuurde processen waarbij cybernetische principes beheerst kan worden.

De spelers van het besturingsspel

We kijken naar drie spelers:

  1. Het management: vervult een belangrijke rol bij de besturing en beheersing van een organisatie. De persoon is verantwoordelijk voor de kwaliteit van de processen en de beheersing ervan. Mintzberg stelt dat het takenpakket van managers divers en omvangrijk is. De leidinggevende is vooral bezig met het verstrekken en verkrijgen van informatie.

  2. Controller: helpt het management bij de richting, het onderhoud en de beheersing van het bestuurlijke informatiesysteem.

  3. Andere staffunctionarissen: kunnen een manager ondersteuning bieden bij de evaluatie, inrichting, implementatie en keuze van verschillende besturingsinstrumenten (personeelsmanager, informatiemanager).

  4. Werknemers: zijn belangrijk bij de uitvoering van processen.

Raamwerk van besturings- en beheersingsaspecten

Het KAD (Kwaliteit Administratieve Dienstverlening) model is een besturingskubus. Dit model richt zich op de inrichting van processen en de besturing en beheersing ervan. Het begrip regelen staat centraal: reageren op veranderingen in de invoer, doorvoer en uitvoer zodat de product- en proces normen worden gerealiseerd.

Een regelkring bestaat uit:

  • De stand van zaken meten.

  • De stand van zaken vergelijken met de norm.

  • Corrigerende maatregelen nemen bij een verschil tussen de norm en de werkelijkheid.

Er zijn vier regelkringen te onderscheiden in het KAD-model. Deze zijn:

  1. Regeling invoer: input georiënteerde sturing. Deze regeling richt zich op:

    1. Toetsen van de kwaliteit van de invoer (bokkeren bij slechte kwaliteit).

    2. Aantrekken van invoer bij leveranciers

    3. Coderen van de invoer

  2. Regeling uitvoer: output georiënteerde sturing. Deze regeling richt zich op:

    1. Toetsen van de kwaliteit van de output (bokkeren bij slechte kwaliteit).

    2. De uitvoer decoderen (interne codes verwijderen).

    3. De uitvoer doen gebruiken (gebruiksaanwijzing toevoegen).

  3. Regeling doorvoer vooruit. Deze regeling richt zich op het aanpassen of wijzigen van processen in een organisatie wanneer afwijkingen geconstateerd worden zodat alsnog de gewenste output behaald wordt.

  4. Regeling doorvoer: terug. Deze regeling heeft betrekking op het ‘leren van de gemaakte fouten’. Het proces structureel verbeteren door opgedane ervaringen.

Drie soorten processen worden onderscheiden om een regelkring toe te kunnen passen:

  • Standaardproces: routinematig proces dat resulteert in een eenvormig product.

  • Samengesteld proces: beperkte verscheidenheid aan producten.

  • Maatwerkproces: een grote verscheidenheid aan producten.

De besturingskubus laat zien welke aspecten van belang zijn bij de inrichting van de processen. Het raamwerk is gebaseerd op de vier productiefactoren: arbeid, natuur, kapitaal en informatie.

Arbeid bestaat uit:

  • Structuur

    • Afdelingsvorming: in dit proces worden de taken, bevoegdheden en verantwoordelijkheden verdeeld.

    • Coördinatie: gericht op de realisatie van afstemming tussen afdelingen.

    • Span of control (=omspanningsvermogen): het aantal werknemers waarvan een manager het gedrag direct kan beïnvloeden.

  • Personeel

    • Motivatie: om mensen te motiveren is het belangrijk op hun behoeften in te spelen.

    • Selecteren en werven: juiste mensen op de juiste plek.

    • Opleiding

    • Variabel belonen

  • Cultuur en managementstijl. Er bestaan zes cultuurtypen volgens de cultuur typologie van Van Peursen en Mentink: mythisch, magisch, ontologisch, substantialistisch, functioneel en operationalistisch.

    • Normen en waarden

    • Stijl van het management:

      • Individueel: er bestaan vijf profielen die een manager kan aannemen: contactpersoon, politiek manager, ondernemer, real-time manager en/of teammanager.

      • Collectief: hier wordt onderscheid gemaakt tussen strakke delegatie en losse delegatie.

    • Communicatie:

Natuur bestaat uit grondstoffen. Hiertoe rekenen we:

  • Locatie geconcentreerd of gedeconcentreerd

  • Integreren van een andere afdeling

  • Service level agreements

  • Standaarden met betrekking tot kwaliteit

Kapitaal bestaat uit:

  • Financiële middelen

    • Budgetteren

    • Kostprijsberekening

    • Doorbelasting

  • Technologie

    • Product automatisering

    • Werkplek automatisering

Informatie bestaat uit bestuurlijke informatieverzorging.

  • Inrichting van het proces

  • Volgt procedures en richtlijnen.

  • Maatregelen van interne controle

  • Rapportages van het management

  • Uitwisseling van informatie voor informele kanalen

Het ontwerpen en het implementeren van besturings- en beheersingsprocessen kan in vier stappen:

  1. Plannen: in deze fase worden activiteiten gepland en worden de concrete doelstellingen geformuleerd. De twee hoofddoelen zijn effectiviteit en efficiëntie. Efficiëntie heeft betrekking op de mate waarin hetzelfde bereikt kan worden met minder middelen. Effectiviteit is onder te verdelen in: flexibiliteit, klantgerichtheid, doorlooptijd, betrouwbaarheid en veiligheid.

  2. Inrichten: de besturings- en beheersingsmaatregelen en instrumenten moeten vastgesteld en geïmplementeerd worden.

  3. Uitvoeren: de geplande activiteiten uitvoeren en de gerealiseerde prestaties meten.

  4. Evalueren en indien mogelijk bijstellen. Het resultaat wordt vergeleken met de norm en/of de doelstelling van een organisatie.

De besturings- en beheersingskubus bestaat uit drie dimensies en een groot aantal cellen. Van een manager wordt verwacht dat hij/zij met alle cellen in de kubus kan omgaan. Een operational audit is bedoeld om het besturingsinstrumentarium regelmatig te evalueren. Op deze manier wordt de aansluiting op de beheersingsdoelstellingen gewaarborgd en worden fouten in de balans op tijd ontdekt.

Hoe kan de kwaliteit van informatie worden beheerst? - Chapter 4

Kwaliteit is in dit boek een economisch goed. Het nastreven, waarborgen en handhaven van kwaliteit kost geld. Het informatieverzorgingssysteem valt meestal uiteen in een aantal subsystemen. De kwaliteitsnormen moeten daarom ook per subsysteem bepaald worden. Ze moeten vastgesteld worden voor het proces en voor de op te leveren informatie (het product).

De eisen aan een informatiesysteem worden vastgelegd in een programma van eisen of functionele specificaties. De kwaliteitseisen moeten ook steunen op subjectieve overwegingen en er moet gestreefd worden naar een optima. Soms kan de ene kwaliteitseis belangrijker zijn dan een andere.

Het kwaliteitsprofiel van het bestuurlijke informatieproduct is een geheel van eigenschappen en kenmerken die moeten voldoen aan de eisen.

  1. Begrijpelijkheid: dit is de mate waarin een ontvanger het bericht met zijn eigen verstand kan begrijpen. Het opleidings- of ervaringsniveau kan per persoon verschillen. Wanneer een bericht eenduidig is, zal het bericht begrijpelijker zijn.

  2. Passend in het informatiebeleid. Er is een zekere mate van coördinatie nodig.

  3. Doelgerichtheid in ruime zin: dit heeft betrekking op de geschiktheid van de te verstrekken informatie.

    1. Inhoudelijk doelgericht: de informatie moet relevant, toereikend, beschikbaar, consistent en kwantificeerbaar zijn. Informatie is relevant wanneer het gericht, gedetailleerd en nauwkeurig is, en een kritisch gehalte bevat.

    2. Tijdigheid: informatie is tijdig als het doel van de organisatie nog behaald kan worden. Het is belangrijk of informatie incidenteel of periodiek is.

    3. Presentatievorm: deze vorm moet zo veel mogelijk worden afgestemd op het voorstellings- en interpretatievermogen van de betrokken gebruikers.

