Uitgebreide samenvatting vak BIV-IB

BIV-Interne
Beheersing




NYENRODE BUSINESS UNIVERSITEIT

,Inhoudsopgave
Overzicht leerdoelen BIV-IB ............................................................................................................................. 3
WEEK 1 | College 1 ........................................................................................................................................... 8
Inleiding - sheets ................................................................................................................................................ 8
NV COS 315 – Risico’s op afwijking materieel belang identificeren en inschatten door inzicht te verwerven in
de entiteit en haar omgeving ........................................................................................................................... 13
Three Lines model ............................................................................................................................................ 14
WEEK 1 | College 2 ......................................................................................................................................... 18
Inleiding - sheets .............................................................................................................................................. 18
Wrigley & Karla - Business Model Canvas en de vijf strategieën .................................................................... 20
WEEK 2 – College 3 & 4................................................................................................................................... 29
Inleiding - sheets .............................................................................................................................................. 29
Paape – ‘In control’ verklaringen: gebakken lucht of een te koesteren fenomeen? ....................................... 32
Kaplan & Mikes – Drie soorten risico’s ............................................................................................................. 38
COSO ICIF (Internal Control - Integrated Framework) - 2013 .......................................................................... 44
Vergelijking theorie week 2 .............................................................................................................................. 50
WEEK 3 – College 5 ......................................................................................................................................... 51
Inleiding – sheets .............................................................................................................................................. 51
Boritz – IS practitioners’ views on core concepts of information integrity ...................................................... 61
Tee - Factors influencing organizations to improve data quality in their information systems ....................... 66
WEEK 3 – College 6 ......................................................................................................................................... 71
Starreveld | Waardekringloop, functiescheiding & typologiën............................ Error! Bookmark not defined.
Romney & Steinbart | Accounting Information System ....................................... Error! Bookmark not defined.
Sheets en aantekeningen ................................................................................ Error! Bookmark not defined.
WEEK 4 – College 7 & 8................................................................................................................................... 76
Inleiding - sheets .............................................................................................................................................. 76
NBA handreiking 1148 – Het verkrijgen van inzicht in soft controls i.h.k.v. de jaarrekeningcontrole ............. 79
Kaptein - Developing and testing a measure for the ethical culture of organizations: the corporate ethical
virtues model.................................................................................................................................................... 83
Meyer – Build a corporate culture that works ................................................................................................. 86
Schein - Three levels of culture ........................................................................................................................ 89
Quinn & Cameron - Organisatiecultuur ............................................................................................................ 91
Yohn – Company culture is everyone’s responsibility ...................................................................................... 94
WEEK 5 – College 9 & 10 ................................................................................................................................. 96
Inleiding - sheets .............................................................................................................................................. 96
Ouchi – A conceptual framework for the design of organizational control mechanisms ................................ 97
Merchant & van der Stede - Management Control Systems, Performance Measurement, Evaluation And
Incentives (2007) ............................................................................................................................................ 103
Simons - Levers of control .............................................................................................................................. 114
Kaplan en Norton - Balanced Scorecard ......................................................................................................... 125
WEEK 6 – College 11 & 12 ............................................................................................................................. 131
Inleiding - sheets ............................................................................................................................................ 131
Jeurissen en Van de Ven | Elementen van ethiek .......................................................................................... 132
1

, Sheets en aantekeningen .......................................................................................................................... 134
Karssing en Jeurissen | Dialogische integriteitstoets ..................................................................................... 135
Sheets en aantekeningen .......................................................................................................................... 137
Martin – Through ethics looking glass ............................................................................................................ 138
De Vries & De Vries – Zonder dialoog geen compliance ................................................................................ 142
WEEK 7 – College 13 ..................................................................................................................................... 144
Inleiding - sheets ............................................................................................................................................ 144
Institute of risk management – Risk guidance paper ..................................................................................... 148
COSO Enterprise Risk Management – Integrating with strategy & performance 2017 ................................. 151
Taleb – Six mistakes’ executives make in risk management .......................................................................... 160




