ISO is gelijk aan SOX?

Transcriptie

1 ISO is gelijk aan SOX? Rose-Marie Schoutrop Studentennummer Afstudeerrichting Economie BIV AO 1 e Beoordelaar: Lisette Duyster-Went RA 2 e Beoordelaar: Ron van Loon Pagina 1 van 97

2 HOOFDSTUK 1 INLEIDIN G...4 HOOFDSTUK 2 SARBANES OXLEY ACT SARBANES OXLEY ACT DOELSTELLING SARBANES OXLEY ACT INHOUD SARBANES OXLEY ACT COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION (COSO) DEFINITIE COSO RAPPORT INHOUD COSO RAPPORT INHOUD SOX HANDBOEK...12 HOOFDSTUK 3 ISO ISO INHOUD ISO STANDAARDEN INHOUD ISO HANDBOEK KOPPELING ISO EISEN EN RICHTLIJNEN AAN DE COMPONENTEN VAN COSO...20 HOOFDSTUK 4 CONFRONTATIE ISO MET SOX CONFRONTATIE VERSCHILLENDE DEFINITIES INTERNE CONTROLE EISEN GESTELD AAN ISO OM TE VOLDOEN AAN COSO / SOX RAAMWERK REVENUE CYCLE; EISEN GESTELD AAN ISO OM TE VOLDOEN AAN COSO / SOX RAAMWERK EXPENDITURE CYCLE; EISEN GESTELD AAN ISO OM TE VOLDOEN AAN COSO / SOX RAAMWERK HUMAN RESOURC ES CYCLE; EISEN GESTELD AAN ISO OM TE VOLDOEN AAN COSO / SOX RAAMWERK GROOTBOEKREGISTRATIE EN RAPPORTAGESYSTEEM; EISEN GESTELD AAN ISO O M TE VOLDOEN AAN COSO / SOX RAAMWERK...36 HOOFDSTUK 5 OPZET PRAKTIJKONDERZOEK ALGEMEEN BEDRIJVEN IN HET BEZIT VAN ISO 9000 CERTIFICAAT SELECTIE ONDERZOEKSBEDRIJVEN TYPOLOGIE VAN DE ONDERZOCHTE BEDRIJVEN UITVOERING ONDERZOEK Pagina 2 van 97

3 RESULTAAT ANALYSE VERRICHTE ONDERZOEKEN ANALYSE VAN DE INDRUKKEN TIJDENS DE UITGEVOERDE ONDERZOEKEN...50 HOOFDSTUK 6 CONCLUSIE...52 AANBEVELINGEN...55 BIBLIOGRAFIE...56 BIJLAGE A RECAPITULATIE TABEL ANTWOORDEN ONDERZOCHTE BEDRIJV EN...58 BIJLAGE B BEDRIJF A...64 BIJLAGE C BEDRIJF B...73 BIJLAGE D BEDRIJF C...83 BIJLAGE E CERTIFICER INGBEDRIJVEN VOLGENS STICHTING RAAD VOOR ACCREDITATIE Pagina 3 van 97

4 Hoofdstuk 1 Inleiding In de jaren 2001 en 2003 is de financiële wereld opgeschrikt door een aantal boekhoudschandalen die hun weerga niet kenden. Zowel de ondernemingen Enron (Publicatie Enron; 2001) als Ahold (Publicatie Ahold; 23 februari 2003) moesten naar buiten treden met verklaringen dat binnen hun organisaties de gerapporteerde winsten over de achterliggende jaren onjuist waren weergegeven. In de Enron affaire heeft dit zelfs geleid tot het faillissement van de onderneming en tot een gedwongen fusie van de controlerende partij Arthur Andersen accountants met Deloitte & Touche Accountants (17 juni 2002). Mede als gevolg van bovenstaande voorbeelden (Enron en Ahold), die beiden een beursnotering aan de New York Stock Exchange (NYSE) hadden/hebben, is er door de wetgevende macht in de USA een wet aangenomen die het foutief weergeven van gerapporteerde resultaten in de toekomst uit moet sluiten. Deze wet, de Sarbanes Oxley Act 2002 (SOX), dient hiervoor zorg te dragen (H.R. 3763; p. 1). Alle ondernemingen die genoteerd zijn aan de NYSE zullen moeten voldoen aan de hierin genoemde richtlijnen. Binnen de Europese Unie is een dergelijke wetgeving niet van kracht. Binnen Europa is de zogenaamde International Organization of Standardization (ISO) standaard zeer gewaardeerd en gerespecteerd ( De ISO standaard is een vrijwillig door bedrijven te behalen kwaliteitscertificaat. Met het in het bezit hebben van dit certificaat zijn hun afnemers ervan verzekerd dat hun leverancier een bepaalde mate van constante kwaliteit biedt. Dit onderzoek richt zich op zowel de ISO richtlijnen alsmede op de eisen gesteld door de SOX wetgeving. Zoals reeds gesteld bestaat er binnen Europa geen eis om te voldoen aan de SOX wetgeving. Tegelijkertijd zijn de ISO richtlijnen niet verplicht gesteld voor ondernemingen. Het onderwerp van het onderzoek is te achterhalen of een onderneming die in het bezit is van een ISO 9000 certificering (dus voldoet aan de ISO richtlijnen) met het ISO certificaat ook voldoet aan de regelgeving zoals gesteld vanuit de SOX wetgeving Pagina 4 van 97

