Algemeen
Doel van BIV IB
Aandacht besteden hoe de processen zijn ingestoken (processen), beïnvloeden van medewerkers om hetzelfde
doel na te streven (gedrag), betrouwbare informatie (informatie). De maatregelen die het management treft
om de doelstellingen te behalen
Onderwijsprogramma
Het vakgebied Bestuurlijke Informatieverzorging (verder: BIV) richt zich in zijn algemeenheid op de wijze
waarop het management van ondernemingen en andere organisaties bedrijfsprocessen beheerst, de rol die
bestuurlijke informatie daarin speelt en de wijze waarop de kwaliteit van deze informatie kan worden
gewaarborgd
Benaderingen
Bij dit vak is het niet meer voldoende om enkel naar de traditionele benadering te kijken. Traditioneel is
gericht op:
- Finance, accounting en auditing
- Betrouwbaarheid financiële rapportages
- Bescherming bezittingen tegen misbruik
- Detectie technische fouten en fruade
De traditionele benadering= bedrijfstype + bedrijfsprocessen, risico’s en maatregelen + kwaliteit van
(financiële) informatie.
Volgens de traditionele benadering ben je in control als:
- De financiële informatie betrouwbaar en relevant is;
- De ingaande kasstromen uit transacties volledig zijn;
- De uitgaande kasstromen uit transacties juist zijn
- De bezittingen zijn beschermd tegen ongeoorloofd verwerven, gebruiken of vervreemden ervan
Bij dit vak gaan we naar een brede benadering. Bij een brede benadering blijft de traditionele focus de basis,
maar richten we ons meer op een bredere governance, bedrijfsmatige focus (3 lines model). Naast de
betrouwbare financiële rapportage ook effectiviteit en efficiency, operations en compliance (COSO model).
Omgeving, mens, cultuur en gedrag bepalen of voordelen van een effectief control systeem benut worden.
Belang van IB vanuit de organisatie
Het belang van IB voor een organisatie is voornamelijk om schandalen te voorkomen. Het onder controle
krijgen van bedrijfsprocessen en de bijbehorende informatie stromen is essentieel om de doelstellingen van
de organisatie te realiseren. Eén van die doelstellingen is ook om een correcte jaarrekening op te leveren.
Belang van IB vanuit de accountant
NV COS 315 vereist dat we inzicht verkrijgen in een organisatie om een afwijking van materieel belang te
identificeren. Om een oordeel te kunnen vormen over de interne beheersing en de realisatie van de
doelstellingen van interne beheersing, waaronder betrouwbare financiële informatie, helpt het je vanuit het
perspectief van het management te kunnen kijken en de beheersingsvraagstukken vanuit hun perspectief te
doorgronden. Begrip van de organisatie leidt tot inzicht wat het management doet en waarom. Dat verbetert
de risicoanalyse die de accountant doet. Vanuit NV COS 315 kun je dus makkelijk de koppeling maken met
COSO ICF.
Wat is een intern beheersingsprobleem?
Het management wil graag iets bereiken, vastgelegd in de doelstellingen van de organisatie. Het management
heeft daar, in grote lijnen, de volgende bedrijfsmiddelen voor:
- Activa (en passiva)
- Mensen
- Informatie (om te kunnen verantwoorden en beslissingen te nemen)
Uiteraard leven we niet in een perfecte wereld, dus er kan best een hoop misgaan binnen een organisatie.
Processen kunnen niet efficiënt of effectief zijn, medewerkers kunnen 'rare' dingen doen of informatie is niet
,betrouwbaar. Daarmee komt het realiseren van de doelstellingen van een organisatie in gevaar. Dit zijn
interne beheersingsproblemen die door het management moeten worden opgelost en daarvoor worden
beheersingsmaatregelen genomen.
Hoe verhoudt risicomanagement zich tot IB?
Betrouwbaarheid van de (financiële) informatie is ook één van de doelstellingen van Enterprise Risk
Management (COSO ERM). Strategisch doel van ERM is het realiseren van de ondernemingsdoelstellingen in
overeenstemming met de missie van de organisatie. De informatievoorziening is hiervan een afgeleide. De
scope van een ERM systeem is breder dan die van IB. Interne beheersing is meer een verplichting in het kader
van regelgeving, ERM is iets dat je zou moeten willen.