2

,Overzicht leerdoelen BIV-IB
College 2 - Dat organisaties verschillende strategieën
kunnen hebben
- Dat deze strategieën invloed hebben op het
businessmodel van de organisatie
- Dat verschillende businessmodellen een impact
hebben op de informatieverzorging van de
organisatie
College 3 - Wat een organisatie is
- Het belang van organisatiedoelstellingen
- De verschillende elementen van het besturen
van een organisatie
- De begrippen Administratieve Organisatie en
Management Control
- Het belang van informatie voor het besturen
van de organisatie
College 4 - Verschillende definities van interne
beheersing/in control zijn
- Dat er verschillende soorten risico’s bestaan die
ieder op hun eigen manier worden behandeld
- Dat beheersing bestaat uit een mix van
preventieve, detectieve en correctieve
maatregelen die bijdragen aan een integere en
beheerste bedrijfsvoering
College 5 - Het belang van informatie voor de interne
beheersing
- Hoe informatie wordt gebruikt binnen de
organisatie
- Hoe we kwaliteit van informatie definiëren
- Wat het begrip informatiekwaliteit inhoudt
- Welke bijdrage automatisering (en in het
bijzonder een ERP-systeem) kan leveren aan
kwaliteit en integriteit
College 6 - Wat administratieve organisatie inhoudt
- Het verschil tussen internal control en interne
controle
- Belangrijkste elementen van administratieve
organisatie
- Hoe dit leidt tot een verbetering van de kwaliteit
van informatie
College 7 - Het belang van de organisatiecultuur voor de
interne beheersing
- Wat soft controls zijn
- Hoe je een organisatiecultuur opbouwt
College 8 - Wat cultuur inhoudt
- Welke soorten cultuur je tegen kan komen
binnen een organisatie
- Hoe dat de interne beheersing (niet) helpt
- Wie verantwoordelijk is voor het creëren van de
organisatiecultuur
College 9 - Wat Management Control is
- Wat doelcongruentie is
- Wat controlmechanismen volgens Ouchi zijn
- Welke controls Merchant heeft geïdentificeerd
- Wanneer je welke control activities het beste
kan inzetten
3

, College 10 - Wat Empowerment is
- Waarom dat soms nodig is
- Hoe je dan toch In Control blijft
- Wat performance management is
- Wat Kritische Succes factoren en Kritische
Prestatie Indicatoren zijn
College 11 - Wat ethiek en integriteit is
- Welke soorten ethiek we onderkennen
- Welke rol ethiek en integriteit spelen in de
interne beheersing
College 12 - Welke factoren impact hebben op ethiek en
integriteit
- Welke maatregelen je moet nemen om ethisch
gedrag te kunnen faciliteren
College 13 - Wat risico’s zijn, en wat ze niet zijn
- Wat risicomanagement is
- Wat het COSO-ERM 2017 model inhoudt
- Wat risicotolerantie en risicobereidheid
inhouden
- Welke valkuilen er zijn als je risicomanagement
toepast

Indeling colleges:
Organisatie (1 en 2) Interne beheersing (3 en 4) Informatie & processen (5)
- NV COS 315 - Paape - Boritz
- Three lines model - COSO ICIF (2013) - Tee
- Wrigley - Kaplan & Mikes
Gedrag & cultuur (7 en 8) Management control (9 en 10) Ethiek & integriteit (11 en 12)
- Kaptein - Ouchi - Jeurissen
- Meyer - Merchant & v/d Stede - Martin
- Schein - Simons - De Vries & De Vries
- Quinn & Cameron - Kaplan & Norton
- Yohn
Risicomanagement (13 en 14)
- COSO ERM (2017)
- Kaplan & Mikes
- Institute of
riskmanagement
- Taleb & Goldstein

Tips mondeling:




4

,Vragen waarmee vaak begonnen wordt bij een mondeling:

1) Hoe zou je BIV uitleggen aan iemand die niets van BIV weet?
BIV-IB staat voor Bestuurlijke Informatievoorziening & Interne Beheersing.
- Bestuurlijke Informatievoorziening (BIV) gaat over het zo inrichten van processen, systemen en
rapportages dat managers en bestuurders de juiste, betrouwbare en tijdige informatie krijgen om
beslissingen te nemen.
- Interne Beheersing (IB) gaat over de maatregelen binnen een organisatie om risico’s te beperken,
fouten en fraude te voorkomen, en ervoor te zorgen dat de organisatie haar doelen veilig en efficiënt
kan bereiken.