5 Dit onderzoek spitst zich derhalve toe op de stelling dat het in het bezit hebben van een ISO certificaat afdoende is om te voldoen aan de SOX wetgeving. De stelling zal worden beantwoord door middel van verschillende deelvragen. In hoofdstuk 2 zal een antwoord worden gegeven op de vraag wat er wordt bedoeld met interne controle zoals gedefinieerd in de SOX wetgeving en vanuit het COSO (Committee of Sponsoring Organizations of the Treadway Commission) raamwerk. Tevens zal er aandacht worden besteed aan de aanvullende eisen van SOX met betrekking tot de verslaglegging. Vervolgens zal in hoofdstuk 3 de vraag worden beantwoord waar een organisatie aan moet voldoen om een ISO certificering te behalen en te behouden. In dit hoofdstuk zal tevens een relatie worden gelegd tussen de eisen van ISO en de afzonderlijke COSO componenten. De essentie van de SOX wetgeving is erop gericht om betrouwbare financiële publicaties te produceren voor de aanwezige stakeholders. Hierbij is interne controle van groot belang. In hoofdstuk 4 zullen daarom de verschillende definities van interne controle zoals aanwezig in ISO, COSO en SOX met elkaar worden geconfronteerd. De hieruit voortvloeiende aanvullende ISO eisen om aan de doelstellingen te voldoen, w orden hier nadrukkelijk naar voren gebracht. In hoofdstuk 5 zal de opzet en de uitwerking van het praktijkonderzoek worden toegelicht en wordt de eindconclusie onderbouwd. Het praktijkonderzoek is uitgevoerd door middel van een mondeling uitgevoerde enquête en boekenonderzoek bij verschillende ondernemingen. In hoofdstuk 6 tenslotte zal de conclusie naar aanleiding van de bevindingen gedurende het onderzoek worden gepresenteerd. Dit onderzoek is wetenschappelijk van belang uit het gezichtspunt van interne controle. Beide raamwerken, zowel SOX als ISO, hebben de interne controle maatregelen als uitgangspunt. Met dit onderzoek wordt beoogd om een waardeoordeel uit te kunnen spreken over de toepasbaarheid van ISO certificering in relatie tot de SOX wetgeving Pagina 5 van 97

6 Hoofdstuk 2 Sarbanes Oxley Act Sarbanes Oxley Act 2002 In de stad Washington (Verenigde Staten van Amerika) is op 23 januari 2002 een wet aangenomen met de naam Sarbanes Oxley Act 2002 (SOX). Deze wet beoogt de stakeholders van de ondernemingen die een beursnotering in de Verenigde Staten van Amerika hebben te beschermen tegen het bewust of onbewust publiceren van foutieve financiële gegevens. De SOX verstrekt wet- en regelgeving voor het verbeteren van de kwaliteit en betrouwbaarheid van ge publiceerde cijfers Doelstelling Sarbanes Oxley Act 2002 SOX geeft de volgende doelstelling: To protect investors by improving the accuracy and reliability of corporate disclosures made pursuant to the securities laws, and for other purposes (H.R. 3763; p. 1) SOX is opgebouwd uit diverse titels, die ook weer verder zijn onderverdeeld in secties. De gehele SOX heeft betrekking op allerlei zaken die van invloed zouden kunnen zijn op de integriteit van een onderneming. Er zijn regels opgenomen met betrekking tot belangenverstrengeling van bestuurders, onafhankelijkheid van accountants etc. Voor dit onderzoek is een onderdeel van titel III en bijna de gehele titel IV van belang. Titel III houdt zich bezig met de verantwoordelijkheid van de onderneming en titel IV houdt zich bezig met het verbeteren van financiële publicaties (H.R. 3763; p. 1). Binnen titel III in sectie 302 wordt er specifiek aandacht geschonken aan de verantwoordelijkheid van de onderneming met betrekking tot de financiële rapportage (H.R. 3763; p. 33). De essentie van deze sectie 302 is dat de Chief Executive Officer (CEO) en de Chief Financial Officer (CFO) verantwoordelijk zijn voor de implementatie en evaluatie van de interne controlemaatregelen en dat zij deze evaluaties in een afzonderlijk rapport meedelen aan de stakeholders (H.R. 3763; p. 33). Tevens dienen de CEO en CFO zich op de hoogte te stellen van de veranderingen die zich hebben voorgedaan in het interne controle apparaat. De impact van deze veranderingen moeten zij interpreteren zodat er een uitspraak gedaan kan worden over de effectiviteit van het stelsel aan interne controle maatregelen in zijn geheel Pagina 6 van 97

