Interne controle is het geheel van maatregelen, procedures en systemen dat een organisatie inricht om betrouwbare financiĆ«le informatie te produceren, wet- en regelgeving na te leven en operationele risico’s te beheersen. Het is geen losse maatregel maar een samenhangend stelsel dat door de hele organisatie loopt. Dit artikel legt uit wat interne controle inhoudt, uit welke onderdelen het bestaat en hoe documentverwerking daarin een rol speelt.
Wat is interne controle?
Interne controle (ook wel internal control) is het systeem van maatregelen dat een organisatie neemt om drie doelstellingen te realiseren: betrouwbare financiƫle verslaggeving, naleving van wet- en regelgeving, en effectieve en doelmatige bedrijfsvoering.
Het meest gebruikte raamwerk voor interne controle is COSO (Committee of Sponsoring Organizations of the Treadway Commission). COSO onderscheidt vijf componenten: controlemgeving, risicobeoordeling, controleactiviteiten, informatie en communicatie, en monitoring.
In de dagelijkse praktijk van finance en operations vertaalt interne controle zich naar concrete maatregelen: functiescheiding, autorisatiestructuren, vier-ogen-principe, reconciliatie, systeemlogs en periodieke controles. Die maatregelen zijn er niet voor de vorm, maar om fouten en fraude te voorkomen of te detecteren voordat ze schade aanrichten.
Waarom is interne controle belangrijk?
Organisaties die geen interne controle hebben ingericht, vertrouwen op de goede bedoelingen en het vakmanschap van hun medewerkers. Dat is onvoldoende. Mensen maken fouten, ook zonder kwade bedoelingen, en fraude komt voor ook in organisaties waar niemand het verwacht.
Drie redenen waarom interne controle de moeite waard is:
Betrouwbare informatie. Beslissingen worden genomen op basis van financiƫle informatie. Als die informatie niet klopt door fouten of manipulatie, leiden de beslissingen de verkeerde kant op.
Risicoreductie. Interne controle identificeert de plekken in een proces waar iets fout kan gaan en richt maatregelen in om die risico’s te beperken. Dat verkleint de kans op problemen en de impact als ze toch optreden.
Vertrouwen. Externe partijen, zoals accountants, aandeelhouders, financiers en toezichthouders, beoordelen de kwaliteit van de interne controle. Een robuust stelsel vergroot het vertrouwen in de organisatie.
Hoe werkt interne controle in de praktijk?
Interne controle werkt via preventieve en detectieve maatregelen.
Preventieve maatregelen voorkomen dat fouten of fraude optreden. Voorbeelden: functiescheiding, autorisatielimieten, verplichte goedkeuringsflows, IBAN-verificatie bij het aanmaken van nieuwe leveranciers.
Detectieve maatregelen signaleren fouten of fraude nadat ze hebben plaatsgevonden. Voorbeelden: bankreconciliatie, afwijkingssignalering in de factuurverwerking, steekproefsgewijze controle van boekingen, three-way matching.
In documentverwerking raken beide typen maatregelen elkaar:
- Three-way matching is detectief: het signaleert afwijkingen tussen factuur, inkooporder en ontvangst.
- Autorisatieflows zijn preventief: ze zorgen dat een factuur pas wordt betaald na goedkeuring door een bevoegd persoon.
- Automatische IBAN-controle is preventief: ze voorkomt betaling op een afwijkend bankrekeningnummer.
Hoe richt je interne controle stap voor stap in?
- Identificeer de risico’s
Breng per proces in kaart wat er fout kan gaan: welke fouten, welke fraudescenario’s, welke compliancerisico’s.
- Beoordeel de ernst
Weeg de kans en de impact van elk risico. Niet elk risico vereist dezelfde mate van beheersing.
- Bepaal de beheersingsmaatregelen
Kies per risico de meest passende maatregel: preventief, detectief, of een combinatie.
- Implementeer de maatregelen
Richt processen, systemen en autorisatiestructuren in op basis van de gekozen maatregelen.
- Documenteer
Leg de maatregelen vast in een beschrijving van de administratieve organisatie en interne controle (AO/IC).
- Test de werking
Controleer periodiek of de maatregelen in de praktijk werken zoals bedoeld. Dat kan via steekproeven, transactiemonitoring of interne audit.
- Verbeter
Pas maatregelen aan op basis van testresultaten, incidenten of veranderingen in het proces.
Hoe gaan organisaties om met interne controle?
Grotere organisaties hebben doorgaans een afdeling internal audit of een controller die toeziet op de werking van het interne controlestelsel. Ze werken met een formeel AO/IC-document dat per proces beschrijft hoe de controle is ingericht.
Kleinere organisaties hebben minder structuur maar lopen dezelfde risico’s. Ze compenseren dat door sleutelfuncties te verdelen, directiegoedkeuring te vereisen voor betalingen boven een bepaald bedrag en periodiek de administratie door een externe accountant te laten controleren.
Automatisering van documentverwerking versterkt de interne controle op twee manieren. Ten eerste maakt het de controles consistenter: een systeem dat elke factuur automatisch matcht en valideert, doet dat zonder uitzonderingen en zonder vermoeide medewerkers die iets over het hoofd zien. Ten tweede verbetert het de auditsporen: elke handeling in het systeem is gelogd met datum, gebruiker en resultaat. Dat maakt de controle reconstrueerbaar.
Een aandachtspunt is dat automatisering ook nieuwe risico’s introduceert. Systemen kunnen verkeerd worden geconfigureerd, of regels kunnen worden omzeild door iemand met de juiste technische toegang. Interne controle in een geautomatiseerde omgeving omvat daarom ook controles op de systemen zelf: toegangsbeheer, wijzigingslogboeken, configuratiebeheer.
Veelgestelde vragen
Interne controle is het stelsel van maatregelen dat de organisatie inricht om risico’s te beheersen. Interne audit is de onafhankelijke functie die beoordeelt of dat stelsel adequaat is en in de praktijk werkt. Interne controle is operationeel; interne audit is toetsend.
AO/IC staat voor Administratieve Organisatie en Interne Controle. Het is een beschrijving van de processen, bevoegdheden en controle activiteiten binnen een organisatie. Een AO/IC-document is een standaard hulpmiddel voor het vastleggen van de interne controle.
Een accountant of internal auditor kan dat beoordelen. Indicatoren die zelf te monitoren zijn: het aantal fouten in de financiƫle administratie, het percentage handmatige correcties, de uitkomsten van reconciliaties en de bevindingen bij belastingcontroles.
Ja. Automatisering verplaatst controles van handmatig naar systeem. Dat maakt ze consistenter, maar vereist ook dat de systeemconfiguratie zelf wordt gecontroleerd. Wie heeft toegang tot het systeem? Wie kan regels aanpassen? Hoe worden wijzigingen gelogd?
Er is geen algemene wet die interne controle verplicht stelt voor alle organisaties. Wel vereisen boekhoudwetgeving, accountantscontrole, sectorspecifieke regelgeving en bepaalde certificeringen dat de organisatie aantoonbaar maatregelen heeft getroffen om de betrouwbaarheid van de financiƫle verslaggeving te borgen.
De informatie in dit artikel is bedoeld als algemene toelichting op interne controle in finance- en operationsprocessen. Het is geen juridisch of fiscaal advies. Voor specifieke situaties raden we aan om contact op te nemen met een deskundige.