  4. Betrouwbaarheid.

Kwaliteit van het bestuurlijke informatieverzorgingsproces

Het proces bestaat uit een aantal fasen:

  • Gegevens verzamelen

  • Gegevens vastleggen

  • Gegevens bewerken

  • Informatie verstrekken

Er moet aan de volgende kwaliteitseisen voldaan worden:

  • Doeltreffendheid.

  • Betrouwbaarheid.

  • Informatiebeveiliging (continuïteit)

  • Flexibiliteit.

  • Gebruikersvriendelijkheid.

  • Doelmatigheid.

  • Privacy bescherming.

Interne berichtgeving

Het management van een organisatie heeft als taak het besturen van de organisatie. Hiervoor is effectieve en efficiënte informatie nodig om een proces te kunnen beheersen. Informatie is nodig over de mensen die aanwezig zijn binnen een organisatie en de omgeving. De planning- en control cyclus speelt een belangrijke rol. Planning heeft betrekking op het aangeven van doelen, voorspellen van mogelijke resultaten en een besluit nemen over de manier waarop de doelen gerealiseerd kunnen worden. Control heeft betrekking op de actie die het besluit begint en de evaluatie van de prestatie die feedback geeft over de prestatie en het plan eventueel kan bijsturen.
Plannen, resultaat rapporten, managementrapportages en budgetten zijn hulpmiddelen die een manager kan gebruiken.

Management en economische prestaties

Management prestaties (management performance) wordt gedefinieerd als de mate waarin het handelen van een manager bijdraagt aan de realisatie van de resultaat.
Economische prestaties (economic performance) wordt gedefinieerd als de mate waarin de economische entiteit een bijdrage geleverd heeft aan het totale bedrijfseconomische resultaat.
Deze twee begrippen kunnen samenvallen, maar dit hoeft niet zo te zijn.
De balanced scorecard richt zich op zowel financiële als niet-financiële prestaties. De vier perspectieven zijn:

  1. Financieel perspectief: hoe zien de aandeelhouders de organisatie?

  2. Bedrijfsprocessen perspectief: wat is de toegevoegde waarde van de bedrijfsprocessen?

  3. Innovatie perspectief: is er een mogelijkheid tot verbetering, verandering en innovatie?

  4. Klant perspectief: hoe ziet een klant de organisatie?

Externe verslaggeving

De externe verslaggeving bestaat uit informatie die verstrekt wordt aan derden, dus aan mensen buiten de organisatie. De doelgroep is dus het verschil met de interne verslaggeving die zich alleen op de interne organisatie richt.

Van managers wordt verwacht dat ze ‘het juist doen en de juiste dingen doen’. Simons (1995) beargumenteert dat er vier levers of control zijn (deelsystemen):

  • Boundary system: stelt grenzen aan het handelen van mensen. Deze grenzen zorgen ervoor dat risico’s vermeden worden.

  • Diagnostic control system: hiermee kan het management vaststellen hoe de organisatie ervoor staat. In hoeverre zijn de doelen van de organisatie bereikt? Het gaat hier om kritische prestatie variabelen.

  • Interactive control system: het gaat hier vooral om informele informatie Strategische onzekerheden worden vastgesteld.

  • Belief system: doelcongruentie (iedereen moet het eens zijn over de doelstellingen). De missie en visie worden vastgesteld en gecommuniceerd.

Davis en Olson (1985) onderscheiden vier strategieën voor informatie analyse, de vier strategieën voor informatieanalyse:

  1. Oberstrategie: dit zijn rechtstreekse vragen. De behoefte moet door de gebruiker van informatie zelf gedefinieerd worden.

  2. Referentiestrategie: hiervan is sprake wanneer het gaat om een stabiel informatiesysteem dat goed geanalyseerd kan worden.

  3. Evolutionaire of prototyping strategie (trial and error): de informatiebehoefte en referentie is lastig van te voren vast te stellen.

  4. Ontwikkelstrategie: er wordt gekeken naar de belangrijkste kenmerken van een organisatie.

Informatieanalyse aan de hand van het tolmodel

Er is een tolmodel ontwikkeld om te verzekeren dat managementinformatie vastgesteld kan worden. Het tolmodel bestaat uit de volgende variabelen: missie, kritische succesfactoren, doelen, doelstellingen, aard van het proces en de structuur, de managementstijl en de cultuur van een organisatie. Factoren kunnen hard (met het oog waarneembaar) en zacht zijn.
Voor de toepassing van het tolmodel wordt de contingentiebenadering gebruikt. De contingentie factoren zijn de factoren uit het tolmodel.

De relevantietypologie (toltypologie) geeft een aanzet tot referentiemodellen voor managementinformatie. De toltypologie behoort tot de referentiestrategie. Het referentiemodel moet gespecificeerd worden om het optimaal aan te laten sluiten op de specifieke situatie van de organisatie. In tegenstelling tot de contingentiebenadering worden de factoren uit het tolmodel bij de typologiebenadering in onderlinge samenwerking beschouwd.

Tolmodel: de bovenkant

De hiërarchie van het tolmodel is visueel weer te geven in een piramide. De piramide is als volgt opgebouwd (van boven naar onder)

  • Missie: dit geeft de richting, de bestaansreden van de organisatie aan.

  • Kritische succesfactoren (KSF): deze worden ook ‘do-wells’ genoemd. Dit zijn gebieden die belangrijk zijn voor het succes of falen van een huishouding.

  • Doelen: dit is een controle invulling van de missie en/of KSF. Een doel is kwalitatief.

  • Doelstelling: dit is een kwantificering van de norm. Het gaat hier om targets of objectives.

De balanced scorecard wordt vaak gebruikt om de doelen en kritische succesfactoren te definiëren. De prestaties worden gemeten en/of bekeken vanuit vier perspectieven (innovatie, intern, klant en financieel). De perspectieven worden door elkaar beïnvloed. Het management wordt door het gebruik van de balanced scorecard verplicht een organisatie te bekijken vanuit meerdere invalshoeken.
Naast de balanced scorecard wordt het EFQM-model gebruikt.

De strategie is een plan waarin de toekomst van een organisatie en de manier waarop het gerealiseerd wordt beschreven. Een strategie bevat ook beleidsregels. Een strategie geeft het wat en het hoe aan (welke doelen, met welke middelen op welke manier).
Porter (1980) beschrijft drie strategieën: kostenleiderschap-, differentiatie- en focusstrategie.

Tolmodel: het midden

Het midden van het tolmodel bestaat uit de factoren die het proces beïnvloeden en de structuur. De primaire processen zijn gericht op het verkrijgen van een product en/of dienst.

Het onderlinge verband (de samenhang) van de verschillende functionele processen in een organisatie wordt weergegeven in een waardekringloop. De informatiebehoefte van het management wordt naast de aard van de functionele processen bepaald door de manier waarop een proces bestuurd en beheerst wordt. Het KAD-model kan hierbij gebruikt worden en richt zich op de inrichting van processen en de beheersing en besturing hiervan. Dit model onderscheidt vier regelkringen: regeling invoer, regeling uitvoer, doorvoerregeling vooruit (flexibiliteit) en doorvoerregeling achteruit (feedback). Er moeten twaalf vragen beantwoord worden bij het ontwerpen van de bestuurlijke informatieverzorging. Deze twaalf vragen kunnen als volgt worden opgedeeld:

  • Wat-vragen: wat betreft welke informatie?

  • Wie-vragen: wat betreft welke taakverdeling?

  • Hoe-vragen: wat betreft welke werkwijze?

  • Wanneer-vragen: wat betreft welk tijdschema?

In dit boek wordt er vanuit gegaan dat bedrijfsprocessen beheersbaar zijn. De doelstellingen en de normen worden hier verondersteld als bekend. Er wordt bijgestuurd als er sprake is van een afwijking van de norm.

