Post-master Accountancy, UvA Internal Control Analysis Quinty Cok
College 1 – Strategic control & internal control - Recap ICAIS theorie
Inleiding, context, theoretische kaders en doelstellingen
Het Amsterdamse model van informatiemanagement (9-vlaksmodel)
COSO Internal Control Integrated Framework (vanaf 1992 en diverse revisies)
BAKO op risico, proces en systeemniveau
BIV
Bestuurlijke informatieverzorging (BIV) = de “productie” van informatie door middel van
Administratieve Organisatie (AO) met daarin ingebouwde maatregelen van interne controle op
basis van de grondslagen van Starreveld.
Accounting Information Systems (AIS) = idem op basis van cycles en COSO
BIV – Wim Starreveld
Bestuurlijke informatieverzorging (BIV) = alle activiteiten met betrekking tot het systematisch
verzamelen, vastleggen en verwerken van gegevens, gericht op het verstrekken van informatie ten
behoeve van:
Het besturen-in-engere-zin (kiezen uit alternatieve mogelijkheden)
Het doen functioneren en het beheersen van een huishouding en
Het afleggen van de verantwoordingen daarover
Administratieve Organisatie (AO) van een huishouding = het complex van organisatorische
maatregelen dat betrekking heeft op de goede werking van de administratie (ook wel aangeduid
als het administratieve aspect van de interne organisatie).
Als gevolg van de uiteenlopende voorkeuren voor de benaming van het “vak van de
informatieverzorging” kan het hierboven genoemde complex van organisatorische maatregelen met
een van de volgende alternatieve benamingen worden aangeduid:
o De administratieve organisatie van de huishouding (AO)
o Het bestuurlijke informatieverzorgingssysteem (BIV)
o Het informatiesysteem van de organisatie
o Het informatieverzorgende systeem van de organisatie
De twee moedertalen van ICAIS
AISIC is een tweetalig verhaal. Er zijn twee manieren waarop het vak benaderd kan worden. Fluency
in beide languages vereist.
1. BIVs “bestuurlijke informatieverzorging” ontstaan vanuit de AO (administratieve
organisatie) met ingebouwde IC (internal control)
Historische / traditionele Nederlandse aanpak. Nederlandse betrouwbaarheid, in combinatie met
Italië als eerste hier mee begonnen. Er wordt gekeken welke informatie uit het kastje komt.
2. COSOs ontstaan vanuit een herinterpretatie van internal control inclusief risk management
Engels / Amerikaanse (Angelsaksisch) die COSO en risico gericht is, die veel meer naar interne
beheersing kijkt in plaats van dat er wordt gekeken wat er voor informatie uit het kastje komt.
Compliance with law and regulations: Voorbeeld 1: TATA Steel waarbij de gezondheidseffecten voor
de omliggende bewoners veel groter zijn dan ze van tevoren hebben gezegd. Voorbeeld 2: je kan nog
zo’n goede business runnen maar wanneer de hoofdactiviteit het handelen in cocaïne is dan heeft
men toch een probleem.
The incorporation of “effectiveness” was the first radical change to the idea of internal control in over
four decades. By admitting “effectiveness” – the extent of achievement of objectives – into the ambit
of internal control, the statement recognizes for the first time the existence of business objectives
,Post-master Accountancy, UvA Internal Control Analysis Quinty Cok
other than efficiency and probity and goes some way to aligning the definition with business risk
approaches to audit (Page, 2003).
Efficiënt = doel wordt behaald met zo min mogelijk middelen zegt iets over de manier waarop je
iets uitvoert.
Effectief = de juiste doelen behalen en de belangrijkste taken uitvoeren zegt iets over wat je
uitvoert en het resultaat daarvan.
De kleurenkaart van AIS & IC
Blauw BIVs Betrouwbaarheid jaarrekening
Rood IC Doelgericht beheersingsproces
Grijs ICT Het “domein” van de toepassing
Paars Blauw + Rood vermengd
Groen Accountability
Orange Gedrag ICA thema
Accounting Information Systems & Internal control (AIS & IC) versus Internal Control Analysis (ICA)
COSO internal control - James Treadway
Internal control is a process designed to provide reasonable assurance with regard to achieving
operations, reporting and compliance objectives. Boards of directors, management and other
relevant personnel, should oversee this process on an ongoing basis.