Je kunt BIV-IB bekijken vanuit drie invalshoeken die elkaar ook overlappen:
1. Processen: hoe werk is georganiseerd
2. Data en systemen: informatie en IT
3. Mensen en gedrag: integriteit, cultuur en gedrag

Als deze drie invalshoeken goed met elkaar samenwerken, is er sprake van effectieve en betrouwbare
bestuurlijke informatievoorziening en interne beheersing.




TIP: je kan nadat je de definitie hebt gegeven ook direct zeggen ‘ik heb een klant die goed past bij dit vak,
namelijk …’. Vaak vragen ze dan naar de klant en wat het IB-probleem is.

2) Wat is het verschil tussen de brede benadering en de traditionele benadering?
De traditionele benadering focust vooral financiële rapportages, het voorkomen van fouten en fraude en het
beschermen van activa. De brede benadering kijkt verder en neemt ook governance, cultuur, gedrag en
langetermijnwaardecreatie mee.

Eventuele vervolgvraag: Waarom is de traditionele benadering van IB niet meer voldoende?
De traditionele benadering is niet meer voldoende omdat organisaties tegenwoordig met veel bredere
uitdagingen te maken hebben. Het gaat niet alleen om betrouwbare cijfers, maar ook om efficiënt en effectief
werken, voldoen aan steeds complexere regelgeving, risico’s beheersen, strategie en continuïteit waarborgen
én rapporteren over duurzaamheid. Door schandalen is het belang van interne beheersing bovendien extra
toegenomen. Daarom is een bredere benadering nodig.

3) Waarom is het vak BIV-IB essentieel voor een accountant in opleiding?
Volgens NV COS 315 is het de verantwoordelijkheid van de accountant om risico’s op een afwijking van
materieel belang te identificeren en in te schatten. Daarvoor moet de accountant inzicht krijgen in de entiteit
en haar omgeving, waaronder de interne beheersing en informatievoorziening. De interne beheersing is de
verantwoordelijkheid van het management, maar als accountant moet je begrijpen hoe die werkt om de
risico’s goed te kunnen beoordelen. Het vak BIV-IB helpt ons daarbij, omdat het ons leert vanuit een
managementperspectief naar interne beheersing en informatievoorziening te kijken en om te begrijpen hoe
managers hun processen beheersen en welke informatie daarvoor nodig is.

5

,Vervolgvraag: wat voor informatie heeft een manager nodig?
De informatie die een manager nodig heeft hangt af van de doelstellingen en processen die hij moet
beheersen. In de context van BIV-IB en interne beheersing kun je drie hoofdcategorieën onderscheiden:
1. Operationele informatie
• Gegevens over de dagelijkse gang van zaken: productieaantallen, voorraden, klantorders,
doorlooptijden, bezettingsgraad, etc.
• Hiermee kan de manager beoordelen of processen efficiënt en effectief verlopen.
2. 2. Financiële informatie
• Cijfers over opbrengsten, kosten, marges, kasstromen, debiteuren/crediteuren, en budget vs.
realisatie.
• Dit is nodig om de betrouwbaarheid van de financiële verslaggeving te waarborgen en tijdig
bij te sturen.
3. 3. Risico- en compliance-informatie
• Informatie over interne controles, signalen van fraude of fouten, naleving van wet- en
regelgeving, kwaliteitsnormen, enz.
• Hiermee kan de manager de risico’s bewaken en voldoen aan interne en externe eisen.




