Careerguide
careerguide.nl
Home Vacatures Artikelen Organisaties
Over ons
Vakgebieden & Specialisaties Nieuwsbrieven Job Alerts Onze pakketten Contact Careerguide Hubs

Hubs per Sector

Finance
Actuaris Accountant Auditor
Business
Bank Hypotheken Investment
Business Support
Consultancy ESG HRM
Technology
Cyber Cloud AI
Alle hubs bekijken →
Hoofdwebsite
Bezoek →
Strategisch Inkoper IT

AO/IC, een goed idee!

Blog
01-04-2026
Wim Pauw
AO/IC: voor sommige mensen een onbegrijpelijke afkorting. Voor andere mensen een vak, dat ze moesten halen, maar waar ze geen energie van kregen. Voor nog weer anderen een onontbeerlijk kwaad. Maar voor organisaties broodnodig om geld te verdienen of voort te bestaan!

AO/IC: voor sommige mensen een onbegrijpelijke afkorting. Voor andere mensen een vak, dat ze moesten halen, maar waar ze geen energie van kregen. Voor nog weer anderen een onontbeerlijk kwaad. 
 Maar voor organisaties broodnodig om geld te verdienen of voort te bestaan!

In het begin van mijn carrière had ik een haat-liefde verhouding met AO/IC, maar ik ben het steeds meer gaan waarderen en nu kan ik volmondig zeggen: "AO/IC, een goed idee!"  

Maar wat is AO/IC dan precies?

AO/IC staat voor Administratieve Organisatie en Interne Controle. Klinkt nog steeds wat droog? Begrijpelijk. Maar laat je niet afschrikken door de term. Wacht nog even en geef ons een kans om je te enthousiasmeren, want AO en IC  vormen het hart van goed bestuur en betrouwbare bedrijfsvoering.

De Administratieve Organisatie (AO) kun je zien als de blauwdruk van hoe een organisatie werkt. Het gaat om alle processen, procedures, taken, verantwoordelijkheden en informatiestromen die ervoor zorgen dat een organisatie haar doelen bereikt, wetten naleeft en risico’s onder controle houdt.
Met andere woorden: AO gaat over de vraag hoe  het proces is ingericht, wie wat doet en waarom dat zo is.

Maar papier is geduldig en een goed ontwerp op papier is niet genoeg. Dat is waar de Interne Controle (IC) om de hoek komt kijken. IC bestaat uit de maatregelen die ervoor zorgen dat die mooie AO in de praktijk ook écht werkt. Denk aan autorisaties — wie mag wat goedkeuren —, monitoring, rapportages en audits. Het zijn de checks and balances die voorkomen dat fouten of misverstanden een goede bedrijfsvoering ondermijnen.

Kort gezegd: de AO beschrijft de afspraken, en de IC kijkt of we ons daar ook aan houden.
 Samen vormen ze het fundament van vertrouwen — binnen de organisatie én naar de buitenwereld toe. Want wie grip heeft op zijn processen, bouwt aan geloofwaardigheid; AO/IC is de ruggengraat van gezonde bedrijfsvoering

Goede AO/IC: drie voordelen

Een adequate embedding van AO/IC heeft de volgende voordelen:

  • Onderkenning van risico’s, bijvoorbeeld in de vorm van fraude en fouten. Door processen helder in te richten en functiescheiding toe te passen — zodat bijvoorbeeld niet één persoon zowel bestellingen plaatst, facturen goedkeurt én betalingen verricht — maak je het een stuk moeilijker voor bewuste en onbewuste fouten om onopgemerkt te blijven, en voor kwaadwillenden om te sjoemelen.
  • Vertrouwen bij alle betrokkenen. Een organisatie met een goed functionerende interne controle straalt betrouwbaarheid uit. Dat vergroot het vertrouwen van medewerkers, klanten, financiers en toezichthouders.
  • Efficiëntie en waardecreatie. Door inzicht in de kosten- en waardedrijvers van de organisatie, wordt de organisatie wendbaarder en is daarmee beter in staat om goede strategische  keuzes te maken. 