Risicomanagement heeft een aantal functies die ook in het kader van Interne Beheersing belangrijk zijn:
- het bevorderen van het risicobewustzijn bij het management en andere medewerkers
- het beperken van de gevoeligheid voor optredende incidenten
- het bieden van een basis om op een rationele en efficiënte manier beheersingsmaatregelen te kunnen
nemen, dat wil zeggen dat de maatregelen zijn afgestemd op de risico’s en dat een kosten/baten-
afweging bij de maatregelen wordt gemaakt.
Men zou kunnen stellen dat een module IB eigenlijk zou moeten beginnen met risk management, aangezien
alle maatregelen gericht zijn op het beperken van risico’s en een goede keuze van maatregelen alleen mogelijk
is wanneer risico’s in kaart worden gebracht en worden afgewogen. Er zijn echter ook beheersingsmaatregelen
die zo evident zijn dat zij altijd genomen zullen worden, zoals de fundamentele functiescheidingen en de
maatregelen die deel uitmaken van de cybernetische regelkring, waaronder budgettering, het leggen van de
verbanden in de waardenkringloop, prestatiebeheersing, etc. Deze maatregelen zijn een must om
bedrijfsprocessen onder controle te kunnen houden. Daarvoor hoeft geen risicoanalyse uitgevoerd te worden.
Een compleet ERM-systeem omvat ook de interne beheersing. Verschil is dat interne beheersing verplicht is in
het kader van regelgeving en ERM zijn eigen toegevoegde waarde moet bewijzen. Een sterk systeem van
interne beheersing is essentieel voor effectief enterprise risk management.
De invloed van externe factoren op IB naar een bredere benadering
Waar de traditionele benadering voor een groot deel nog was gericht op gebruik van intern gegenereerde,
historische en financiële informatie, laten de ontwikkelingen op het gebied van ESG zien dat dit nu niet meer
voldoende is. Meer stakeholders zijn betrokken en organisaties worden mede verantwoordelijk gehouden voor
acties die buiten hun directe invloedssfeer liggen. Denk bijvoorbeeld aan de keuze voor een leverancier: is dat
wel een 'groene' leverancier? Wordt er gebruik gemaakt van kinderarbeid?
Normen zijn (vooralsnog) beperkt aanwezig maar er wordt wel gevraagd naar verantwoording. Het begrip
'materieel' verschuift (zie ook college 1), maar de focus van risicomanagement wordt meer verlegd naar
extern. Dat vergt wat van organisaties. Maar ook de vraag; waar haal je de informatie vandaan?
,Artikelen m.b.t. ESG die later worden besproken zijn WBCSD & IIA en Garst et al.
Wat is een risico?
In het kader van risicomanagement moet risico breder worden gezien, namelijk als iedere afwijking van de
modale verwachting, zowel in positieve als negatieve zin. NV COS 315 Risico's op een afwijking van materieel
belang identificeren en inschatten door inzicht te verwerven in de entiteit en haar omgeving
ACR = IHR * IBR * DR
Stappenplan te volgens tijden tentamen en paper;
1. Beredeneer vanuit de doelstelling van de organisatie. Bepaal deze dus eerst, beargumenteer je
keuze/voer een discussie hierover.
2. Bepaal de bedreiging die in de weg staat van het bereiken van die doelstelling. (probleemanalyse is
essentieel om het juiste model te kiezen).
3. Kies een toepasselijk model bij het probleem en beargumenteer je keuze.
4. Licht kort het model toe (KORT!)
5. Pas het model toe op de casus. Leg de link tussen problematiek casus en het theoretische model
6. Maak oplossingen concreet. Dus blijf niet hangen op het niveau: de organisatie moet iets doen aan….,
maar
7. Geef concreet aan WAT ze dan moeten doen.
8. Tip aanpalende problematiek aan, follow up acties, alternatieve modellen.
COLLEGE 1: INLEIDING
WBCSD & IIA (2022) – Embedding ESG and sustainability considerations into the Three Lines model
Er is behoefte aan een effectieve governance structuur en processen om sustainability te bereiken. Het is niet
meer een kwestie van wanneer, maar van hoe dit te bereiken. Organisatorische inrichting is belangrijk om
doelen te realiseren, het 3LoD model biedt een goed kader hiervoor. In dit artikel wordt aangegeven hoe ESG
gerelateerde zaken hun weerslag vinden in het 3LoD model om te zorgen voor efficiënt en effectief
risicobeheer en intern toezicht. Het management is primair verantwoordelijk voor haar eigen processen.
Daarnaast betreft dit model een risk management aanpak om organisaties te helpen om risico’s te
identificeren en te managen.
