internal control maturity model icmm

Universiteit van Amsterdam - EIAP

Internal Control Maturity Model (ICMM)

Internal Control Maturity Model

- ICMM

EIAP Scriptie

Scriptant: Friso van de Velde

Mail: [email protected]

Tel: 06 20 38 66 72

Studentnummer: 6020407

Scriptiebegeleider: Albert Weenink ([email protected])

Tweede lezer: Jan Groenewold ([email protected])

Amsterdam, januari - augustus 2014



Voorwoord

Sinds de start van de opleiding heeft het in control vraagstuk mij geboeid. In control is een abstract begrip dat voor iedere organisatie anders tot stand komt. Daarnaast ben ik sinds mijn indiensttreding bij PwC herhaaldelijk in aanraking gekomen met visies en uitwerkingen op het gebied van volwassenheidsstadia. In een poging meer grip op het in control vraagstuk te krijgen heb ik besloten mijn scriptie over dit onderwerp in relatie tot volwassenheid te gaan schrijven. Doel hierbij was om een model te ontwikkelen dat adequaat op de praktijksituatie- en behoefte aansloot. Dank ben ik verschuldigd aan mijn scriptiebegeleider Albert Weenink, die mij vanuit zijn enthousiasme en praktijk ervaring heeft aangemoedigd de aansluiting van het ICMM op de praktijk te blijven houden. Daarnaast hebben we interessante gesprekken gehouden over het onderwerp van de scriptie en hebben we uitstekend kunnen samenwerken en de vaart er in gehouden. Ook dank ik Jan Groenewold voor de scherpe tweede lezing van mijn scriptie, dit is de kwaliteit van de scriptie ten goede gekomen. Dank ben ik verschuldigd aan de deelnemers aan de verschillende workshops die ik heb gehouden. Ik heb het als erg interessant ervaren om te sparren over volwassenheidsstadia en internal control. Het heeft me positief verast dat deelnemers aan de workshops enthousiast waren over het ICMM en het leuk vonden om te vertellen over hun praktijkervaring en verbeterpunten die ze zagen. Verder was het erg spannend hoe het ICMM landde bij de internal auditors van verschillende deelnemende organisaties. De deelnames hebben geleid tot interessante en verassende inzichten en ik heb de gesprekken als erg leuk en leerzaam ervaren. Hier viel me ook het enthousiasme op waarmee deelnemende internal auditors over het onderwerp wilden discussiëren en hun bereidheid het ICMM verder te gaan gebruiken. PwC bedank ik voor de mogelijkheid om de RO opleiding te kunnen volgen. De studie heeft me als professional veel gebracht. Tot slot bedank ik mijn vriendin Eveline en éénjarige dochter Lara. Het is erg druk geweest afgelopen twee jaar, ik dank Eveline voor alle steun en geduld. Friso van de Velde Augustus 2014



Inhoud 1. Inleiding ................................................................................................................................................................ 5

1.1 Aanleiding......................................................................................................................................................... 5

1.1.1 Control .......................................................................................................................................................... 5

1.1.2 COSO internal control model 2013 ............................................................................................................ 6

1.1.3 Volwassenheidsmodel .................................................................................................................................. 7

1.1.4 Kruisbestuiving ............................................................................................................................................ 8

1.1.5 Praktijktoets ................................................................................................................................................. 8

1.2 Onderzoeksdoelstelling en hoofd- en deelvragen ...................................................................................... 9

1.3 Onderzoeksmethode ...................................................................................................................................10

2. Beantwoording deelvragen .................................................................................................................................. 11

2.1 Deelvraag I: Kan COSO 2013 bijdragen tot internal control van een organisatie? ...................................... 11

Conclusie – deelvraag I ........................................................................................................................................ 11

2.1.1 Wijzigingen COSO 2013 ............................................................................................................................. 11

2.1.2 Componenten en principles ...................................................................................................................... 12

2.1.3 Relatie COSO 2013 domeinen ................................................................................................................... 13

2.1.4 Voorwaarden voor effectieve internal control .......................................................................................... 13

2.1.5 Beperkingen COSO (2013) ......................................................................................................................... 14

2.2 Deelvraag II: Hoe wordt een volwassenheidsmodel ontwikkeld? ................................................................. 15

Conclusie – deelvraag II ...................................................................................................................................... 15

2.2.1 Selectie uit methoden ‘De Bruijn’ en ‘Becker’ ........................................................................................... 15

2.2.2 Geselecteerde methode ‘De Bruijn’ ........................................................................................................... 16

Fase 1: Scope (‘reikwijdte’) .................................................................................................................................. 16

Fase 2: Design (‘ontwerp’) ................................................................................................................................... 17

2.3 Deelvraag III: Hoe worden volwassenheidsstadia en een referentiekader ontwikkeld? .............................. 19

Conclusie – deelvraag III ..................................................................................................................................... 19

Fase 3: Populate (‘ontwikkelen’) ......................................................................................................................... 19

2.3.1 ICMM - volwassenheidsstadia .................................................................................................................. 20

2.3.2 ICMM - referentiekader ............................................................................................................................ 21

2.4 Deelvraag IV: Is een internal control volwassenheidsmodel toepasbaar in de praktijk? ........................... 30

Conclusie – deelvraag IV .................................................................................................................................... 30

Fase 4: Test (‘praktijktoets’) ................................................................................................................................ 31

Resultaten en interview verslagen ...................................................................................................................... 31

3. Visie ......................................................................................................................................................................... 32

Fase 5: deploy (‘verspreiding’) & maintain (‘onderhoud’) ................................................................................ 32

3.1 Visie ten aanzien van internal control ............................................................................................................ 32

3.2 Visie ten aanzien van verder onderzoek en beperkingen .............................................................................. 33

4. Conclusie ............................................................................................................................................................. 35

Hoofdvraag: Op welke wijze is het mogelijk om aan de hand van COSO 2013 de volwassenheid van internal control van een organisatie te meten? ................................................................................................................... 35

5. Literatuur ............................................................................................................................................................ 36



Appendices .................................................................................................................................................................. 37

Appendix 1: Definitie internal control .................................................................................................................. 37

Appendix 2: Verhouding COSO IC met COSO ERM ............................................................................................ 38

Appendix 3: Toelichting op COSO componenten ................................................................................................. 39

Appendix 4: Interviewscript ................................................................................................................................... 40

Appendix 5: Praktijktoets resultaten ..................................................................................................................... 42

A5.1 Privaat eigendom - Stork ........................................................................................................................... 42

A5.2 Beursgenoteerde organisatie – Randstad ................................................................................................ 44

A5.3 Financiële instelling – ABN AMRO .......................................................................................................... 46

A5.4 Non-governmental organization (goed doel) – Stichting ZOA ............................................................... 48

A5.5 Publiekrechtelijk orgaan – Ministerie van Sociale zaken en werkgelegenheid ..................................... 50

Appendix 6: Online assessment ............................................................................................................................. 52



1. Inleiding

1.1 Aanleiding

1.1.1 Control

De afgelopen jaren is de maatschappij diverse malen geconfronteerd met tegenvallende resultaten van publieke en private organisaties. De maatschappij beseft dat financiële verslaggeving met name is gericht op het verleden en daarmee onvoldoende informatie verschaft over de robuustheid en winstgevendheid van organisaties en over het beleid van de bestuurders (gepland versus gerealiseerd). De maatschappij, vertegenwoordigd door stakeholders: aandeelhouders, werknemers, leveranciers, klanten, omwonenden, overheid, etc. is tevens geïnteresseerd in de cultuur en integriteit van de organisatie en van de bestuurders en commissarissen. De maatschappij verwacht van bestuurders dat ze tijdig inspelen op maatschappelijke ontwikkelingen en dat de hiermee gepaarde risico’s worden beheerst. De raad van bestuur en de raad van commissarissen dienen te rapporteren over het risicoprofiel van de organisatie en de risico’s die aan de strategie en de dagelijkse bedrijfsvoering zijn verbonden om vervolgens aan te geven in hoeverre deze risico’s, die het realiseren van de doelstellingen van de organisatie bedreigen, worden beheerst [NIVRA, 2009]. Organisaties zoeken een relatieve balans tussen risico en beheersing. Zonder risico’s te nemen zullen organisaties geen winst maken. Wanneer een organisatie in control is valt moeilijk te zeggen, te meer omdat in control een relatief begrip is. Dit betekent voor het in control vraagstuk dat een organisatie in eerste instantie moet onderkennen hoe de relatieve balans tussen risico en beheersing er uit ziet om vervolgens bij dit evenwicht te stellen dat een organisatie in control is. Indien een organisatie meer risico neemt zijn er vier mogelijkheden voor een organisatie om de balans te herstellen. Een organisatie kan de risicotolerantie beperken door de risico’s te vermijden of over te dragen, dan wel te mitigeren door beheersmaatregelen uit te breiden. Een vierde mogelijkheid voor een organisatie is om het risico te accepteren waarmee het de risicotolerantie vergroot. Als de tolerantie toeneemt kan een organisatie nog steeds – in relatieve zin – beweren dat het in control is [Paape, 2008]. In formele zin sluit dit aan bij Driessen en Moolenkamp, die stellen dat een organisatie in control is als een organisatie met een redelijke mate van zekerheid kan stellen dat er geen significante, onverwachte gebeurtenissen zullen plaatsvinden die de realisatie van de doelstellingen kunnen frustreren [Driessen, Moolenkamp, 2012]. Absolute zekerheden zijn er nauwelijks, onderzoek heeft uitgewezen dat de ‘rational man’ niet bestaat, maar op zijn best ‘bounded’ is [Kahneman, 2003]. Volgens Strikwerda is een raad van bestuur in control wanneer deze in staat is de materiële en immateriële activa in te zetten ten behoeve van de continuïteit van de organisatie. Hiervoor moet een raad van bestuur van een organisatie zowel internal als external control1 realiseren. Internal control bestaat volgens Strikwerda uit drie onderdelen:

Goed geformuleerde en uitgevoerde strategie;

Een juist bepaalde organisatiestructuur;

Een sub-unit power base: die functie, activiteit of competentie die het meest cruciaal is voor succes in de markt, moet in de interne organisatie ook de meest machtige positie innemen. Dat wil zeggen dat fundamentele succesfactoren een centrale positie in de organisatie dienen in te nemen

Strikwerda stelt verder dat een raad van bestuur met het oog op de toekomst in control dient te zijn en dat het COSO internal control model voornamelijk betrekking heeft op de interne organisatie [Strikwerda, 2004].

1 External control blijft in het kader van deze scriptie buiten beschouwing



Het ‘Committee of Sponsoring Organizations of the Treadway Commission’ (hierna: COSO) definieert internal control als volgt:

Internal control is a process, effected by an entity’s board of directors, management and other personnel, designed to provide reasonable assurance regarding the achievement of objectives

relating to operations, reporting & compliance [COSO 2013 - 1]. 2

Internal control voorziet in verschillende behoeftes. Internal control geeft een raad van bestuur vertrouwen en management een handvat om doelstellingen te realiseren. Internal control geeft verder weer in hoeverre een organisatie de realisatie van de doelstellingen bewerkstelligt en het de kans op ongewenste verassingen vermindert. Daarnaast is internal control in veel gevallen een voorwaarde voor toegang tot de kapitaalmarkt om te groeien als organisatie [COSO 2013 - 3].

1.1.2 COSO internal control model 2013

COSO is een vrijwillig private sector initiatief dat als doel heeft de bevordering van het presteren en governance van organisaties door een effectieve internal control. Onder meer het IIA3 en AICPA4 zijn betrokken bij de COSO organisatie [McNally, 2013]. COSO heeft in 1992 een model (hierna: COSO 1992) ontworpen ten behoeve van de interne beheersing van organisaties. Het COSO internal control model bracht een ‘revolutie’ te weeg op gebied van interne beheersing, het bleek de eerste formele poging internal control te definiëren en een model hiervoor te gebruiken. In 2002 nam het COSO 1992 aan belang toe, omdat het belang van internal control als zodanig in de Sarbanes-Oxly Act (SOX) wetgeving onder artikel 404 werd genoemd. De SOX wetgeving schrijft voor dat een organisatie beheersmaatregelen dient in te richten ten behoeve van internal control. Daarnaast verplicht de wetgeving de effectiviteit van deze beheersmaatregelen intern en extern te laten beoordelen. Onder meer gezaghebbende organisaties als de SEC5 en PCAOB6 bestempelde COSO als een adequaat raamwerk voor de inrichting van internal control [D’Aquila 2013; AICPA, 2012]. In Nederland heeft ‘Tabaksblat’ het COSO internal control model als voorbeeld voor organisaties genoemd in control te komen, in werkelijkheid hebben Nederlandse organisaties en masse het internal control systeem gebaseerd op de COSO filosofie [Pruijm, 2007; Renes, 2003]. In 2013 heeft COSO het internal control model van 1992 herzien door het uitbrengen van het COSO internal control - integrated framework (hierna: COSO 2013) met 17 principles die de vijf COSO componenten ondersteunen. Zo kunnen organisaties beheersmaatregelen versterken en vertrouwen van stakeholders genereren om de doelstellingen van de organisatie te realiseren. In het kort heeft COSO 2013 drie doelstellingen op de gebieden operations, reporting en compliance. COSO 2013 bestaat uit vijf componenten:

Control environment;

Risk assessment;

Control activities;

Information & communication;

Monitoring activities.7 De structuur van de organisatie is weergegeven aan de rechterkant van de kubus (zie figuur 1). Er bestaat een directe relatie tussen de drie doelstellingen, van de organisatie en de vijf COSO componenten.