7 (Protiviti.com; Guide to the Sarbanes-Oxley Act: Internal Control Reporting requirements; p. 15). Binnen titel IV is de sectie 404 voor dit onderzoek van belang. Hierin wordt bepaald dat elke onderneming jaarlijks een internal control rapport opstelt met daarin minimaal: - de mate van verantwoordelijkheid van het management voor het implementeren en onderhouden van een ade quate interne controle structuur en de daarbij behorende procedures voor het opstellen van de financiële rapportages - een beoordeling, per het einde van een fiscale periode van de onderneming, van de effectiviteit van de interne controle structuur en van de daarbij behorende procedures voor de financiële rapportage (H.R. 3763; p. 45) Inhoud Sarbanes Oxley Act 2002 Wat is de inhoud van de SOX wetgeving? Zoals reeds in de doelstelling van SOX met betrekking tot internal control over financial reporting vermeld is, heeft de interne controle vanuit SOX grotendeels betrekking op de betrouwbaarheid van de financiële resultaten en op de presentatie hiervan (Protiviti.com; Guide to the Sarbanes-Oxley Act: Internal Control Reporting requirements; p. 22). Er wordt niet gerefereerd aan de effectiviteit en efficiency van de operationele activiteiten. Het moeten voldoen aan de geldende wet- en regelgeving is alleen van toepassing op het stand komen van de financiële cijfers (Protiviti.com; Guide to the Sarbanes-Oxley Act: Internal Control Reporting requirements; p. 23). In SOX wordt o.a. de term material weakness gehanteerd. Zodra het management constateert dat er één of meerdere material weaknesses zijn vastgesteld dan kan de beoordeling van het management op basis van SOX niet zijn dat de interne controlemaatregelen adequaat en efficiënt zijn ingeregeld. (SEC final rule; p. 17). Er wordt echter ook melding gemaakt van een andere term en dit is een significant deficiency. Het onderscheid tussen beide termen binnen SOX is dat een material weakness een grotere negatieve afwijking vertegenwoordigt in de interne controle maatregelen dan de term significant deficiency. Het verschil tussen deze twee termen binnen SOX is dat een significant deficiency niet automatisch hoeft te worden aangemerkt als een material weakness. Een gebrek in de interne controlemaatregelen wordt pas aangemerkt als een material weakness indien dit een materieel effect kan hebben op de gerapporteerde Pagina 7 van 97

8 financiële cijfers (Protiviti.com; Guide to the Sarbanes-Oxley Act: Internal Control Reporting requirements; p. 73). The U.S. Securities and Exchange Commission (SEC) heeft naar aanleiding van de SOX wetgeving richtlijnen uitgevaardigd die ervoor zorgdragen dat iedere onderneming die gehouden is aan de SOX wetgeving deze richtlijnen op dezelfde manier interpreteert en implementeert. De definitie van de SEC, met betrekking tot Internal control over financial reporting, luidt als volgt: A process designed by, or under the supervision of, the issuer s principal executive and principal financial officers, or persons performing similar functions, and effected by the issuer s board of directors, management and other personnel, to provide reasonable assurance regarding the reliability of f inancial reporting and the preparation of financial statements for external purposes in accordance with generally accepted accounting principles and includes those policies and procedures that: - pertain to the maintenance of records that in reasonable detail accurately and fairly reflect the transactions and dispositions of the assets of the issuer - provide reasonable assurance that transactions are recorded as necessary to permit preparation of financial statements in accordance with generally accepted accounting principles, and that receipts and expenditures of the issuer are being made only in accordance with authorizations of management and directors of the issuer; and - provide reasonable assurance regarding prevention or timely detection of unauthorized ac quisition, use or disposition of the issuer s assets that could have a material effect on the financial statements. (SEC final rule; p. 11) 2.2. Committee of Sponsoring Organizations of the Treadway Commission (COSO) De SEC vaardigt richtlijnen uit. In één van deze richtlijnen heeft de SEC gesteld dat iedere onderneming een raamwerk van interne controlemaatregelen dient te implementeren. Specifiek heeft de SEC hierbij melding gemaakt van het Committee of Sponsoring Pagina 8 van 97