COSO Internal Control – Integrated Framework – Information and Communication
Deze afbeelding beschrijft principes en aandachtspunten met betrekking tot "Informatie en
Communicatie" als onderdeel van een raamwerk voor interne controle. Het is gebaseerd op het
COSO (Committee of Sponsoring Organizations of the Treadway Commission) Interne Controle -
Geïntegreerd Raamwerk. Dit raamwerk biedt richtlijnen voor organisaties om effectieve interne
controles op te zetten, met de nadruk op het verkrijgen, genereren en communiceren van relevante
informatie, zowel intern als extern.
COSO – Key concepts
Afgestemd op het behalen van doelen in een of meer van de volgende categorieën: operations,
reporting, en compliance.
Een proces dat bestaat uit doorlopende taken en activiteiten.
Beïnvloedt door mensen – niet hoofdzakelijk over beleid en procedure handleidingen, systemen,
formulieren, maar betrekking hebbend op mensen en de acties die zij ondernemen op elk
niveau van een organisatie om interne beheersing van de organisatie te beïnvloeden.
In staat om een redelijke mate van zekerheid te verschaffen maar geen absolute / 100%
zekerheid, naar een bedrijf haar senior management en board of directors.
,Post-master Accountancy, UvA Internal Control Analysis Quinty Cok
COSO Internal Control Integrated Framework – Codification of 17 principles van een
controleomgeving (1992-2013)
COSO identificeert de relaties tussen de ondernemingsrisico’s en het interne beheersingssysteem.
Binnen de context van de door de onderneming geformuleerde missie en visie, formuleert het
management strategische doelstellingen, stelt men afgeleide doelstellingen en richt de organisatie
een cyclus van sturen, beheersen, verantwoorden en toezicht in. COSO hanteert hierbij de
gedachten dat interne beheersing een proces is dat gericht is op het verkrijgen van een redelijke
mate van zekerheid omtrent het bereiken van doelstellingen in de categorieën:
bereiken van de strategische doelstellingen (Strategic)
effectiviteit en efficiëntie van bedrijfsprocessen (Operations)
betrouwbaarheid van de (financiële) informatieverzorging (Reporting)
naleving van relevante wet- en regelgeving (Compliance)
De interne beheersing moet dus aansluiten op de strategie van het bedrijf. COSO-ICIF biedt
richtlijnen voor het ontwerpen, implementeren en evalueren van interne controles binnen
organisaties. Het wordt gebruikt om de effectiviteit van interne controlesystemen te beoordelen en
te verbeteren. Het is een beheersingsraamwerk gebaseerd op een risicoconcept. Doel: organisaties
helpen bij het verbeteren van hun interne controlesystemen om risico’s te beheren en de
betrouwbaarheid van financiële rapportages, naleving van wet- en regelgeving en operationele
effectiviteit te waarborgen. Doel: hoge zekerheid met betrekking tot doelrealisatie: reliable
reporting / operations / compliance. De informatieverzorging in COSO zit bij reliable reporting en
information & communication.
Doelstellingen van interne controle:
Operationele Doelstellingen: Gericht op de effectiviteit en efficiëntie van bedrijfsactiviteiten.
Rapporteringsdoelstellingen: Gericht op de betrouwbaarheid van interne en externe financiële
en niet-financiële rapportages.
Nalevingsdoelstellingen: Gericht op het voldoen aan relevante wetten en regelgeving.
Controleomgeving: De controleomgeving zet de algehele toon binnen de entiteit. Het beïnvloedt het
controlebewustzijn van de mensen binnen de organisatie en vormt de basis voor alle andere
componenten van interne controle. Verschillende publicaties hebben het cruciale belang van deze
component in het algehele Framework benadrukt. Het heeft een doorslaggevende rol in de algehele
beoordeling, aangezien het moeilijk is om een effectief systeem van interne controle voor te stellen
met een gebrekkige controleomgeving.