2 Refereer voor een nadere toelichting op de COSO definitie van internal control aan Appendix 1 3 IIA = Institute of Internal Auditors 4 AICPA = American Institute of Certified Public Accountants 5 SEC = Securities and Exchange Commission 6 PCAOB = Public Company Accounting Oversight Board 7 Refereer voor een nadere toelichting op de COSO componenten aan Appendix 3



Figuur 1: COSO internal control model (COSO, 1992/2013)

De 17 principles ondersteunen de vijf componenten. (refereer aan beantwoording deelvraag I). De principles geven het conceptuele fundament van de componenten weer. Omdat de principles een directe relatie hebben met de componenten kan een organisatie enkel de internal control omgeving beheersen door alle principles toe te passen [COSO 2013 - 1; PwC, 2012; AICPA, 2012]. Management van een organisatie kan aan de hand van COSO 2013 concluderen dat het systeem van internal control effectief is, mits de COSO componenten en relevante principles in opzet en bestaan aanwezig zijn en werken. Met de aanwezigheid van het ontwerp van de COSO componenten en principles wordt bedoeld dat deze bestaan in het systeem van interne beheersing. Met werking wordt bedoeld dat componenten en principles zijn geëffectueerd in het systeem van interne beheersing. Daarnaast is het systeem van interne beheersing effectief als de 5 COSO componenten op geïntegreerde wijze op elkaar aansluiten [McNally, 2013].

1.1.3 Volwassenheidsmodel

Volwassenheidsmodellen bestaan uit het concept dat een proces een levenscyclus met verschillende fases doorloopt. Volwassenheidsmodellen gaan van het principe uit dat na identificatie van het huidige volwassenheidsstadium een organisatie een hoger niveau van volwassenheid in fases kan bereiken [Lockamy, McCormack 2004]. Sinds het Capability Maturity Model (hierna: CMM) [Paulk, 1993] in 1993 door het Software Engineering Institute werd gelanceerd zijn er talloze volwassenheidsmodellen uitgebracht. Volwassenheidsmodellen identificeren het huidige stadium van een organisatie op ‘een’ onderwerp en geven aan op welke wijze een volgend volwassenheidsstadium bereikt kan worden. Daarnaast kunnen organisaties of onderdelen daarvan op het gebied van volwassenheid middels benchmarking modellen met elkaar worden vergeleken. Organisaties willen zich continu verbeteren (process orientation en continuous process improvement for organizational design) en volwassenheidsmodellen kunnen hiervoor als bruikbare tool dienen [Röglinger, Pöppelbuss, 2011]. Het is interessant voor organisaties om vast te stellen op welk volwassenheidsstadium COSO 2013 wordt toegepast. Organisaties kunnen daaruit afleiden in hoeverre de doelstellingen door een effectieve toepassing van COSO 2013 worden gerealiseerd. Om volwassenheidsstadia te definiëren dient een volwassenheidsmodel te worden ontwikkeld, een aangedragen ontwikkelmodel voor volwassenheidsmodellen ziet er als volgt uit [De Bruijn, Rosemann, 2005]:

Figuur 2: Model development phases (De Bruijn, Rosemann, 2005)



Bovenstaande generieke stappen moeten worden gevolgd om volwassenheidsstadia te bepalen. Daarnaast is het mogelijk een meer formele methode aan te houden voor de ontwikkeling van een volwassenheidsmodel (refereer aan figuur 3) [Becker, 2009]:

Figuur 3: Procedure model for developing maturity models (Becker, 2009)

1.1.4 Kruisbestuiving

Door de wereldwijze acceptatie van de COSO internal control modellen zal de uitgebreide content van COSO 2013 en onderliggende documentatie als fundament fungeren voor de totstandkoming van het internal control maturity model. Deze volwassenheidsstadia zijn gebaseerd op de initiële volwassenheidsstadia die zijn uitgebracht door het CMM: ad hoc – repeatable – defined – managed – optimized. De vijf tot stand gekomen internal control volwassenheidsstadia zullen worden vertaald naar de 17 COSO 2013 principles, waardoor een referentiekader zal ontstaan. Het tot stand gekomen referentiekader wordt vervolgens door seniore experts vanuit verschillende invalshoeken in workshops gevalideerd.

1.1.5 Praktijktoets

COSO stelt dat COSO 2013 betrekking heeft op organisaties van verschillende typen, soorten en maten, zoals private, beursgenoteerde en publiekrechtelijke organisaties en Non-governmental organizations (hierna: Ngo’s). Nu is het interessant om na te gaan of het ontwikkelde model aansluit op de behoefte uit de praktijk. Een internal auditor kan door zijn onafhankelijke rol in de organisatie en zijn positie als waarborger van de derde lijn adequaat een dergelijke toetsing uitvoeren [IIA, 2013].



Het IIA formuleert de definitie van internal auditing als volgt:

“Internal auditing is an independent, objective assurance and consulting activity designed to add value and improve an organization’s operations. It helps an organization accomplish its objectives

by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk management, control and governance processes”[IIA, 2005].

Internal auditors van (1) een beursgenoteerde organisatie (Randstad), (2) een privaatrechtelijk beheerde organisatie (STORK) , (3) een publiek rechterlijkorgaan (Ministerie van Sociale zaken en Werkgelegenheid) en (4) van een goed doel (Stichting ZOA), zullen worden gevraagd de volwassenheid van de principles, componenten en onderlinge samenhang voor hun organisatie te beoordelen om zo het volwassenheidsstadium van de organisatie op het gebied van internal control vast te stellen. Concreet wordt via een online assessment gevraagd om de volwassenheid van de organisatie waarvoor ze werkzaam zijn aan de hand van 17 principles te beoordelen. De typen organisaties worden aangevuld met (5) een financiële instelling die onder meer vanuit wet- en regelgeving veel aandacht hebben voor internal control (ABN AMRO). Na een kwalitatieve beoordeling zal de internal auditor in een interview feedback kunnen leveren op de werking en toepasbaarheid van het model, het resultaat van de assessment de organisatie en een inschatting van de positionering ten aanzien van de andere typen organisaties. Het resultaat van de assessments en interviews worden vastgelegd in deelvraag IV en Appendix 5.

1.2 Onderzoeksdoelstelling en hoofd- en deelvragen Het doel van de scriptie is om een bijdrage te leveren aan het vakgebied, de onderzoeksdoelstelling luidt als volgt: Onderzoeksdoelstelling: Ontwikkelen van internal control volwassenheidsmodel. Een dergelijk model stelt een internal auditors in staat om aan de hand van het vernieuwde COSO internal control (2013) model het volwassenheidsstadium van de organisatie waarvoor ze werkzaam zijn vast te stellen. Een internal control volwassenheidsmodel ontbreekt en het te ontwikkelen model heeft tevens als doel om COSO 2013 handzamer te maken, zodat een volwassenheidsmodel voor internal control in de praktijk adequaat toepasbaar is. Organisaties kunnen aan de hand van het te ontwikkelen model de vraag van stakeholders naar de mate van internal control beter beantwoorden. Naar aanleiding van het voorgaande luidt de hoofdvraag als volgt: Hoofdvraag: Op welke wijze is het mogelijk om aan de hand van COSO 2013 de volwassenheid van internal control van een organisatie te meten?

Uit de hoofdvraag destilleren de volgende deelvragen:

Deelvraag I: Kan COSO 2013 bijdragen tot internal control van een organisatie? Deelvraag II: Hoe wordt een volwassenheidsmodel ontwikkeld? Deelvraag III: Hoe worden volwassenheidsstadia en een referentiekader ontwikkeld? Deelvraag IV: Is een internal control volwassenheidsmodel toepasbaar in de praktijk?



1.3 Onderzoeksmethode

De deelvragen I en II worden aan de hand van wetenschappelijk literatuuronderzoek beantwoord. Voor deelvraag I worden nationale en internationale bronnen over de totstandkoming en toepassing van COSO 2013 gebruikt.

Voor deelvraag II worden internationale bronnen over de ontwikkeling van volwassenheidsmodellen gebruikt. Een van de aangedragen ontwikkelingsmodellen (‘De Bruijn’ of ‘Becker’) wordt na een analyse geselecteerd om aan de hand van stappen uit het geselecteerde ontwikkelingsmodel het volwassenheidsmodel te ontwikkelen.

Onder deelvraag III vindt de daadwerkelijke ontwikkeling van de volwassenheidsstadia en het referentiekader plaats door internal control volwassenheidsstadia toe te passen op de 17 COSO principles. De op dat moment tot stand gekomen volwassenheidsstadia en referentiekader worden door seniore experts vanuit verschillende invalshoeken gevalideerd om zo de praktische toepasbaarheid, kwaliteit en relevantie te waarborgen.

Deelvraag IV bestaat uit de praktijktoetsing. Internal auditors van verschillende organisaties worden benaderd om op onafhankelijke wijze de mate van internal control van de organisatie waarvoor ze werkzaam zijn te kunnen toetsen. De toets is kwalitatief van aard, daarnaast krijgt de internal auditor de gelegenheid de beoordeling in een interview toe te lichten als ook om feedback ten aanzien van de werking van het model te leveren.

In hoofdstuk 3 zet ik mijn visie ten aanzien van internal control, mogelijk verder onderzoek en beperkingen voor toepassing van het tot stand gekomen Internal Control Maturity Model (ICMM) uiteen.

De scriptie wordt afgesloten met een conclusie waar de hoofdvraag wordt beantwoord.



2. Beantwoording deelvragen

2.1 Deelvraag I: Kan COSO 2013 bijdragen tot internal control van een organisatie?

Conclusie – deelvraag I

COSO 2013 is door de brede toepassing, wereldwijde acceptatie en internationale regulering als handvat representatief om internal control te verwezenlijken. Organisaties kunnen COSO 2013 gebruiken voor de toepassing van een top down risk based aanpak van het internal control systeem. Vergeleken met COSO 1992 speelt COSO 2013 adequater in op technologische ontwikkelingen, de informatiebehoefte van stakeholders en vereisten op het gebied van wet-en regelgeving. COSO 2013 is aan de hand van de principles en points of focus handzamer en identificeert aandachtspunten die het realiseren van internal control kunnen belemmeren. Voorwaarden zijn wel dat, in beginsel, alle principles effectief opereren en de componenten op elkaar zijn afgestemd.

2.1.1 Wijzigingen COSO 2013

De COSO organisatie meende dat de uitgangspunten uit het originele COSO 1992 aanpassing behoeften ter bevordering van de gebruiksvriendelijkheid en toepasbaarheid naar de wensen van de huidige tijd. COSO 92 werd ruim 20 jaar geleden in 1992 gelanceerd en inmiddels hebben zich ontwikkelingen en gebeurtenissen voorgedaan: er zijn talrijke grote organisaties failliet gegaan door ineffectief risk management, technologie heeft zich revolutionair ontwikkeld, markten waarop bedrijven opereren zijn sterk geglobaliseerd, stakeholders zijn meer geïnteresseerd in de verantwoording over de bedrijfsvoering geraakt en vereisten op het gebied van wet- en regelgeving zijn ingrijpend gewijzigd en toegenomen [D’Aquila, 2013]. De basis: ‘de internal control definitie en de kubuscomponenten’ blijven in COSO 2013 hetzelfde als in COSO 1992.8

“COSO 2013 builds on what has been proven useful in the original version”[COSO, 2013 - 2]. De volgende verschillen zijn er tussen COSO 1992 en COSO 2013 wel te onderkennen9:

Reporting objective - Een van de doelstellingen/objectives uit COSO 1992, reporting over financiële doelstellingen is verbreed door financial weg te laten, daardoor is de reikwijdte van de doelstelling inzake rapportering verbreed naar niet-financiële (en meer extern gerichte) informatie over behaalde resultaten en een waarheidsgetrouwe financiële verslaggeving. COSO onderkent de vraag vanuit stakeholders om tijdige en waarheidsgetrouwe informatie te leveren. Er is een groeiende interesse vanuit stakeholders om op integrale wijze te rapporten, ook over onderwerpen waarmee een organisatie competitief voordeel kan behalen. De verbreding van de reporting doelstelling speelt op deze ontwikkeling in. In het algemeen kan het volgende gesteld worden over objectives [AICPA, 2013; D’Aquila 2013]:

Operations objectives: deze doelstellingen zijn gericht op de effectiviteit en efficiëntie van de operationele en financiële processen van een organisatie (inclusief proces ten aanzien van het waarborgen van de activa van de organisatie);

Reporting objectives: deze doelstelling is gericht op interne en externe financiële en niet-financiële rapportages voor diverse stakeholders;

8 Refereer voor de relatie tussen COSO IC en COSO Enterprise Risk Management (ERM) aan Appendix met COSO ERM aan Appendix 2

9 Niet limitatief



Compliance objectives: deze doelstelling refereert aan het voldoen aan vereisten op het gebied van wet –en regelgeving waaraan de (entiteit van de) organisatie dient te voldoen.

Principles en points of focus - Het meest significante verschil tussen de COSO 2013 en

COSO 1992 is dat de meest recente versie van het model principles en points of focus kent. 17 Principles en 81 points of focus voorzien in een meer gedetailleerde ondersteuning van de COSO componenten om de effectiviteit van internal control te ontwikkelen en te beoordelen (refereer voor principles aan paragraaf 2.1.2). Management kan afhankelijk van de omstandigheden waarin de organisatie of entiteit zich bevindt besluiten of dergelijke points of focus wel of niet geschikt zijn om toe te passen. Deze principle based approach is volgens COSO toepasbaar op verschillende typen organisaties zoals private, beursgenoteerde en publiekrechtelijke organisaties en Ngo’s.

IT controls - IT risico’s zijn tegenwoordig nadrukkelijk aanwezig binnen organisaties.

Beheersmaatregelen ten aanzien van het informatiebeveiligingsbeleid moeten expliciet worden gewaarborgd. IT maakt het mogelijk om betrouwbare en actuele informatie aan stakeholders te leveren. COSO 2013 erkent expliciet de fundamentele rol die IT heeft in elke organisatie en daarom is de beheersing ervan evident (refereer aan principle 11 in paragraaf 2.1.2).

Effective governance - Organisaties en internal audit dienen de effectiviteit en

onafhankelijk van de governance structuur te meten (refereer aan principle 3 in paragraaf 2.1.2).