Volgens Hofstede (1980) bestaan er verschillende vormen van besturing en beheersing:

  • Routine control

  • Expert control

  • Trial and error control

  • Intuitive control

  • Judgemental control

  • Political control

Volgens Earl en Hopwoord (1988) is de vermindering van de beheersbaarheid afhankelijk van de volgende twee factoren:

  • De mate van onzekerheid over de doelstellingen

  • De mate van onzekerheid wat betreft relevante transformatiefuncties van input en output

De structuur van de organisatie heeft betrekking op het vaststellen en clusteren van taken tot functies, afdelingen etc. Er bestaat een grote samenhang tussen de structuur en de processen. Een structuur kan de volgende verschijningsvormen hebben: functioneel, product, geografisch of markt/klant gericht.
De structuur van een organisatie kan verdeeld worden in twee organisatieonderdelen: lijnorgaan (gericht op primaire proces) en een staforgaan (gericht op de mate van tevredenheid van de lijnorganen).

Er bestaan vijf soorten verantwoordelijkheidsgebieden:

  1. Gestandaardiseerde kostencentrum: de input staat in relatie tot de output. Efficiëntie van het omzettingsproces is belangrijk. Beheersing van de kosten staat voorop.

  2. Opbrengstencentrum: verband tussen input en output is minder duidelijk dan in het kostencentrum. Het centrum onderneemt activiteiten die marktgericht zijn en is verantwoordelijk voor de verkoop en distributie van producten en/of diensten.

  3. Onafhankelijk kosten- of uitgaaf centrum: er bestaat geen duidelijke relatie tussen input en output. Resultaat wordt meestal gemeten m.b.v. de output.

  4. Resultaatcentrum: verantwoordelijk voor de marktgerichte activiteiten en het omzettingsproces. Divisies en business units zijn vaak resultaat centra.

  5. Investeringscentrum: verantwoordelijk voor de productiemiddelen. Als maatstaf wordt hier het rendement van de middelen genomen.

Tolmodel: de onderkant

De stijl van het management en de organisatie cultuur worden gezien als zachtere factoren. Deze factoren bevinden zich aan de onderkant van het tolmodel.
De managementstijl is de stijl die het management aanneemt (hanteert) om processen te beheersen en te besturen. Een manager is dus iemand die een proces bestuurt en/of beheerst. Er worden twee managementstijlen onderscheiden:

  • Individuele management stijl. Volgens Bots en Jansen (1991) zijn er vijf managementprofielen:

    • Contactpersoon: extern gericht, informeel, protocol informatie.

    • Politiek manager: informele en tactische informatie.

    • Ondernemer: markt- en interne informatie: toekomstgericht.

    • Real-time manager: interne beheersingsinformatie, operationeel.

    • Teammanager: persoons- en taal/resultaat gerichte informatie.

  • Collectieve management stijl. Deze stijl maakt onderscheid tussen strakke en losse delegatie.

    • Strak: gedetailleerde rapportage, hoge frequentie van rapportages, prognoses spelen een belangrijke rol, gericht op de input, transformatie en output.

    • Los: rapporteert de hoofdlijnen, lage frequentie van rapportages, nadruk ligt op het al dan niet behalen van het gewenste eindresultaat, gericht op de output.

Mentink (1989) stelt dat een organisatie vergeleken kan worden met een ijsberg. In het midden van de ijsberg zit de waterspiegel. Alle elementen die boven de ijsberg zitten zijn zichtbaar. Voorbeelden zijn: organisatiemode, planning/analyse, strategie, formeel, proces en data model. Onder de waterspiegel zitten elementen die niet zichtbaar zijn, maar wel van invloed zijn op de doelen en functioneren van een organisatie. Voorbeelden zijn: de cultuur, waarden, normen, identiteit, informeel, motivatie, status, imago en houding.

Volgens Van Peursen en Mentink bestaan er drie cultuur fasen (A, B en C). Alle drie de cultuurfasen kennen een positieve- en een negatieve kant wat leidt tot 6 cultuur typen. Alle typen worden door de organisatie doorlopen en zal de negatieve kant zo veel mogelijk proberen te vermijden:

  • Fase 1A: Mythische cultuur (positief). De directeur of de baas staat aan het roer. Er wordt improviserend gewerkt, maar geluisterd naar de normen en waarden van de baas. De werknemers zijn klantgericht en de managementstijl is de stijl van een ondernemer. De baas heeft persoonlijk contact met de werknemers en de besluitvorming gaat top-down. Een voorbeeld is: familiebedrijven.

    • Informatieverzorging: alleen de directeur geeft inrichting. De informatie die de directeur nodig heeft is het belangrijkst.

  • Fase 2A: Magische cultuur (negatief). De leider kan de greep op de organisatie verliezen. Wanneer dit niet geaccepteerd wordt door de leider leidt dit tot verstarring van de organisatie. Het protest zal groeien en negatieve verhalen en geruchten ontstaan over de leider.

    • Informatieverzorging: de leider wil zijn eigen informele circuit behouden. Informatiesystemen zijn technisch gericht.

  • Fase B1: Ontologische cultuur (positief). Deze organisaties worden gedreven door financieel-economische overwegingen en dit leidt tot formele doelen. Sterke nadruk op planning en beheersing. Besluitvorming gaat zeer procedureel.

    • Informatieverzorging: dit wordt systematisch geregeld en de systemen geven meestal afdelingsgerichte informatie.

  • Fase B2: Substantialistische cultuur (negatief). Hier bestaat een afstand tussen de werknemers en de leiders. Iedereen is bezig met zijn eigen afdeling. Sub-optimalisatie van het geheel vindt plaats. Dit is het gevaar voor verstarring tot een bureaucratie.

    • Informatieverzorging: afdelingsgerichte informatie voor politieke managers.

  • Fase C1: Functionele structuur (positief). Dit type organisatie is gericht op de elementen die van belang zijn zowel binnen als buiten de organisatie. De organisatie is klantgericht, actiegericht en flexibel. Er bestaat een interactieve besluitvorming.

    • Informatieverzorging: de informatiesystemen richten zich op de beheersing en uitvoering van bedrijfsprocessen (individueel proces en het geheel).

  • Fase C2: Operationalistische cultuur (negatief). Een bepaald aspect in de organisatie wordt erg overdreven (te klantgericht of te werknemersgericht).

    • Informatieverzorging: het gaat niet meer om relevante informatie, maar om het informatie verstrekken. Er vindt een afkeer plaats tegen de automatisering.

Hoe kan de interne betrouwbaarheid van informatie worden beheerst? - Chapter 5

Inleiding: intern betrouwbaarheidssysteem

Het interne betrouwbaarheidssysteem heeft drie doelen:

  1. Betrouwbaarheid van informatie.
    Het gaat hier om zowel externe als interne informatiestromen. De juistheid en volledigheid van informatie is hier van belang. Is alles juist geboekt? Is alles volledig geboekt? De maatregelen die hierop betrekking hebben, worden omschreven als een informatiecontrole.

  2. Betrouwbaarheid van handelen.
    Werknemers worden geacht te handelen in het belang van de organisatie in plaats van individueel belang. Bovendien vindt er een bevoegdheidscontrole plaats. Met de term compliance (rechtmatigheid) wordt bedoeld dat voor medewerkers.

  3. Zorgvuldig omgaan met de waarden van de organisatie.
    Hier vindt een bewaringscontrole plaats: maatregelen die zich richten op de beveiliging van waarden en een controle op de manier van aanwending. Er bestaan preventieve (gesloten magazijnen, inrichten proces, camera toezicht) en repressieve beveiligingsmaatregelen (controle op juistheid).

Het COSO Internal Control Framework bestaat uit vijf elementen:

  1. Controle omgeving

  2. Risico analyse

  3. Maatregelen van interne controle

  4. Informatie en communicatie

  5. Monitoring en beheer

Effectiviteit van het interne betrouwbaarheidssysteem wordt bepaald door de mate waarin er wordt voldaan aan de wet- en regelgeving (bevoegdheidscontrole), de bewaringscontrole en de informatiecontrole.

Controle omgeving

De verantwoordelijkheid voor de interne betrouwbaarheid ligt voornamelijk bij de directie. Door toenemende schandalen is het toezicht door het instellen van een raad van commissarissen toegenomen. Om problemen te voorkomen zijn drie verdedigingslinies (three lines of defense) opgesteld:

  1. Eerste verdedigingslinie: dit is de lijnorganisatie (managers van de afdeling). De managers richten zich op preventieve en repressieve maatregelen.