Governance body
, Het bestuur staat bovenaan het three lines model om haar governance te sturen en verantwoording af te
leggen aan de RvC en stakeholders. Dit orgaan heeft het overzicht over de hele organisatie en heeft als rol
integriteit, leiderschap en transparantie.
Eerste en tweede lijn (management)
Uitgangspunt van het 3LoD model is dat het lijnmanagement (de business) verantwoordelijk is voor het
realiseren van de eigen doelstellingen en het managen van de bijbehorende risico’s (eerste lijn). Een voorbeeld
hiervan is de inkoopmanager. In de eerste lijn zitten veel verschillende controls, zoals functiescheiding en
application controls.
Daarnaast moet er een functie zijn die de 1 e lijn ondersteunt, adviseert, coördineert en bewaakt of het
management zijn verantwoordelijkheden ook daadwerkelijk neemt (tweede lijn). Deze kijkt o.a. naar welke
soorten risico’s ze zien, hoe deze gemitigeerd moeten worden en door gecommuniceerd moeten worden naar
de eerste lijn. Ze monitoren of de controls in de 1 e lijn goed gaan. Ook bepaalde beleidsvoorbereidende taken
en het organiseren van integrale risk assessments zijn taken van de tweede lijn.
Derde lijn (internal audit)
Ten slotte is het wenselijk dat er binnen de organisatie een functie bestaat die controleert of het samenspel
tussen de eerste en tweede lijn soepel functioneert en daarover een objectief, onafhankelijk oordeel velt met
mogelijkheden tot verbetering. Of er geen overlapping is, of, erger, blinde vlekken bestaan. Deze functie is de
derde lijn, een afdeling - vaak Internal Audit - die volledig los van alle andere organisatieonderdelen opereert.
Deze functie houdt het management scherp en geeft betrouwbaar advies op het behalen van de
organisatorische doelstellingen. Daarnaast rapporteert de internal audit aan het management
Artikel toepassen op ESG:
Rol van governance body
1. Het bestuursorgaan, inclusief de raad van bestuur, definieert organisatiedoelstellingen, evenals
passende structuren en processen voor effectief bestuur. Het bestuursorgaan stemt de doelstellingen
van de organisatie af op de ESG-kwesties die belanghebbenden prioriteit geven, bepaalt de richting en
definieert een bedrijfsdoel dat bredere duuzraamheidsoverwegingen omvat. Dit kan specifiek worden
Doel van BIV IB
Aandacht besteden hoe de processen zijn ingestoken (processen), beïnvloeden van medewerkers om hetzelfde
doel na te streven (gedrag), betrouwbare informatie (informatie). De maatregelen die het management treft
om de doelstellingen te behalen
Onderwijsprogramma
Het vakgebied Bestuurlijke Informatieverzorging (verder: BIV) richt zich in zijn algemeenheid op de wijze
waarop het management van ondernemingen en andere organisaties bedrijfsprocessen beheerst, de rol die
bestuurlijke informatie daarin speelt en de wijze waarop de kwaliteit van deze informatie kan worden
gewaarborgd
Benaderingen
Bij dit vak is het niet meer voldoende om enkel naar de traditionele benadering te kijken. Traditioneel is
gericht op:
- Finance, accounting en auditing
- Betrouwbaarheid financiële rapportages
- Bescherming bezittingen tegen misbruik
- Detectie technische fouten en fruade
De traditionele benadering= bedrijfstype + bedrijfsprocessen, risico’s en maatregelen + kwaliteit van
(financiële) informatie.
Volgens de traditionele benadering ben je in control als:
- De financiële informatie betrouwbaar en relevant is;
- De ingaande kasstromen uit transacties volledig zijn;
- De uitgaande kasstromen uit transacties juist zijn
- De bezittingen zijn beschermd tegen ongeoorloofd verwerven, gebruiken of vervreemden ervan
Bij dit vak gaan we naar een brede benadering. Bij een brede benadering blijft de traditionele focus de basis,
maar richten we ons meer op een bredere governance, bedrijfsmatige focus (3 lines model). Naast de
betrouwbare financiële rapportage ook effectiviteit en efficiency, operations en compliance (COSO model).
Omgeving, mens, cultuur en gedrag bepalen of voordelen van een effectief control systeem benut worden.
Belang van IB vanuit de organisatie
Het belang van IB voor een organisatie is voornamelijk om schandalen te voorkomen. Het onder controle
krijgen van bedrijfsprocessen en de bijbehorende informatie stromen is essentieel om de doelstellingen van
de organisatie te realiseren. Eén van die doelstellingen is ook om een correcte jaarrekening op te leveren.