Gebrekkige AO/IC: twee voorbeelden uit de praktijk

Theorie is mooi, maar niets maakt de waarde van AO/IC zo concreet als voorbeelden van situaties waarin goede AO/IC ontbrak. 

Voorbeeld 1: een onderwijsinstelling

Bij een grote onderwijsinstelling was de interne controle rond inkoopprocessen ronduit gebrekkig. Het hoofd van de afdeling Technisch Beheer had de bevoegdheid om zelfstandig opdrachten te verstrekken aan externe bouwbedrijven — zonder dat iemand zijn keuzes controleerde of goedkeurde. Er was geen functiescheiding, geen onafhankelijke factuurcontrole en geen drempelwaarde waarboven een tweede handtekening vereist was.

Dit opende de deur voor misbruik. Het hoofd verstrekte jarenlang opdrachten aan bevriende aannemers, liet valse facturen opstellen en ontving als tegenprestatie smeergeld en luxe goederen, waaronder auto's. De schade liep in de honderdduizenden euro's.

Met een basale AO/IC — denk aan: verplichte offertes bij opdrachten boven een bepaald bedrag, scheiding tussen de opdrachtgevende en goedkeurende rol, en periodieke steekproeven op uitbetalingen — had dit vroegtijdig gesignaleerd of zelfs volledig voorkomen kunnen worden. 

Voorbeeld 2: een groeiende e-commerceonderneming

Een snelgroeiend webshopbedrijf had in de beginfase weinig tijd voor administratieve processen: er moest vooral verkocht worden. Voorraadbeheer, inkoop en de financiële administratie werden lange tijd door dezelfde medewerker bijgehouden, simpelweg omdat er geen capaciteit was voor meer medewerkers.

Toen het bedrijf groeide en een externe accountant de boeken doorlichtte, bleek dat er jarenlang voorraadverschillen waren opgetreden die nooit waren verklaard. Een deel van de voorraad bleek te zijn afgeschreven als "breuk en verlies", terwijl er in werkelijkheid producten buiten de boeken om waren verkocht — met contante betalingen die nergens werden geregistreerd. De totale misgelopen omzet was lastig te reconstrueren, maar conservatieve schattingen kwamen uit op tienduizenden euro's.

Ook hier was de oorzaak helder: er was geen functiescheiding, geen periodieke voorraadtelling en geen controle op de aansluiting tussen verkopen, kasontvangsten en voorraadmutaties. Drie simpele maatregelen die samen een wereld van verschil hadden gemaakt. 

Hoe begin je met verbeteren?

Wil je als organisatie de AO/IC verbeteren? Dan is de eerste stap het beschrijven van de bedrijfsprocessen. Maar pas op voor een – vanuit enthousiasme - veelgemaakte fout: de drang om meteen volledig te willen zijn en álle processen (primaire en secundaire) in één keer te willen vastleggen. Dat kost enorm veel tijd en energie, en de kans is groot dat je het momentum en de medewerking van medewerkers verliest.

Tip: start met de belangrijkste processen. Hier kun je bijvoorbeeld gebruik maken van Starreveld, maar ook van onderstaande model. De belangrijkste processen zijn de processen die bijdragen aan de waarde(creatie) van de organisatie, de binnenste cirkel in onderstaande figuur.  

Starreveld: de grondlegger

Eén van de grondleggers van het denken in AO/IC is Remmert Starreveld, geboren in 1907. Hij was accountant én hoogleraar Bestuurlijke Informatieverzorging aan de Universiteit van Amsterdam (UvA). Zijn gedachtegoed heeft generaties van controllers, accountants en bedrijfskundigen gevormd — en doet dat nog steeds.

Wat maakte zijn aanpak zo waardevol? Starreveld maakte onderscheid tussen verschillende organisatietypen: handels- en productiebedrijven en dienstverlenende organisaties. Per organisatietype onderkende hij de standaardrisico's en de bijbehorende beheersmaatregelen. Daarmee hoeft elke organisatie niet helemaal opnieuw het wiel uit te vinden en verhoogt de efficiëntie in controleprocessen. Een goed functionerende AO/IC voorkomt onduidelijkheden, risico’s en misstanden in de bedrijfsvoering. Het is uiteraard wel aan te raden om de door hem benoemde risico’s specifiek te maken voor de eigen organisatie.