  2. Tweede verdedigingslinie: deze linie wordt gevormd door de administratie, de controller en de directie.

  3. Derde verdedigingslinie: deze linie wordt gevormd door interne accountants.

  4. Vierde verdedigingslinie: deze linie vindt plaats buiten de organisatie, en houdt toezicht op de zowel de interne als de externe accountant. Er bestaat ook nog een externe accountant die meestal rapporteert aan de RvC. De auditcommissie houdt toezicht op de eerste drie linies.

De controle omgeving wordt behandeld aan de hand van 5 inrichtingsprincipes:

  1. Belang van integriteit en ethische normen en waarden.

  2. De RvC is een onafhankelijk orgaan en houdt toezicht op de werking en ontwikkeling van de interne controle.

  3. Het management en de RvC ontwikkelen een organisatiestructuur aan de hand van de doelen.

  4. De organisatie kan werknemers selecteren, aantrekken, ontwikkelen en houden om de doelstellingen te realiseren.

  5. Werknemers zijn volgens de organisatie verantwoordelijk voor de taken met betrekking tot interne controle en de doelen.

Risico analyse

Voor de opzet van een intern betrouwbaarheidssysteem is een gestructureerde en systematische risico analyse belangrijk. Er bestaan vier principes die bijdragen aan een effectieve risico analyse volgens het COSO model:

  1. De huishouding moet duidelijke doelstellingen formuleren om de risico’s te kunnen bepalen. Doelstellingen hebben betrekking op de informatiecontrole, bevoegdheidscontrole en bewaringscontrole.

  2. De huishouding doet een risico analyse op basis van eerder geformuleerde doelstellingen. De risico’s kunnen geaccepteerd, beperkt, verzekert en vermeden worden.

  3. Het risico van fraude wordt expliciet meegenomen. Er wordt gesproken van fraude wanneer er onrechtmatig gemanipuleerd is met de gegevens. Er kan fraude plaats vinden als er sprake is van een motivatie, gelegenheid en rationalisatie.

  4. Er wordt rekening gehouden met veranderingen die invloed kunnen hebben op het interne betrouwbaarheidssysteem.

Maatregelen van interne controle

De preventieve maatregelen zijn van te voren door de directie of het management vastgesteld en hebben betrekking op de opzet van de organisatie. Voorbeelden zijn begrotingen, normen en tarieven, functiescheiding, beveiliging van zaken, procedures en richtlijnen, en preventieve IT controls. De repressieve maatregelen worden achteraf door het management of de directie uitgevoerd. Voorbeelden zijn een cijferbeoordeling, verband controles, detailcontroles, waarneming ter plaatse en repressieve IT controls.

Een interne controle kan zowel vervangbaar als onvervangbaar zijn. Vervangbaar houdt in dat afwijkingen of gebreken hersteld kunnen worden met dezelfde en/of gelijksoortige werkzaamheden. Wanneer het onvervangbaar is, kan een accountant of een derde een gebrek achteraf niet meer herstellen.

De preventieve maatregelen van interne controle zijn soms vervangbaar (alleen door adviezen). De repressieve maatregelen van controle zijn veelal wel vervangbaar door een externe accountant.

De betrouwbaarheidstypologie richt zich op het ontwerpen van een effectief intern betrouwbaarheidssysteem. Het geeft een vertrekpunt van een intern controlesysteem.

Informatie en communicatie

De plaats van informatie en communicatie in het interne betrouwbaarheidssysteem richt zich op het verkrijgen en eventueel produceren van genoeg informatie met betrekking tot de invloed van de risico’s op het interne betrouwbaarheidssysteem. Daarnaast moeten de doelstellingen en verantwoordelijkheden open en goed gecommuniceerd worden.

De interne controle maatregelen moeten aan het management/directie gerapporteerd worden. Vermeld moet worden of de controle maatregelen echt uitgevoerd zijn en wat de bevindingen/resultaten zijn van de uitvoering van deze interne controle maatregelen.

Een goede communicatie in de organisatie is belangrijk om eventuele fouten of betrouwbaarheidsproblemen vroegtijdig op te lossen. Een belangrijk element van de corporate governance code is de klokkenluiders regeling. Deze regeling houdt in dat problemen wat betreft de betrouwbaarheid gemeld worden aan een onafhankelijke partij.

Monitoring

Dit is het laatste element van het interne betrouwbaarheidssysteem. Vastgesteld moet worden dat de voorschriften van het systeem nageleefd worden. Bovendien moet gekeken worden of het systeem nog effectief is met betrekking tot de opzet. Het monitoren bestaat uit twee activiteiten:

  1. Bekijken/vaststellen of de maatregelen voor de interne controle ook zijn uitgevoerd zoals vooraf afgesproken is.

  2. Bekijken/beoordelen of de maatregelen nog effectief en efficiënt zijn.

Interne controlebegrippen

Controleren wordt gedefinieerd als een oordeel vormen over een object door het object te toetsen aan de norm. De norm wordt aangeduid met ‘sol’ ende waargenomen werkelijkheid met ‘ist’.

Het controleproces bestaat uit drie fasen:

  • Vaststellen van de norm. De norm moet onafhankelijk tot stand gekomen zijn. Hoe harder de norm, hoe zekerder het zal zijn dat de oorzaak tussen de norm en de werkelijkheid aan de werkelijkheid ligt.

  • Meten van de werkelijkheid. De meting en controle mag niet door dezelfde persoon gedaan worden. Dit kan resulteren in opzettelijke fouten of manipulatie.

  • Conclusies trekken en formuleren van het betrouwbaarheidsoordeel.

Er bestaan drie vormen van controle (afhankelijk van de persoon die de controle uitvoert):

  • Zelfcontrole: de controle wordt uitgevoerd door de persoon die zelf verantwoordelijk is voor het object dat gecontroleerd wordt.

  • Interne controle: de controle wordt uitgevoerd door de directie of toezichthouders op de oordeelsvorming of de activiteiten van anderen in de huishouding.

  • Externe controle: de controle wordt gedaan door iemand die geen onderdeel is van de organisatie.

De volgende controlebegrippen worden behandeld:

  • Directe en indirecte controle.
    Een directe controle wordt uitgevoerd door directe waarneming van het te controleren object. Een indirecte controle is een controle die gedaan wordt aan de hand van resultaten van activiteiten.

  • Formele en materiële controle.
    Een formele controle is een controle die vaststelt of voldaan is aan de gestelde voorwaarden. Een materiële controle is een controle die kijkt naar de betekenis van een handeling of een transactie. Hier wordt gekeken naar de doelstellingen van een organisatie.

  • Positieve en negatieve controle.
    Een positieve controle is een controle die kijkt of de informatie juist gerapporteerd is. Een negatieve controle kijkt of de informatie volledig gerapporteerd is. Een cycle gerichte benadering is een benadering die zich richt op de volledigheid van de opbrengsten. De typologie van Starreveld richt zich echter op de betrouwbaarheid van informatie.

  • Detailcontrole en totalencontrole.
    Een detailcontrole is een controle die zich richt op de betrouwbaarheid van in een gegevensopstelling verwerkte gegevens (bijvoorbeeld prijs/aantal van een verkoopfactuur). Een totalencontrole is een controle waarbij het totaal gecontroleerd wordt.

Hoe kunnen de preventieve maatregelen van de interne controle worden toegepast? - Chapter 6

De preventieve maatregelen van de interne controle hangen onderling samen. Met behulp van begrotingen, normen en tarieven kan een cijferbeoordeling uitgevoerd worden wanneer deze vergeleken worden met de werkelijkheid. Dit is een vorm van oordeelsvorming ex ante. Een strategisch plan wordt omgezet in een omzet- en afzetplan, een capaciteitsplan, inkoopplan, activiteiten plan en investeringsplan. Dit wordt uitgewerkt in een begroting. Er wordt onderscheid gemaakt tussen vaste en variabele kosten en tussen directe en indirecte kosten.

