CSA staat voor control self assessment, een methode waarmee managers en medewerkers van een organisatie zelf beoordelingen kunnen uitvoeren. Het woord ‘control’ heeft betrekking op sturing en beheersing van de organisatie. Dit artikel beschrijft in vogelvlucht het wat en waarom van CSA.
Om het begrip verder uit te diepen eerst een definitie: ‘CSA is een gestructureerd proces waarmee de effectiviteit van de interne beheersmaatregelen ten aanzien van een of meer bedrijfsproces(sen) wordt beoordeeld door de managers en medewerkers die bij de uitvoering en beheersing van dat proces zijn betrokken, met als doel een bijdrage te leveren aan de zekerheid dat de organisatiedoelen worden gehaald.’
‘CSA is een gestructureerd proces’, houdt in dat de wijze waarop een CSA wordt uitgevoerd van tevoren is bepaald en ook als zodanig moet plaatsvinden. De werkwijze dient goed te worden gedocumenteerd, zodat die bij verschillende CSA’s gelijk is. Dit is onder andere van belang omdat de uitkomsten reproduceerbaar en controleerbaar moeten zijn.
Onderwerp van beoordeling is, zoals gezegd, de effectiviteit van de beheersmaatregelen. Deze maatregelen zijn ingericht om de belangrijkste risico’s te voorkomen, te detecteren of af te wenden.
De voor het proces verantwoordelijke managers en medewerkers voeren de beoordeling zelf uit. Dit in tegenstelling tot de traditionele auditinstrumenten, waarbij een auditor of een interne controleur het oordeel uitspreekt. CSA is in dit kader één van de instrumenten in de toolkit van het management om de organisatie te beheersen en de doelstellingen te behalen, maar kan ook als auditinstrument worden beschouwd.
Er zijn drie belangrijke vormen van CSA: vragenlijsten, workshops en managementanalyses.
Verschil met traditionele auditinstrumenten
CSA onderscheidt zich van traditionele auditinstrumenten. Een belangrijk verschil is dat niet de auditor, maar de medewerkers van de organisatie zelf die beheersmaatregelen beoordelen op effectiviteit. Meestal schrijven zij ook zelf het rapport. Van de auditor wordt verwacht dat hij het proces begeleidt en de uitgangspunten van risico’s en beheersmaatregelen kan doceren. Maar het uitgangspunt is dat de medewerkers de inhoudelijke experts zijn.
Naast de medewerkers is ook het management betrokken bij het proces. Door het participatieve karakter van CSA worden de resultaten breed gedragen. Natuurlijk is het mogelijk om die breedt ook in traditionele audits te realiseren, maar het belangrijkste verschil zal blijven dat bij een reguliere audit een auditor de uiteindelijke onafhankelijke beoordeling uitvoert en bij een CSA de medewerkers. CSA kán als auditinstrument worden gebruikt maar is niet per definitie een auditinstrument.
CSA’s kunnen in combinatie met traditionele audits worden ingezet. Zo is het denkbaar dat op bepaalde risicogebieden de CSA een zodanig sterk beheersmechanisme vormt, dat het voor de auditfunctie niet meer nodig is om daarop separaat audits uit te voeren. In andere gevallen kunnen CSA’s worden ingezet daar waar geen audits worden uitgevoerd. CSA’s kunnen ook worden gebruikt om de bestaande auditactiviteiten binnen een risicogebied aan te vullen of te worden geïntegreerd binnen een traditionele audit.
De rol van de risicomanagement-, controlling- en auditfunctie
Binnen organisaties zijn verschillende functies ingericht die zich in meer of mindere mate bezighouden met risicobeheersing. Uiteraard is risicobeheer primair de verantwoordelijkheid van het lijnmanagement, maar er zijn ook specifieke functies die daarin een rol spelen. De belangrijkste zijn de:
1. risicomanagementfunctie;
2. controllingfunctie;
3. auditfunctie.
Deze drie functies hebben alle een rol bij het risicobeheer van een organisatie. Het is dan ook denkbaar dat het implementeren van self assessments of het begeleiden van de workshops door één of enkele van deze functies wordt uitgevoerd. Welke rol de functies hebben, is mede afhankelijk van de specifieke invulling die men er binnen de organisatie aan heeft gegeven. Men zal echter wel rekening moeten houden met voldoende functiescheiding. Als richtlijn kan daarbij de volgende indeling worden aangehouden:
1. De <<
