1. FINANCE
&CONTROL
D E C E M B E R 2 0 0 7 | 2 7 W W W. K L U W E R F I N A N C I E E L M A N A G E M E N T. N L
Organisatie en processen
IT als enabler
integrale benadering van risk­
management en procesbeheersing
De druk op finance & control-afdelingen is tegenwoordig hoog. Er ‘moet’ steeds meer gebeuren en
de middelen zijn vaak beperkt. Om een en ander toch mogelijk te maken, starten organisaties steeds
vaker projecten waarin procesbeheersing en riskmanagement een rol spelen. Terwijl deze thema’s vaak
hetzelfde doel hebben – een goed presterende organisatie –, worden ze meestal niet bedrijfsbreed en
integraal benaderd. De auteur introduceert daarom een stappenplan dat finance & control-managers
kunnen gebruiken om invulling te geven aan die integratie.
DOOR SJOERD-JAAP WESTRA
Ten eerste eist de eigen organisatie vaak dat de financiële
afdeling betrouwbare stuurinformatie steeds sneller aanle-
vert. Ten tweede eisen de externe accountant en eventuele
toezichthouders in toenemende mate beheersmaatregelen ter
onderbouwing van de juistheid en volledigheid van financiële
rapportages. In het bijzonder geldt dit voor beursgenoteerde
ondernemingen wanneer ze moeten voldoen aan corporate
governancecodes (Sarbanes-Oxley Act (SOx), code Tabaks-
blat) en rapportagestandaarden (IFRS). Ten derde hebben
financiële afdelingen vaak te maken met diverse verande-
ringsprocessen en projecten elders in de organisatie. De
financieel-administratieve aspecten krijgen bij dergelijke
veranderingen niet altijd – of misschien zelfs meestal niet
– de hoogste prioriteit. Met als gevolg dat de financiële afde-
ling achteraf extra energie moet steken in het controleren en
eventueel corrigeren van financiële gegevens.
Om aan de genoemde verplichtingen te voldoen, starten veel
organisaties diverse initiatieven. Thema’s die in dergelijke
projecten meestal een prominente rol spelen zijn ‘procesbe-
heersing’ en ‘riskmanagement’. Helaas constateer ik regelmatig
dat deze thema’s afzonderlijk van elkaar behandeld worden.
Dit komt waarschijnlijk omdat de motieven veelal door
verschillende stakeholders ingebracht zijn. De eigen organi-
satie heeft vaak een focus op versnelling of stroomlijning van
processen; externe stakeholders hebben vaak meer aandacht
voor beheersing van risico’s. Een andere reden is waarschijn-
lijk dat ook in de organisatie de verantwoordelijkheid voor
het optimaal presteren en de verantwoordelijkheid voor
het beoordelen van risico’s vaak gescheiden zijn. Dit terwijl
procesbeheersing en riskmanagement feitelijk hetzelfde doel
nastreven: een goed presterende organisatie, waarin zo min
mogelijk misgaat.
In dit artikel pleit ik voor een integrale en bedrijfsbrede aan-
pak van procesbeheersing en riskmanagement. Ook vraag ik

2. FINANCE
&CONTROL
2 8 | D E C E M B E R 2 0 0 7
aandacht voor het feit dat IT hierbij een belangrijke ‘enabler’
kan zijn. Ik besluit dit artikel met een globaal stappenplan dat
kan dienen om vanuit de finance & control-functie invulling
te geven aan deze aanpak.
De situatie
Het begin van dit millennium stond in het teken van de
boekhoudschandalen. In de jaren daarna stonden de cor-
porate governancecodes (o.a. code Tabaksblat en SOx) en
de rapportagestandaarden (IFRS) centraal. Vandaag de dag
staat de praktische invulling van corporategovernanceregels
in het middelpunt van de belangstelling. In het kielzog van
beursgenoteerde ondernemingen – en aangejaagd door de
invloed van externe accountants – willen vandaag de dag ook
organisaties zonder een beursnotering ‘in control’ zijn.
Voorbeelden van uitspraken die illustratief zijn voor deze
trend zijn:
~ ‘Wij rapporteren nu op de zevende werkdag en willen dit
versnellen naar de vijfde werkdag. Maar dat mag uiteraard
niet ten koste gaan van de kwaliteit.’
~ ‘Om verantwoording te kunnen afleggen aan diverse stake-
holders en om te laten zien dat we de zaken op orde hebben,
willen wij het riskmanagementproces formaliseren.’