De volgende methoden worden gebruikt om de kostprijs te bepalen:

  • Direct costing (variabele kostprijsmethode). Alleen de directe variabele kosten worden meegenomen bij het berekenen van de kostprijs.

  • Integrale kostprijscalculatie (absorption costing). Zowel de vaste als de variabele directe kosten worden meegenomen.

  • Activity based costing. De kostprijs wordt zo nauwkeurig mogelijk bepaald. De indirecte kosten worden ook meegenomen.

  • Target costing. Er wordt een bepaalde kostprijs vooraf gesteld en de organisatie probeert precies tegen deze prijs te produceren.

Het opstellen van normen is een voorbeeld van oordeelsvorming ex ante. Normen kunnen toleranties hebben die afhankelijk zullen zijn van de aard van het proces waarop ze betrekking hebben. Normen zijn minder hard wanneer de doelstellingen minder nauwkeurig gesteld zijn.

Een prognose is een voorspelling. Zowel een prognose als een begroting is een resultaat van een oordeelsvormingsproces. Een budget en/of een plan gaat verder, omdat hier een specifieke bestuur beslissing aan ten grondslag ligt. Plannen kan een activiteit zijn, maar ook als de resultaten van een activiteit. Wanneer het begrip plannen gezien wordt als een activiteit, heeft het een taakstellend/autoriserend karakter.

Oordeelsvorming ex ante levert de volgende bijdrage:

  • De betrouwbaarheid van informatie kan hiermee beoordeeld worden (denk aan een cijferbeoordeling).

  • Het geeft een norm waarmee in een later stadium de bevoegdheidscontrole uitgevoerd kan worden.

De kwaliteit van een oordeel is van belang wanneer gesproken wordt over betrouwbaarheid. De kwaliteit van het oordeel ex ante wordt beïnvloed door deze factoren:

  • De kwaliteit van de basis gegevens die gebruikt zijn bij het opstellen van het oordeel ex ante.

    • Aard van de gegevens (historisch/toekomstgericht of intern/externe gegevens).

    • De bron van de gegevens (intern of extern).

    • Het beheer van de verzameling gegevens (verantwoordelijkheid, toegangsbeveiliging, en maatregelen wat betreft de continuïteit spelen een rol).

  • De kwaliteit van de methode en de aanvaardbaarheid van de stellingen.

  • Eerdere ervaringen

  • De kennis en de plaats in de organisatie van de persoon die het oordeel opstelt.

Functiescheiding

Functiescheiding wordt naast de verbandcontroles geplaatst. Dit komt omdat door functiescheiding gecontroleerd kan worden op de betrouwbaarheid van informatie en op de aanwezigheid van waarden. Een functie is de verzameling van taken, rechten en verplichtingen die een bepaalde persoon moet uitvoeren. Vaak wordt binnen een organisatie gebruik gemaakt van een taakverdeling en een functieverdeling. Meestal wordt dit formeel vastgelegd. Organisaties werken meestal met een organogram.

Er worden zes uitgangspunten onderscheiden voor het toepassen van functiescheiding:

  1. Het aantal schakels dat één persoon kan beïnvloeden moet beperkt zijn.

  2. Beslissingen tot het beschikken over zaken kunnen alleen genomen worden door een onafhankelijk persoon (iemand die er niet zelf mee belast is).

  3. Uitvoerende werknemers mogen niet lang goederen en geld onder zich hebben (tenzij er sprake is van regelmatige controle).

  4. Er moeten mogelijkheden zijn tot het verkrijgen van wederzijdse controlerende verantwoordingsverslagen van personen met niet identieke/ tegengestelde belangen.

  5. Werknemers die beschikkende, bewarende en uitvoerende takken hebben mogen niet verantwoordelijk zijn voor het voeren van de administratie waarmee de taak gecontroleerd wordt.

  6. Sommige delen van de administratie hebben een bewarend karakter, bijvoorbeeld debiteuren en crediteuren. Deze mogen niet gecontroleerd worden door de persoon die deze administratie bij houdt. Het gaat hier om vorderingen en schulden.

De volgende vijf functies worden onderscheiden bij de toepassing van de vorige uitgangspunten:

  • Beschikken

  • Uitvoeren

  • Bewaren

  • Registreren

  • Controleren

De controle-technische functiescheiding moet met beleid worden toegepast. Het richt zich op één bepaald aspect van het totale bedrijfsbelang, terwijl er meerdere aspecten bestaan. Wanneer functievermenging optreedt, moeten er maatregelen genomen worden om de controleerbaarheid te kunnen waarborgen.

Er bestaat een negatieve relatie tussen de omvang van de organisatie en de mogelijk om functiescheiding te creëren. Kleinere bedrijven hebben minder mogelijkheden tot functiescheiding. Bij actieve deelname van eigenaar of eigenaren zal er minder behoefte bestaan.

Functiescheiding gaat meestal gepaard met de automatisering van functies en bevoegdheden. Hiermee wordt vooral de logische toegangsbeveiliging tot het geautomatiseerde systeem bedoeld.

Procedures en richtlijnen
De procedures en richtlijnen beperken de bevoegdheden van werknemers en leggen deze ook structureel vast. De vastlegging zorgt voor een bijdrage aan de betrouwbaarheid van informatie.

Een procedure is de vaste manier van handelen die is voorgeschreven door het management of de directie. Vaak bestaat een procedure uit een aantal stappen. Er is meestal weinig ruimte voor eigen interpretatie. Een procedure wordt gezien als een handleiding voor werknemers zodat er uniform gehandeld wordt.

Een richtlijn geeft de richting voor werknemers aan van handelen. De bandbreedte hiervan wordt meestal bepaald door het management of de directie.

Het verschil tussen een richtlijn en een procedure is dat een richtlijn een bepaalde bandbreedte geeft, terwijl een procedure vaste stappen heeft die gevolgd moeten worden. Een procedure is dwingend en een richtlijn niet.
Procedures en richtlijnen zorgen voor minder vrijheid van handelen voor werknemers. Dit kan een negatief effect hebben.

Hieronder worden een aantal procedures beschreven die belangrijk zijn voor bepaalde processen.

  • Inkoopproces

    • Offerteprocedure

    • Contractprocedure

    • Bestelprocedure

  • Crediteurenproces

    • Procedure voor betaalbaarstelling

  • Voorraadproces

    • Ontvangstprocedure

    • Afgifte procedure

  • Verkoopproces

    • Prijsprocedure

  • Debiteurenproces

    • Kredietwaardigheidstoetsing

    • Aanmaningsprocedure

    • Incasso procedure

Beveiliging van zaken

De beveiliging van zaken kan geplaatst worden naast waarneming ter plaatse. Het is een controle middel dat ervoor zorgt dat goederen, capaciteit en geld de organisatie onrechtmatig gebruikt of verlaat. De beveiliging van zaken speelt vooral een grote rol in het voorraadproces. De beveiliging van zaken kan net als de overige maatregelen een bijdrage leveren aan de bewaringscontrole, informatie controle en de bevoegdheidscontrole/ zicht houden op naleving wet- en regelgeving.
Voorbeelden zijn cameratoezicht, gebied afgrenzen met hekken, kluisjes, oogtoezicht, diefstalpoortjes en magazijnen afsluiten.

Hoe kunnen de repressieve maatregelen van de interne controle worden toegepast? - Chapter 7

In dit hoofdstuk wordt gekeken naar de repressieve maatregelen. Het gaat om oordeelsvorming ex post. In de eerste paragraaf ligt de focus op de cijferbeoordeling.

Cijferbeoordeling is een bedrijfseconomische analyse en tevens interpretatie van de opgestelde financiële en niet-financiële overzichten. Verbanden kunnen opgespoord worden of het kan gaan om nog niet ontwikkelde verbanden. Vormen van vergelijking kunnen zijn:

  • Cijfers over de werkelijkheid kunnen vergeleken worden met de begroting of een andere verwachting.

  • Cijfers over de werkelijkheid kunnen vergeleken worden met dezelfde cijfers maar dan uit een andere periode, bijvoorbeeld de vorige.