Professional judgment - COSO 2013 heeft in tegenstelling tot COSO 1992 meer aandacht

voor de eerste lijn’s betrokkenheid (management’s judgement) in de opzet en implementatie van het model als ook de beoordeling van effectiviteit van de werking (refereer onder meer aan principles 1-3, 12 en 17 in paragraaf 2.1.2).

2.1.2 Componenten en principles

COSO 2013 kent net als de voorganger COSO 1992 vijf componenten: Control environment, risk assessment, control activities, information & communication en monitoring activities. De componenten van COSO 2013 worden ondersteund door 17 principles en geven organisaties richting in de ontwikkeling van de opzet, implementatie en beoordeling van het internal control framework. Vervolgens zijn in figuur 4 de COSO 2013 componenten met daaraan gekoppelde principles weergegeven (refereer voor een opsomming en uiteenzetting van de vijf COSO 2013 componenten met daarop een toelichting aan Appendix 3).



Figuur 4: COSO internal control model – relation components and principles (COSO, 2013)

2.1.3 Relatie COSO 2013 domeinen

Zoals weergegeven in paragraaf 1.1.2 (refereer aan figuur 1) houden drie domeinen de COSO kubus bijeen: doelstellingen, componenten en bedrijfsonderdelen (afhankelijk van de structuur van de organisatie). Er bestaat een directe relatie tussen doelstellingen, hetgeen de organisatie wil realiseren, componenten, die uiteenzetten hetgeen nodig is om de doelstellingen te realiseren en de bedrijfsonderdelen. Elke component heeft betrekking op alle doelstellingen. De doelstellingen hebben niet enkel betrekking op specifieke entiteiten of onderdelen van de organisatie, maar bij bijvoorbeeld de doelstelling operations, op het geheel aan operationele processen in de organisatie. Indien er een KPI rapportage wordt opgesteld is er informatie benodigd van verschillende onderdelen van de organisatie, dan is de activiteit meer gericht op de middelste kolom, reporting, in plaats van op operations. Internal control is geen lineair proces waar een component enkel invloed heeft op de daarop volgende component, want internal control is een dynamisch, iteratief en integraal proces waarbij componenten elkaar beïnvloeden. Het systeem van internal control verschilt per organisatie en is afhankelijk van industrie, grootte, aard van bedrijfsmodel, risicotolerantie, afhankelijkheid van technologie, mate van gekwalificeerd personeel en vereisten vanuit wet- en regelgeving [COSO 2013 – 3]. 2.1.4 Voorwaarden voor effectieve internal control

Een effectief systeem van internal control levert een redelijke mate van zekerheid dat de doelstellingen van de organisatie worden gerealiseerd. Een effectief systeem van internal control reduceert het risico van het niet behalen van de doelstellingen die betrekking hebben op de categorieën objectives tot een voor de organisatie acceptabel niveau.



De voorwaarden voor een effectief systeem van internal control zijn:

A. Alle 5 COSO componenten en 17 principles functioneren; COSO 2013 stelt dat de principles een directe relatie hebben met de componenten en een organisatie de doelstellingen enkel kan beheersen door alle principles effectief toe te passen (‘present and functioning’). COSO is van mening dat alle principles relevant en toepasbaar zijn op alle organisaties. Als een principle afwezig is of niet effectief, dan kan de gelieerde component niet effectief zijn geïmplementeerd. In uitzonderlijke omstandigheden kan management vaststellen dat in het specifieke geval (industrie, omvang organisatie, etc.) het functioneren van een component onafhankelijk is van het functioneren van een bepaalde principle [COSO 2013 – 3, Deloitte, 2013]. Afwijkingen van de toepassing van de principles leiden tot een afnemende waarschijnlijkheid dat de doelstellingen van de organisatie worden behaald [Protiviti, 2013]. Beoordelingen van afwijkingen blijven subjectief van aard. Management beoordeelt de aard en ernst van de afwijking en of de afwijking leidt tot een significant gebrek in het systeem van internal control. Een significante afwijking wordt als volgt gedefinieerd:

“an internal control deficiency or combination of deficiencies that severely reduces the likelihood that the entity can achieve its objectives”.

Een dergelijke afwijking bestaat indien management vaststelt dat een component niet functioneert of dat componenten niet geïntegreerd functioneren. Het bestaan van een significante afwijking voorkomt dat het systeem van internal control effectief wordt toegepast. Met andere woorden, een effectief systeem van internal control vereist geen absolute zekerheid van een effectieve werking van de 17 principles. COSO 2013 moet niet als checklist worden gehanteerd. Voor een succesvolle implementatie dient een organisatie te beginnen met het uitvoeren van een mapping van bestaande beheersmaatregelen op de COSO 2013 principles. Management kan zo vaststellen welke principles wel en niet zijn geïmplementeerd en waar activiteiten benodigd zijn om de principle op het gewenste niveau te krijgen. De externe auditor kan de nieuwe opzet beoordelen om herhaling van werkzaamheden te voorkomen. Daarnaast kan internal audit de planning op het nieuwe model afstemmen, maar voor een succesvolle implementatie dient een organisatie de top-down risk-based approach uit te voeren [Protiviti, 2013; COSO, 2013 - 3].

B. De vijf componenten zijn op integrale wijze op elkaar afgestemd. COSO 2013 stelt dat de componenten op elkaar dienen te zijn afgestemd (‘operate together’) zodat de componenten gezamenlijk het risico reduceren dat doelstellingen niet worden gerealiseerd. Voorbeelden van de wijze waarop componenten op elkaar aansluiten zijn (1) het hebben ingericht van een risk & control raamwerk waarvoor op verschillende niveaus en processen risico’s en beheersmaatregelen zijn vastgelegd om die vervolgens te monitoren, (2) beleidsdocumenten en procedures die als onderdeel van control activities bijdragen aan het identificeren en analyseren van risico’s in de risk assessment, (3) opgestelde en gecommuniceerde Codes of conduct die de kans op frauduleus gedrag trachten te mitigeren [COSO, 2013 – 3]. 2.1.5 Beperkingen COSO (2013)

COSO 2013 is een handzaam model ter ondersteuning van internal control van de organisatie, maar het gebruik er van is afhankelijk van kwaliteit en geschiktheid onder bepaalde omstandigheden. Zo kunnen beperkingen ontstaan door inadequate menselijk beoordelingen, inadequate beoordelingen van beantwoording van risico’s (afweging van kosten en voordelen van inzet beheersingsactiviteiten), samenzwering en management override van beheersmaatregelen [Protiviti, 2013, COSO 2013 - 3].10

10

Refereer voor een uitgebreidere visie op de beperkingen van COSO 2013 en het ICMM aan paragraaf 3.2



2.2 Deelvraag II: Hoe wordt een volwassenheidsmodel ontwikkeld?

Conclusie – deelvraag II

Een volwassenheidsmodel kan aan de hand van een ontwikkelmodel voor volwassenheidsmodellen worden ontwikkeld. Daarvoor moet echter wel de aard en andere kenmerken van het te ontwikkelen volwassenheidsmodel worden vastgesteld om een ontwikkelmodel te selecteren. Voor de ontwikkeling van het ICMM is het ontwikkelingsmodel van De Bruijn geselecteerd, omdat het ICMM diagnostisch van aard is, de fundamentele content via COSO 2013 reeds beschikbaar is en de fasering adequaat op de deelvragen van de scriptie aansluit. De stappen van het De Bruijn model en de daaruit voortvloeiende eigenschappen fungeren als leidraad voor de ontwikkeling van het ICMM. Om het volwassenheidsmodel vorm te geven is de reikwijdte en het ontwerp vastgesteld. COSO 2013 heeft volgens COSO een brede toepasbaarheid, hetgeen daarom wordt getoetst door internal auditors van verschillende typen organisaties. Het ICMM wordt door verschillende type experts gevalideerd in drie verschillende workshops. De volwassenheidsstadia van het CMM dienen door de wereldwijde acceptatie en generieke toepasbaarheid als basis dienen voor verdere ontwikkeling van het ICMM. 2.2.1 Selectie uit methoden ‘De Bruijn’ en ‘Becker’

Zoals beschreven de inleiding zijn er verschillende ontwikkelmodellen om volwassenheidsmodellen –en stadia te ontwikkelen (refereer aan paragraaf 1.1.3). De methode van De Bruijn (refereer aan figuur 2) is ontwikkeld om volwassenheidsmodellen te ontwikkelen voor Business Process Management en de methode van Becker (refereer aan figuur 3) is gericht op IT management volwassenheidsmodellen. Beide methoden zijn procedureel van aard en hanteren fases om een volwassenheidsmodel te ontwikkelen. De toepassing van volwassenheidsmodellen kan verschillend van aard zijn waardoor er verschillende typen modellen te onderscheiden zijn:

Descriptive (‘diagnostisch’) - het volwassenheidsmodel heeft een diagnostisch doel als het is bedoeld om aan de hand van gegeven criteria de huidige situatie van de organisatie op een bepaald gebied in kaart te brengen (AS IS);

Prescriptive (‘normatief’) - normatieve volwassenheidsmodellen geven weer op welke wijze aan de hand van richtlijnen gewenste volwassenheidsstadia te bereiken;

Comparative (‘vergelijkend/comparatief’) - een volwassenheidsmodel is comparatief als het interne en externe benchmarking toestaat. Indien er veel data beschikbaar is van een groot aantal beoordelingen, kunnen de volwassenheidsstadia van verschillende organisaties of bedrijfsonderdelen met elkaar worden vergeleken [Röglinger, Pöppelbuss, 2011].

De Bruijn stelt zes fases voor om een diagnostisch volwassenheidsmodel te ontwikkelen dat zich kan ontwikkelen tot een normatief of comparatief model. De methode van Becker schrijft een handboek voor met acht fasen om tot een op wetenschap gefundeerd volwassenheidsmodel te komen. Becker’s methode is probleem oplossend van aard (‘prescriptive’), nadat de status quo van een organisatie is vastgesteld (‘descriptive’). Becker vergelijkt verschillende bestaande volwassenheidsmodellen om een nieuw model te ontwikkelen. De keuze om voor het ontwikkelen van het volwassenheidsmodel te steunen op de content COSO 2013 maakt een vergelijking met reeds bestaande modellen overbodig [Becker, 2009; DeBruijn, Rosemann, 2005; Röglinger, Pöppelbuss, 2011]. De methode van de Bruijn is voor deze scriptie het meest geschikt, omdat het doel van de scriptie is een diagnostisch volwassenheidsmodel te ontwikkelen dat zich in een vervolgtraject wellicht kan ontwikkelen tot een normatief of comparatief model. Daarnaast staat het model van De Bruijn toe om in de ontwikkelfase te steunen op aanwezige content om die vervolgens te laten valideren door experts. Verder sluiten de fases uit het model van De Bruijn aan op de deelvragen.



2.2.2 Geselecteerde methode ‘De Bruijn’

De fases van De Bruijn zijn generiek van aard, maar de volgorde is van belang. De keuzes tijdens het scope proces beïnvloeden latere fases (refereer ook aan paragraaf 1.1.3 en figuur 2).

Figuur 5: Model development phases (De Bruijn, Rosemann, 2005) – fase 1: scope

Fase 1: Scope (‘reikwijdte’)

In de eerste fase van de ontwikkeling van het model moet de reikwijdte voor de toepassing van het ICMM worden vastgesteld. Door de behoefte vanuit organisaties en stakeholders om in control te zijn over de doelstellingen van de organisatie ligt de focus van het te ontwikkelen volwassenheidsmodel, het Internal Control Maturity Model (hierna: ICMM), op internal control. COSO stelt dat COSO 2013 betrekking heeft op organisaties van verschillende typen organisaties, zoals private, beursgenoteerde en publiekrechtelijke organisaties en Non-governmental organizations [COSO 2013 – 3]. Het ICMM is daarom ook gericht op verschillende typen organisaties zoals voorgesteld door COSO. Tijdens fase 5, de deploy fase wordt het model getest bij deze type organisaties, aangevuld met een financiële instelling die onder meer vanuit wet- en regelgeving veel aandacht hebben voor internal control. De internal auditor is door zijn onafhankelijk bij uitstek geschikt om een diagnostische toets op de organisatie uit te voeren op de mate van toepassing van COSO 2013 om het niveau van internal control van de organisatie vast te stellen. Het model wordt tijdens de testfase op validiteit getoetst door seniore experts vanuit verschillende invalshoeken op het gebied van business en soft controls, risk en audit. In validatie workshop I wordt het ICMM gevalideerd door business control experts van een accountants- en advieskantoor, waarna het model in een volgende workshop wordt gevalideerd door een expert van de internal audit afdeling van een beursgenoteerde organisatie. Tijdens de derde validatieworkshop voorziet een soft controls expert van een financiële dienstverlener het ICMM van input op het gebied van cultuur elementen. Om de praktische en brede toepassing te valideren en te waarborgen wordt het model als pilot getest door ervaren en opgeleide internal auditors binnen een private, beursgenoteerde en publiekrechtelijke organisatie, een Ngo en een financiële instelling (refereer aan paragraaf 1.1.5). De reikwijdte van de scope ziet er in tabelvorm als volgt uit:

Eigen-schappen van het model

Toepassing

Focus Internal control* Type Diagnostisch Normatief Vergelijkend Toepassing op organisaties

Privaat-rechtelijk

Beurs-genoteerd

Publiek-rechtelijk

Niet op winst gericht (NGO)

Financiële instelling

Uitvoerder Lijnorganisatie (eerste lijn)

Risk management/ compliance (tweede lijn)

Internal audit (derde lijn)

Externe audit (vierde lijn)



Gebruiker Stakeholders

Validiteitstoets content model

Business control experts accountants- en advieskantoor

Internal auditors van een beursgenoteerde organisatie

Soft controls expert van een financiële instelling

Validiteitstoets toepassing model

Privaat-rechtelijk

Beurs-genoteerd

Publiek-rechtelijk

Niet op winst gericht (NGO)

Financiële instelling

*Onderstreept en dik gedrukt = van toepassing Figuur 6: scope

Figuur 7: Model development phases (De Bruijn, Rosemann, 2005) – fase 2: design

Fase 2: Design (‘ontwerp’)

