Bestuurlijke informatievoorziening Administratief Organisatie/Informatie Control, waar gaat het over? Bestuurlijke informatievoorziening Inleiding, welkom Dit is de agenda voor dit college 2

Definities BIV-AO (Starreveld) “Het systematisch verzamelen vastleggen, verwerken van gegevens gericht op het verstrekken van informatie ten behoeve van besturen-in-enge-zin, doen functioneren, beheersen van een huishouding en ten behoeve van de verantwoording die daarover moet worden afgelegd AIS (Romney) is een systeem voor betrouwbare informatie t.b.v. besluitvorming en verantwoording bestaat uit mensen, procedures, en systemen met als hoofdfuncties: het verzamelen en opslaan van gegevens over bedrijfstransacties het management voorzien van relevante besluitvormingsinfo het zorgen voor adequate beheersmaatregelen om te waarborgen dat de informatie betrouwbaar is en bezittingen beschermd worden.

Onderdelen van het vak BIV-AO de organisatie gericht op het systematisch verzamelen, vastleggen en bewerken van gegevens gericht op het verstrekken van informatie met betrekking tot het sturen, beheersen, doen functioneren van organisaties alsmede van de verantwoordingen die daaromtrent worden afgelegd. AO controle op oordeelsvorming of activiteiten door of namens de leiding van een organisatie IC Het gaat dus over (de inrichting van de informatieverzorging ten behoeve van) beheersing

Waarom staat beheersing (control) zo in de belangstelling? Van externe belang-hebbenden: faillissementen slechte gang van zaken; fraudes Van het management (intern): roep om (aantoonbare) kwaliteit complexiteit omgeving Where were the auditors?

Ontwikkelingen mbt. Control: Externe belanghebbenden: USA COSO Report (1992/2004) Sarbanes Oxley (2002) UK - Cadbury Report (1992) Canada DEY: “Where were the directors?” (1994) COCO: “Guidance on Control” (1995) Nederland: Commissie Peters (1997)/ Commissie Tabaksblat (2003) Management: Simons EFQM ISO 900.. Er zijn verschillende modellen die allen op onderdelen waardevol zijn. Er is niet 1 allesomvattend model

Nederlandse versus Angelsaksische literatuur Geintegreerde benadering control(e) en informatiesystemen Betrouwbaarheid informatie startpunt voor ontwikkeling vakgebied Relatief normatief Beheersingsinstrumentarium bestaat uit functiescheiding, informatievoorziening en controle maatregelen Angelsaksisch Maakt onderscheid tussen AIS en management control Beheersing effectiviteit en efficiency startpunt voor ontwikkeling vakgebied Denkmodellen maar geen normen Beheersingsinstrumentarium betrekt daarnaast expliciet control environment en monitoring

Overview IC definities Coso “a process, effected by an entity’s board of directors, management and other personnel, designed tot provide reasonable assurance regarding the achievement of objectives in the following categories: - Effectiveness and efficiency of operations; - reliability of financial reporting; - compliance with applicable laws and regulations. - safeguarding of assets Starreveld Controle op oordeelsvorming of activiteiten door of namens de leiding van een organisatie Informatie is * controlemiddel en * object van controle

Nadere uitleg definitie IC Controle kan uitgelegd worden als toetsen of beheersen Toetsen: Voldoet een object aan een gestelde eis, Ja/Nee? Beheersen: Zijn er maatregelen genomen om doel te bereiken? Beperking: IC concentreert zich alleen op aspect BIV, dus: geen invulling van ¨technische problemen¨ (hoe meet ik iets?) geen invulling van ¨cultuuraspecten¨ van een organisatie 11

Enkele opmerkingen bij de definitie van Starreveld Geen specifieke uitleg of beperking van het object van de interne controle de anderen: alleen anderen binnen de organisatie? de oordeelsvorming en activiteiten: gericht op alle gebieden? (vb: oordeel over techniek, arbeidsvoorwaarden, temperatuur op kantoor, activiteiten in de pauze, ……) Geen specifieke uitleg van het doel van de interne controle Bewaken van waarden van de organisatie? Juiste informatievoorziening? Efficiënte bedrijfsvoering? voorkomen van fouten / kwaliteitskosten? 10

Administratieve Organisatie De organisatie Samenhang en afhankelijkheden Bedrijfsprocessen Technische Infrastructuur Interne Organisatie BIV/ Administratieve Organisatie

Consequenties verticale taakdifferentiatie Delegatie leidt tot het recht op en plicht tot verantwoording van medewerker Delegerende partij blijft eindverantwoordelijk En dient dus zelf kennis te nemen van voortgang en evt. problemen Gedelegeerde partij heeft recht op verantwoording en decharge Opdracht, taakstelling, budget, procedure Opdracht- realisatie, afwijking, motivatie