  • Cijfers over de werkelijkheid kunnen vergeleken worden met cijfers van andere processen, voorraden of organisatie-eenheden.

Om een cijferbeoordeling effectief en efficiënt uit te kunnen voeren, moet voldaan zijn aan de volgende voorwaarden:

  • De verantwoording moet afkomstig zijn uit het informatiesysteem van de organisatie. Dit moet vastgesteld worden.

  • De persoon die de controle uitvoert moet een kritische houding hebben en kennis van zaken.

  • Toereikende informatie in de verantwoording is noodzakelijk om een zinvolle cijferbeoordeling te maken.

  • De cijferbeoordeling moet aangevuld worden met verdere werkzaamheden wanneer relevante afwijkingen ontdekt worden.

De cijferbeoordeling voor veelvoorkomende processen: inkoopproces, crediteuren, voorraad, verkoopproces en debiteuren.

Verbandscontroles

De verbandscontrole wordt naast de preventieve maatregel functiescheiding geplaatst. Het hoofd van de administratie controleert of er vooraf een relatie bestaat tussen de gegevens. De omspannende verbandscontroles leveren een bijdrage aan de bevoegdheidscontrole, bewaringscontrole en de informatiecontrole. Ze berusten op twee basis wetten:

  1. De wet van samenhang tussen gebeuren en toestand. Dit is de BETA formule: het verschil tussen de begin- en eindhoeveelheid moet gelijk zijn aan het verschil tussen de afgiften en toevoegingen van een zaak.

  2. Het rationele verband tussen de verkregen en opgeofferde zaken. Hier wordt een verband gelegd tussen twee of meer stadia van de waardekringloop. Bijvoorbeeld: beginvoorraad + inkopen – verkopen = eindvoorraad of
    begin + inkopen – eindvoorraad = verkopen

De informatie is niet altijd betrouwbaar wanneer er sprake is van een verband omdat:

  • De functiescheiding kan doorbroken zijn of kan niet bestaan.

  • Fouten kunnen elkaar compenseren.

  • Er kunnen verstoringen optreden in de goederenbeweging.

  • Er kunnen pijplijnproblemen zijn: de informatiestromen bevatten niet verwerkte transacties (nog niet ontvangen goederen).

Er worden verbandscontroles uitgevoerd op procesniveau. De volgende processen worden onderscheiden:

  • Inkoopproces: afboeking inkoop = opboeking voorraad +/- prijsverschillen = ontvangen inkoopfacturen = opboeking crediteuren

  • Crediteuren: afboeking crediteuren = afboeking banksaldo

  • Voorraden: afboeking voorraad = opboeking kostprijs verkopen

  • Verkoopproces: afboeking voorraden + brutomarge = opboeking omzet = opboeking debiteuren

  • Debiteuren: afboeking debiteuren = opboeking bank ontvangsten + niet inbare vorderingen

Detailcontrole

De detailcontrole staat gelijk aan de preventieve maatregel procedures en richtlijnen. Hier worden alle aspecten van een gebeurtenis of toestand in detail gecontroleerd. Er wordt gebruik gemaakt van audit software dat hoge eisen stelt aan de manier waarop gegevens vastgelegd en vastgesteld worden.

Op de volgende aspecten wordt gecontroleerd:

  • Informatiecontrole: gegevens afnemer, prijs van verkoop, code van het artikel, datum, aantal.

  • Bevoegdheidscontrole: soort kosten, goedkeuring van het management, rekenkundige juistheid.

  • Bewaringscontrole: code, aantal, inkoopordernummer en datum.

Waarneming ter plaatse

Waarneming ter plaatse staat gelijk aan de preventieve maatregel beveiliging van zaken. Waarneming ter plaatse richt zich op de fysieke werkelijkheid van een object.

  • Waarneming ter plaatse op het bedrijfsgebeuren. Dit wordt uitgevoerd door de leidinggevende van een organisatie. Voorbeelden zijn controle op naleving van veiligheidsvoorschriften/productievoorschriften, controle op aanwezigheid van werknemers.

  • Waarneming ter plaatse op debiteuren. Belangrijk is de vaststelling van het bestaan en waardering van de voorraad. Soms is er sprake van een afloopcontrole of een saldobevestiging. Wanneer debiteuren niet zullen betalen, zal het bedrag alsnog afgeboekt moeten worden. Dit mag alleen na toestemming van de directie.

  • Waarneming ter plaatse op crediteuren. De juistheid van de post crediteuren wordt vastgesteld met behulp van geautoriseerde inkooporders. Hier is sprake van een voortgezette controle op de betalingen.

  • Kasopname. Dit gebeurt wanneer de onderneming beschikt over een voorraad contant geld. Bij de kasopname moeten altijd twee personen aanwezig zijn. Dit is het vierogen principe.

  • Waarneming ter plaatse gericht op voorraden inventarisatie. Bij inventarisatie kan onderscheid gemaakt worden tussen inventarisatie ‘from floor to list’ of ‘from list to floor’. Inventarisatie from floor to list houdt in dat de aanwezige voorraad geteld wordt en vermeld wordt op een lijst. Inventarisatie van from list to floor houdt in dat degene die controleert een lijst krijgt met daarop de aanwezige voorraad. Dit is vaak uit praktische overwegingen. Vormen van inventarisatie zijn:

    • Integrale inventarisatie (de hele voorraad wordt geteld).

    • Partieel roulerende inventarisatie (de voorraad wordt deels geteld).

    • Simultane inventarisatie (verschillende voorraden worden tegelijkertijd geteld).

    • Inventarisatie op een kritisch moment (praktische overweging wanneer voorraad moeilijk te tellen is bijvoorbeeld een silo).

Het ontwerp

De doelstellingen van het interne betrouwbaarheidssysteem zijn: betrouwbaarheid van informatie, betrouwbaarheid van handelen en zorgvuldig omgaan met de waarden van een organisatie.

Er bestaat een stappenplan voor het ontwerpen van een intern betrouwbaarheidssysteem. Het ontwerpen van het systeem is vaak een iteratief proces. Het bestaat uit de volgende stappen:

  • Het inrichten van de controleomgeving. Naast de algemene vragen van de COSO bestaan er specifieke aspecten die een rol spelen namelijk:

    1. De aard van de waardekringloop en het betrouwbaarheidstype van de organisatie.

    2. De wet- en regelgeving die van toepassing is.

    3. De organisatiecultuur en de stijl van het management (leiding geven).

    4. Best practice (kan als uitgangspunt genomen worden).

  • Het uitvoeren van een risicoanalyse. Hierbij spelen belangrijke punten:

    1. De doelen moeten duidelijk geformuleerd zijn.

    2. De risico’s worden opgesteld op basis van de betrouwbaarheidsdoelen en geanalyseerd met betrekking tot impact en kans.

    3. Er wordt rekening gehouden met fraude.

    4. Er wordt rekening gehouden met veranderingen die (mogelijk) van invloed zijn op het interne betrouwbaarheidssysteem.

  • Het ontwerpen van een passende mix van interne controlemaatregelen. De risico’s kunnen hierdoor eerder gemitigeerd worden. De maatregelen kunnen opgesteld worden in een referentiemodel of in een intern betrouwbaarheidssysteem. Het stelsel moet effectief en efficiënt zijn en moet voldoende rekening houden met de omgeving van een organisatie.

  • Het bepalen van de benodigde managementinformatie. Er moeten administratieve processen ontworpen en geïmplementeerd worden die de resultaten van een de uitgevoerde interne controlemaatregelen vastleggen in een rapport.

  • Het ontwerp van monitoring. Er wordt onderscheid gemaakt in de volgende monitoringsactiviteiten:

    1. Informatie winnen over de resultaten van de uitgevoerde interne controle activiteiten.

    2. Controleren of de voorschriften nageleefd zijn.

    3. Periodiek vaststellen of het interne betrouwbaarheidssysteem nog aansluit bij de kenmerken van de controleomgeving en de vastgestelde risico’s.