In de tweede fase wordt vastgesteld (1) op wiens vraag aan verantwoording het model inspeelt, dit zijn verschillende stakeholders zoals de eigenaren, investeerders, RvB/RvC, OR, etc. (2) wie het model kunnen toepassen en hoe het model kan worden toegepast, namelijk door internal auditors die aan de hand van het model een onafhankelijke toets op de volwassenheid op het gebied van internal control kunnen uitvoeren en (3) welk doel de toepassing van het model heeft: het verschaft stakeholders inzicht in de mate waarin de organisatie de realisatie van de doelstellingen beheerst (refereer aan paragraaf 1.2). Volwassenheidsmodellen hebben gemeen dat er verschillende stadia (van volwassenheid) worden onderkend, bijvoorbeeld waarbij stadium 5 de hoogste graad van volwassenheid belichaamt en niveau 1 de laagste. Deze stadia zijn geïntroduceerd door het CMM en sindsdien wereldwijd geaccepteerd [DeBruijn, 2005; Mutafelija, Stromberg 2003]. Het is handzaam de volwassenheidsstadia verschillende titels met een heldere indicatie van het stadium te geven. Om de voorwaarden van de stadia te definiëren kan een bottom-up of top-down approach worden uitgevoerd. Een top-down approach definieert eerst de titels van de verschillende stadia en geeft vervolgens de voorwaarden weer voor het bereiken van de stadia. Een bottom-up approach verloopt in omgekeerde volgorde, waarbij eerst voorwaarden worden geschetst waarna de titels van verschillende stadia worden geformuleerd [DeBruijn, 2005]. Voor deze scriptie wordt de top-down approach gehanteerd, omdat de stadia van het CMM worden gebruikt. Vervolgens worden de volwassenheidsstadia naar de aard van het CMM aan de hand van de content van COSO 2013 verder ingevuld. Om COSO 2013 adequaat toe te passen met als doel in control te geraken over de realisatie van de doelstellingen van de organisatie, dienen de componenten en dus ook de 17 principles op samenhangende wijze toe te worden gepast. Nu is het voor organisaties interessant in hoeverre de 17 principles worden toegepast om een indicatie te hebben of en in hoeverre fundamentele aandachtsgebieden in het internal control systeem effectief en efficiënt worden toegepast.



Het CMM dat initieel als model is uitgebracht om software te ontwikkelen, leent zich om volwassenheidswording als proces te onderkennen. Een volwassenheidsmodel draagt bij om een focusgebied zoals internal control op fundamentele wijze in de organisatie in te richten, waardoor de afhankelijkheid van individuen afneemt en de kans op duurzaam succes, productiviteit en kwaliteit, toeneemt. Er zijn fundamentele verschillen tussen volwassen en onvolwassen organisaties, ter illustratie: In een onvolwassen organisatie wordt door medewerkers veel geïmproviseerd en reactief activiteiten uitgevoerd waardoor planning en budget niet worden gehaald of worden overschreden. Wanneer harde deadlines moeten worden gehaald gaat dit vaak ten kosten van de kwaliteit en functionaliteit. In een volwassen organisatie worden activiteiten proactief volgens procedure uitgevoerd waardoor targets wel en op tijd worden gehaald en dit niet ten kosten gaat van de kwaliteit. Procedures worden regelmatig geüpdate en rollen en verantwoordelijkheden zijn helder gedefinieerd. Resultaat van activiteiten wordt gemonitord en op objectieve wijze beoordeeld. Deze illustratie geeft weer dat er verschillen kunnen zijn in de mate van volwassenheid op specifieke gebieden. Een volwassenheidsmodel kan een organisatie ondersteunen in het helder krijgen op welk niveau de organisatie op een specifiek gebied presteert en het voor de organisatie identificeert hoe opvolgende volwassenheidsstadia er uit zien en hoe die te bereiken. Een dergelijk model draagt er ook aan bij om te onderkennen op welk onderdeel een organisatie te kort schiet om de doelstellingen van de organisatie te realiseren [Paulk, 1993]. Het CMM heeft vijf niveaus gedefinieerd om de volwassenheid op specifieke gebieden te identificeren. De vijf stadia van het CMM zijn met een toelichting als volgt (tussen haakjes staan de originele software termen die niet van toepassing zijn op internal control, zonder afbreuk te doen aan de strekking van de verschillende stadia):

i. Ad hoc – The (software) process is characterized as ad hoc, and occasionally even chaotic. Few processes are defined, and success depends of individual effort;

ii. Repeatable – Basic project management processes are established to track cost, schedule and functionality. The necessary process discipline is in place to repeat earlier success on projects with similar steps (applications);

iii. Defined – The (software) process for both management and (engineering) activities is documented, standardized and integrated in a standard (software) process for the organization. All projects use an approved, tailored version of the organization’s standard (software) process for developing and maintaining the subject matter (software);

iv. Managed – Detailed measures of the (software) process and product are collected. Both the software process and products are quantitatively understood and controlled;

v. Optimized – Continuous process improvement is enabled by quantitative feedback from the process and from piloting innovative ideas and technologies [Paulk, 1993].

De CMM volwassenheidsstadia zijn in opzet breed toepasbaar gehouden door de ontwikkelaars van het model en gegeven de processuele aard zijn ze geschikt om verschillende stadia op het gebied van IC te identificeren. De tot stand gekomen volwassenheidsstadia zullen het fundament vormen voor de mapping op de COSO principles.



2.3 Deelvraag III: Hoe worden volwassenheidsstadia en een referentiekader ontwikkeld?

Conclusie – deelvraag III

Volwassenheidsstadia komen in een creatief proces aan de hand van wetenschappelijke literatuur, aanwezige content (COSO 2013 en CMM) en praktijkinzichten tot stand. Daarna zijn de in control volwassenheidsstadia geplot op de content van COSO 2013, gevalideerd en aangevuld met praktijkinzichten in verschillende validatieworkshops. De experts die het CMM hebben gevalideerd komen uit de praktijk en hebben vanuit verschillende invalshoeken het ICMM van aandachtspunten voorzien. De experts waren respectievelijk gespecialiseerd in business controls, risk en audit en soft controls.

*In tegenstelling tot de rest van de scriptie worden de volwassenheidsstadia en het model in het Engels beschreven, met als doel om geen

afbreuk te doen aan de Engelstalige terminologie uit de literatuur, betrokken experts en deelnemende organisaties aan de praktijktoets.

Figuur 8: Model development phases (De Bruijn, Rosemann, 2005) – fase 3: populate

Fase 3: Populate (‘ontwikkelen’)

Door de volwassenheidsstadia van het CMM te hanteren wordt de top-down approach gevolgd door per principle de mate van volwassenheid naar de aard van de CMM niveaus, van ad hoc tot optimized, te beschrijven. Hierbij wordt gebruik gemaakt van de points of focus, dit zijn de kenmerken van de principles. Uit de wetenschappelijke literatuur is onder meer vastgesteld dat een organisatie COSO 2013 effectief toepast als de principles in opzet en operatie effectief zijn, het risico’s beheerst op een acceptabel niveau, IT inzet om efficiëntieslagen te behalen, een organisatie vertrouwen wekt richting stakeholders en aan de vraag naar betrouwbaarheid en actuele data van stakeholders voldoet (refereer aan de beantwoording van deelvraag I). De ontwikkeling van het ICMM is een creatief proces gebleken. Na verricht literatuuronderzoek (refereer aan deelvraag I en II) zijn de CMM volwassenheidsstadia verrijkt met praktijkinzichten in de eerste validatieworkshop. De volwassenheidsstadia zijn vervolgens geplot op de 17 COSO principles, waarna een beoordeling op de eerste aanzet van het referentiekader heeft plaatsgevonden door de deelnemers aan de eerste validatieworkshop. De volwassenheidsstadia en de eerste versie van het referentiekader zijn gevalideerd in de tweede validatieworkshop, waarna aan de hand van nieuwe inzichten de volwassenheidsstadia zijn aangescherpt en een nieuwe versie van het ICMM tot stand is gekomen. In de derde validatieworkshop was het object de gevalideerde versie van het ICMM naar aanleiding van de tweede validatieworkshop.

Validatieworkshop I – PwC, Business Controls Advisory (Ronald Teuthof, Partner; Wim Mandemakers, Senior Manager)

Tijdens deze workshop is het onderscheid verduidelijkt tussen een effectieve en efficiënte toepassing van COSO 2013. Om effectiviteit van de principles aan te tonen dient te worden vastgesteld en gedocumenteerd dat principles adequaat zijn geïmplementeerd en functioneren. Efficiëntie kan worden bereikt door



middel van automatisering: toepassing van Governance, Risk en Compliance tooling, data en process mining en continuous monitoring. Door een effectieve en efficiënte toepassing van COSO 2013 richt internal control zich meer op het creëren van waarde voor de organisatie door pro-actief kansen te benutten om de doelstellingen te verwezenlijken en hierover te berichten aan stakeholders om vertrouwen te creëren of te waarborgen. Indien de effectiviteit van de toepassing van de principles is bereikt kunnen de principles in overeenstemming met de strategische doelstellingen van de organisatie worden uitgevoerd. Het uiteindelijke doel voor een organisatie is het creëren van vertrouwen naar de stakeholders toe.

Validatieworkshop II – Heineken International, Global audit (Roger Sans Font, Global audit manager for a region)

Tijdens deze workshop zijn aandachtspunten voor de praktische toepasbaarheid naar voren gekomen. In het model is meer aandacht gekomen voor regionale toepassing, omdat het model aan relevantie kan winnen door verschillende bedrijfsonderdelen individueel te beoordelen. Daarbij dient wel gelet te worden op regionale culturele verschillen. Het belang van de stakeholders is tijdens de workshop benadrukt. Voor de toepassing van COSO 2013 is het nodig om de vraag naar verantwoording over de bedrijfsvoering te beantwoorden. Daarnaast is het voor internal audit een kans om aan de hand van het ICMM in gesprek te treden met het hogere eerste lijnsmanagement over de mate van in control waarin de organisatie zich bevindt. Een organisatie investeert afhankelijk van de risk appetite in internal control, inzicht in de cost of control is benodigd om goede afwegingen op het gebied van IC activiteiten te maken.

Validatieworkshop III – ABN AMRO, Group audit (Theo Verzijlbergen, Senior manager)

In de derde validatieworkshop is de invloed van soft controls op internal control besproken: helderheid, voorbeeldgedrag, bespreekbaarheid, uitvoerbaarheid, betrokkenheid, transparantie, aanspreekbaarheid en sanctioneerbaarheid [Kaptein, 2007]. De toepassing van soft controls op stadia van volwassenheid en de principles is toegelicht en bediscussieerd en heeft geleid tot aanvullingen op het ICMM. De eigenschappen van de volwassenheidsstadia (2.3.1) hebben als fundament gefungeerd voor het vaststellen van de 5 volwassenheidsmogelijkheden per principle (2.3.2). 2.3.1 ICMM - volwassenheidsstadia

i. Ad hoc There is no (in)formal or very limited internal control in place. Policies, procedures and processes have not or slightly been defined. Therefore, successful execution of IC activities in order to achieve organizational objectives depends of individual effort and result becomes unpredictable. The organization reacts case by case on risk events. Soft control elements are very limited effective (clarity, congruency, discussability, feasibility, supportability, transparency, accountability, sanctionability).

ii. Repeatable

Policies, procedures and processes have been somewhat formalized. However, policies, procedures and processes are documented for most of the organizational units and owners have been assigned to risks and controls. IC activities are executed based on previous experiences. However, inconsistency in performance appears for executed IC activities throughout the organization. Responsibility for Internal control is taken within the organization. Lines of defence are partially integrated. Not all soft control elements are in place (clarity, congruency, discussability, feasibility, supportability, transparency, accountability, sanctionability).



iii. Defined Policies, procedures and processes are effective in design. Evidence of IC activities is available and documented in basic registration tools (point solutions).Baseline controls have been implemented and IC is primarily used for internal goals. Good governance is established within the organization by meeting (international) generally accepted standards. The organization focuses on risk mitigation in a retro-spective way. Control awareness is established. Soft control elements are in place. However, not all soft control elements are effective (clarity, congruency, discussability, feasibility, supportability, transparency, accountability, sanctionability).

iv. Managed

Policies, procedures and processes operate effectively and evidence is transparent and communicated internally. The organization is compliant with laws and regulations and proves compliance via declarations to its stakeholders to maintain sustainable relationships. Reporting process is performed with the end result in mind, reports are set-up bottom-up in accordance with the organization’s objectives KPI’s are aligned with organization’s objectives. Cost of control is transparent to management and compared to measured benefits. The organization documents IC activities in a GRC solution in an integrated way. Therefore, different lines of defence document IC activities in a GRC tool. Lines of defence perform IC activities in accordance with strategic objectives. Results of IC activities are predictable. The organization aims to gain external trust by providing assurance on non-compliant subject matters. Accountability for execution has been defined and is effective in operation. Cost of control increases in level I to level iii/iv, in order to achieve an effective IC-system. Efficiency increases from level iv onwards, because of automated controls in order to monitor controls continuously. Compliance awareness is established in phase iv. Soft control elements operate effectively (clarity, congruency, discussability, feasibility, supportability, transparency, accountability, sanctionability). Root/causes of deficiencies in the IC system are identified with support of soft controls, recommendations are provided and followed-up.

v. Optimized

The organization provides trust via continuous assurance to stakeholders in order to create value. Organization's IC-system is effective by aligning objectives and derived KPI’s in the area of operations, reporting and compliance with strategic objectives. Organization's IC-system is efficient and controls are automated or managed through self-remediation. Continuous monitoring activities provide the organization with real-time insights in performance and level of control, which enables the organization to monitor event driven and to act in a proactive way. The organization provides continuous assurance by informing internal and external stakeholders proactively. The organization provides obtained assurance reports to stakeholders about subjects on which the organization aims to realize competitive advantage. The organization conducts data analysis via automated interfaces with integrated GRC solutions in order to compose actual data representation and KPI performance on dashboards and to predict occurrence of future events. Performance awareness is established. Long term relationships with stakeholders are enforced continuously. Soft control elements retain operating effectively and a continuous improvement culture is in place (clarity, congruency, discussability, feasibility, supportability, transparency, accountability, sanctionability). Root/causes of deficiencies in the IC system are identified with support of data and process mining.