9 Organizations of the Treadway Comission (COSO) rapport. Het COSO rapport biedt een kwalitatief hoogwaardig stelsel aan maatregelen dat als basis kan dienen om aan gestelde eisen ten behoeve van de jaarlijkse interne controle evaluatie en de financiële rapportage te voldoen (SEC final rule; p. 16). Voor het onderzoek nemen we als basis het COSO rapport en vullen dit aan met de extra eisen met betrekking tot SOX. Het COSO rapport is een onderdeel van de eisen van SOX en de aanvullende richtlijnen zoals uitgevaardigd door de SEC Definitie COSO rapport Er bestaan verschillende definities over het begrip internal control. Het COSO rapport definieert het als volgt: Internal control is a process, effected by an entity s board of directors, management and other personnel, designed to provide reasonable assurance regarding the achievement of objectives in the following categories: - Effectiveness and efficiency of operations - Reliability of financial reporting - Compliance with applicable laws and regulations (Integral Control Integrated Framewor k, 1994, p. 3) COSO definieert interne controle dus als een proces, waarin alle werknemers van een organisatie een rol hebben te vervullen, met als doel het realiseren van de gestelde doelen van de organisatie. Tevens is interne controle van COSO met name gericht op de efficiency en effectiviteit van de operationele activiteiten, de betrouwbaarheid van de financiële rapportages en het voldoen aan de relevante wet- en regelgeving. De definitie van de SEC is gedeeltelijk consistent met de definitie van COSO. Bij beide definities wordt interne controle gedefinieerd als een proces, ligt de verantwoordelijk voor de uitvoering bij de gehele onderneming, wordt er een relatie gelegd met de operationele processen en wordt er een relatie gelegd met de relevante wet- en regelgeving (paragraaf en paragraaf 2.2.1). Er zijn echter ook verschillen. In de definitie van de SEC wordt specifieker aandacht gevraagd voor de verantwoordelijken van een onderneming, de CEO en de CFO. Bij de definitie van de SEC dienen de CEO en de CFO de interne Pagina 9 van 97

10 controlemaatregelen met name te hebben ontworpen en geïmplementeerd. Binnen het COSO rapport wordt dit niet zo nadrukkelijk gesteld (Exchange Act Section 13(b)(2)(B) Inhoud COSO rapport Wat is het COSO raamwerk? Het COSO raamwerk bestaat uit drie algemene categorieën en uit vijf componenten. De componenten lopen als een rode draad door de afzonderlijke categorieën heen. Ze kunnen binnen een categorie niet als een afzonderlijk iets worden beschouwd. De drie categorieën zijn: a. operationele activiteiten b. financiële rapportage, betrouwbaarheid informatie c. compliance De vijf componenten zijn: 1. controle omgeving, besturingskader 2. risico analyse 3. interne controle maatregelen, beheersingsmaatregelen 4. informatie en communicatie 5. monitoren, bewaking (Integral Control Integrated Framework, 1994, p. 16) Pagina 10 van 97

11 De relatie tussen bovenstaande componenten en tussen de doelstellingen zoals gesteld in de definitie van het COSO-rapport kunnen als volgt worden gevisualiseerd: Figuur 1 : Relatie tussen categorieën en componenten (Integral Control Integrated Framework, 1994, p. 19) Aan de hand van bovenstaande figuur wordt de bedoeling hiervan duidelijk. Bijvoorbeeld de controle omgeving (besturingskader) heeft zijn invloed op zowel de operationele activiteiten als op de financiële rapportage, alsmede op de derde en laatste categorie het voldoen aan de gestelde wettelijke eisen. Binnen het COSO raamwerk wordt uitgebreid ingegaan op de verschillende componenten. Iedere component heeft binnen het COSO raamwerk zijn / haar eigen betekenis en invulling. De implementatie van het COSO raamwerk is ondernemingsafhankelijk (Integral Control Integrated Framework, 1994, p. 4). Door middel van een analyse van de behoeften aan interne controlemaatregelen geeft een onderneming handen en voeten aan het COSO raamwerk in de praktijk. De inhoud en de betekenis van het COSO raamwerk wordt als zijnde bekend verondersteld Pagina 11 van 97

