Effectieve werking van getrokken beheersmaatregelen

Interne controle (oftewel interne beheersing) is een proces dat gericht is op het verkrijgen van een redelijke mate van zekerheid van het bereiken van de doelstellingen van het bedrijf. De bedrijfscompliance functie steunt op én ondersteunt de interne controle.

De bedrijfsleiding formuleert bedrijfsactiviteiten die gericht zijn op het effectief bereiken van de bedrijfsdoelstellingen. De leiding organiseert de bedrijfsactiviteiten met bedrijfsprocessen waarin beheersmaatregelen zijn opgenomen. De bedrijfsleiding ondersteunt de bedrijfsprocessen met IT-systemen en medewerkers sturen de processen aan. De interne controle richt zich op (de kans op) mogelijke verstoringen van de processen.

Aanleiding voor verstoringen zijn velerlei. Wij noemen een aantal:

  • De wetgever stelt eisen aan het organiseren van bedrijfsactiviteiten. Partners kunnen ook dergelijke eisen stellen en uiteindelijk zouden wij het bedrijfsbeleid als een eis van de leiding kunnen zien;
  • Het integraal en in samenhang organiseren van de bedrijfsactiviteiten met behulp van bedrijfsprocessen vraagt om vakmanschap. Aan de ene kant willen wij de bedrijfs- en persoonsgegevens slechts éénmaal vastleggen en aan de andere kant willen wij de medewerkers, klanten en leveranciers zoveel als mogelijk ondersteunen;
  • Met behulp van technologische ontwikkelingen organiseren vakmensen de interne controle met behulp van bedrijfsprocessen – waarin beheersmaatregelen zijn opgenomen – effectiever. Met name het gebruikmaken van IT-diensten in de cloud vraagt om specifieke aandacht;
  • Het gewenste kennisniveau van medewerkers wijzigt bij elke verandering van het organiseren van de bedrijfsactiviteiten. Medewerkers met de juiste kennis zijn een voorwaarde voor aansturen van effectieve bedrijfsprocessen; en
  • Het “by default” meten, inschatten, interpreteren, beoordelen en rapporteren van de effectiviteit van de bedrijfsprocessen en beheersmaatregelen moet meebewegen met al de bovenstaande veranderingen.

Het organiseren van de bedrijfscompliance functie, waarin de organisatie van de interne controle is opgenomen, vraagt om een strategische en operationele benadering. Vanuit een strategische perspectief bouwt de functie een kennispositie op over het organiseren van effectieve bedrijfsactiviteiten. Vanuit een operationeel perspectief werkt de functie samen met het management en medewerkers de bedrijfsprocessen – met middelen – effectief aan te sturen.

Hoe kunnen wij u helpen?

Heeft u vragen over het organiseren, implementeren of uitbouwen van uw bedrijfs(compliance) functie? Onze service-eigenaar, Caroline Willemse AA RE RFG of haar collega’s, bespreken graag uw specifieke casus.

De bedrijfsleiding formuleert periodiek een – bij voorkeur integraal – interne controle of een compliance aanpak. Uitgaande van het overzicht en inzicht in de organisatie van de bedrijfsactiviteiten legt de leiding accenten voor interne controle. Uitgaande van de integrale interne controle aanpak vult het management de decentrale interne controle aanpak in.

In de IT-systemen die de bedrijfsprocessen ondersteunen vindt een groot deel van de interne controlewerkzaamheden plaats. Bij het selecteren of bouwen van deze systemen is er expliciete aandacht voor het organiseren van compliance en ‘continuous monitoring’. De interne controle aanpak richt zich met name op het vaststellen van de effectiviteit van de compliancemaatregelen, het interpreteren van de bevindingen en inschatten van bedrijfsrisico’s, en desgewenst, nemen van passende maatregelen.

Zijn in de systemen geen toereikende beheersmaatregelen genomen of wordt de compliance niet ondersteund door geautomatiseerde middelen dan kan dat leiden tot ongemakkelijke bedrijfsrisico’s.

