Een volwassenheidsmodel voor het internal control framework

04 oktober 2016 Consultancy.nl 6 min. leestijd
Profiel
Meer nieuws over

Neem de maat van het internal control framework (ICF) binnen uw bedrijf en gebruik dat als vertrekpunt voor duurzame verbetering in de financiële bedrijfsvoering. Door de eigen ambitie op het gebied van interne beheersing te formuleren, krijgt de CFO zicht op het verbeterpotentieel.

Doet het ICF wat u ervan verlangt?

En als dat zo is, gebeurt dat dan ook met de meest efficiënte inzet van mensen en middelen? Mocht u het niet zeker weten, u kunt het meten. Zeven prestatie-indicatoren van het ICF-volwassenheidsmodel stellen de CFO in staat om een professionaliseringsslag op het gebied van interne beheersing te maken.

Geen organisatie kan zonder stuur- en verantwoordingsinformatie. Daarom is een internal control framework een onmisbaar instrument. Met dit geheel van mensen, processen en systemen zijn organisaties in staat om hun strategische agenda te plannen, uit te voeren en te beheersen. Het optuigen van een ICF bestaand uit een groot aantal onderling afhankelijke processen en systemen, kan een uiterst complex beheersingsmodel opleveren. Terwijl die complexiteit niet alleen duur, maar soms ook volstrekt overbodig is. Want een gemiddeld MKB-bedrijf kan het over het algemeen prima redden zonder een ingewikkeld stelsel van beheersmechanismen. Omgekeerd kan een multinationale onderneming niet in control zijn als ze uitsluitend vertrouwt op de blauwe ogen van enkele sleutelfunctionarissen. Duidelijk is: ergens ligt een optimum en one size does not fit all.

AO/IB maturity model stadia

Volwassenheidsmodel

Het ICF-volwassenheidsmodel beoordeelt op basis van zeven prestatie-indicatoren in welke volwassenheidsfase een ICF zich bevindt. Deze handreiking maakt niet alleen de kwaliteit en de mate van toereikendheid van het ICF meetbaar, ze biedt tevens bruikbare handvatten om het gewenste beheersingsniveau te realiseren. Daarbij geldt de relevantie van het ICF als uitgangspunt in een model dat voor alle betrokkenen een gemeenschappelijke taal creëert. Dus niet alleen voor internal auditors, maar bijvoorbeeld ook voor CFO’s, de business en toezichthouders. Zo wordt voorkomen dat organisaties een kompas gebruiken om hun snelheid te meten. Of op de snelheidsmeter proberen af te lezen in welke richting ze rijden.

Het ICF-volwassenheidsmodel is gebaseerd op een eenvoudige constatering: naarmate ICF’s minder volwassen zijn, steunen zij minder op processen en systemen en is de aanhankelijkheid van de menselijke factor groter. Omgekeerd geldt precies hetzelfde. Deze constatering leidt vanuit de optiek van risicomanagement en interne beheersing tot een aantal kenmerkende eigenschappen van prestatie-indicatoren van het ICF. Zo zijn organisaties in een vroege fase van ICF-volwassenheid minder goed in staat om hun ICF zichtbaar en consistent te laten zijn. In latere fases neemt het geheel van interne beheersing meer geavanceerde vormen aan, zoals het bovenstaande schema duidelijk maakt. Organisaties zijn over het algemeen uitstekend in staat om hun ICF rondom primaire bedrijfsactiviteiten in dit volwassenheidsmodel te plaatsen. Bovendien kunnen ze goed onder woorden brengen wat de geambieerde positie in het model is. Vervolgens rijst de vraag hoe deze ambitie verwezenlijkt kan worden. Hier komen de zeven prestatie-indicatoren in beeld.

De 7 prestatie-indicatoren van internal control

ICF-dashboard

Op welke aspecten van het ICF-dashboard stuurt u de prestaties? Dit kan vanuit zeven gedefinieerde prestatie-indicatoren:

1. Effectiviteit en relevantie van het ICF voor strategische, tactische en operationele besluitvorming en sturing.
2. Betrouwbaarheid en consistentie van het ICF op de as van detectief naar preventief.
3. De mate van compliance van het ICF met wet- en regelgeving.
4. De mate van aantoonbaarheid van het ICF.
5. De mate van efficiency van het ICF.
6. De mate van afhankelijkheid van sleutelfunctionarissen.
7. De effectiviteit van het control environment op de as van ondersteunend naar niet-ondersteunend. 

Er bestaat een relatie tussen de mate van ICF-volwassenheid van een organisatie en de metingen op bovenstaande prestatie-indicatoren. Zo is een laag volwassen ICF over het algemeen meer detectief, afhankelijk van sleutelfunctionarissen, beperkt efficiënt en minder aantoonbaar.

Vaak wordt gedacht dat het gedachtegoed van COSO volstaat om een internal control framework in te richten. Het volwassenheidsmodel maakt echter gebruik van een veel gevarieerder instrumentarium. Dat is nodig omdat alle betrokkenen slechts naar afzonderlijke aspecten van het ICF kijken. Interne en externe accountants kijken bijvoorbeeld met name naar het aspect betrouwbaarheid, maar negeren aspecten als efficiency en relevantie. Voor andere actoren geldt iets soortgelijks. Verzuilde oplossingen volstaan niet; een integrale benadering sorteert het meeste effect. De tabel geeft een beeld van welke referentiekaders en methodes beschikbaar zijn om de verschillende prestatie-indicatoren naar het gewenste niveau te brengen.

Samenvatting ambitie AO/IB

Nulmeting

De volwassenheidsbenadering voor ICF-verbetering start met een nulmeting. Uit deze nulmeting blijkt waar een ICF staat in het volwassenheidsmodel. Hierbij wordt expliciet aandacht besteed aan de sterke punten en inherente risico’s van het huidige ICF. Aan de hand van het ambitieniveau van de organisatie wordt het projectplan voor implementatie bepaald. Ten aanzien van de kenmerken van de inrichting van een ICF leidt dit bijvoorbeeld tot de weergave zoals in bovenstaand figuur. Het vergelijkt de resultaten van de nulmeting met het geambieerde niveau van control door de organisatie zelf en brengt het verbeterpotentieel gedetailleerd in beeld.

Met behulp van het ICF-volwassenheidsmodel en concrete methoden en technieken voor implementatie, kunnen organisaties hun internal control framework duurzaam verbeteren. Dat leidt tot een gewenste mate van control met de ideale mix van mensen, systemen en middelen. Daarmee kunnen interne en externe stakeholders ervan op aan dat de organisatie daadwerkelijk in control is.

Gerelateerd:Internal audit kan meer bijdragen aan risicobeheersing’ en ‘Business Control maakt nog te weinig gebruik van big data’. 

Een artikel van Arthur Izeboud, practice leader governance, risk & compliance bij Resources Global Professionals.