Kortom: niet alleen externe stakeholders dwingen organisa-
ties om in control te zijn; ook de eigen organisatie is gebaat
bij juiste en tijdig verstrekte informatie. Hierdoor kunnen
de doelstellingen, de strategie en/of de operationele plannen
tijdig en adequaat bijgesteld worden.
De keuze
Door de genoemde ontwikkelingen en verplichtingen neemt
enerzijds de druk op financiële afdelingen toe, omdat er vaak
extra activiteiten uitgevoerd moeten worden. Anderzijds
dienen verbeterprojecten opgestart te worden om nu en in de
toekomst op een effectieve en efficiënte manier te voldoen aan
de verplichtingen. Voor dergelijke projecten zijn mensen en
middelen nodig, en die zijn vaak niet beschikbaar. De te ma-
ken keuze lijkt: 1) doorgaan op de oude weg en wachten tot
‘het noodlot’ toeslaat, of: 2) door een eenmalige inspanning
structureel verbeteringen doorvoeren in de procesbeheersing
en het riskmanagement en daardoor voorbereid zijn op de
toekomst en de eisen van zowel externe toezichthouders als
de eigen organisatie. Gegeven de verantwoordelijkheden van
de financiële afdeling lijkt de tweede optie wel de meest voor
de hand liggende.
Procesbeheersing en riskmanagement: integraal en
bedrijfsbreed
Van oudsher ligt de verantwoordelijkheid voor procesbe-
heersing vaak decentraal bij de functionele afdelingen, terwijl
de verantwoordelijkheid voor riskmanagement (en internal
control) vaak ligt bij een selecte groep medewerkers van de
finance & control-afdeling of interne auditafdeling. Meer
en meer groeit het besef dat riskmanagement in een ideale
wereld is verweven met en ingebed in de uitvoering van
processen. Vooralsnog is dit voor de meeste organisaties een
utopie en daar zullen riskmanagement en het beoordelen van
internal controls een ‘dedicated’ verantwoordelijkheid zijn.
Een mogelijke redenering is de volgende: het afsluiting-, con-
solidatie- en rapportageproces levert een financiële samenvat-
ting van alle organisatieprocessen. Als een organisatie in de
financiële verslaggeving een juist, volledig en actueel beeld
van de volledige organisatie wil verschaffen, dan is het wense-
lijk dat alle processen beheerst verlopen en de administratie
daarvan juist, volledig en tijdig is. Ook is het van belang om
te weten wat er in de organisatie fout kan gaan en daarvoor
maatregelen te treffen. Aangezien de finance & control-afde-
ling verantwoordelijk is voor het uiteindelijke resultaat (de
financiële verslaggeving), zou ik finance & control-managers
willen adviseren om ervoor te zorgen dat zowel procesbeheer-
sing als riskmanagement bedrijfsbreed worden ingevoerd en
procesbeheersing en riskmanagement integraal te benaderen.
Anders gezegd: riskmanagement gaat over processen (bij-
voorbeeld wat kan er misgaan in de organisatieprocessen?),
maar het is zelf ook een proces (bijvoorbeeld het analyseren
van risico’s en het implementeren en beoordelen van beheers-
maatregelen). Figuur 1 illustreert de relatie tussen procesbe-
heersing en riskmanagement.
Figuur 1
Procesbeheersing en riskmanagement: bedrijfsbrede benadering
De figuur laat ook duidelijk zien dat riskmanagement een
organisatiebrede aanpak vraagt en betrekking heeft op alle
organisatieprocessen.
Procesbeheersing
De finance & control-functie is van oudsher verantwoordelijk
voor de juistheid en volledigheid van de financiële verslag-
Strategieplanning
Finance &
control
Rapportage
Consolidatie
Closing
Planning
Budgeting
Forecasting
Financiële administratie
Primaire processen
HR-processen
IT-processen
Riskmanagement

3. FINANCE
&CONTROL
D E C E M B E R 2 0 0 7 | 2 9 W W W. K L U W E R F I N A N C I E E L M A N A G E M E N T. N L
geving. De rol van de externe accountant is in dit verband een
controlerende. Accountants richten zich hiervoor veelal op
aansluitingscontroles rondom rapportages en transactionele
systemen en applicatiecontrols en computermaatregelen van
de ‘kritische’ applicaties. Kortom: de focus ligt veelal op de
transactionele processen en de ondersteunende systemen.