De principes en hun focuspunten zoals hieronder genoemd zijn essentieel voor het handhaven van
een robuuste en effectieve interne controleomgeving.
, Post-master Accountancy, UvA Internal Control Analysis Quinty Cok
Vijf componenten van interne controle: Vijf
onderling samenhangende componenten die
integraal zijn voor een effectief controlesysteem:
1. Control Environment (Controleomgeving): De
basis van alle andere onderdelen van interne
controle, deze component betreft de cultuur
binnen een organisatie, waaronder integriteit,
ethische waarden en de omgeving waarin
medewerkers hun taken uitvoeren.
2. Risk Assessment (Risicobeoordeling): Het proces
van identificatie en analyse van relevante risico's die de doelstellingen van een organisatie
kunnen beïnvloeden, en het bepalen van hoe deze risico's moeten worden beheerd.
3. Control Activities (Controleactiviteiten): De beleidslijnen en procedures die helpen om risico's te
mitigeren en de doelstellingen te behalen. Dit kan bestaan uit goedkeuring, autorisatie,
verificatie, reconciliatie, evaluatie van prestaties, beveiliging van activa en scheiding van taken.
4. Information and Communication (Informatie en Communicatie): Het verstrekken van relevante
en tijdige informatie door de organisatie heen, zodat medewerkers hun verantwoordelijkheden
kunnen vervullen.
5. Monitoring Activities (Monitoringactiviteiten): Het proces van evaluatie van de kwaliteit van de
prestaties van interne controle over de tijd en het maken van noodzakelijke aanpassingen.
COSO framework: Principes van de controleomgeving
Het framework bevat 17 principes die de hierboven genoemde componenten verder uitleggen en
ondersteunen. Deze principes bieden een gedetailleerde leidraad voor het implementeren van een
effectief controlesysteem.
COSO ICIF - Control environment - Principles 1-5
College 1 – Strategic control & internal control - Recap ICAIS theorie
Inleiding, context, theoretische kaders en doelstellingen
Het Amsterdamse model van informatiemanagement (9-vlaksmodel)
COSO Internal Control Integrated Framework (vanaf 1992 en diverse revisies)
BAKO op risico, proces en systeemniveau
BIV
Bestuurlijke informatieverzorging (BIV) = de “productie” van informatie door middel van
Administratieve Organisatie (AO) met daarin ingebouwde maatregelen van interne controle op
basis van de grondslagen van Starreveld.
Accounting Information Systems (AIS) = idem op basis van cycles en COSO
BIV – Wim Starreveld
Bestuurlijke informatieverzorging (BIV) = alle activiteiten met betrekking tot het systematisch
verzamelen, vastleggen en verwerken van gegevens, gericht op het verstrekken van informatie ten
behoeve van:
Het besturen-in-engere-zin (kiezen uit alternatieve mogelijkheden)
Het doen functioneren en het beheersen van een huishouding en
Het afleggen van de verantwoordingen daarover
Administratieve Organisatie (AO) van een huishouding = het complex van organisatorische
maatregelen dat betrekking heeft op de goede werking van de administratie (ook wel aangeduid
als het administratieve aspect van de interne organisatie).
Als gevolg van de uiteenlopende voorkeuren voor de benaming van het “vak van de
informatieverzorging” kan het hierboven genoemde complex van organisatorische maatregelen met
een van de volgende alternatieve benamingen worden aangeduid:
o De administratieve organisatie van de huishouding (AO)
o Het bestuurlijke informatieverzorgingssysteem (BIV)
o Het informatiesysteem van de organisatie
o Het informatieverzorgende systeem van de organisatie
De twee moedertalen van ICAIS
AISIC is een tweetalig verhaal. Er zijn twee manieren waarop het vak benaderd kan worden. Fluency
in beide languages vereist.