6

,Voorbeelden van verbanden tussen artikelen

ONTHOUD: zodra je over risico’s begint, benoem je altijd COSO en Kaplan & Mikes!
ONTHOUD: Het COSO-model heeft een koppeling met alle andere artikelen die je moet behandelen.
- COSO ICIF → Internal controls (Simons)
- COSO ICIF → vermijdbaar risico (Kaplan & Mikes)
- COSO ERM → strategisch/extern risico (Kaplan & Mikes)
- COSO ERM → data (Tee & Boritz)
- COSO ICIF → cultuur → ethiek → Jeurissen
- COSO ICIF → cultuur → Kaptein

Risico: kwaliteit → vermijdbaar risico (Kaplan & Mikes) → COSO ICIF
Risico: personeelstekort → vermijdbaar risico (Kaplan & Mikes) → motivational lack (Merchant)

Kaplan & Mikes → COSO ICIF → cultuur → Kaptein → Jeurissen

Stap 1 in het model van Simons is strategie bepalen → strategie bepalen aan de hand van BSC (Kaplan &
Norton)

Diagnostic control system (Simons) → bepalen KPI’s (stappenplan voor een goede BSC) (Kaplan & Norton)

Quinn & Cameron (welke culturen zijn er?) → Yohn (hoe kan je een cultuur veranderen?

Definitie in control zijn (Paape) → relatief begrip → zijn namelijk altijd Black Swans (Taleb)

In control is relatief begrip (Paape) → kan geen absolute zekerheid worden gegeven door bepaalde factoren
(zoals menselijke fouten) (COSO ICIF)

Factoren beïnvloeding gedrag: sociale normen (De Vries & De Vries) → groupthinking (bias) (Kaplan & Norton)




7

,WEEK 1 | College 1
College 1 kent geen leerdoelen. Hieronder worden de leerdoelen behandeld uit de oude BIV-IB cursus, maar
die lijken wel erg nuttig zijn om alsnog te leren!


Inleiding - sheets
Leerdoel 1 - Je kunt aan derden het belang van internal control voor organisaties uitleggen.
Wat is internal control?
Bij internal control (=interne beheersing) gaat het om het beheersen van de bedrijfsprocessen binnen de
organisatie om organisatiedoelen te halen. Interne controle is gericht op het controleren van de uitvoering van
processen binnen de organisatie (preventief, detectief of repressief). Stappenplan van interne controle: soll en
ist, toetsen, analyseren en rapporteren.

Dus IB zorgt ervoor dat bedrijfsprocessen en informatie daarover onder controle worden gehouden, waardoor
de doelstellingen effectief en efficiënt worden gerealiseerd.

Wie beheerst de bedrijfsprocessen bij interne beheersing?
Interne beheersing is primair de verantwoordelijkheid van het management: zij richten processen en controles
in om de organisatiedoelen te bereiken. Medewerkers voeren deze controles uit in hun dagelijkse werk, terwijl
een interne auditfunctie (indien aanwezig) toetst of de beheersing effectief is. De externe accountant
beoordeelt alleen of de beheersing voldoende is voor een betrouwbare jaarrekening. Kortom: iedereen draagt
bij, maar het management is eindverantwoordelijk.

Leerdoel 3 - Je kunt aan anderen uitleggen waarom het belangrijk is om vanuit het perspectief van het
management naar interne beheersing te kijken
Waarom is interne beheersing belangrijk voor organisaties (manager)?
Het onder controle krijgen van bedrijfsprocessen en de bijbehorende informatie stromen is essentieel om de
doelstellingen van de organisatie te realiseren. Eén van die doelstellingen is ook om een betrouwbare
jaarrekening op te leveren (!!). Management heeft de verantwoordelijkheid om risico’s te beheersen en interne
controles in te richten.