12 2.3. Inhoud SOX handboek In de SOX wetgeving wordt veel nadruk gelegd op documentatie. De houding ten aanzien van documentatie is dat indien er een interne controle maatregel in werking is, maar deze maatregel is niet gedocumenteerd dan wordt deze maatregel als zijnde niet bestaand beschouwd (Diekman P.; MAB. Rapporteren over interne controle; p. 520). De documentatie dient te voldoen aan de volgende eisen: 1. Mogelijkheid tot objectieve beoordeling van de opzet van het systeem van interne controle maatregelen. 2. Mogelijkheid tot objectieve beoordeling van het systeem van interne controle maatregelen en dan met name gericht op de feitelijke werking van het systeem. Dit is een verantwoordelijkheid van het management. 3. De externe accountant dient een onafhankelijke verklaring af te geven over de beoordeling zoals deze is afgegeven door het management. Hierbij zal o.a. gekeken worden naar de wijze waarop het management tot haar oordeel is gekomen, de kwaliteit van de interne rapportering, de grondslag waarop het management tot haar oordeel is gekomen, de gekozen materialiteit en de organisatie van de beoordeling. (Diekman P.; MAB; Rapporteren over interne controle; p. 514). Aan de hand van een stappenplan wordt de documentatie voor SOX aangepakt. Allereerst wordt er door de onderneming bepaald wat de reikwijdte van de SOX wetgeving voor deze specifieke onderneming is. Het uitgangspunt is de geconsolideerde jaarrekening zoals deze door de onderneming wordt gepubliceerd (Diekman P.; MAB; Rapporteren over interne controle; p. 516). Vanuit de geconsolideerde jaarrekening worden alle afzonderlijke posten tegen het licht gehouden. Dit ter bepaling van de kwantitatieve en kwalitatieve impact op het geheel van de jaarrekening. Hier wordt een beoordeling gemaakt van de materiële invloed die de afzonderlijke posten hebben op het geheel. Nadat deze stap is uitgevoer d worden de verschillende bedrijfsprocessen, die gerelateerd zijn aan de jaarrekeningposten ontleed. Zodra deze inzichtelijk zijn kunnen de controle punten verder in kaart worden gebracht. Voor de documentatie moeten van ieder kernproces alle administratieve stappen, met daarin de controlepunten, worden vastgelegd. Alle beschrijvingen van deze processen dienen te Pagina 12 van 97

13 voldoen aan de controlerichtlijn zoals opgesteld door de PCAOB (Public Company Accounting Oversight Board). In de vastlegging behoren de fasen: initiatie, autorisatie, vastlegging, bewerking en rapportering naar voren te komen (Diekman P.; MAB; Rapporteren over interne controle; p. 516). Tevens dienen de 5 componenten van het COSO raamwerk te worden meegenomen. Extra aandachtspunt boven op het bovenstaande zijn de controlemaatregelen die zijn genomen voor het waarborgen van de kwaliteit van posten in de jaarrekening die niet-routinematig tot stand komen (bijvoorbeeld: schattingen van waarderingen). De interne controle maatregelen moeten een hoge mate van zekerheid te geven over de juistheid, volledigheid en tijdigheid van de betreffende post, de hoogte van de waardering en de wettelijke eisen ten aanzien van presentatie en transparantie (Diekman P.; MAB; Rapporteren over interne controle; p. 517). De beschreven interne controle maatregelen dienen, aan de hand van testplannen, ook periodiek te worden getoetst. Deze testplannen maken ook deel uit van de documentatie die nodig is voor het compliant zijn aan de SOX wetgeving. Samenvattend kunnen we over deze paragraaf stellen dat de eisen aan het SOX handboek alles omvatten van de start van de beoordeling van de materialiteit van posten in de jaarrekening tot het vastleggen in detail van processen en de testplannen. Dit met het uiteindelijke doel het kunnen aantonen van een geheel aan maatregelen dat door de organisatie is getroffen en waarmee de vastgelegde resultaten te allen tijde zijn na te bootsen. Hiermee zijn de uitkomsten objectief en bij herhaling verifieerbaar voor derden. In dit hoofdstuk is de inhoud van de SOX wetgeving uitgediept. We hebben hierbij kunnen constateren dat de SOX wetgeving gericht is op het beschermen van de stakeholders van een organisatie. De SOX wetgeving is gericht op de betrouwbaarheid van de financiële rapportages. Hierbij wordt gebruik gemaakt van het COSO raamwerk. De onderdelen van het COSO raamwerk zijn uitgebreider dan hetgeen in de SOX wetgeving wordt genoemd. Echter door het beheersen van alle onderdelen van het COSO raamwerk wordt impliciet de voorwaarden geschapen voor het voldoen aan de SOX wetgeving. Aan de vastlegging van de genomen interne controlemaatregelen worden expliciet aanvullende eisen gesteld Pagina 13 van 97