De theorie van Starreveld stamt uit een eerdere tijd en vraag hier en daar om modernisering, maar de kern van zijn aanpak blijft een fundament waarop veel organisaties hun administratieve processen baseren. Tegenwoordig is meer flexibiliteit en sturing op waardecreatie gewenst (of zelfs vereist), maar de kern van Starreveld’s theorie blijft overeind: een praktische en overzichtelijke toolkit om risico’s te herkennen en te beheersen.

Figuur: Bedrijfswaarde in context van AO/IC (Pauw, 2019) 

Het model hierboven is ontwikkeld door Wim Pauw en wordt onder andere gebruikt binnen de Executive Master IT Audit (EMITA)-opleiding bij TIAS School for Business and Society. Het model werkt van binnen naar buiten. 

De binnenste cirkel stelt de vraag: waarvoor bestaat de organisatie eigenlijk? Wat levert waarde op voor klanten, voor de samenleving, voor aandeelhouders? Dat is de kern van de bedrijfsactiviteit: dáár verdient het bedrijf zijn geld, oftewel de bedrijfswaarde.  

Vanuit die kern werk je naar buiten, met de klok mee: 

  • Welke bedrijfsprocessen (midden boven) dragen direct bij aan creatie van (bedrijfs)waarde?

Het draait hier om ‘understanding the business’: maak hierbij een selectie van de belangrijkste primaire bedrijfsprocessen. 
 Vier voorname aandachtpunten hierbij zijn: de mensen en middelen in deze processen, de aanpalende processen met afhankelijkheden en de exogene factoren met impact op de bedrijfsprocessen.

  • Welke risico's (rechts) horen bij de onderkende (bedrijfs)processen? 

De kunst is om te concentreren op de voornaamste risico's bij de belangrijkste (primaire) processen die verantwoordelijk zijn voor het leveren van de (bedrijfs)waarde. Daaruit volgt dat de je je vooral richt op de grootste risico's voor wat betreft het inrichten van de voornaamste beheersing. Hierbij is procesanalyse en (business) risicoanalyse aan de orde.

  • Welke beheersing (onder) is vereist?

Dit resulteert in beheersmaatregelen die precies de voornaamste risico's adresseren. Het inrichten van beheersing kost namelijk ook inspanning en geld. Het is dus van belang om de, veelal schaarse, middelen van een organisatie verantwoord en kostenbewust in te zetten. Dit betreft transactie- en procescontrols.

  • Hoe doen we de monitoring en rapportage over de beheersing: assurance (links)?

De monitoring en rapportage vereist inzet van de veelal schaarse en dure audit- en kwaliteitscapaciteit. Denk hierbij aan allerlei kwaliteits- en IC toetsen en (jaarrekening) audits. 

Tot slot

AO/IC is geen doel op zich! Het is een middel om risico's te beheersen, stabiliteit te creëren, verantwoording af te leggen, groei te faciliteren en de koers van de organisatie te bewaken. Of je nu een grote onderwijsinstelling bent, een groeiende webshop of een productiebedrijf: de principes zijn universeel.

En het mooie is: je hoeft niet in één keer perfect te zijn. Begin met de processen die er het meeste toe doen, breng de grootste risico's in kaart en zet gerichte beheersmaatregelen op. De rest volgt min of meer vanzelf.

Want zoals ik na jaren ervaring kan zeggen: AO/IC, dat is gewoon een goed idee.

Louis en Wim zijn beiden hoofddocent voor de Executive Master IT-Audit bij TIAS (Tilburg University).

Louis van Hemmen | https://www.linkedin.com/in/louisvanhemmen/

Universitair hoofddocent TIAS, School for Business and Society, extern adviseur, auteur en Gildelid bij Gilde van Adviseurs BV.
Tevens initiatiefnemer BitAll b.v. met aandachtsgebied Business IT alignment, informatiemanagement en contractmanagement.


 Wim Pauw | https://linkedin.com/in/wimpauw

Adjunct Professor / universitair hoofd Docent TIAS, School for Business and Society, trainer, adviseur en partner bij Gilde van Adviseurs BV.