Relevante onderwerpen die daarbij aan bod komen zijn:
- De externe omgeving (stakeholders) waarin de organisatie opereert
- De missie, visie en strategie van de organisatie
- De bedrijfsprocessen en maatregelen van interne beheersing
- De gebruikte informatie en informatiesystemen
- De interne omgeving – governance, organisatiestructuren, cultuur, mensen en gedrag
- Risicomanagement
- Monitoring interne beheersingsmaatregelen

Maar ook:
- Bescherming van activa en middelen (fraude)
- Naleving wet- en regelgeving
- Reputatiebeheer
- Continuïteit van de bedrijfsvoering
- Betere benutting van kansen
- Verbeterde besluitvorming

Twee belangrijke vragen binnen het vak BIV-IB zijn:
1. Hoe kan een manager de bedrijfsprocessen onder controle krijgen?
2. Welke bestuurlijke informatie of managementinformatie heeft hij daarvoor nodig?




8

, Waarom is interne beheersing belangrijk voor de accountant?
NV COS 315: ‘De doelstelling van de accountant is het identificeren en inschatten van de risico’s op een
afwijking van materieel belang als gevolg van fraude of fouten’ (daartoe is kennis van het IB-systeem
essentieel).

Hoe identificeert een accountant risico’s op een afwijking van materieel belang?
- Dit vereist inzicht in de entiteit en haar omgeving, met inbegrip van haar interne beheersing
- Hiervoor moet je weten hoe de manager de relevante bedrijfsprocessen onder
controle heeft en de informatie die hiervoor nodig is

Waarom is het vak BIV-IB essentieel voor een accountant in opleiding? (!)
Het vak BIV-IB is essentieel voor een accountant in opleiding, omdat het helpt om een oordeel te kunnen
vormen over de interne beheersing en de realisatie van de doelstellingen van interne beheersing, waaronder
betrouwbare financiële informatie. Hiervoor is het belangrijk om beheersingsvraagstukken te bekijken vanuit
het perspectief van het management en te begrijpen hoe de manager de relevante bedrijfsprocessen onder
controle heeft en welke informatie daarvoor nodig is. Pas als je begrijpt hoe interne beheersing werkt vanuit
dit perspectief, kun je als accountant begrepen worden en een goed oordeel vormen (bijvoorbeeld over de
jaarrekening, in control zijn en de managementletter).

Waarom zijn bedrijfsprocessen bij interne beheersing zo van belang?
Vanuit NV COS 315 wordt vereist dat de accountant inzicht verkrijgt in de entiteit en haar omgeving, met
inbegrip van haar interne beheersing. De bedrijfsprocessen zijn daarin ongelofelijk belangrijk, omdat we daarin
de interne beheersing terugvinden en hiervoor informatie en informatiesystemen nodig hebben. Aangezien de
manager de primaire verantwoordelijkheid heeft over de processen binnen de organisatie, moet de accountant
interne beheersing en het beheersingsvraagstuk ook vanuit dit perspectief bekijken.

LET OP: bedrijfsprocessen vormen het hart van interne beheersing, maar effectieve interne beheersing strekt
zich ook uit tot structuur, cultuur, informatie en toezicht.

Waaruit bestaat een IB-systeem (COSO ICIF)?
- Interne beheersingsomgeving;
- Het risico-inschattingsproces van de entiteit;
- Het proces van de entiteit om het interne beheersingssysteem te monitoren;
- Het informatiesysteem en communicatie;
- Interne beheersingsactviteiten.

Wat is een intern beheersingsprobleem?
Het management wil graag iets bereiken, vastgelegd in de doelstellingen van de organisatie. Het management
heeft daar, in grote lijnen, de volgende bedrijfsmiddelen voor:
- Activa (en passiva)
- Mensen
- Informatie (om te kunnen verantwoorden en beslissingen te nemen)

Uiteraard leven we niet in een perfecte wereld, dus er kan best een hoop misgaan binnen een organisatie.
Processen kunnen niet efficiënt of effectief zijn, medewerkers kunnen 'rare' dingen doen of informatie is niet
betrouwbaar. Daarmee komt het realiseren van de doelstellingen van een organisatie in gevaar! Dit zijn interne
beheersingsproblemen die door het management moeten worden opgelost en daarvoor worden
beheersingsmaatregelen genomen.




9