Accenten in het interne controle plan kunnen gericht zijn op bedrijfsonderdelen, type bedrijfsactiviteiten en aandachtsgebieden. Een aandachtsgebied kan het beschermen van bedrijfsgeheimen zijn of het beschermen van persoonsgegevens. Wij noemen een paar bijzondere compliance-aanpakken:

  • Voor de bedrijfsactiviteiten van MYOBI verzorgen wij de compliance met de TTP-policy, in het bijzonder de TTP gedragscode AVG; en
  • Als onderdeel van contract life cycle van de toepassing smart contracting hebben wij de compliance-aanpak voor contractmanagement uitgewerkt.

Afhankelijk van de aard en omvang van de bedrijfsactiviteiten en het gewenst niveau van beheersing maken wij in nauwe samenwerking met medewerkers die betrokken zijn bij de bedrijfscompliance functie een passend compliance-model, een plan van aanpak voor de realisatie en een businesscase.

Parallel aan het op- of uitbouwen van de bedrijfscompliance functie formuleren wij in samenwerking met het management het interne controle plan.

Onze rol is slechts modererend. Het doel is aandachtvragen en -krijgen voor de noodzaak van het uitvoeren van compliancewerkzaamheden, structureren, kennis overdragen en op gang brengen van de bedrijfscompliance functie.

De implementatiestrategie hangt af van de omvang en complexiteit van de bedrijfsactiviteiten, de bereidheid van het afdelingsmanagement mee te werken aan een bedrijfscompliance functie en de aandachtsgebieden van compliance.

Relevante wetgeving is vaak een argument een bedrijfscompliance functie te organiseren. Gaandeweg ontdekt het management dat compliance waardevolle informatie voortbrengt voor het beter en effectiever organiseren van bedrijfsactiviteiten. Compliancewerkzaamheden leggen de bedrijfsrisico’s bloot en geven de leiding en het management de mogelijkheid van sturen.

Om succesvol een bedrijfscompliance functie in te richten is het noodzakelijk dat de leiding, management en medewerkers de toegevoegde waarde zien en in de functie gaan geloven. De basis hiervoor is een kennisniveau dat zorgvuldig opgebouwd moet worden. Alleen dan ontstaat het vertrouwen dat compliance nodig is voor het halen van de bedrijfs- en afdelingsdoelen en past bij persoonlijke overwegingen.

Een integrale compliance-aanpak kan bestaan uit vele aandachtsgebieden. Bij het opbouwen van de bedrijfscompliance functie is het verstandig met verschillende aandachtsgebieden rekening te houden. Bij de implementatie kan het verstandig zijn de implementatie per aandachtsgebied aan te pakken.

‘Cost of control’

Ongeacht de bedrijfsomvang wenst de leiding inzicht in de kosten en opbrengsten van interne controle. Engelstalige landen spreken kernachtig over ‘Cost of control’.

Bedrijven met een bescheiden omvang kunnen met behulp van een Accountability Seal op het MYOBI Vertrouwensnetwerk genoeg aan compliance hebben. Voor bedrijven met enige omvang kan een bedrijfscompliance functie aantrekkelijk zijn. De kosten voor compliancewerkzaamheden kunnen aanleiding zijn een onderzoek te starten.

Het kostenniveau van compliance kan ook de aanleiding zijn een onderzoek naar de effectiviteit van de compliance functie uit te voeren.

Het is verstandig de jaarlijkse interne controlewerkzaamheden op bedrijfs- en afdelingsniveau projectmatig aan te pakken, de uren en kosten vast te leggen en de bestede tijd en kosten mee te nemen in de rapportage. Veelal bestaat er een correlatie tussen het effectief georganiseerd zijn van bedrijfsactiviteiten en de inspanningen voor het uitvoeren van interne controlewerkzaamheden.

Heeft u vragen of behoefte aan een afspraak?

Heeft u vragen over het organiseren, implementeren of uitbouwen van uw (bedrijfs) compliance functie? Onze service-eigenaar, Caroline Willemse of haar collega’s, bespreken graag uw specifieke casus.