14 Hoofdstuk 3 ISO De International Organization of Standardization (ISO) is opgericht in het jaar ISO heeft door de jaren heen meer dan standaarden gepubliceerd. De ISO 9000 en ISO standaarden zijn de meest verbreide en succesvolste standaarden die zijn gepubliceerd. Beide standaarden zijn generieke standaarden waarmee wordt bedoeld dat ze geldig zijn voor en toepasbaar op elke onderneming ongeacht de grootte van de onderneming, het gevoerde product of dienst. De ISO 9000 en normen zijn voor het eerst gepubliceerd in de jaren negentig. In het kalenderjaar 2000 zijn de in de jaren negentig opgestelde normen aangepast aan de nieuwe tijd. Hiertoe zijn de oude normen ingrijpend aangepast. Ook de nummering van de normen is aangepast. Met ingang van het jaar 2000 bestaan de normen NEN-EN-ISO 9000, NEN-EN-ISO 9001, NEN-EN-ISO 9004 en de norm NEN-EN-ISO (Nederlands norm NEN-EN-ISO 9000 t/m 19011; december 2004) ISO De standaarden ISO 9000 en ISO zijn standaarden die door iedere onderneming mogen worden gebruikt voor interne doelstellingen. Zodra ondernemingen de standaarde n als een kwaliteitskenmerk voor externe doeleinden willen gebruiken, dient een onafhankelijk certificeringbureau een waardeoordeel uit te spreken over de wijze waarop een onderneming de ISO normen heeft ingevoerd. Het waardeoordeel wordt afgegeven door middel van het verstrekken van een certificaat. Voor dit onderzoek zijn de gestelde normen voor ISO niet van belang. ISO heeft betrekking op alle aspecten die samenhangen met het milieu. Voor het verkrijgen van een ISO 9000 certificaat zijn de normen NEN-EN-ISO 9000 (ISO 9000) en NEN-EN-ISO 9001 (ISO 9001) van belang. In ISO 9000 worden de grondbeginselen van een kwaliteitsmanagementsysteem uitgelegd en worden de definities van de diverse te hanteren begrippen uitgelegd en bepaald (NEN-EN-ISO 9000; p. 5). In ISO 9001 worden de eisen die aan het kwaliteitsmanagementsysteem gesteld worden beschreven. Hierin staan de eisen genoemd van het kwaliteitsmanagementsysteem met het oog op het voldoen aan de eisen van de geleverde producten en/of diensten, het voldoen aan Pagina 14 van 97

