U bent hier

Onderneming & Administratie
Risicomanagement6. Mitigeren6.6 Definiëren en vastleggen
Voor Onderneming & Administratie

6.6 Definiëren en vastleggen

Dit artikel is eerder verschenen als Themadossier FA Rendement
Publicatiedatum: augustus 2016

wie en hoe

Het definiëren en beschrijven van beheersingsmaatregelen (in bijvoorbeeld een risicomatrix/internal control framework) vindt men over het algemeen erg moeilijk. Omschrijvingen in de trant van ‘er wordt gecontroleerd dat alle facturen verzonden zijn’, zijn niet duidelijk. Er blijkt uit zo’n beschrijving bijvoorbeeld niet wie deze controle uitvoert en hoe wordt gecontroleerd dat alle facturen verzonden zijn.

De wijze van beschrijven van controls hangt af van het type control. Elke control is in een van de vier eerder genoemde categorieën in te delen:

  • maatregelen van organisatorische aard;
  • specifieke controlehandelingen;
  • general controls;
  • application controls.

Elke control zou in principe in één van deze vier categorieën moeten vallen. Als dit niet lukt, dan heeft u waarschijnlijk de control niet goed geformuleerd.

evenwichtig

Het is aan te raden bij elke control vast te leggen tot welke van de vier categorieën controls deze behoort. Hiermee kunt u toetsen of een evenwichtig internal control framework is opgesteld.

Ezelsbruggetje

5 W’s en 1 H

Bij specifieke controlehandelingen kunt u een ezelsbruggetje gebruiken: de 5 W’s en 1 H. Bij een optimale beschrijving van een controlehandeling komen al deze 5 W’s en 1 H terug, dus:

  • W1: Wie voert de controle uit? (functie van de medewerker die verantwoordelijk is voor de uitvoering);
  • W2: Wat wordt er precies gecontroleerd? (wat is het ‘object van de controle’ en aan welke ‘norm’ wordt getoetst?);
  • W3: Wanneer wordt de control uitgevoerd? (frequentie: 1x per kwartaal, 1x per maand, transacties boven € x of alle?);
  • W4: Waar wordt de controle uitgevoerd? (niet altijd relevant. Alleen beschrijven als dit echt belangrijk is voor de control);
  • W5: Waarom wordt de control uitgevoerd? (niet zo relevant als dit al blijkt uit het gekoppelde risico in het normenkader. Dit hoeft u dus niet altijd uit te schrijven).
  • H1: Hoe wordt de control vastgelegd (audit trail)?

Een controlomschrijving met 5 W’s en 1 H

Een manager van een onderneming wil weten of de voorraadadministratie wel juist is. De magazijnbeheerder en de controller tellen 1 x per kwartaal de magazijnvoorraad in het centrale magazijn. Het aantal getelde voorraadartikelen vergelijken ze per artikel met de geadministreerde voorraad in het ERP-systeem. Verschillen worden vastgelegd op een tellijst. Van verschillen groter dan 5% gaan ze na of voorraadmutaties onjuist zijn geregistreerd door middel van afstemming tussen de administratie en de afgifte- en ontvangstdocumenten. Zowel de controller als de magazijnbeheerder dateert en parafeert de tellijst met de verschillenanalyse. Tot slot dienen ze deze in bij de administratie voor administratieve verwerking.