De achterliggende gedachte is: als de processen goed functio-
neren en de interne controlemaatregelen rondom het proces
effectief zijn, dan zijn de gegevens met voldoende mate van
zekerheid van voldoende kwaliteit. Als de accountant vervol-
gens controleert op welke wijze de gegevens terechtkomen in
de financiële verslaggeving, dan is de kwaliteit van de verslag-
geving met voldoende mate van zekerheid van voldoende
kwaliteit.
Vandaag de dag willen ook
organisaties zonder een beurs-
notering ‘in control’ zijn
Echter, deze redenering is niet langer voldoende. Organisa-
ties dienen tegenwoordig zelf een in-controlverklaring af te
geven over de processen die transactionele gegevens omzetten
in financiële verslaggeving. Kortom: een verklaring over de
interne beheersing van closing-, consolidatie- en rapportage-
processen in aanvulling op de beheersing van operationele en
transactionele processen.
Samenvattend: om de betrouwbaarheid van de financiële
verslaggeving te onderbouwen zou een in-controlverklaring
tegenwoordig dus betrekking moeten hebben op:
~ de beheersing van operationele processen;
~ de beheersing van de financieel-administratieve processen;
~ de beheersing van algemene IT-processen;
~ de beheersing van de closing-, consolidatie- en verslagge-
vingsprocessen.
Veelal worden operationele processen en financieel admini-
stratieve processen (geïntegreerd) ondersteund door IT-
­systemen. Voor het onderbouwen van de in-controlverklaring
wordt gekeken naar de opzet, het bestaan en de werking van
functiescheiding, gebruikerscontroles, algemene computer-
maatregelen en applicatiecontrols (van de procesondersteu-
nende applicaties).
Voor de closing-, consolidatie- en verslaggevingprocessen is
dit vaak lastiger. Veelal vinden de aansturing, uitvoering en
bewaking van dergelijke processen plaats met behulp van ge-
fragmenteerde spreadsheets en rapportagetools, per e-mail en
tijdens vergaderingen. Het is, met het oog op de kwaliteitsas-
pecten efficiency, effectiviteit en betrouwbaarheid, zinvol om
ook voor deze processen een IT-oplossing te implementeren
waarmee de activiteiten kunnen worden gepland, aange-
stuurd, bewaakt en gecontroleerd.
Riskmanagement
Populair gezegd houdt riskmanagement zich bezig met: 1)
het vaststellen wat er mis kan gaan in de organisatie; 2) het
verkleinen van de kans dat er dingen misgaan; en 3) het
minimaliseren van de impact als dingen toch misgaan. Een
veel gehanteerde indeling van risicogebieden is: strategische
risico’s, operationele risico’s, wetgevingsrisico’s en financialre-
portingrisico’s.
Vanuit de finance & control-afdeling en in de context van de
huidige governancecodes verdienen financialreportingrisico’s
in het bijzonder aandacht. Zowel in de dagelijkse gegevensre-
gistratie bij de bron (de operationele processen en financiële
administratie) als in de periodieke closing-, consolidatie- en
verslaggevingprocessen kan van alles misgaan. De closing-,
consolidatie- en verslaggevingprocessen resulteren uiteindelijk
in een financieel verslag dat een waarheidsgetrouwe weergave
moet zijn van de operationele processen (feitelijk alle proces-
sen) van de rapportageperiode. Dit betekent – kort door de
bocht – dat voor financial-reporting riskmanagement een
bedrijfsbrede insteek noodzakelijk is. Anders gezegd: alle
processen die impact hebben op de juistheid, volledigheid en
tijdigheid van de financiële rapportage dienen binnen het on-
derzoeksdomein van riskmanagement te vallen. Een dergelijke
benadering vraagt tevens om een procesmatige benadering
van riskmanagement zelf. Oftewel: riskmanagement als proces.
IT als enabler
Een effectieve aansturing, uitvoering, monitoring en controle
van de closing-, consolidatie- en verslaggevingprocessen zijn
belangrijk voor een betrouwbare financiële verslaggeving en
noodzakelijk voor het onderbouwen van een in-controlver-
klaring. Uitsluitend schriftelijk documenteren van de proces-
gang of het vastleggen van een draaiboek (closing calendar) en
‘hopen’ dat het proces conform opzet wordt uitgevoerd, zijn
niet langer voldoende. De finance & control-afdeling zal het
proces moeten sturen en moeten waarborgen dat de taken in
de juiste volgorde worden uitgevoerd en achteraf moeten aan-
tonen op welke wijze het proces daadwerkelijk is uitgevoerd
(wie, wat en wanneer). Een IT-systeem waarin het closing-,
consolidatie- en verslaggevingsproces is vastgelegd, werkin-
structies (accounting manual) zijn gekoppeld en een audit trail
wordt opgebouwd, kunnen om deze redenen een wezenlijke
bijdrage leveren aan een betere beheersing van dit proces.