2.3.2 ICMM - referentiekader

In deze paragraaf is het ICMM referentiekader weergegeven. Dit is het gevalideerde resultaat van de mapping van internal control volwassenheidsstadia op de 17 COSO 2013 principles.



In het grijs in de linker kolom staan de principles genummerd van 1-17. Bovenin in het geel van links naar rechts staan de volwassenheidsstadia ad hoc – repeatable – defined – managed - optimized. Nr. & Principle Maturity level

Nr Principle Ad hoc Repeatable Defined Managed Optimized

Component: Control environment 1 The

organization demonstrates a commitment to integrity and ethical values.

The organization shows limited commitment to integrity and ethical values. Standards of conduct are not in place.

Standards of conducts have been somewhat formalized. Inconsistency appears in conducting organization’s moral values. Therefore, incongruent behavior appears.

Standards of conduct have been formalized, are clear and are effective in design. The organization is feasible and acts supportive towards establishing a culture in which an ethical culture is maintained.

Standards of conduct are effective in operation. Therefore, evidence is in place that standards of conduct have been understood by personnel. The organization performs self-correcting activities and is compliant with rules and regulations. (high and middle) Management demonstrates congruent behavior ('tone at the top' and 'walk the talk'). Personnel are being held accountable for individual activities and are sanctioned.

Moral/ethical objectives are aligned with strategic objectives of the organization. The organization is able to communicate performance in the field of ethical 'compliance' internally and externally.

2 The board of directors demonstrates independence from management and exercises oversight of the development and performance of internal

Independent board oversight is limited in place.

Oversight structures consist of deficiencies. However, the board of directors demonstrates independence and oversight activities informally. Therefore,

Oversight structures are effective in design and feasible. Board of directors oversees management's assessments of risks; Oversight is provided to senior management in development and performance of IC

Oversight is tested periodically and is clear and effective in operation. The organization complies with laws and regulations and issues third party declarations

The organization analyses and discusses information relating to entity's achievement of (strategic) objectives.



control. inconsistency appears in the development and performance of internal control.

activities. (e.g. in control statement).

3 Management establishes, with board oversight, structures, reporting lines, and appropriate authorities and responsibilities in the pursuit of objectives.

Structures, reporting lines, and authorities & responsibilities are in general not clear.

Structures, reporting lines, and authorities & responsibilities are documented partially, consist of deficiencies, and are not always clear in relation to objectives. Therefore, policies, procedures and processes are not documented consistently for most of the organizational units. Lines of defence are partially integrated.

Structures, reporting lines, and authorities & responsibilities are effective in design. Senior management established directives, guidance and control to enable management and other personnel to understand and carry out IC responsibilities. Good governance is established within the organization by meeting (international) generally accepted standards.

Structures, reporting lines, and authorities & responsibilities are feasible, clear and understood and effective in operation, and are documented in an integrated way in a GRC tool. Board of directors retains authority over significant decisions. Personnel are being held accountable for individual IC activities.

Structures, reporting lines, and authorities & responsibilities are adapted to actual circumstances in order to achieve (strategic) objectives ('Structure follows strategy'). Lines of defence are integrated with strategic objectives.

4 The organization demonstrates a commitment to attract, develop, and retain competent individuals in alignment with objectives.

No HR policy or expressed commitment from the organization towards personnel.

HR policy is defined in a limited way and consists of deficiencies. The organization acts in a reactive manner in the field of HR.

HR policy supports internal control in the achievement of the entity's objectives and is effective in design. Accountability for performance of key business functions has been defined.

Organization is compliant with labour safety laws, rules, regulations and standards. Present competencies and experience are aligned with HR policy. Shortcomings are evaluated and remedial actions are taken. HR policy is feasible. Management acts congruent with regards to HR activities.

HR objectives, personnel profiles and development plans are aligned with strategic objectives. Individual performance and added value is measured automatically. The organization acts pro-actively in the field of HR and uses HR to achieve competitive advantage.



5 The organization holds individuals accountable for their internal control responsibilities in the pursuit of objectives.

Roles and responsibilities are not transparent.

Role and responsibilities have not been formalized. Therefore, individuals are held accountable in a limited way.

Roles and responsibilities are aligned with the objectives and are effective in design. KPI's and IC responsibilities are transparent for the first line. IC framework is documented in a basic registration tool. Control awareness is established.

Tasks which result from roles and responsibilities are clear and transparent and have been aligned with compliance obligations, execution is evaluated periodically with the support of a GRC tool. Personnel are being held accountable for individual IC activities and are sanctioned. Roles and responsibilities are assessed in an integrated way taking the lines of defence into account. Compliance awareness is established.

Roles and responsibilities are aligned with strategic objectives. Performance is measured automatically via automated controls. Performance awareness is established. Control deficiencies are self-remediated.

Component: Risk assessment

6 The organization specifies objectives with sufficient clarity to enable the identification and assessment of risks relating to objectives.

Objectives do not enable the organization to identify and assess risks relating to objectives.

The organization defines objectives informally. Objectives are slightly ambiguous to stakeholders in the risk assessment process.

The process of setting objectives for operations, reporting and compliance in order to assess risks, is effective in design. Specified objectives are documented and available for interested personnel.

Objectives are clear and feasible and reflect management's choice for operations, complies with accounting standards, externally established standards and frameworks for reporting and complies with laws and regulations for compliance. The organization communicates defined

Objectives are aligned with strategic objectives and achievement of objectives is monitored event driven with support of dashboards. Risks and opportunities are identified automatically.



objectives as well as the achievement of objectives. The organization identifies risks and opportunities pro-actively.

7 The organization identifies risks to the achievement of its objectives across the entity and analyses risks as a basis for determining how the risks should be managed.

The organization does not have a process for risk identification in place. The organization reacts case by case on risk events.

Risk assessment process is done informally and consists of deficiencies.

Risk assessment process is effective in design. The organization focusses on risk mitigation in a retro-spective way. The organization analyses all business segments on internal and external risks for impact and likelihood periodically, which could endanger the realization of organization's objectives. Appropriate levels of management are involved in the risk assessment process.

Risk assessment process is feasible and effective in operation. The result of the risk assessment is reflected in an integrated GRC tool. Therefore, risks are responded effectively (the organization is compliant in identifying risks in relation to law and regulations).

The organization analyses to what extent risks impact strategic objectives. The organization analyses risk interdependencies and adjusts the risk response in a proactive way by conducting continuous monitoring automated controls.

8 The organization considers the potential for fraud in assessing risks to the achievement of objectives.

The organization does not consider fraud in the assessment of risks.

The incorporation of fraud assessment is done informally and consists of deficiencies.

Fraud assessment process is effective in design and preventive. Fraud assessment takes incentives and pressures into consideration. Fraud awareness is established.

Fraud assessment process is effective in operation. The organization allows a climate in which fraud events and matters are discussed. The organization ensures compliance with rules and regulations.

Fraud policy is aligned with the control environment and strategic objectives. Automated fraud controls are in place to detect irregular events continuously.

9 The organization identifies and assesses changes that could significantly impact the system of internal control.

Significant changes are not identified.

Process of identifying and assessing changes is done informally throughout the organization and consists of deficiencies.

Process is effective in design to analyze changes in a preventive and detective way in the internal and external environment and with regards to the business model and leadership within the organization.

Process in order to identify and assess changes is effective in operation. The organization evaluates if significant changes were responded accurately and timely.

Events or changes which could endanger strategic objectives are identified automatically by processing online data. Events or changes are reacted upon in



a proactive way to support first line performance in order to achieve competitive advantage.

Component: Control activities 10 The

organization selects and develops control activities that contribute to the mitigation of risks to the achievement of objectives to acceptable levels.

The organization does not maintain IC activities in an integrated framework.

IC framework consists of deficiencies. Therefore, timeliness and accuracy of IC activities is not always guaranteed. IC activities are executed similar as performed in previous situations. However, inconsistency in performance appears for executed IC activities throughout the organization.

IC activities are formalized in an IC framework and have been aligned with the organization's risk response taking the control environment, and selected key processes into consideration. IC activities are documented and maintained in basic registration tool.

Controls are feasible and clear and effective in operation Controls reduce risks, in accordance with organization’s risk appetite, to an acceptable level. The organization documents its risks in an integrated GRC tool. Cost of control is transparent to management and compared to measured benefits.

The control objectives are aligned with strategic objectives. Controls are automated in order to obtain the actual risk status continuously.

11 The organization selects and develops general control activities over technology to support the achievement of objectives.

No specific IC activities over technology

IT policy and IC activities are performed informally or consist of deficiencies.

IT policy and IC activities are effective in design. IT policy and IC activities are aligned with objectives.

IT policy and IC activities are feasible and effective in operation and communicate compliancy by issuing Assurance reports. IC activities are documented and maintained in an integrated GRC tool.

IT policy and IC activities are aligned with strategic objectives and IT controls are automated. IT enables the organization to monitor controls continuously in support of the organization’s performance. Data analysis is conducted via automated interfaces in order to generate actual data



presentation.

12 The organization deploys control activities through policies that establish what is expected and procedures that put policies into action.

Process with regards to the deployment of IC activities is not in place.

Processes with regards to the deployment of IC activities are informal and consist of deficiencies.

Processes with regards to the deployment of IC activities are effective in design. A culture is established in which personnel addresses non-performance of IC activities. Roles and responsibilities are implemented via policies and procedures. Control awareness is established.

Processes with regards to the deployment of IC activities are clear and effective in operation. Non-performance of IC activities are discussed and sanctioned if needed. Corrective actions are taken upon. Compliance awareness is established.

Processes with regards to the deployment of IC activities are aligned with strategic objectives. Performance awareness is established.

Component: Information & communication 13 The

organization obtains or generates and uses relevant, quality information to support the functioning of internal control.

No process or measures are implemented to ensure the relevance and quality of IC information.

Process to ensure the relevance and quality of information consist of deficiencies. Therefore, the quality of information is not always guaranteed.

The organization has implemented a process which is effective in design in order to identify information which is required to support the in control principles. The process is established in policies to which information need to comply and in which way the information is used adequately. Information's objectives align with organization's objectives.

The organization has implemented a clear and feasible process for generating relevant and qualitative information which is effective in operation and which meets compliancy standards. The organization documents IC activities in an integrated GRC tool.

Information's objectives align with organization's strategy. Information is processed automatically. Controls (criteria and settings) to safeguard the quality of information are automated and generate actual data representation.

14 The organization internally communicates information, including objectives and responsibilities

No internal communication over IC activities.

Process to communicate information internally in order to achieve IC objectives consists of deficiencies.

The organization has a process in place which is effective in design in order to provide personnel accurate information to perform IC activities.

Internal communication process is clear and effective in operation. Roles and responsibilities and IC activities are documented

Internal communication process is aligned with strategic objectives. Control measures to support internal



for internal control, necessary to support the functioning of internal control.

Therefore, the information flow does not support the functioning of internal control effectively and efficiently.

Communication structure is in place between management and board of directors to ensure performance and status updates. Separate communication lines exist to enable fail-safe me mechanism (e.g. a whistle blower procedure). Internal communication process is aligned with IC objectives. Control awareness is established.

in a GRC tool. The organization communicates compliance achievements internally. Reporting process is performed with the end result in mind, reports are set-up bottom-up in accordance with the organization’s objectives. Management demonstrates congruent behavior with regards to internal communication. Compliance awareness is established.

communication are automated. Therefore, the organization is able to act in a proactive way. Performance awareness is established.

15 The organization communicates with external parties regarding matters affecting the functioning of internal control.

There is no or limited communication regarding IC to external parties.

An external communication process regarding the functioning of IC is defined informally and consists of deficiencies.

The organization has a process in place which is effective in design to provide external parties with adequately and timely information regarding the functioning of IC. The organization has open and separate/independent communication lines for stakeholders to enable inbound communication.

The organization has a process in place which is effective in operation to communicate over (non-) compliance achievements. The organization aims to gain external trust by providing assurance on non-compliance matters. The organization ensures sustainable relationships with stakeholders.

The organization provides trust via continuous assurance in order to create value. The communication process towards external parties is aligned with strategic objectives including reporting performance related subjects and supports realizing competitive advantage. Long term relationships with stakeholders are enforced continuously.

Component:



Monitoring activities 16 The

organization selects, develops, and performs ongoing and/or separate evaluations to ascertain whether the components of internal control are present and functioning.

IC activities are not evaluated.

The organization’s process to conduct test activities in order to evaluate IC performance consists of deficiencies. Therefore, timeliness and accuracy of evaluations are not always guaranteed. Results of evaluations are unpredictable.

The organization’s process to conduct test activities in order to evaluate IC performance consists of deficiencies. Therefore, timeliness and accuracy of evaluations are not always guaranteed. Results of evaluations are unpredictable.

The organization has a process in place which is effective in design in order to evaluate IC activities periodically. The organization takes primary processes, objectives and risks into consideration. Evaluations are documented in a basic registration tool.

The evaluation process is effective in operation. The organization documents its test activities in an integrated GRC tool. Results of evaluations are predictable. Soft control elements operate effectively.

17 The organization evaluates and communicates internal control deficiencies in a timely manner to those parties responsible for taking corrective action, including senior management and the board of directors, as appropriate.

The organization does not have a process in place to communicate IC deficiencies to those parties responsible for taking corrective action.

An informal process is in place to communicate IC deficiencies timely and accurately to those parties responsible in order to take corrective action.

An informal process is in place to communicate IC deficiencies timely and accurately to those parties responsible in order to take corrective action.