Welke invloed kunnen ICT systemen hebben op informatie beheersing? - Chapter 10

Tegenwoordig maken vrijwel alle organisaties gebruik van geautomatiseerde informatiesystemen (ICT). Het bestaat uit de volgende elementen:

  • Apparatuur

  • Programmatuur

  • Gegevens

  • Mensen

  • Structuur en de werking van een organisatie: procedures liggen vast in voorschriften. Voorschriften liggen vast in documentatie.

Een geautomatiseerd informatiesysteem moet goed werken, anders levert het geen effectieve bijdrage. Exclusiviteit en controleerbaarheid spelen een belangrijk rol. Exclusiviteit houdt in dat alleen een bepaalde groep de bevoegdheid heeft om gegevens te muteren of kopiëren van gegevens of kennis te nemen van informatie van andere systeemcomponenten. Controleerbaarheid houdt in dat aangetoond kan worden dat de gegevens betrouwbaar ingevoerd, verwerkt en op geslagen zijn. De betrouwbaarheid van de werking kan door effectieve controlemaatregelen gewaarborgd worden.

Het proces van geautomatiseerde gegevensverwerking bestaat uit de volgende stappen:

  • Op strategisch niveau een informatieplan ontwikkelen.

  • Op tactisch niveau een geautomatiseerd informatiesysteem bouwen en invoeren.

  • Op operationeel niveau een het geautomatiseerde systeem onderhouden, beheren en gebruiken.

Invloed ICT op functiescheiding

Controle-technische functiescheiding houdt in dat toegang tot bestanden gerealiseerd kan worden door logische toegangsbeveiliging. De beschikkende functie wordt gekenmerkt door het nemen van beslissingen. Beslissingen kunnen genomen worden door een expert systeem wanneer het gaat om onzekere factoren. Een routinematige beslissing kan echter vooraf geprogrammeerd worden: een geprogrammeerde beslissing. Het is belangrijk te onthouden dat hier door het ICT systeem een conclusie wordt getrokken en geen beslissing wordt genomen. ICT geeft ondersteuning wanneer een mens een beslissing moet nemen. Soms kan het proces geheel geautomatiseerd worden door gebruik te maken van robots. Robots zorgen ervoor dat eenduidig werk niet verslapt waardoor de betrouwbaarheid toeneemt. Naast robots kan gebruik gemaakt worden van proces bestuurde machines. De bewerking wordt grotendeels onder toezicht automatisch uitgevoerd. De bewerking wordt en kan echter niet geautomatiseerd worden. Tegenwoordig wordt de bewaringsfunctie steeds meer overgenomen door geautomatiseerde systemen. Computers kunnen ook de functie van het kasregister en POS (point of sale) over. Binnen de functie registreren bestaan veel geautomatiseerde handelingen. Hetzelfde geldt voor de controlefunctie. Vooral bij massaproductie is veel geautomatiseerd. Soms wordt hier gebruik gemaakt van matching.

Invloed van apparatuur configuraties

Er worden drie eisen gesteld aan informatietechnologie:

  • Het systeem moet gebruiksvriendelijk zijn: gemak, genot en gewin (3 G’s).

  • Het systeem moet robuust zijn: het moet tegen een stootje kunnen, het moet lange tijd bruikbaar zijn.

  • De technologie moet waarborgen bieden voor de betrouwbare informatieverwerking.

Autorisatiecontrole: in het systeemprogrammatuur voor online realtime gegevensverwerking kunnen hiervoor maatregelen opgenomen worden. Mitigatie van controles: controle handelingen werden eerst uitgevoerd door gebruikers en tegenwoordig worden er controles uitgevoerd in het systeem- en toepassingsprogrammatuur.

Het gebruik van databaken vereist bijzondere controle- en beveiligingsmaatregelen omdat meerdere mensen gelijktijdig gebruik kunnen maken van bepaalde informatie. Het databasemanagementsysteem is ontwikkeld om opslag, gebruik, beveiliging enzovoorts te reguleren dat betrouwbaarheid gewaarborgd is. Het systeem bevat een logfile waarmee precies gekeken kan worden wie geprobeerd heeft toegang te krijgen tot het systeem. De database administrator implementeert de toegangsregels tot het systeem. Hierdoor is hij verantwoordelijk voor de effectiviteit van het systeem.

Er wordt onderscheid gemaakt tussen grootschalig geautomatiseerde gegevensverwerking en kleinschalig geautomatiseerde gegevensverwerking. Bij grootschalig is het zinvol om permanent een goed stelsel van controlemaatregelen en beveiliging te implementeren. Bij kleinschalig bestaat er vaak een beveiligingsmanager. Deze manager heeft alle bevoegdheden met betrekking tot de beveiliging. De manager mag geen dagelijkse bemoeienis hebben met de organisatie.

Tegenwoordig maakt vrijwel iedereen gebruik van een personal computer (PC). Snel kwam de mogelijkheid computers aan elkaar te verbinden door een netwerk. In dit netwerk wordt een server opgenomen die de operationele beheertaken van het netwerk uitvoert. Dit wordt de client server architectuur genoemd.

Bij ERP- en CRM-systemen kunnen afdelingen met elkaar samenwerken op basis van één database. ERP-systemen zijn ontstaan vanuit de productieaansturing. CRM-systemen zijn ontstaan vanuit de behoefte om het verkoopproces en het client managementproces beter te managen.

Veel organisaties houden tegenwoordig contact met hun omgeving via het internet: elektronisch berichtverkeer of mobiele berichtverkeer. Er moeten maatregelen geïmplementeerd worden omdat het betrouwbaarheid van de communicatiemiddelen vaak niet voldoende is.

Application Service Providers: dit zijn service organisaties die softwareapplicaties en ICT diensten beschikbaar stellen aan klanten. Velen kiezen ervoor de ICT activiteiten geheel of deels uit te besteden aan derden. Dit moet vastgelegd worden in een dienstverleningsovereenkomst.

Cloud computing is sterk in opkomst. De gegevens bevinden zich in een wolk, in ‘the cloud’. De opslag wordt meestal beheerd door derden. Wanneer de wolk beschikbaar is voor iedereen wordt gesproken van een ‘public cloud’. Er is sprake van een private cloud wanneer de wolk alleen toegankelijk is voor de organisatie. De ICT-diensten kunnen verschillen van vorm:

  • Software as a service (SAAS).

  • Platform as a service (PAAS).

  • Infrastructure as a service (FAAS).

Er wordt gesproken van big data wanneer gewerkt wordt met één of meer datasets die te groot zijn om te onderhouden met reguliere databasemanagementsystemen. Het gaat om de hoeveelheid data, de snelheid waarmee data binnenkomt en opgevraagd wordt, en de diversiteit van data. Youtube wordt niet gerekend tot big data, omdat de mogelijkheden om data te analyseren beperkt zijn.

General controls

De algemene interne controlemaatregelen worden ook general controls. De general controls zijn maatregelen die van invloed zijn op alle applicaties binnen een organisatie. Het raamwerk behandelt de volgende onderwerpen:

  • De IT functie plannen en beheren

  • ICT-systemen aanschaffen en implementeren

  • ICT-systemen beheren en de werking ervan beoordelen

In de fase plannen en organiseren worden de volgende vragen opgesteld:

  • Organisatie van de ICT-functie en de benodigde functiescheidingen.

    • De plaats van de ICT-organisatie.

    • Gebruikers versus automatiseringsorganisatie

    • Ontwikkelen van systemen versus gegevensverwerking

    • Gegevensverwerking versus bewaring van programmatuur en/of gegevensverzamelingen. Wat moet beheerd worden? (zie tabel hieronder).

  • Het security control framework. Dit framework is opgesteld om risico’s te mitigeren.