Bovendien kunnen ze waarborgen dat het proces transparant

4. FINANCE
&CONTROL
3 0 | D E C E M B E R 2 0 0 7
verloopt zodat de riskmanagementfunctie risicoanalyses beter
kan uitvoeren en beheersmaatregelen effectiever kan imple-
menteren.
Een effectieve invulling van riskmanagement – met name
riskmanagement rondom financial reporting – vraagt om een
bedrijfsbrede benadering. Een wezenlijk onderdeel binnen
riskmanagement is het inventariseren van risico’s binnen
alle processen die mogelijk impact hebben op de financiële
verslaggeving. In theorie zijn dit alle organisatieprocessen.
Een web-enabled IT-systeem voor het documenteren van alle
relevante processen, risicoanalyses, vereiste beheersmaat-
regelen en aanwezige beheersmaatregelen kan een wezen-
lijke bijdrage leveren aan het bedrijfsbreed invoeren van en
rapporteren over riskmanagement. Bovendien biedt het de
mogelijkheid om op een procesmatige wijze invulling te geven
aan riskmanagement. Met andere woorden: ervoor zorgen dat
alle verantwoordelijke medewerkers in de juiste volgorde en
op de juiste wijze de taken uitvoeren die ze moeten uitvoeren
in het kader van riskmanagement. Bijvoorbeeld:
~ vaststellen over welke objecten verantwoording afgelegd
dient te worden (in het kader van financial reporting zijn
dit bijvoorbeeld de significant accounts);
~ vaststellen van risicovolle processen;
~ uitvoeren van risicoanalyses;
~ vaststellen van de vereiste beheersmaatregelen en het beoor-
delen van de aanwezige beheersmaatregelen;
~ implementeren van verbeteringen als de effectiviteit van de
beheersmaatregelen onvoldoende is.
De verwachting is – zoals eerder genoemd – dat de hiervoor
genoemde activiteiten in het kader van riskmanagement deel
gaan uitmaken van de dagelijkse routineprocessen. Wanneer
er bedrijfsbreed diverse medewerkers bij betrokken zijn,
zal vastlegging in spreadsheets en losse documenten on-
voldoende blijken te zijn. Dat pleit ervoor om nu alvast een
bedrijfsbreed web-enabled IT-systeem in te voeren waarmee
alle betrokken medewerkers gegevens kunnen vastleggen en
raadplegen. IT is in het kader van riskmanagement dan niet
uitsluitend een ‘object van audit’ meer, maar tevens de enabler
van riskmanagement en auditprocessen.
Wanneer organisaties zowel de risicovolle processen (waar-
onder closing, consolidatie en verslaggeving) als de riskma-
nagementprocessen beheersen met daarvoor ontwikkelde
IT-­systemen, kan er een extra synergievoordeel ontstaan.
Wanneer zich in het procesbeheersingsysteem risicovolle
gebeurtenissen voordoen, kan dit leiden tot een alert in
het riskmanagementsysteem. Dit kan vervolgens worden
opgevolgd door een riskmanagementproces in het procesbe-
heersingsysteem. Figuur 2 maakt het synergie-effect tussen
procesbeheersing en riskmanagement duidelijk.
Stappenplan
Het bedrijfsbreed en integraal invoeren van procesbeheersing
en riskmanagement is voor veel organisaties niet eenvoudig.
Een gefaseerde aanpak met beheersbare deelfasen verdient
veelal de voorkeur. Het stappenplan in figuur 3 geeft een
voorbeeld van een dergelijke gefaseerde aanpak.
Opstarten riskmanagementproces
Procesbeheersing
Plannen, aansturen, monitoren en controleren
Closing, consolidatie, verslaggevingsproces
Risk management
Documenteren, analyseren, beoordelen en
verbeteren
Risicovolle gebeurtenis
Riskmanagementproces
Figuur 2
Procesbeheersing en riskmanagement: integrale benadering

5. FINANCE
&CONTROL
D E C E M B E R 2 0 0 7 | 3 1 W W W. K L U W E R F I N A N C I E E L M A N A G E M E N T. N L
Figuur 3
Gefaseerde aanpak voor procesbeheersing en riskmanagement met
IT als enabler
Aandachtspunten bij de selectie van een informatiesysteem
Bij de selectie van een informatiesysteem voor het beheersen
van de afsluitingprocessen is het zinvol rekening te houden
met de volgende aspecten.