15 de geldende regelgeving en wetgeving alsmede de eisen indien men continu de klanttevredenheid wil verhogen (NEN-EN-ISO 9000; p. 5). De norm NEN-EN-ISO 9004 (ISO 9004) geeft richtlijnen voor met name het realiseren van continue verbetering binnen de organisatie. Het begrip continue verbetering richt zich op het gebied van algehele prestaties alsmede op het gebied van doelmatigheid en doeltreffendheid van een organisatie (NEN-EN-ISO 9004; p. 7). ISO 9004 is officieel geen onderdeel van de ISO eisen om in aanmerking te komen voor certificering. Voor dit onderzoek zal ik geen nadruk leggen op dit onderscheid. Alle gepubliceerde normen binnen de ISO 9000 familie zijn voor dit onderzoek meegenomen Inhoud ISO standaarden De ISO organisatie heeft de standaarden ontwikkeld met het doel om organisaties voordelen te laten behalen uit de implementatie van een kwaliteitsmanagementsysteem, de potentiële afnemers een kwaliteitskeurmerk van de betreffende organisatie te bieden en eenduidigheid te verstrekken over de terminologie die wordt gehanteerd. Doelstelling van het toepassen van een uitgebreid kwaliteitsmanagementsysteem is het waarborgen van de effectiviteit en de efficiency van de processen. Het toepassen van een kwaliteitsmanagementsysteem kan tevens een belangrijke bijdrage leveren aan het besturen van een organisatie op basis van kosten en risico s (NEN-EN-ISO 9004; p. 5). De ISO standaarden zijn gebaseerd op een procesbenadering (NEN-EN-ISO 9000; p. 8). Een procesbenadering is de identif icatie van alle handelingen die plaats moeten vinden voordat een transactie is afgerond, waarbij alle interacties tussen verschillende afdelingen worden betrokken. Een proces is derhalve het resultaat van een geheel van samenhangende of elkaar beïnvloedende activiteiten die input omzet in output Pagina 15 van 97

16 Figuur 2 Procesbenadering In bovenstaande figuur is dit duidelijk weergegeven. Was het voorheen zo dat er per afdeling een beginpunt en eindpunt van het werk werd gedefinieerd, binnen het kwaliteitsmanagementsysteem van ISO is van deze duidelijke afbakening geen sprake meer. De afzonderlijke afdelingen staan in nauw contact met elkaar. Vooraf is gedefinieerd wat de input dient te zijn waarna alle betrokken afdelingen met elkaar samenwerken teneinde ervoor zorg te dragen dat de output effectief en efficiënt tot stand komt (Ahaus C.T.B. e.a.; ISO 9000:2000-serie, strategie en aanpak; p. 44). Voordat een kwaliteitsmanagementsysteem wordt opgezet is een inventarisatie noodzakelijk van alle processen die nodig zijn voor het kwaliteitssysteem zelf. Hieronder vallen de processen die van belang zijn voor besturingsactiviteiten, het beschikbaar stellen van middelen, het realiseren van het product of dienst en het meten van de processen zelf (NEN- EN-ISO 9001; p. 11). Voor het doeltreffend functioneren van een organisatie zullen alle afzonderlijke activiteiten moeten worden vastgesteld, er dient beoordeeld te worden hoe ze onderling met elkaar verbonden zijn en hoe deze kunnen worden bestuurd (NEN-EN-ISO 9001; p. 7). Een kw aliteitsmanagementsysteem moet beschikken over een kwaliteitsbeleid en over kwaliteitsdoelstellingen. De directie heeft de verantwoordelijkheid om het kwaliteitsbeleid te bepalen en meetbare kwaliteitsdoelstellingen vast te stellen die consistent zijn met het kwaliteitsbeleid (NEN-EN-ISO 9001; p. 13) Het kwaliteitsmanagementsysteem dient voor ISO te worden gedocumenteerd. In dit kwaliteitshandboek moet minimaal worden vastgelegd: het geformuleerde kwaliteitsbeleid en de hiervan afgeleide kwaliteitsdoelste llingen, de procedures, die documenten die de Pagina 16 van 97

17 organisatie nodig heeft voor het op een juiste manier uitoefenen van de processen inclusief de planning en de beheersing hiervan (NEN-EN-ISO 9001; p. 11). Binnen de ISO normen die geldig zijn vanaf het kalenderjaar 2000 wordt er grote nadruk gelegd op de verantwoordelijkheid van de directie. Deze verantwoordelijkheid gaat verder dan het formuleren van de missie, visie en strategie van de onderneming. De directie heeft de volgende verantwoordelijkheden en dient : zich te onthouden van onwenselijk gedrag zich pro-actief op te stellen in het deelnemen aan verbetertrajecten zich regelmatig op de hoogte te stellen van de doeltreffendheid en doelmatigheid van het geïmplementeerde kwaliteitsmanagementsysteem de processen voor het verkrijgen van het product en/of dienst en de ondersteunende processen vast te stellen de medewerkers van de organisatie een persoonlijk ontwikkelingsplan te geven de onderneming te voorzien van de structuur en middelen om de gestelde strategische doelen haalbaar te maken (NEN-EN-ISO 9004; p. 14). De vertaling van het bovenstaande is uiteindelijk dat de directie niet alleen op een managementstoel kan zitten, maar dat zij ook de in s en out s van een organisatie kent en hierop adequaat in kan springen. In de praktijk zal de directie op de hoogte (moeten) blijven van de ontwikkelingen binnen de organisatie op zowel tactisch als operationeel niveau door middel van het invoeren van verschillende overlegstructuren. Om te voldoen aan de ISO normen ter verkrijging van het ISO certificaat is de organisatie verplicht een systeem te hebben geïmplementeerd waarmee de organisatie voldoet aan de eis van continue verbetering (NEN-EN-ISO 9001; p. 24). Binnen de ISO norm wordt de methodologie van de Deming- Cirkel toegepast (Edwards Deming W., The New Economy, 2 e druk). De Deming cirkel kent vier onderdelen. Dit is als volgt te visualiseren: Pagina 17 van 97