Een hiërarchie van verantwoordingsverslagen Meten = weten Analyse van wat er is gebeurd; Naast analyse ook synthese nodig Betrouwbaarheid van de verantwoording essentieel voor alle partijen

Biv-AO/IC: Terreinafbakening Systeembenadering Focus op gehele bestuurlijk informatieverzorgingssysteem kwaliteit van informatie én informatieverzorging de noodzaak van het stellen van kwaliteitsnormen het informatiebeleid en de informatiebehoeften als uitgangspunten interne én externe informatiebehoeften besturen, sturen én controle oordeelsvorming vooraf [ex-ante] én oordeelsvorming achteraf [ex-post] Een aantal elementen van het vak die, in welke module dan ook, telkens als de kenobjecten van het vak zullen gelden: - kwaliteit van informatie - kwaliteit van informatieverzorgingsproces - informatie gericht op besturen, beheersen, etc. 17

? BIV - AO/IC in 12 vragen Waar gaat het om bij BIV-AO/IC Wat 1. welke informatie nodig 2. welke informatie kunnen verschaffen 3. welke basisgegevens moeten worden vastgelegd Wie 4. waar en door wie wordt de eerste vastlegging gemaakt 5. wie verzorgt de verdere gegevensverwerking 6. welke taakverdeling m.b.t. de bedrijfsvoering Hoe 7. volgens welke systematiek geschiedt vastlegging & verwerking 8. hoe kan de informatie ter beschikking worden gesteld 9. hoe is de betrouwbaarheid van de informatie gewaarborgd Wan- 10. op welk tijdstip dient de primaire vastlegging plaats te vinden neer 11. over welke informatie-interval moet er gerapporteerd worden 12. op welke tijd dient de gegevensverwerking te zijn beëindigd Een simpele serie vragen die je, ook in opgaven, kan helpen. De conclusie: AO is een simpel vak (waarom zakken er dan zoveel mensen??) 18

Grondslagen IC - “Klassiek” 2

Besturingsmodel is de basis voor informatieverzorging omgeving verantwoording externe waarneming besturend systeem opdrachten S informatiesysteem T informatie O interne waarnemingen acties primair transformatiesysteem input output

Voor een goede besturing is nodig Externe afstemming, dat wil zeggen gegevens over: het te besturen proces het beleid de technologie de markt Interne afstemming, dat wil zeggen besturingsproces: besluitvormingsproces besturingsmiddelen bevoegdheden normen beoordelingsmethoden

Basisfuncties AIS Het efficiënt en effectief verwerken van gegevens over de door een organisatie uitgevoerde transacties registreren transactiedata op brondocumenten verwerken data in dagboek registreren data in (sub)grootboek audit trail Het voorzien in de behoefte aan financiële stuurinformatie

Beheersingsdoelstellingen AIS De informatie dient betrouwbaar te zijn Bedrijfsactiviteiten dienen efficiënt te worden uitgevoerd Materiele en immateriële bezittingen dienen te worden beschermd

Toegevoegde waarde AIS Verbeteren van de kwaliteit en reduceren van de kosten van producten en diensten Bevorderen van efficiency en effectiviteit Bevorderen van de kwaliteit van de besluitvorming Verhogen van (het delen) van kennis in een organisatie Voorwaarde hierbij is natuurlijk dat de informatie relevant betrouwbaar compleet begrijpelijk tijdig en verifieerbaar is

Controlebegrippen Zelfcontrole Interne controle Externe controle Uitgevoerd door persoon of machine Afhankelijk van kwaliteit (“slechte dag”?) van uitvoerder Reikwijdte (afstand controleur-gecontroleerde: -- Interne controle Men controleert elkaar: persoon 1 - persoon 2 - … - machine 1 - .. Reikwijdte: binnen de huishouding Externe controle Afhankelijk van “onvervangbare interne controle” “Controleren of er gecontroleerd is!” Reikwijdte: Over huishoudingen heen 7

Uitleg IC 2: De Basisvragen Oordeelsvorming ex ante Verwachtingscontrole Feitelijk bedrijfsgebeuren Beleidscontrole Bevoegdheidscontrole Uitvoeringscontrole: Voortgangscontrole Doelmatigheids/ efficiencycontrole Kwaliteitscontrole Feitelijke bedrijfstoestand Bewaringscontrole Controle op de gegevensverwerking Informatiecontrole Controle op gehanteerde normen Normcontrole Plus (¨metavragen¨): Is geheel IC-maatregelen nog effectief/efficiënt? Worden IC voorschriften voldoende nageleefd? 12