The organization has a process in place which is effective in design in order to communicate IC deficiencies timely and accurately to those parties responsible in order to take corrective action. Follow-up of recommendations is monitored periodically. Control awareness is established.

The organization has a process in place which is effective in operation in order to communicate IC deficiencies timely and accurately to those parties responsible in order to take corrective action. Findings and recommendations are documented in an integrated GRC tool. Compliance awareness is established. The organization allows a culture in which performance of IC activities is discussed.

Figuur 9: Internal Control Maturity Model – ICMM [Van de Velde, 2014]



2.4 Deelvraag IV: Is een internal control volwassenheidsmodel toepasbaar in de praktijk?

Conclusie – deelvraag IV

Het ICMM is als tool voor internal auditors geschikt om de mate van internal control van verschillende typen organisaties te beoordelen. Het ICMM wordt door de deelnemers als handzaam, gestructureerd en kwalitatief beschouwd en de praktische toepasbaarheid wordt onderkend. Verder kan het ICMM volgens deelnemende internal auditors voor verschillende doeleinden worden gebruikt zoals het opbouwen van een In-control statement en de risicoparagraaf in het jaarverslag. Daarnaast is het ICMM toepasbaar op de organisatie als geheel als ook op verschillende bedrijfsonderdelen. De deelnemers zijn unaniem over de onafhankelijke rol van internal auditor als uitvoerder van het ICMM. De potentiële gebruikers van het ICMM verschillen van de gebruikers van de jaarrekening tot verschillende stakeholders als investeerders en toezichthouders, waarbij de raad van bestuur het vaakst wordt genoemd. De deelnemers zijn enthousiast over het toepassen van het ICMM in de praktijk. Een referentiemodel als het ICMM slaat dan ook aan in de praktijk.

Het merendeel van de deelnemende internal auditors voorspelden dat de financiële instelling het hoogst zou scoren in het ICMM, gevolgd door de beursgenoteerde organisatie. Daarnaast werden publiekrechtelijke en privaatrechtelijke organisaties genoemd, gevolgd door de Ngo. De uitslagen van de beoordelingen geven de indruk dat deze voorspelling uitkomt (refereer voor resultaten deelnemende organisaties en interviewverslagen aan Appendix 5).

Figuur 10: Uitslag deelnemende organisaties met behaalde scores (schaal 1 ad hoc – 5 optimized)



Figuur 11: Model development phases (De Bruijn, Rosemann, 2005) – fase 4: test

Fase 4: Test (‘praktijktoets’)

Nu het ICMM tot stand is gebracht, is het interessant om het ICMM te onderwerpen aan een praktijktoets om te toetsen of het tot stand gekomen referentiemodel toepasbaar is in de praktijk. COSO stelt dat COSO 2013 toepasbaar is op verschillende typen organisaties en noemt daarbij organisaties die privaatrechtelijk en publiekrechtelijk worden beheerd, beursgenoteerde organisaties en goede doelen (not-for-profit). Om de praktijktoets uit te voeren zijn gekwalificeerde en ervaren internal auditors (refereer aan paragraaf 1.1.5) bereid gevonden het ICMM voor het type organisatie waarvoor ze werkzaam zijn in te vullen om zo het volwassenheidsstadia op het gebied van internal control vast te stellen. Het doel is daarbij om een indruk te krijgen van de scores van verschillende type organisaties en of het ICMM aanslaat in de praktijk. Door de heterogene eigenschappen van de geselecteerde organisaties kunnen hieraan echter geen statistisch onderbouwde conclusies worden verbonden. Zo zal bijvoorbeeld een privaatrechtelijk beheerde onderneming wellicht minder verantwoording over de mate van internal control naar stakeholders hoeven af te leggen dan een beursgenoteerde onderneming. Een internal auditor van een financiële instelling is bereid geweest het ICMM in te vullen, omdat de verwachting is dat een financiële instelling veel aandacht besteedt aan internal control. Om de beoordeling adequaat te kunnen uitvoeren is het ICMM beschikbaar gesteld via een online questionnaire waar de internal auditor de 17 principles aan de hand van de 5 volwassenheidsstadia heeft beoordeeld (refereer aan Appendix 6). De scores 1-5 refereren aan de volwassenheidsstadia ad hoc – optimized. De deelnemende internal auditors hebben de verwerking van de beoordeling de resultaten ontvangen. Vervolgens hebben er interviews plaatsgevonden om te valideren of het ICMM toepasbaar is in de praktijk.

Resultaten en interview verslagen

Onder Appendix 5: Praktijktoets resultaten (A5.1 – A5.5) worden de resultaten weergegeven van de beoordeling van internal auditors die het ICMM hebben ingevuld voor de organisatie waarvoor ze werkzaam zijn. De scores zijn in een grafische spiderweb weergegeven. Naar aanleiding van elke beoordeling heeft er een interview plaatsgevonden (refereer voor het interviewscript aan Appendix 4). Daarnaast zijn naar aanleiding van de online assessment interviews gehouden en in verslagen uitgewerkt.



3. Visie

Figuur 12: Model development phases (De Bruijn, Rosemann, 2005) – fase 5: deploy & maintain

Fase 5: deploy (‘verspreiding’) & maintain (‘onderhoud’)

Naar aanleiding van de voor gaande hoofdstukken wil ik de Deploy & Maintain fasen aanwenden om mijn visie ten aanzien van internal control en verdere verspreiding, onderhoud en ontwikkeling van het ICMM weer te geven.

3.1 Visie ten aanzien van internal control De volwassenheidsstadia zijn vanuit het volgende gedachtegoed opgebouwd. Ad hoc - Geen of zeer beperkte vorm van internal control, er is nauwelijks documentatie op dit gebied beschikbaar; Repeatable - Beleid, procedures en processen zijn beperkt of op inconsistente wijze beschikbaar, er wordt vaak gesteund op praktijkervaring; Defined - Beleid, procedures en processen zijn effectief in opzet en bestaan, maar zijn over een kalenderjaar gemeten niet effectief in werking; Managed - Beleid, procedures en processen opereren effectief, compliancy is verwezenlijkt; Optimized - Verregaande efficiënte van inrichting beleid, procedures en processen. In het managed stadium is dan ook het niveau bereikt dat internal control effectief wordt toegepast. Middels ondersteuning van software kan een organisatie het systeem van internal control efficiënter uitvoeren. In de volwassenheidsstadia zijn daarom verschillende gradaties van software-inzet weergegeven: basale administratieve software (defined) --> geïntegreerde GRC tooling (managed) --> Process/data mining en continuous monitoring (optimized). In het optimized stadium levert de organisatie vertrouwen aan zijn stakeholders. Het systeem van internal control is afgeleid van de strategie. De organisatie is naar buiten gericht, naar alle stakeholders toe en handelt pro actief door zijn verregaande inzicht in (de kosteneffectiviteit van) interne beheersing om te zetten in competitief voordeel. Op basis van de literatuur en de praktijkinzichten vanuit de ABN AMRO heb ik soft controls een nadrukkelijke positie gegeven in de volwassenheidsstadia, omdat deze mijns inziens het succes bepalen van een effectief systeem van internal control. De geselecteerde soft control elementen volgen het gedachtegoed van de opbouw van de volwassenheidsstadia. Het ICMM is een tool om inzicht te verschaffen in het volwassenheidsstadium van internal control van de organisatie, waarbij de aandachtspunten voor verbetering worden geïdentificeerd. Tevens is het ICMM handzaam om inzicht te verkrijgen in de kenmerken van een effectieve en efficiënte inrichting van internal control. COSO 2013 is een adequaat instrument om internal control te verwezenlijken en speelt in op de wensen van de huidige tijd. Voor een effectieve internal control dienen alle componenten op elkaar te zijn afgestemd en de principles effectief te opereren. Dat illustreert dat een organisatie voor alle principles op het managed niveau uit moet komen. De deelnemende organisaties geven de indruk dat dit niet realistisch is en dat dit bij een ambitie blijft (refereer aan Appendix 5). Ik zou het ICMM dan ook niet willen inzetten om uitsluitsel te geven of een organisatie wel of niet in control is.



Het is me opgevallen dat de interne vraag naar internal control afhankelijk is van de externe vraag naar internal control van stakeholders. Een financiële instelling dient een hoge mate van verantwoording aan toezichthouders af te leggen, evenals een beursgenoteerde organisatie richting zijn aandeelhouders. Een privaatrechtelijk beheerde organisatie behoeft over het algemeen minder verantwoording aan externen af te leggen en is de aandacht voor internal control meer een strategische keuze, zoals bij een geplande beursgang. Bij de overheidsorganisatie en goede doelen zou het voor de hand liggend zijn dat de maatschappelijke verantwoording hoog in het vaandel zou staan, maar in de praktijk geven de deelnemende organisaties aan dat er meer aandacht zou moeten zijn voor respectievelijk risico beheersing en interne beheersing in het algemeen. In het verlengde van deze scriptie zou verder onderzoek interessant kunnen zijn naar de risk appetite (van het bestuur) van de organisatie en of die in overeenstemming is met de wensen van diverse stakeholders van de organisatie.

3.2 Visie ten aanzien van verder onderzoek en beperkingen Uit de interviews is gebleken dat ICMM de deelnemers aanspreekt en dat ze het ICMM willen en kunnen toepassen om inzicht te verkrijgen in het volwassenheidsstadium waarin de organisatie zich bevindt. De aandachtspunten die uit de beoordeling voortkwamen bleken herkenbaar. Ook hebben internal auditors aangegeven welke beperkingen zijn ten aanzien van het ICMM zagen. Vooral de eerste 4 volwassenheidsstadia bleken voor deelnemers herkenbaar voor de beheersing van management en operationele risico’s, terwijl een organisatie mijns inziens pas echt in control is als ook de strategische risico’s worden beheerst. Strategische risico’s worden beheerst als het systeem van internal control continu op de strategie is afgestemd en wordt aangepast. Het is uitdagender om strategisch in control te zijn, daarom wordt overeenstemming van het IC systeem met de strategie pas in het optimized stadium gerealiseerd. Er is naar mijn mening daarom ook een heldere relatie tussen optimized en COSO ERM (refereer voor een toelichting op COSO IC en ERM aan Appendix 2). Andere denkbare beperkingen dan wel aandachtspunten van het ICMM zijn volgens internal auditors:

Specificering van cultuurelementen in de beschrijving van de volwassenheidsstadia --> Een mogelijkheid voor verder onderzoek zou het ontwikkelen van best practices zijn om COSO 2013 in verschillende type organisaties in te richten. Internal auditors hebben aangegeven dat specificering van het ICMM nodig kan zijn voor verschillende (landen-)afdelingen van de organisatie. Daarbij ligt het voor de hand dat cultuur een nadrukkelijke rol speelt in de verschillende beoordelingen van het ICMM;

Specificering van Cost of Control ten behoeve van het realiseren van efficiëntie in niveau 4 en 5 --> het verdient aanbeveling onderzoek te verrichten naar het identificeren van kosten van toepassing van verschillende volwassenheidsstadia: kosten vs. effectiviteit

Enablers van three lines of defence in IC-systeem; Bieden van alternatief managed volwassenheidsstadium dat organisaties kunnen behalen

zonder een geïntegreerde GRC tool te hebben ingericht; Enkele andere beperkingen van het ICMM en het verrichte onderzoek in deze scriptie zijn als volgt: Het doel van de scriptie is geweest om het ICMM in de praktijk te toetsen en te laten aansluiten op de behoefte. Daarom is ook gekozen voor om vanuit de fundamentele basis van het CMM en COSO 2013 uit te gaan en deze te verrijken met praktische inzichten. In deze scriptie is gesteund op de praktijkinzichten die in de validatie workshops naar voren zijn gekomen, deze missen wel wetenschappelijke onderbouwing in enkele gevallen. In control is een relatief begrip en organisaties gaan hiermee op hun eigen manier mee om. Dit betekent voor het in control vraagstuk dat een organisatie in eerste instantie moet onderkennen hoe de relatieve balans tussen risico en beheersing er uit ziet om vervolgens bij dit evenwicht te



stellen dat een organisatie in control is. Er is geen absolute waarheid over het begrip in control, het ICMM is enkel een instrument om richting te geven en aandachtspunten te identificeren. Het hoofddoel van de scriptie is geweest om een model te ontwikkelen die internal auditors kunnen toepassen om de mate van internal control te meten van de organisatie. Tijdens de praktijktoets is gebleken dat het ICMM het doel bereikt. Daarbij is gebleken dat het model toepasbaar is op verschillende type organisaties. De blijk van brede toepassing heeft wel tot gevolg dat de inhoud van het model generiek van aard blijft. Daarentegen kan het model per object worden gespecificeerd voor meer op maat gemaakte toepassing. Per type is er één organisatie als voorbeeld genomen om een beeld te krijgen van de praktische toepasbaarheid. Deze toets is statistisch niet representatief en ik concludeer dan ook niet dat het ICMM toepasbaar is op alle organisaties binnen de gehanteerde typen. Verder onderzoek zou interessant kunnen zijn naar het toepassen van een grotere en meer representatieve steekproef om conclusies te trekken over de verschillen in omgang met het in control vraagstuk tussen verschillende type organisaties. Hierdoor kan het ICMM worden door ontwikkeld naar model voor benchmarking. Naar aanleiding van meerdere beoordelingen kunnen statistische gegevens worden ontleend, waardoor resultaten representatiever worden per type organisatie.



4. Conclusie

Hoofdvraag: Op welke wijze is het mogelijk om aan de hand van COSO 2013 de volwassenheid van internal control van een organisatie te meten? Het is mogelijk om aan de hand van COSO 2013 de volwassenheid van internal control van een organisatie te meten door een volwassenheidsmodel te ontwikkelen en toe te passen dat theoretisch en praktisch door wetenschappelijke literatuur en praktijkinzichten is getoetst en gevalideerd. Internal auditors kunnen met behulp van het ICMM een onafhankelijke beoordeling van de internal control status van de organisatie uitvoeren waardoor de aandachtspunten voor een organisatie inzichtelijk worden.