1. BIVs “bestuurlijke informatieverzorging” ontstaan vanuit de AO (administratieve
organisatie) met ingebouwde IC (internal control)
Historische / traditionele Nederlandse aanpak. Nederlandse betrouwbaarheid, in combinatie met
Italië als eerste hier mee begonnen. Er wordt gekeken welke informatie uit het kastje komt.
2. COSOs ontstaan vanuit een herinterpretatie van internal control inclusief risk management
Engels / Amerikaanse (Angelsaksisch) die COSO en risico gericht is, die veel meer naar interne
beheersing kijkt in plaats van dat er wordt gekeken wat er voor informatie uit het kastje komt.
Compliance with law and regulations: Voorbeeld 1: TATA Steel waarbij de gezondheidseffecten voor
de omliggende bewoners veel groter zijn dan ze van tevoren hebben gezegd. Voorbeeld 2: je kan nog
zo’n goede business runnen maar wanneer de hoofdactiviteit het handelen in cocaïne is dan heeft
men toch een probleem.
The incorporation of “effectiveness” was the first radical change to the idea of internal control in over
four decades. By admitting “effectiveness” – the extent of achievement of objectives – into the ambit
of internal control, the statement recognizes for the first time the existence of business objectives
,Post-master Accountancy, UvA Internal Control Analysis Quinty Cok
other than efficiency and probity and goes some way to aligning the definition with business risk
approaches to audit (Page, 2003).
Efficiënt = doel wordt behaald met zo min mogelijk middelen zegt iets over de manier waarop je
iets uitvoert.
Effectief = de juiste doelen behalen en de belangrijkste taken uitvoeren zegt iets over wat je
uitvoert en het resultaat daarvan.
De kleurenkaart van AIS & IC
Blauw BIVs Betrouwbaarheid jaarrekening
Rood IC Doelgericht beheersingsproces
Grijs ICT Het “domein” van de toepassing
Paars Blauw + Rood vermengd
Groen Accountability
Orange Gedrag ICA thema
Accounting Information Systems & Internal control (AIS & IC) versus Internal Control Analysis (ICA)
COSO internal control - James Treadway
Internal control is a process designed to provide reasonable assurance with regard to achieving
operations, reporting and compliance objectives. Boards of directors, management and other
relevant personnel, should oversee this process on an ongoing basis.
COSO Internal Control – Integrated Framework – Information and Communication
Deze afbeelding beschrijft principes en aandachtspunten met betrekking tot "Informatie en
Communicatie" als onderdeel van een raamwerk voor interne controle. Het is gebaseerd op het
COSO (Committee of Sponsoring Organizations of the Treadway Commission) Interne Controle -
Geïntegreerd Raamwerk. Dit raamwerk biedt richtlijnen voor organisaties om effectieve interne
controles op te zetten, met de nadruk op het verkrijgen, genereren en communiceren van relevante
informatie, zowel intern als extern.
COSO – Key concepts
Afgestemd op het behalen van doelen in een of meer van de volgende categorieën: operations,
reporting, en compliance.
Een proces dat bestaat uit doorlopende taken en activiteiten.
Beïnvloedt door mensen – niet hoofdzakelijk over beleid en procedure handleidingen, systemen,
formulieren, maar betrekking hebbend op mensen en de acties die zij ondernemen op elk
niveau van een organisatie om interne beheersing van de organisatie te beïnvloeden.
In staat om een redelijke mate van zekerheid te verschaffen maar geen absolute / 100%
zekerheid, naar een bedrijf haar senior management en board of directors.
,Post-master Accountancy, UvA Internal Control Analysis Quinty Cok
COSO Internal Control Integrated Framework – Codification of 17 principles van een
controleomgeving (1992-2013)
COSO identificeert de relaties tussen de ondernemingsrisico’s en het interne beheersingssysteem.