Programma De waardenkringloop en de ¨wetten¨ Controlebegrippen en de ¨controletoolbox¨ Inrichten cq. beoordelen, hoe doe je dat? Inleiding, welkom Dit is de agenda voor dit college 13

Eerste aanknopingspunt IC: Waardenkringloop Goederen Geld Vorderingen Schulden Inkopen Verkopen Innen Betalen Administratie L e v r a n c i K l t G o e d e r e n s t r o o m G e l d s t r o o m Meest eenvoudige schema van het handelsbedrijf. Kenmerken: doorstroming goederen gescheiden geld/goederenbeweging geen “waardesprong”, in gewoon Nederlands produktie Vast vooruitlopend op IC: Relatie tussen waardenkringloop en funktiescheiding? " Voorraad " of " stand " of " toestand " " Proces " of " stroom " of " gebeuren " 14

Waardenkringloop: Wet 1 - Wet van Samenhang tussen Toestand en Gebeuren. Beginvoorraad -/- Eindvoorraad = Afname -/- Toename B -/- E + T -/- A = 0 Gebeur- t e n i s Toestand n Toestand n+1 Afname Toename Twee belangrijke wetmatigheden die permanent element van AO/IC zullen vormen IS dit nu AO of IC of beide? Ook IC dus; zullen we in latere colleges op terugkomen 15 8

Waardenkringloop: Wet 2 - Wet van rationeel verband tussen opgeofferde en verkregen waarden Een gebeurtenis leidend tot een toename van x zal ook leiden tot een afname van y. De relatie tussen x en y is rationeel en een kernelement van de te beheersen objecten toename x afname y Gebeur- tenis n Toestand n Voorbeelden: afname voorraad, opboeking debitueren afname grondstof, toename eindprodukt Verband soms 1:1, soms via formules, maar altijd essentieel voor beheersing en verantwoording 16 9

Programma Controlebegrippen en de ¨controletoolbox¨ Recapitulatie AIS Controlebegrippen en de definitie van IC De waardenkringloop en de ¨wetten¨ Controlebegrippen en de ¨controletoolbox¨ Inrichten cq. beoordelen, hoe doe je dat? Inleiding, welkom Dit is de agenda voor dit college 17

Eerste aanknopingspunt IC: Waardenkringloop Goederen Geld Vorderingen Schulden Inkopen Verkopen Innen Betalen Administratie L e v r a n c i K l t G o e d e r e n s t r o o m G e l d s t r o o m Basis voor FS, vervolgens basis voor verbandscontroles Functiescheidingen: - Bewaren - Beschikken - Registreren - Controleren - Uitvoeren Meest eenvoudige schema van het handelsbedrijf. Kenmerken: doorstroming goederen gescheiden geld/goederenbeweging geen “waardesprong”, in gewoon Nederlands produktie Vast vooruitlopend op IC: Relatie tussen waardenkringloop en funktiescheiding? " Voorraad " of " stand " of " toestand " " Proces " of " stroom " of " gebeuren " 19

Belang en bruikbaarheid van functiescheidingen Waar mogelijk aansluiten op “natuurlijke functiescheidingen” o.b.v. algemene organisatie-eisen Gebruik maken van “tegengesteld belang” Leidt tot meerdere onafhankelijke vastleggingen: Basis voor verbandscontrole Aansluiting bij waardenkringloop Noodzaak: verantwoording van partijen aan leidinggevende Functiescheiding: sterk of zwak? Wat is afstand/relatie tussen gescheiden functies? Geen oplossing voor: Samenspanning Doorbreking door de leiding 20

Meer controlebegrippen Preventieve - Repressieve controle Directe - indirecte controle Formele - materiele controle Positieve - negatieve controle Gericht op juistheid vs. gericht op volledigheid Let op belang van gecontroleerde! Detail - totaalcontrole (steekproef) Verbandscontrole 21

IC is een economisch goed! Nut $$ besteed aan IC Wet van afnemend grensnut Relatie tussen gewenst kostenniveau IC en risico (bank vs. groothandel in lompen) 22

Altijd aandachtspunt: Bewaking activa FS adequaat middel (bewaren-beschikken) In combinatie met gelaagde bevoegdheden tot beschikking en repressieve controle achteraf Preventie: Bewaking (kluis, gesloten magazijn) Registratie van goederen Kwijting, Verantwoordingsverslagen verbandscontroles Inventarisatie Attentie: Bewaren van goederen met negatieve waarde? “Bewaren” schulden? 23