Het ICMM is tot stand gekomen door wetenschappelijke literatuur over bestaande modellen als fundament voor internal control en volwassenheidsstadia en de ontwikkeling van een dergelijk model te hanteren. In de scriptie is het theoretische fundament van COSO 2013 en het CMM gebruikt om de twee modellen met elkaar te vermengen voor de totstandkoming van een referentiekader. Om de praktische toepasbaarheid te waarborgen zijn de volwassenheidsstadia en referentiekader van het ICMM vanuit verschillende invalshoeken in verschillende workshops gevalideerd. Het ICMM is vervolgens getoetst op brede en praktijkgerichte toepassing. Op basis van deze praktijktoets concludeer ik dat het ICMM een handzaam model is, hetgeen is bevestigd door ervaren en gekwalificeerde auditors van deelnemende organisaties die hebben mee gedaan aan het onderzoek.

Internal auditors zijn ten behoeve van het beantwoorden van de toenemende vraag naar verantwoording aan stakeholders, bij uitstek geschikt om het ICMM toe te passen. Een dergelijk handzaam model ontbrak en is in deze scriptie tot stand gekomen.

Om de toepassing van het ICMM te vergroten zal ik in gesprek blijven met de internal auditors die hebben deelgenomen aan mijn onderzoek. Ik wil ondersteuning bieden in algemene en specifieke toepassing van het ICMM als ook mee te denken over de aandachtspunten die in het ICMM naar voren zijn gekomen. Voor verdere acceptatie ga ik internal auditors van andere organisaties benaderen om ze inzicht te geven in het niveau van internal control van hun organisatie. Zoals weergegeven in de Deploy & Maintain fasen ligt de weg naar respectievelijk verspreiding en ontwikkeling open, deze weg zal ik dan ook graag willen bewandelen. In mijn rol als dienstverlener op het gebied van het in control vraagstuk beheersing ga ik het ICMM als bruikbare tool onder de aandacht brengen.



5. Literatuur

AICPA (2012), White paper: COSO 2012 – Updated, Principles-based and more guidance. Geraadpleegd op 18 mei 2014 op www.aicpa.org/FRC.

Becker, J. (2009), Developing maturity models for IT management – A procedure Model and its application, Business and Information system engineering, 3, 213-218.

COSO (2013 - 1), Internal control – Integrated framework. Executive summary. Geraadpleegd op 30 maart 2014 op www.COSO.org.

COSO (2013 - 2), Internal control – Integrated framework. Frequently Asked Questions. Geraadpleegd op 1 april 2014 op www.COSO.org.

COSO (2013 - 3), Internal control – Integrated framework. Framework & Appendices. Geraadpleegd op 30 maart 2014 op www.COSO.org, 1-5, 12-21, 24-27, appendix G.

D’Aquila, J. (2013), COSO’s internal control – Integrated framework: updating the Original Concepts for today’s Environment. The CPA Journal, October 2013¸ 22.

De Bruijn, T., Rosemann, M. (2005), Understanding the main phases of developing a Maturity Assessment model, 16th Australian conference on Information Systems, Brisbane 2005, 2-11.

Deloitte (2013), COSO enhances its Internal control – integrated framework, Heads up, June 10, 2013. Driessen, A.J. G., Moolenkamp, A. (2012). Internal Auditing, een managementkundige benadering.

Wolters Kluwer: Deventer, 217-218. IIA (2005), International Professional Practices Framework. Altamonte Springs, Florida, 2. IIA (2013), IIA position paper: the three lines of defense in effective risk management and control,

Altamonte Springs, Florida, 5. Kahneman, D., (2003), Maps of Bounded Rationality: Psychology for Behavioral Economics The American Economic Review, Vol. 93, No. 5 (Dec., 2003), p. 1449-1475. Kaptein, M., (2007), Developing and Testing a Measure for the Ethical Culture of Organizations: The Corporate Ethical Virtues Model, ERIM REPORT SERIES RESEARCH IN

MANAGEMENT (Dec. 2007), p. 2-11. Lockamy III, A., McCormack, K. (2004), The development of a supply chain management process

maturity model using the concepts of business process orientation, Supply chain management: An international journal, volume 9, number 4, 272.

McNally, J.S. (2013), The 2013 COSO framework & SOX compliance: one approach to an effective transition, Strategic finance, 2013, 1-6.

Mutafelija, B. Stromberg, H. (2003), Systematic process Improvement using ISO 9001, 2000 and CMMI, Artech house: London, p. 3-5.

NIVRA (2009). Risicomanagement: een hype? Geraadpleegd op 15 februari 2014 op . Paape, L. (2008). ‘In control’ verklaringen: gebakken lucht of een te koesteren fenomeen? Nyenrode

Business Universiteit: Inaugerele rede, 21-22. Paulk, M.C. (1993), Capability maturity model, Version 1.1, Institute for software research, paper 7. Protiviti (2013), The updated COSO Internal control framework, FAQ, geraadpleegd op 18 mei 2014 op

http://www.protiviti.com/en-US/Pages/The-Updated-COSO-Internal-Control-Framework-FAQ.aspx. Pruijm, R. (2007), Waarom COSO? De Accountant, Januari 2007, p. 50. PwC (2012), COSO’s proposed Internal control Compendium, updated framework, and illustrative

tools, National Professional Services Group, No. 2012-18. Renes R. (2003), COSO, wat valt er te repareren? De Accountant, juni 2003, p. 109. Röglinger, M., Pöppelbuss, J. (2011), What makes a useful maturity model ? A framework for general

design principles for maturity models and its demonstration in business process management, 19th European conference on Information Systems, Helsinki 2011, p. 1-5.

Strikwerda, J., (2004), Organisatievormen en intern beheer 2004. Handboek Accountancy. Wolters Kluwer: Deventer.

http://www.aicpa.org/FRC

http://www.coso.org/





Appendices

Appendix 1: Definitie internal control

Uit de definitie van internal control (refereer aan volledige definitie in paragraaf 1.1.1) blijkt dat internal control gericht is op het behalen van objectives middels een process met voortdurende activiteiten en taken uitgevoerd door people om reasonable assurance aan een organisaties senior management of raad van bestuur te geven over de te behalen objectives van een entity binnen de organisatie.11

Objectives - Het systeem van internal control kan enkel worden opgebouwd als de organisaties doelstellingen helder en specifiek zijn. Het vaststellen van de doelstellingen is onderdeel van de strategievormingsproces waarbij rekening wordt gehouden met wet- en regelgeving en keuzes van het management van de organisatie. Het systeem van internal control bepaalt niet hoe de doelstellingen van de organisatie tot stand komen. COSO 2013 zet drie categorieën organisatiedoelstellingen uiteen:

Operations objectives: deze doelstellingen zijn gericht op de effectiviteit en efficiëntie van de operationele en financiële processen van een organisatie (inclusief proces ten aanzien van het waarborgen van de activa van de organisatie);

Reporting objectives: deze categorie refereert aan doelstellingen op interne en externe financiële en niet-financiële rapportages voor diverse stakeholders.

Compliance objectives: deze doelstellingen referen aan voldoen aan vereisten op het gebied van wet –en regelgeving waaraan de (entiteit van de) organisatie dient te voldoen.

Process - Internal control is geen gebeurtenis of omstandigheid, maar een dynamisch en

iteratief proces dat betrekking heeft op de activiteiten van een organisatie en inherent is aan de wijze waarop management de organisatie aanstuurt. Om het proces te sturen dient een organisatie beleid te hebben waarin is gedocumenteerd op welke wijze procedures zijn geïmplementeerd. Primaire processen, die door de verschillende entiteiten en afdelingen worden uitgevoerd, worden gestuurd door fundamentele management sturing (bijv. aan de hand van de Deming cycle – PDCA). Internal control behoort – volgends een effectieve toepassing van COSO 2013 – hiermee te zijn geïntegreerd.

Effected by people - Medewerkers van een organisatie voeren activiteiten uit die zijn

gestoeld op de theorie van COSO 2013. Het bestuur van de organisatie draagt verantwoordelijkheid voor de effectuering van internal control, maar wordt bereikt door medewerkers van de organisatie. Elk individu heeft een unieke achtergrond en capaciteiten, zo heeft ook elk individu verschillende wensen en prioriteiten. Unieke eigenschappen en medewerkers zijn waardevol en kunnen bijdragen aan innovatie van een organisatie, mits ze in lijn zijn met doelstellingen van de organisatie.

Provides reasonable assurance - Een effectief systeem van internal control voorziet het

bestuur van een organisatie een redelijke mate van zekerheid over het bereiken van de doelstellingen van de organisatie. De term ‘reasonable assurance’, vergeleken met ‘absolute assurance’ onderkent dat er beperkingen zijn in het systeem van internal control en dat onzekerheden en risico’s blijven bestaan waarvan niemand met zekerheid het verloop kan voorspellen. Het geven van volledige zekerheid is hierdoor niet mogelijk.

11

“Internal control is a process, effected by an entity’s board of directors, management and other personnel, designed to provide reasonable assurance regarding the achievement of objectives relating to operations, reporting & compliance.”



Appendix 2: Verhouding COSO IC met COSO ERM

Verhouding COSO IC met COSO ERM

Internal control is onderdeel van de algehele verantwoordelijkheid van het bestuur van de organisatie, maar niet iedere beslissing of activiteit heeft betrekking op het systeem van internal control. Het vaststellen van de missie en visie van organisatie is een voorbeeld dat geen onderdeel is van internal control, evenals het nemen van strategische beslissingen die effect hebben op doelstellingen van bedrijfsonderdelen. Hiervoor zou een organisatie het COSO Enterprise Risk Management model (hierna: COSO ERM) kunnen hanteren. COSO heeft in 2004 het COSO ERM uitgebracht als een, vergeleken met COSO 1992, breder model dat nadrukkelijker gericht is op enterprise risk management. Internal control is een integraal onderdeel van ERM. ERM is een integraal onderdeel van Governance:

Figuur 13: Verhouding Governance, ERM en Internal control

Het ERM behandelt een vierde doelstelling (objective): strategy. Deze categorie functioneert op een hoger niveau dan de drie doelstellingen (operations, reporting en compliance) van COSO 2013 en is afgeleid van een organisaties missie en visie. De andere drie doelstellingen – operations, compliance en reporting – zijn afgestemd op de strategie van een organisatie [COSO 2013 – 3].



Appendix 3: Toelichting op COSO componenten

Control environment – dit is het fundament van de organisatie dat bestaat uit

standaarden, processen en structuren die de basis bieden om internal control te definiëren en toe te passen. Het bestuur en het hogere management laten, middels voorbeeldgedrag/tone at the top, zien hoeveel waarde de organisatie hecht aan de effectuering van internal control activiteiten.

Risk assessment – dit is een dynamisch en iteratief proces om risico’s en kansen te

identificeren en te analyseren ten behoeve van het vormen van een fundament om risico’s te mitigeren. Management dient (interne en externe) ontwikkelingen en trends te identificeren die het vermogen van de organisatie bedreigen de doelstellingen van de organisatie te realiseren.

Control activities – dit zijn activiteiten die zijn vastgelegd in beleidsdocumenten,

procedures en processen om te waarborgen dat management stuurt op het mitigeren van risico’s om de doelstellingen van de organisatie te realiseren.

Information & communication – informatie is noodzakelijk om verantwoordelijken in

het systeem van internal control naar de organisatie te laten communiceren. Communicatie verloopt zowel intern als extern en voorziet de organisatie van informatie die benodigd is om beheersactiviteiten uit te voeren. Communicatie stelt medewerkers in staat internal control verantwoordelijkheden te begrijpen en het belang in relatie tot de doelstellingen van de organisatie er van in te zien.

Monitoring activities – de organisatie evalueert om vast te stellen of de vijf componenten

ondersteund door beheersmaatregelen effectief zijn ingericht en functioneren. Daarbij worden bevindingen geëvalueerd en gebreken tijdig gecommuniceerd, waarbij significante gebeurtenissen worden gecommuniceerd naar het bestuur en hogere management van de organisatie [COSO, 2013].



Appendix 4: Interviewscript

Naar aanleiding van de ingevulde ICMM assessments door internal auditors van deelnemende organisaties hebben er interviews plaatsgevonden om de toepassing van het ICMM te evalueren.

Daarbij is het volgende interview script gehanteerd, tezamen met het resultaat van de beoordeling in het ICMM, voordat het interview plaats vond per email verstuurd:

Vragen interview EIAP scriptie ICMM – Organisatie X

1. Algemeen

Wat vond u het van het ICMM?

2. In control

Kan het COSO 2013 en het ICMM bijdragen aan de IC van de organisatie?

Wat vindt u van de verschillende volwassenheidsniveaus?

Wat vindt u van de mapping van de volwassenheidsniveaus op de COSO principles?

Mist u elementen in het ICMM die u wel meeneemt in uw IC analyse?

Welke toepassingen heeft het ICMM volgens u?

Welke rol zou het model kunnen vervullen in de totstandkoming van een in control statement?

3. Doel

Mist u bepaalde elementen in het ICMM in relatie tot de praktische toepasbaarheid?

Vindt u de tool praktisch toepasbaar voor internal auditors?

Voor welke gebruikers zou een behoefte worden ingevuld?



4. Uitslag

Is de uitslag van het ICMM representatief voor het in control zijn van uw organisatie?

Is het ICMM toepasbaar op uw gehele organisatie of enkel onderdelen van uw organisatie?

Wil u het model verder gaan gebruiken?

Streeft u er naar op een hoger niveau met uw organisatie te zitten?

Op welke onderdelen zou u op een hoger niveau willen zitten?

5. Organisatiecategorie

Vindt u dat COSO 2013 op alle typen organisaties toepasbaar is?

Hoe verwacht u dat uw type organisatie per domein presteert in relatie tot andere type organisaties (beursgenoteerd, privaatrechtelijk, publiekrechtelijk, non-profit organisatie, financiële instelling)?