Belang van IB vanuit de accountant
NV COS 315 vereist dat we inzicht verkrijgen in een organisatie om een afwijking van materieel belang te
identificeren. Om een oordeel te kunnen vormen over de interne beheersing en de realisatie van de
doelstellingen van interne beheersing, waaronder betrouwbare financiële informatie, helpt het je vanuit het
perspectief van het management te kunnen kijken en de beheersingsvraagstukken vanuit hun perspectief te
doorgronden. Begrip van de organisatie leidt tot inzicht wat het management doet en waarom. Dat verbetert
de risicoanalyse die de accountant doet. Vanuit NV COS 315 kun je dus makkelijk de koppeling maken met
COSO ICF.
Wat is een intern beheersingsprobleem?
Het management wil graag iets bereiken, vastgelegd in de doelstellingen van de organisatie. Het management
heeft daar, in grote lijnen, de volgende bedrijfsmiddelen voor:
- Activa (en passiva)
- Mensen
- Informatie (om te kunnen verantwoorden en beslissingen te nemen)
Uiteraard leven we niet in een perfecte wereld, dus er kan best een hoop misgaan binnen een organisatie.
Processen kunnen niet efficiënt of effectief zijn, medewerkers kunnen 'rare' dingen doen of informatie is niet
,betrouwbaar. Daarmee komt het realiseren van de doelstellingen van een organisatie in gevaar. Dit zijn
interne beheersingsproblemen die door het management moeten worden opgelost en daarvoor worden
beheersingsmaatregelen genomen.
Hoe verhoudt risicomanagement zich tot IB?
Betrouwbaarheid van de (financiële) informatie is ook één van de doelstellingen van Enterprise Risk
Management (COSO ERM). Strategisch doel van ERM is het realiseren van de ondernemingsdoelstellingen in
overeenstemming met de missie van de organisatie. De informatievoorziening is hiervan een afgeleide. De
scope van een ERM systeem is breder dan die van IB. Interne beheersing is meer een verplichting in het kader
van regelgeving, ERM is iets dat je zou moeten willen.
Risicomanagement heeft een aantal functies die ook in het kader van Interne Beheersing belangrijk zijn:
- het bevorderen van het risicobewustzijn bij het management en andere medewerkers
- het beperken van de gevoeligheid voor optredende incidenten
- het bieden van een basis om op een rationele en efficiënte manier beheersingsmaatregelen te kunnen
nemen, dat wil zeggen dat de maatregelen zijn afgestemd op de risico’s en dat een kosten/baten-
afweging bij de maatregelen wordt gemaakt.
Men zou kunnen stellen dat een module IB eigenlijk zou moeten beginnen met risk management, aangezien
alle maatregelen gericht zijn op het beperken van risico’s en een goede keuze van maatregelen alleen mogelijk
is wanneer risico’s in kaart worden gebracht en worden afgewogen. Er zijn echter ook beheersingsmaatregelen
die zo evident zijn dat zij altijd genomen zullen worden, zoals de fundamentele functiescheidingen en de
maatregelen die deel uitmaken van de cybernetische regelkring, waaronder budgettering, het leggen van de
verbanden in de waardenkringloop, prestatiebeheersing, etc. Deze maatregelen zijn een must om
bedrijfsprocessen onder controle te kunnen houden. Daarvoor hoeft geen risicoanalyse uitgevoerd te worden.
Een compleet ERM-systeem omvat ook de interne beheersing. Verschil is dat interne beheersing verplicht is in
het kader van regelgeving en ERM zijn eigen toegevoegde waarde moet bewijzen. Een sterk systeem van
interne beheersing is essentieel voor effectief enterprise risk management.
De invloed van externe factoren op IB naar een bredere benadering
Waar de traditionele benadering voor een groot deel nog was gericht op gebruik van intern gegenereerde,
historische en financiële informatie, laten de ontwikkelingen op het gebied van ESG zien dat dit nu niet meer
voldoende is. Meer stakeholders zijn betrokken en organisaties worden mede verantwoordelijk gehouden voor
acties die buiten hun directe invloedssfeer liggen. Denk bijvoorbeeld aan de keuze voor een leverancier: is dat
wel een 'groene' leverancier? Wordt er gebruik gemaakt van kinderarbeid?
Normen zijn (vooralsnog) beperkt aanwezig maar er wordt wel gevraagd naar verantwoording. Het begrip
'materieel' verschuift (zie ook college 1), maar de focus van risicomanagement wordt meer verlegd naar
extern. Dat vergt wat van organisaties. Maar ook de vraag; waar haal je de informatie vandaan?