Binnen de context van de door de onderneming geformuleerde missie en visie, formuleert het
management strategische doelstellingen, stelt men afgeleide doelstellingen en richt de organisatie
een cyclus van sturen, beheersen, verantwoorden en toezicht in. COSO hanteert hierbij de
gedachten dat interne beheersing een proces is dat gericht is op het verkrijgen van een redelijke
mate van zekerheid omtrent het bereiken van doelstellingen in de categorieën:
bereiken van de strategische doelstellingen (Strategic)
effectiviteit en efficiëntie van bedrijfsprocessen (Operations)
betrouwbaarheid van de (financiële) informatieverzorging (Reporting)
naleving van relevante wet- en regelgeving (Compliance)
De interne beheersing moet dus aansluiten op de strategie van het bedrijf. COSO-ICIF biedt
richtlijnen voor het ontwerpen, implementeren en evalueren van interne controles binnen
organisaties. Het wordt gebruikt om de effectiviteit van interne controlesystemen te beoordelen en
te verbeteren. Het is een beheersingsraamwerk gebaseerd op een risicoconcept. Doel: organisaties
helpen bij het verbeteren van hun interne controlesystemen om risico’s te beheren en de
betrouwbaarheid van financiële rapportages, naleving van wet- en regelgeving en operationele
effectiviteit te waarborgen. Doel: hoge zekerheid met betrekking tot doelrealisatie: reliable
reporting / operations / compliance. De informatieverzorging in COSO zit bij reliable reporting en
information & communication.
Doelstellingen van interne controle:
Operationele Doelstellingen: Gericht op de effectiviteit en efficiëntie van bedrijfsactiviteiten.
Rapporteringsdoelstellingen: Gericht op de betrouwbaarheid van interne en externe financiële
en niet-financiële rapportages.
Nalevingsdoelstellingen: Gericht op het voldoen aan relevante wetten en regelgeving.
Controleomgeving: De controleomgeving zet de algehele toon binnen de entiteit. Het beïnvloedt het
controlebewustzijn van de mensen binnen de organisatie en vormt de basis voor alle andere
componenten van interne controle. Verschillende publicaties hebben het cruciale belang van deze
component in het algehele Framework benadrukt. Het heeft een doorslaggevende rol in de algehele
beoordeling, aangezien het moeilijk is om een effectief systeem van interne controle voor te stellen
met een gebrekkige controleomgeving.
De principes en hun focuspunten zoals hieronder genoemd zijn essentieel voor het handhaven van
een robuuste en effectieve interne controleomgeving.
, Post-master Accountancy, UvA Internal Control Analysis Quinty Cok
Vijf componenten van interne controle: Vijf
onderling samenhangende componenten die
integraal zijn voor een effectief controlesysteem:
1. Control Environment (Controleomgeving): De
basis van alle andere onderdelen van interne
controle, deze component betreft de cultuur
binnen een organisatie, waaronder integriteit,
ethische waarden en de omgeving waarin
medewerkers hun taken uitvoeren.
2. Risk Assessment (Risicobeoordeling): Het proces
van identificatie en analyse van relevante risico's die de doelstellingen van een organisatie
kunnen beïnvloeden, en het bepalen van hoe deze risico's moeten worden beheerd.
3. Control Activities (Controleactiviteiten): De beleidslijnen en procedures die helpen om risico's te
mitigeren en de doelstellingen te behalen. Dit kan bestaan uit goedkeuring, autorisatie,
verificatie, reconciliatie, evaluatie van prestaties, beveiliging van activa en scheiding van taken.
4. Information and Communication (Informatie en Communicatie): Het verstrekken van relevante
en tijdige informatie door de organisatie heen, zodat medewerkers hun verantwoordelijkheden
kunnen vervullen.
5. Monitoring Activities (Monitoringactiviteiten): Het proces van evaluatie van de kwaliteit van de
prestaties van interne controle over de tijd en het maken van noodzakelijke aanpassingen.
COSO framework: Principes van de controleomgeving
Het framework bevat 17 principes die de hierboven genoemde componenten verder uitleggen en
ondersteunen. Deze principes bieden een gedetailleerde leidraad voor het implementeren van een
effectief controlesysteem.
COSO ICIF - Control environment - Principles 1-5