6. Verantwoording

Gaat u er mee akkoord als ik uw op een volgende wijze in de scriptie refereer naar uw organisatie?

Type organisatie

Omvang (bandbreedte # FTE)

Functie

Postdoctorale titel



Appendix 5: Praktijktoets resultaten

A5.1 Privaat eigendom - Stork

Figuur 14: Resultaat beoordeling type organisatie ‘privaat eigendom – Stork’ in ICMM

Figuur 15: Scores type organisatie ‘privaat eigendom – Stork’ in ICMM



Interviewverslag 06-06-2014

Stork technical services - 13.000 FTE A. Nieman RA CIA – Manager Internal control Refereer voor interviewvragen aan Appendix 3.

Beoordeling ICMM De heer Nieman vond het ICMM structuur geven aan IC en de gekozen opties in het ICMM objectief verdedigbaar. Nieman is van mening dat COSO 2013 kan bijdragen aan IC van een organisatie door te inventariseren welke elementen al zijn ‘ingevuld’ om vervolgens vast te stellen waar de gebreken in het systeem van internal control zitten. Het ICMM is hiervoor een handzaam model. De mapping van volwassenheidsstadia op de COSO principles is adequaat uitgevoerd. Nieman is van mening dat de implementatie van een geïntegreerde GRC tool de weg naar stadium 4 – managed belemmert, terwijl een dergelijke tool niet bij alle organisaties benodigd zijn om in control te komen. Verder was Nieman van mening dat er meer aandacht zou kunnen zijn voor de enablers in het ICMM: de rollen en verantwoordelijkheden binnen de lines of defence. Nieman is niet van mening dat er specifieke internal control elementen ontbreken in het ICMM. Toepasbaarheid Het ICMM is zowel van toepassing op onderdelen als op de gehele organisatie, echter wordt voor de gehele organisatie meer een grosso modo inschatting gemaakt. Nieman is van mening dat het de natuurlijke taak van internal auditors is om het ICMM toe te passen. De raad van bestuur heeft volgens Nieman de meeste behoefte om in control over de organisatie te zijn, daarom zou dit de meest geschikte gebruiker van het model zijn. Nieman zou het model wel willen toepassen binnen STORK, maar weet dat prioriteiten meer bij project control liggen. Impliciet zou het ICMM aan project control kunnen bijdragen. Nieman onderkent de representativiteit van de uitslag voor de mate van volwassenheid van STORK en wil op het gebied van risk management (principles 7-8), de doelstelling (financial) reporting en IT (principle 11) op een hoger niveau zitten. Positionering Nieman verwacht van de 5 typen organisaties dat financiële dienstverlener de hoogste mate van internal control aantoont, gevolgd door respectievelijk de beursgenoteerde onderneming en de privaatrechtelijk beheerde onderneming.



A5.2 Beursgenoteerde organisatie – Randstad

Figuur 16: Resultaat type organisatie ‘beursgenoteerde organisatie – Randstad’ in ICMM

Figuur 17: Scores type organisatie ‘beursgenoteerde organisatie– Randstad’ in ICMM




Randstad holding - 29.000 FTE O. Beumer RA– Manager Group Business risk & audit Refereer voor interviewvragen aan Appendix 3.

Beoordeling ICMM De heer Beumer vond het ICMM gestructureerd opgezet en was positief over het niveau en de praktische toepasbaarheid. Het ICMM maakt COSO handzamer en is niet te theoretisch van aard, hetgeen de praktische toepasbaarheid ten goede komt. Beumer vond de volwassenheidsstadia en de mapping logisch en adequaat ingevuld. Als verbeterpunt noemt Beumer de invulling van cultuur elementen. Beumer onderkent de aandacht van soft controls, maar is van mening dat de soft control elementen gespecificeerd in de beschrijving van de volwassenheidsstadia mogen worden. Toepasbaarheid Het ICMM is volgens Beumer toepasbaar op Randstad holding in zijn geheel als ook op verschillende dochtermaatschappijen of landen. Beumer is van mening dat het de natuurlijke taak van internal auditors is om het ICMM toe te passen. Het ICMM is voor verschillende stakeholders bruikbaar, zoals de gebruikers van de Jaarrekening die zijn geïnteresseerd in de risicoparagraaf, waarvoor het ICMM kan worden gebruikt. Beleggers zijn volgens Beumer in de praktijk meestal pas na verwezenlijkte risico’s geïnteresseerd in de mate van internal control. De Raad van Bestuur streeft er naar om in control te zijn over de organisatie en zou het ICMM interessant kunnen vinden. Beumer wil het model gaan toepassen binnen Randstad om de organisatie op niveau 4 – managed te krijgen, zeker na de geplande implementatie van een geïntegreerde GRC tool. Verder denkt Beumer dat Randstad de IT strategie kan verbeteren (principle 11). Positionering Beumer verwacht van de 5 typen organisaties dat financiële dienstverlener de hoogste mate van internal control aantoont, gevolgd door respectievelijk de beursgenoteerde onderneming, privaatrechtelijk beheerde onderneming, publiekrechtelijke organisatie en non-profit organisatie.



A5.3 Financiële instelling – ABN AMRO

Figuur 18: Resultaat type organisatie ‘financiële instelling – ABN AMRO in ICMM

Figuur 19: Scores type organisatie ‘financiële instelling – ABN AMRO in ICMM




ABN AMRO bank - 23.000 FTE V. Verbraak-Kolevska RO RE CIA – Audit Manager Professional Practices Department bij Group Audit. Refereer voor interviewvragen aan Appendix 3.

Beoordeling ICMM Mevrouw Verbraak-Kolevska vond het model goed bedacht voor een actueel onderwerp. Ze vond dat een dergelijk model ontbreekt. Het ICMM kan bijdragen aan de IC van de organisatie door de verschillende gradaties. Een organisatie zou er naar kunnen streven om zich te ontwikkelen naar een bepaald volwassenheidsstadia. Verbraak-Kolevska was positief over een adequaat en helder uitgevoerde mapping van volwassenheidsstadia op principles. Als verbeterpunt noemt Verbraak-Kolevska de nadere invulling van soft controls in verschillende volwassenheidsstadia. Al is dit lastig volgens Verbraak-Kolevska door de verscheidenheid aan culturen in verschillende landen en onderdelen van de ABN AMRO. Daarnaast noemt Verbraak-Kolevska cost of control als aandachtspunt om verder uit te werken in niveau 5 ten behoeve van het realiseren van efficiëntie slagen.

Toepasbaarheid Het ICMM is volgens Verbraak-Kolevska toepasbaar op de 2nd (risk management & compliance) en 3rd (internal audit) line of defence, de ABN AMRO in zijn geheel en afdelingen en landen van de ABN AMRO. Verbraak-Kolevska ziet het ICMM als een instrument om het proces om in control te komen in te richten en kan op verschillende onderdelen in een matrix organisatie worden toegepast, omdat het ICMM op een object kan worden toegesneden. Verbraak-Kolevska is van mening dat het de natuurlijke taak van internal auditors is om het ICMM toe te passen. Het ICMM is voor verschillende stakeholders bruikbaar, zoals de toezichthouders om een basaal inzicht van de organisatie te verkrijgen. De raad van bestuur kan het volgens Verbraak-Kolevska voor strategische beslissingen gebruiken als er knelpunten in de interne beheersing moeten worden geïdentificeerd. Verbraak-Kolevska geeft wel als aandachtspunt mee dat er bij het gebruik van het ICMM moet worden gewaakt voor het verlenen of afgaan op schijnzekerheid. Verbraak-Kolevska wil het ICMM eerst gaan toepassen op een afdeling nadat het is gespecifieerd naar die afdeling. Verbraak-Kolevska streeft er naar om met de ABN AMRO tussen niveau 3,5 en 4 te zitten. Positionering Verbraak-Kolevska verwacht van de 5 typen organisaties dat financiële dienstverlener laag scoort in vergelijking met andere type organisaties. Dit is volgens Verbraak-Kolevska de financiële crisis wel aangetoond.



A5.4 Non-governmental organization (goed doel) – Stichting ZOA

Figuur 20: Resultaat type organisatie ‘Ngo – Stichting ZOA’ in ICMM

Figuur 21: Scores type organisatie ‘Ngo – Stichting ZOA’ in ICMM




Stichting ZOA - 1000 FTE R. Veenstra RA – Manager Audit & evaluation. Refereer voor interviewvragen aan Appendix 3.

Beoordeling ICMM Meneer Veenstra vond het ICMM interessant en gestructureerd. Het ICMM is volgens Veenstra een bruikbare tool voor self-assessments vanuit de eerste lijn of onafhankelijke assessment door de derde lijn (internal audit). Indien internal audit de assessment uitvoert kunnen de eerste en tweede lijn de vastgestelde internal control situatie verder oppakken. Veenstra onderkent de gelaagdheid van de volwassenheidsstadia en is het eens met de mapping op de principles, waarbij hij vindt dat het model goed inzoomt op de points of focus. Daarnaast vindt Veenstra de output aan de hand de spider graph sterk, omdat gebruikers in een oogopslag inzicht verkrijgen in de mate van internal control van de organisatie. Veenstra is van mening dat het ICMM alle relevante aandachtsgebieden van internal control dekt.

Toepasbaarheid Veenstra vindt dat het ICMM toepasbaar is op ZOA als geheel als ook op de verschillende landen waar ZOA activiteiten heeft. Echter voert ZOA activiteiten uit in post conflict gebieden waarbij de volwassenheidsstadia uit het ICMM minder van toepassing zijn. De volwassenheidsstadia zijn contextueel te ambitieus. Daarentegen zou een minimaal volwassenheidsstadium per land effectief kunnen zijn. Het ICMM zou dan wel eerst moeten worden gespecificeerd naar de context waarin ZOA opereert. ZOA gebruikt momenteel het INK model om in control te komen over het primaire proces. Ondanks het minder normatieve karakter van het INK gebruikt ZOA het INK om directer te sturen op het primaire proces in plaats van op internal control. Veenstra zou het ICMM willen inzetten tijdens een jaarlijkse audit voor een dwarsdoorsnede van de organisatie. Het ICMM is voor verschillende stakeholders bruikbaar, zoals de raden van bestuur en toezicht om een basaal inzicht van de organisatie te verschaffen. Veenstra onderkent de representativiteit van de uitslag voor de mate van volwassenheid van ZOA en wil op het gebied van risk management streven naar een hoger niveau, waarna de opvolgende componenten en principles vanzelf zullen volgen. Internal control krijgt volgens Veenstra weinig aandacht in de Ngo sector, terwijl goede doelen wel gebaat zijn bij het genereren van vertrouwen van stakeholders. Dit komt onder meer door een afweging van kosten/baten, beperkte capaciteit en in het geval van ZOA, ruime risicotolerantie. Positionering Veenstra verwacht van de 5 typen organisaties dat financiële dienstverlener de hoogste mate van internal control aantoont, gevolgd door respectievelijk de beursgenoteerde onderneming, publiekrechtelijke organisatie, privaatrechtelijk beheerde onderneming en non-profit organisatie.



A5.5 Publiekrechtelijk orgaan – Ministerie van Sociale zaken en werkgelegenheid

Figuur 22: Resultaat type organisatie ‘Publiekrechtelijk orgaan – SZW’ in ICMM

Figuur 23: Scores type organisatie ‘Publiekrechtelijk orgaan – SZW’ in ICMM



Interview 15-07-2014

Ministerie van Sociale zaken en werkgelegenheid - 2000 FTE A. Kastelein RA RE Refereer voor interviewvragen aan Appendix 3.

Beoordeling ICMM Meneer Kastelein vond het ICMM een interessant model. Het ICMM is volgens Kastelein vooral bruikbaar voor primaire (uitvoerende) en secundaire (ondersteunende) processen. SZW ontwikkelt primair beleid en daardoor is het ICMM volgens Kastelein minder praktisch in te zetten. Daarentegen is Kastelein van mening dat in het algemeen publiekrechtelijke organen COSO based hun doelstellingen proberen te realiseren en het ICMM daarom wel toepasbaar is om aandachtspunten te identificeren om in control te komen of te blijven. Toepasbaarheid Kastelein kan zich vinden in de verschillende volwassenheidsstadia, maar geeft aan dat een GRC tool niet toepasbaar is op een beleids ontwikkelend ministerie. Hierdoor zou SZW niet volwassenheidsstadium 4 kunnen bereiken. Kastelein is van mening dat het ICMM alle relevante aandachtsgebieden van internal control dekt. Kastelein identificeert aan de hand van het ICMM de principles van de component Risk assessment als aandachtsgebied. Het komt bij SZW voor dat, door de betrokkenheid van de politiek, maatschappelijk gewenst beleid wordt ontwikkeld en dat er in mindere mate ‘aan de voorkant’ aandacht is besteed aan het analyseren van risico’s. In de uitvoering komt het voor dat risico’s pas detectief worden geïdentificeerd. Het ICMM is voor verschillende stakeholders bruikbaar, zoals management van een ministerie en de politiek om een basaal inzicht van de mate van in control van een ministerie te verkrijgen. Positionering Kastelein verwacht van de 5 typen organisaties dat financiële dienstverlener de hoogste mate van internal control aantoont, gevolgd door respectievelijk de beursgenoteerde en de privaatrechtelijk beheerder organisatie, publiekrechtelijke organisatie en non-profit organisatie.



Appendix 6: Online assessment

Online assessment (via een PwC applicatie – Qualtrics)

Het ICMM is gekopieerd naar een online assessment tool (Qualtrics) die PwC aan werknemers ter beschikking stelt. Als werknemer van PwC heb ik van Qualtrics gebruik gemaakt. Internal auditors die hebben deelgenomen aan deze scriptie hebben een link ontvangen om het ICMM online in te vullen. De resultaten werden vervolgens zichtbaar en zijn verwerkt tot spider graphs (refereer aan Appendix A5.1 – A5.5) en terug gekoppeld naar de deelnemers.

De toelichting en vraagstelling van het ICMM heeft er als volgt online uitgezien:

internal control maturity model icmm

Documents