Het risicobeheersings- en controlesysteem
Beheersing van risico’s
Beheersing van risico’s is niet mogelijk zonder een goede beheersomgeving, maar een gedegen beheersomgeving alleen is niet voldoende om risico’s te beheersen. Een intern risicobeheersings- en controlesysteem moet worden aangevuld met beleidsmaatregelen, processen, taken en gedragingen gericht op risicobeheersing. De inrichting van de interne risicobeheersings- en controlesystemen is afhankelijk van verschillende factoren, zoals de grootte van de onderneming, de dynamiek van de relevante omgeving en de risicogevoeligheid. Interne risicobeheersings- en controlesystemen zijn in steeds grotere mate gebaseerd op en afhankelijk van informatietechnologie. Beheersingsmaatregelen zijn integraal opgenomen in geautomatiseerde systemen, informatie wordt snel via datacommunicatie uitgewisseld. De betrouwbaarheid, volledigheid en bijvoorbeeld de snelheid van totstandkoming van rapportages is afhankelijk van de goede werking van deze systemen. Informatietechnologie is een integraal onderdeel van het interne risicobeheersings- en controlesysteem. Omdat de rol van informatietechnologie onlosmakelijk is verbonden met de interne risicobeheersings- en controlesystemen wordt niet separaat aandacht besteed aan informatietechnologie. Er kan echter slechts sprake zijn van een goed functionerend intern risicobeheersings- en controlesysteem als de rol en functie van de informatietechnologie toereikend is ingevuld en de goede werking daarvan is vastgesteld.
Interne beheersingsysteem
Een adequaat intern risicobeheersings- en controlesysteem verlaagt in belangrijke mate de kans op verkeerde beslissingen, op het doelbewust omzeilen van beheersingsprocessen en op niet naleven van wetten of regels. Een dergelijk systeem kan nooit absolute zekerheid bieden tegen het niet-realiseren van ondernemingsdoelstellingen, noch kan het alle onjuistheden van materieel belang, verlies, fraude en overtredingen van wetten of regels geheel voorkomen. Het ontwerpen van deze systemen impliceert immers het maken van keuzen en het afwegen van kansen op en gevolgen van risico’s. Het interne beheersingssysteem kan volgens COSO als effectief worden beschouwd als het management en het bestuur een redelijke zekerheid hebben dat: • zij op de hoogte zijn van de mate waarin de strategische en operationele doelstellingen van de onderneming worden bereikt; • de gepubliceerde financiële rapportages betrouwbaar zijn opgesteld; • de organisatie zich houdt aan de van toepassing zijnde wetgeving en regels.