,Artikelen m.b.t. ESG die later worden besproken zijn WBCSD & IIA en Garst et al.
Wat is een risico?
In het kader van risicomanagement moet risico breder worden gezien, namelijk als iedere afwijking van de
modale verwachting, zowel in positieve als negatieve zin. NV COS 315 Risico's op een afwijking van materieel
belang identificeren en inschatten door inzicht te verwerven in de entiteit en haar omgeving
ACR = IHR * IBR * DR
Stappenplan te volgens tijden tentamen en paper;
1. Beredeneer vanuit de doelstelling van de organisatie. Bepaal deze dus eerst, beargumenteer je
keuze/voer een discussie hierover.
2. Bepaal de bedreiging die in de weg staat van het bereiken van die doelstelling. (probleemanalyse is
essentieel om het juiste model te kiezen).
3. Kies een toepasselijk model bij het probleem en beargumenteer je keuze.
4. Licht kort het model toe (KORT!)
5. Pas het model toe op de casus. Leg de link tussen problematiek casus en het theoretische model
6. Maak oplossingen concreet. Dus blijf niet hangen op het niveau: de organisatie moet iets doen aan….,
maar
7. Geef concreet aan WAT ze dan moeten doen.
8. Tip aanpalende problematiek aan, follow up acties, alternatieve modellen.
COLLEGE 1: INLEIDING
WBCSD & IIA (2022) – Embedding ESG and sustainability considerations into the Three Lines model
Er is behoefte aan een effectieve governance structuur en processen om sustainability te bereiken. Het is niet
meer een kwestie van wanneer, maar van hoe dit te bereiken. Organisatorische inrichting is belangrijk om
doelen te realiseren, het 3LoD model biedt een goed kader hiervoor. In dit artikel wordt aangegeven hoe ESG
gerelateerde zaken hun weerslag vinden in het 3LoD model om te zorgen voor efficiënt en effectief
risicobeheer en intern toezicht. Het management is primair verantwoordelijk voor haar eigen processen.
Daarnaast betreft dit model een risk management aanpak om organisaties te helpen om risico’s te
identificeren en te managen.
Governance body
, Het bestuur staat bovenaan het three lines model om haar governance te sturen en verantwoording af te
leggen aan de RvC en stakeholders. Dit orgaan heeft het overzicht over de hele organisatie en heeft als rol
integriteit, leiderschap en transparantie.
Eerste en tweede lijn (management)
Uitgangspunt van het 3LoD model is dat het lijnmanagement (de business) verantwoordelijk is voor het
realiseren van de eigen doelstellingen en het managen van de bijbehorende risico’s (eerste lijn). Een voorbeeld
hiervan is de inkoopmanager. In de eerste lijn zitten veel verschillende controls, zoals functiescheiding en
application controls.
Daarnaast moet er een functie zijn die de 1 e lijn ondersteunt, adviseert, coördineert en bewaakt of het
management zijn verantwoordelijkheden ook daadwerkelijk neemt (tweede lijn). Deze kijkt o.a. naar welke
soorten risico’s ze zien, hoe deze gemitigeerd moeten worden en door gecommuniceerd moeten worden naar
de eerste lijn. Ze monitoren of de controls in de 1 e lijn goed gaan. Ook bepaalde beleidsvoorbereidende taken
en het organiseren van integrale risk assessments zijn taken van de tweede lijn.
Derde lijn (internal audit)
Ten slotte is het wenselijk dat er binnen de organisatie een functie bestaat die controleert of het samenspel
tussen de eerste en tweede lijn soepel functioneert en daarover een objectief, onafhankelijk oordeel velt met
mogelijkheden tot verbetering. Of er geen overlapping is, of, erger, blinde vlekken bestaan. Deze functie is de
derde lijn, een afdeling - vaak Internal Audit - die volledig los van alle andere organisatieonderdelen opereert.
Deze functie houdt het management scherp en geeft betrouwbaar advies op het behalen van de
organisatorische doelstellingen. Daarnaast rapporteert de internal audit aan het management
Artikel toepassen op ESG:
Rol van governance body
1. Het bestuursorgaan, inclusief de raad van bestuur, definieert organisatiedoelstellingen, evenals
passende structuren en processen voor effectief bestuur. Het bestuursorgaan stemt de doelstellingen
van de organisatie af op de ESG-kwesties die belanghebbenden prioriteit geven, bepaalt de richting en
definieert een bedrijfsdoel dat bredere duuzraamheidsoverwegingen omvat. Dit kan specifiek worden