Gegevens

Programma’s

Apparatuur

Functioneel

Databeheer

Applicatiebeheer

Exploitatiebeheer

Technische

Database beheer

Programmabeheer

Apparatuur beheer

Bouwen, aanschaffen en implementeren
Hoe groter de organisatie, hoe belangrijker het wordt procedures voor te schrijven. Op deze manier worden ongewenste handelingen en willekeur voorkomen. De belangrijkste voorschriften hebben te maken met:

  • De juiste leverancier van een applicatie selecteren

  • Nieuwe toepassingen in gebruik nemen en ontwikkelen

  • Toepassingen die in gebruik genomen zijn wijzigen

  • Documentatie van systemen

  • Een service level agreement afsluiten met een externe ICT-provider

Beheer en verwerking

De gegevensverwerking moet planmatig uitgevoerd worden. Dit is ten behoeve van de doelmatigheid en de versterking van de betrouwbaarheid van de productie. De planning kan ondersteund worden door het operatingsysteem. Daarnaast moet er logging- en accountinginformatie beschikbaar zijn bij de controle op het verwerkingsproces.
Er wordt gebruik gemaakt van back up apparatuur om continuïteitsverbreking te voorkomen. De gegevens kunnen ook op een uitwijkadres verwerkt worden op apparatuur van derden.
De herstelprocedure zorgt ervoor dat de productie zo snel mogelijk hervat kan worden wanneer er sprake is geweest van een storing. Twee aspecten zijn hierbij van belang:

  • De productie herstarten zonder dat er gegevens of bewerkingen verloren zijn gegaan of dubbel worden uitgevoerd. Tijdens de productie worden herstartpunten of checkpoints aangebracht.

  • Gegevens die onbruikbaar geworden zijn kunnen gereconstrueerd worden. Dit berust op de techniek van dumpen: de inhoud wordt gekopieerd naar een andere locatie. Grootvader-vader-zoonprincipe houdt in dat de grootvader mag ‘overlijden’ nadat de kleinzoon geboren is. Het laatste kopie mag niet vernietigd worden wanneer er nog geen nieuw gemaakt is.

Monitoring van de evaluatie en toegang
Om als management een beeld te krijgen van de werking van de interne controle maatregelen kunnen de onderstaande manieren van toepassing zijn:

  • Eigen waarneming

  • Sociale controle

  • Delegatie van controle

  • GRC-systemen (governance risk compliance). Dit systeem geeft aan of de geautomatiseerde controle maatregelen al dan niet gefunctioneerd hebben.

  • Externe controle

Specifieke controles

In deze paragraaf wordt in gegaan op de specifieke controles, ook de application controls genoemd. Deze controlemaatregelen zijn gerelateerd aan de specifieke ICT-applicaties.

De volgende typen application controls worden onderscheiden:

  • Logische toegangsbeveiliging. Interne controlemaatregelen die toegang regelen tot het systeem en applicaties.

  • Input controls. Interne controlemaatregelen die zorgen voor een juiste en volledige invoer van de applicatie.

  • Processing controls. Interne controlemaatregelen die zorgen voor een juiste en volledige verwerking van de ingevoerde gegevens.

  • Output controls. Interne controlemaatregelen die zorgen voor een juiste en volledige uitvoer.

De logische toegangsbeveiliging zijn de interne controlemaatregelen die ervoor zorgen dat zowel het systeem als de individuele applicaties afgeschermd zijn. Bij general controls gaat het om het afschermen van het hele systeem.

De gebruikers van bestanden kunnen de volgende bevoegdheden hebben:

  • Lezen

  • Toevoegen

  • Veranderen

De betrouwbaarheid van de werking van logische toegangsbeveiliging (boundary controls) kan beperkt worden door:

  • Slordige omgang met wachtwoorden

  • De competentietabel niet goed bijhouden (hierin zijn de bevoegdheden van de gebruiker vastgelegd).

  • Het bestaan van superusers. Deze gebruikers hebben enorm veel rechten.

Invoercontroles kunnen geprogrammeerd worden. De ingevoerde gegevens kunnen in een wachtbestand gezet worden of een deel van de ingevoerde gegevens kan in een wachtbestand gezet worden. Dit wordt gedaan omdat het opnemen van teveel controles in de verwerking kan zorgen voor vertraging. De volgende vormen van toetsing wordt gebruikt bij de invoercontroles:

  • Toetsing aan directe of indirecte opgaven

  • Materiële verbandcontrole

  • Toetsing aan ex ante gegevens

Deze controles kunnen handmatig of automatisch uitgevoerd worden.

Automatisch:

  • Ingebouwde invoercontroles (hardware controles). Deze worden apparatuur technisch uitgevoerd. Een voorbeeld is een read check of een pariteitcontrole.

  • Geprogrammeerde invoercontroles. Er bestaan geprogrammeerde invoercontroles die altijd geactiveerd moeten worden (databasemanagementsysteem) en controles die gericht zijn op specifieke toepassingen. De logische beveiligingsmaatregelen worden uitgevoerd door computerprogramma’s.

    • Controles waarbij geen toleranties worden toegestaan

      • Totaalcontrole

      • Verbandcontrole

      • Volgordecontrole

      • Bestaanbaarheidscontrole

    • Controles waarbij een tolerantie wel is toegestaan

      • Redelijkheidscontrole

      • Tolerantiecontrole in de vorm van een verbandscontrole

Processing controls: Deze controls kunnen opgedeeld worden in communicatie controlemaatregelen en database controlemaatregelen.

Communicatiecontrole: de controle op de transmissie van gegevens. Deze zijn meestal ingebouwd of opgenomen in het deel van de systeemprogrammatuur dat de transmissie regelt. De controles richten zich op een correcte, juiste overdracht:

  • De identificatie van de zender en de ontvanger door codes die opgenomen zijn in het deel van het bericht waarmee deze geopend wordt.

  • De afgrenzing van berichten met afgesproken codes waarmee een bericht geopend en gesloten kan worden.

  • Constateren of het bericht goed overgekomen is.

Er kan gebruik gemaakt worden van cryptografische technieken zodat er niet afgetapt kan worden. Het bericht wordt door de verzender gecodeerd en door de ontvanger gedecodeerd. Enkele voorbeelden zijn: een firewall, een digitale handtekening en het inschakelen van derden.

De controle op de gegevensverwerking. Soms kunnen controles ingebouwd worden op het correct/juist uitvoeren van rekenkundige bewerkingen (zoals de herhaling van een bewerking). Er kan een netwerk van controletotalen gebouwd worden. De ICT controleert vervolgens of alle verbanden die opgenomen zijn in het netwerk nog bestaan.

De controle op de gegevensverzameling richten zich op het voorkomen van ongeoorloofd wijziging van gegevens. Een voorbeeld is dat gegevens verloren kunnen gaan of dat gegevens elkaar tegen kunnen spreken. De gegevensverzameling wordt meestal in een logfile vastgelegd. Er bestaan drie mogelijkheden: offline, online of een gegevensbank onder toezicht van een databasemanagementsysteem. Onderdeel van het databasemanagementsysteem kan een data dictionary of directory systeem zijn. Hierin is een logische beschrijving van alle gegevenstypen in de gegevensbank opgenomen. Er kan een toegangsconflict (access conflict) wanneer meerdere gebruikers tegelijkertijd toegang willen hebben tot de gegevens.

Controle op de uitvoer: output controles
Twee typen kunnen onderscheiden worden:

  1. Controles waarbij geen toleranties worden toegestaan

    1. Totaalcontrole

    2. Verbandcontrole

    3. Volgordecontrole

    4. Bestaanbaarheidscontrole

  2. Controles waarbij een tolerantie wel is toegestaan

    1. Redelijkheidscontrole

    2. Tolerantiecontrole

Join World Supporter
Join World Supporter
Log in or create your free account

Why create an account?

  • Your WorldSupporter account gives you access to all functionalities of the platform
  • Once you are logged in, you can:
    • Save pages to your favorites
    • Give feedback or share contributions
    • participate in discussions
    • share your own contributions through the 7 WorldSupporter tools
Follow the author: Vintage Supporter
Promotions
verzekering studeren in het buitenland

Ga jij binnenkort studeren in het buitenland?
Regel je zorg- en reisverzekering via JoHo!

verzekering studeren in het buitenland

Ga jij binnenkort studeren in het buitenland?
Regel je zorg- en reisverzekering via JoHo!

Access level of this page
  • Public
  • WorldSupporters only
  • JoHo members
  • Private
Statistics
[totalcount]
Content categories
Comments, Compliments & Kudos

Add new contribution

CAPTCHA
This question is for testing whether or not you are a human visitor and to prevent automated spam submissions.
Image CAPTCHA
Enter the characters shown in the image.