~ Stel zowel de organisatorische procesactiviteiten als de
transactionele werkzaamheden centraal bij het plannen,
aansturen en monitoren van het closing- en reporting-
proces. Het gaat bij het plannen, aansturen en monitoren
van de closing- en reportingprocessen niet uitsluitend om
transactionele werkzaamheden in een specifieke applicatie;
ook de organisatorische stappen en afhankelijkheden zijn
relevant voor een betrouwbaar proces.
~ Een gebruikersvriendelijke user interface en eenvoudige
navigatiemogelijkheden zijn belangrijk voor acceptatie door
de gebruikersorganisatie. Medewerkers beschouwen infor-
matiesystemen voor procesbeheersing soms als ‘vrijheid be-
perkend’. Indien het informatiesysteem uitsluitend waarde
toevoegt voor het management en niet voor de gebruikers-
organisatie, dan is de acceptatiegraad waarschijnlijk laag.
~ Een eenvoudige modelleeromgeving is belangrijk voor een
snelle en eenduidige invoering door de gebruikersorganisa-
tie. Vaak verzandt een project van de gebruikersorganisatie
in een langdurig IT-traject als gevolg van complexe model-
leringseisen.
~ Het informatiesysteem dient samenwerking tussen me-
dewerkers te bevorderen door middel van eenvoudige en
laagdrempelige werkinstructies en alerts. Bijvoorbeeld
door gebruik te maken van bestaande e-mailvoorzienin-
gen. Daarnaast is het belangrijk om auditrapportages en
onderbouwingdocumenten op eenvoudige wijze te kunnen
koppelen aan de procesactiviteiten.
~ Een web-enabled centraal systeem met een robuuste data-
base verdient de voorkeur boven oudere technologie. Het
verhoogt de toegankelijkheid voor eindgebruikers (door
middel van een internetbrowser) en het faciliteert (door
middel van een database) back-up en recovery door aan te
sluiten bij reeds bestaande algemene IT-procedures.
Ten slotte: enkele aanbevelingen
Bij de selectie van een informatiesysteem voor riskmanage-
ment is het zinvol rekening te houden met de volgende
aspecten.
~ Hoewel de verantwoordelijkheid voor riskmanagement
vaak bij een selecte groep medewerkers ligt, mag u er-
van uitgaan dat riskmanagement over een aantal jaren de
verantwoordelijkheid is van iedereen in de organisatie. Het
is daarom zinvol een riskmanagementsysteem te kiezen dat
eenvoudig en bedrijfsbreed toegankelijk is, bijvoorbeeld
door middel van een centrale database en web-enabled
schermen.
~ Riskmanagement kent een top-downaspect en een bottom-
upaspect. Het top-downaspect betreft het ‘van bovenaf’
invoeren van een riskmanagementmethode (bijvoorbeeld
COSO) en het bepalen van de structuur waarmee afdelin-
gen, processen, risico’s en controls in onderlinge samenhang
moeten worden gedocumenteerd. Het bottom-upaspect
betreft het daadwerkelijk identificeren en signaleren van
risico’s, bijvoorbeeld door het continu scannen van operati-
onele systemen. Niet ieder informatiesysteem ondersteunt
beide aspecten. Het is daarom zinvol om in een vroeg sta-
dium vast te stellen wat binnen uw organisatie de hoogste
prioriteit heeft: top-down of bottom-up. Vaak is het verstan-
dig om te starten met een top-downstructuur en vervolgens
de bottom-upaspecten aan deze structuur te koppelen.
Ir. Sjoerd-Jaap Westra (sjoerd-jaap.westra@coda.com) is
Business Consultant bij CODA N.V., leverancier van finan­ciële
informatiesystemen en systemen voor procesbeheersing en
riskmanagement.
Formeer projectteam
Documenteer closing- en reportingproces
Documenteer risicogebieden en
risicovolle processen
Documenteer functionele criteria
procesbeheersing
Documenteer functionele criteria
riskmanagement
Combineer en documenteer functionele criteria procesbeheersing en riskmanagement
Implementeer riskmanagement en documenteer de meest risicovolle processen
Implementeer procesbeheersing voor closing en reporten en
overige meest risicovolle processen
~ Selecteer IT-systeem voor procesbeheersing én riskmanagement of
~ Selecteer IT-systeem voor procesbeheersing en selecteer IT-systeem
voor riskmanagement