Samenvatting: de toolbox (St. XV) Filosofie: Iedere organisatie/ieder proces verdient zijn eigen IC Stelsel van IC maatregelen moet: Effectief zijn (doen wat nodig is) Efficiënt zijn (relatie kosten - resultaat) Het primaire proces niet verhinderen (Bij een brand ga je geen slangen tellen….) Het is aan de ontwerper van processen (manager, controller, directeur, …) om een adequaat stelsel van IC maatregelen in ieder proces te realiseren Het is aan auditors en adviseurs om hier gevraagd of ongevraagd hun mening over te geven 24

Overview van de toolbox 1 Controlemaatregelen van organisatorische aard Directe preventieve beveiliging van activa Kluis Gesloten magazijn Preventieve beveiliging m.b.t. het handelen Beperking bevoegdheden Beperking door functiescheidingen Scheppen van voorwaarden voor repressieve controle Organisatorische maatregelen Instructies Vastleggingen 25

Overview toolbox 2 Specifieke controles: Controle op primaire verantwoordingsverslagen en basisgegevens Materiele verbandscontroles bv. geld- en goederenbeweging, productie-normen Toetsing aan directe/indirecte opgaven interne of externe informatiebronnen beschikbaar? mogelijk tegengesteld belang? Toetsing aan ex-ante gegevens Budgetten / begrotingen Voorcalculaties, etc. Controle op gegevensverwerking Geprogrammeerde controles Controle op materiele werkelijkheid (toestand/gebeuren) aanwezigheid active komt overeen met verslagen in/uitslag + inventarisatie Controle op normen 26

Toolbox 3: Enkele hulpmiddelen Cijferbeoordeling Geen 100% verband (zoals verbandscontrole) Gebruik maken van “gevoel”/ervaring van beoordelaar Zeer krachtig om kennelijke fouten te identificeren Gevaar: “Waarschijnlijke” maar foute informatie wordt niet opgemerkt Quasi-goederen Hulpmiddel bij diensten Bij ontbreken van echte goederenbeweging: introduceren van quasigoed Quasigoed behandelen gelijk aan echt goed! Bewaking van activa Verbandscontrole geld-quasigoedbeweging 27

Toolbox 4: Enkele hulpmiddelen Standenregister! Bij regelmatig terugkerende gelijkblijvende bedragen (betalen of ontvangen): aantal mutaties dient beperkt te zijn! Bedoeld om reguliere administratie te controleren! Dus nooit “factureren vanuit het standenregister” Bijgehouden onafhankelijk van reguliere administratie Alle mutaties worden verwerkt: in Reguliere administratie in detail; in Standenregister wordt totaal bijgewerkt Verbandscontrole tussen totaalbedrag/periode reguliere administratie met bedrag standenregister Controle Reguliere administratie Standen register 28

Stel uzelf de vraag: Is de toolbox voldoende gevuld? Oordeelsvorming ex ante: verwachtingscontrole Feitelijk bedrijfsgebeuren: Beleidscontrole Bevoegdheidscontrole Uitvoeringscontrole: Voortgangscontrole Doelmatigheids/efficiencycontrole Kwaliteitscontrole Bewaringscontrole Informatiecontrole Normcontrole Plus: Is geheel IC-maatregelen nog effectief/efficiënt? Worden IC voorschriften voldoende nageleefd? Centrale vraag: Zijn onze tools geschikt voor beantwoording van deze vragen ??????????????????? 29

Vergelijking controle (Starreveld) versus control (COSO) volledigheid van opbrengsten, autorisatie kosten beheersingsinstrumentarium bestaat uit functiescheiding, informatievoorziening en controlemaatregelen zeer concreet uitgewerkt geen evaluatiehulpmiddelen Control ambitieniveau is brede bedrijfsbeheersing uitgaande van doelstellingen naast beheersingsinstrumentarium expliciet aandacht voor control-environment en monitoring niet geconcretiseerd naar praktijkgevallen lange vragenlijsten maar geen normen

Programma Inrichten cq. beoordelen, hoe doe je dat? Recapitulatie AIS Controlebegrippen en de definitie van IC De waardenkringloop en de ¨wetten¨ Controlebegrippen en de ¨controletoolbox¨ Inrichten cq. beoordelen, hoe doe je dat? Inleiding, welkom Dit is de agenda voor dit college 17

Inrichting of beoordeling IC vanuit risicobenadering Organisatie-analyse Proces-analyse Gegevens-analyse Situatieafhankelijk ontwerpen/beoordelen!! Modellen zijn hulpmiddelen en geen doel op zich!!

Aandachtspunten interne controle Een informatiesysteem is in de huidige context altijd geautomatiseerd. De interne controle kan niet ingericht/beoordeeld worden zonder enige kennis van de inrichting van de geautomatiseerde processen! Specifieke aspecten met betrekking tot geautomatiseerde processen komen aan de orde in blok 2!