IFAC: Good Practice Guidance – Evaluating and improving internal control in organisations

IFAC: Good Practice Guidance – Evaluating and improving internal control in organisations

Samenvatting

Binnen Financial Control vragen wij: Kan het Business Control Framework verbeterd worden?

Wij, binnen Financial Control, zijn voortdurend bezig om het Business Control Framework aan te passen en te verbeteren. Daartoe houden we onze methode regelmatig tegen het licht en vergelijken we deze met de internationale standaarden. Eén van de belangrijke instituten op het vakgebied is de International Federation of Accountants (IFAC) dat op 28 juni 2012 een Good Practice Guidance heeft gepubliceerd met daarin richtlijnen waaraan een goed Business Control Framework moet voldoen.

Uiteraard doet het ons genoegen om te kunnen vaststellen dat onze methode met vlag en wimpel slaagt! Onze methode om een Business Control Framework te ontwerpen en in te richten wordt weergegeven in 4 blokjes. Deze vier elementen: Corporate Governance of Goed Ondernemingsbeheer, Risicobeheer, Beheersmaatregelen en Assurance bevatten alle 9 Key Principles van IFAC. Zoals bijvoorbeeld Principle F. Responding to Risk.  Hierin staat: “controls should always be designed, implemented, and applied as a response to specific risks and their causes and consequences”. Wij hebben in ons hokje risicomanagement, het risicobeheer in het centrum geplaatst. De bijbehorende risico analyse geeft aan welke controls je nodig hebt om het risico te beheersen. IFAC noemt dat: “adequate selection, implementation and operation of controls”. Net als wij, praat IFAC over: beëindigen van de activiteit, delen van het risico met anderen, accepteren van het risico of control van het risico, als mogelijke antwoorden volgend op de risico analyse. Dit was slechts één van de negen principles die IFAC definieert. Wij zijn blij dat we met vier toekunnen: Pragmatisch en doeltreffend en we vragen ons oprecht af of IFAC buiten een goede samenvatting nu zoveel nieuws brengt……… We zijn benieuwd naar uw mening!

Neem nu de Good Practices van IFAC

Met negen Key Principles introduceert het Professional Accountants in Business Committee (PAIB) van IFAC de Good Practices om het Business Control Framework te beoordelen en te verbeteren. Lofwaardig, zou je op het eerste gezicht denken. Helaas blijven deze richtlijnen steken in een aantal algemeenheden die de gemiddelde accountant in business niet veel verder helpt in zijn dagelijkse praktijk. Toegegeven, de negen good practices zijn dat ook en elke controller zal ze direct herkennen, maar het ontbreekt aan wat je er in de praktijk mee moet. Het eerste Principe A zegt dat de controls de ondernemingsdoelstellingen ondersteunen, Principe B geeft aan dat je de verantwoordelijkheden moet bepalen, C. dat promoten van de cultuur door de ‘tone at the top’ belangrijk is en dat je dat mede bereikt door de individuele performance daaraan te koppelen (D). Medewerkers moeten competent zijn (E), het Business Control Framework is risk based (F), wordt gecommuniceerd (G) en heeft als sluitstuk twee assurance principes: H. Monitoring/Evaluatie en I. rapportages. IFAC sluit netjes aan op ISO 31000 Risk Management en COSO, maar onduidelijk blijft wat aan deze twee wordt toegevoegd. Wij zien het derhalve meer als een bevestiging van de internationaal ingeslagen richting.

Biedt ons Business Control Framework hulp?

Wij sluiten aan op COSO en ISO 31000 en nu dus ook op IFAC. Onze methode gaat uit van risico management (risicobeheer). Via een risico analyse wordt bepaald welke risico’s de ondernemingsdoelstellingen bedreigen of juist kansen bieden. Dit geldt zowel op het Business niveau, meer strategisch, als voor de bedrijfsprocessen. Als fundament is goed ondernemingsbeheer of corporate governance vereist. Daarin is de tone at the top, de verantwoording, het toezicht etc. geregeld. Het derde element is het ontwerpen en implementeren van controls. Een specialistisch werkje naar onze mening, omdat je geen processen beschrijft maar de control activiteiten in die processen. Assurance rondt onze methode af. In de assurance verzeker je dat alle elementen van het Business Control Framework gewerkt hebben zoals de bedoeling was. Assurance wordt gegeven aan de stakeholders zowel in- als buiten de onderneming. Zo ontstaat een Business Control framework dat klaar is voor de “in control” verklaring als sluitstuk van het assurance onderdeel.