18 Figuur 3 : Deming Cirkel (Edwards Deming W., The New Economy, 2e druk) De vier fasen uit de Deming-cirkel houden in: 1. Plannen: het vaststellen van de doelen en processen. 2. Uitvoeren: het uitvoeren van de processen en- van de geplande activiteiten. 3. Beoordelen en evalueren: meten in hoeverre de doelen zijn gerealiseerd. 4. Borgen en verbeteren: het nemen van maatregelen om procesprestaties te verbeteren. (Edwards Deming W., The New Economy, 2e druk). Het principe van continue verbetering heeft zijn weerslag op alle onderdelen van een organisatie. Zowel op strategisch, tactisch als op operationeel niveau. De opzet voor de continue verbetering hangt mede af van het niveau waar de verbetering betrekking op heeft. Over het algemeen is de Deming-cirkel voor het tactisch en operationeel niveau zichtbaar in continue kleine verbeteringsstappen binnen de geldende processen. Voor met name het verbeteren op strategisch niveau zal dit meer gebeuren met zorgvuldig geplande grote projecten (bijvoorbeeld op IT gebied) waardoor bestaande processen ingrijpend worden herzien of in zijn geheel komen te vervallen (Ahaus C.T.B. e.a.; ISO 9000:2000-serie, strategie en aanpak; p. 143). Binnen ISO moet aangetoond kunnen worden dat bij afwijkingen van de te realiseren doelen corrigerende maatregelen worden genomen. De genomen maatregelen moeten acties bevatten Pagina 18 van 97

19 waardoor de afwijkingen niet meer of in mindere mate terugkeren. In het proces van continue verbeteren moet derhalve altijd de reden voor verbetering zitten besloten, een beschrijving van de huidige situatie, een analyse van de bevindingen en tenslotte de identificatie van de mogelijke oplossingen. Uiteindelijk moet die oplossing worden gekozen die de oorzaak van de afwijking aanpakt en opheft. De laatste actie is het achteraf beoordelen van de doeltreffendheid en doelmatigheid van de verbetermaatregel (NEN-EN-ISO 9004; p. 71) Inhoud ISO handboek In de vorige paragraaf is de inhoud van de verschillende ISO standaarden beschreven. Tevens komt hier naar voren dat er een kwaliteitshandboek moet bestaan. Om de begrijpelijkheid en inzichtelijkheid te bevorderen van de specifieke eisen met betrekking tot de inhoud van het ISO handboek is het noodzakelijk om hier een aparte paragraaf aan te wijden. Het kwaliteitsmanagementsysteem moet worden gedocumenteerd. Hierin dienen zoals reeds in de vorige paragraaf vermeld de verklaringen te worden vas tgelegd met betrekking tot het vastgesteld kwaliteitsbeleid en de vastgestelde kwaliteitsdoelstellingen. Tevens is het verplicht dat er een kwaliteitshandboek aanwezig is. In het kwaliteitshandboek moet het onderwerp en het toepassingsgebied van het kwaliteitsmanagementsysteem (hierbij specifieke aandacht voor de bijzonderheden en met name de reden voor eventuele uitsluitingen uit het toepassingsgebied) zijn beschreven (NEN-EN-ISO 9001; p. 12). De reden voor het met name noemen van het toepassingsgebied va n een kwaliteitsmanagementsysteem is dat derden hieruit moeten kunnen afleiden of de ISO norm geldig is voor de gehele onderneming of slechts een gedeelte ervan. In het kwaliteitshandboek zijn minimaal de vastgelegde gedocumenteerde procedures of een verw ijzing hiernaar alsmede een beschrijving van de interacties tussen de benoemde processen van het kwaliteitsmanagementsysteem opgenomen (NEN-EN-ISO 9001; p. 12). In de ISO richtlijnen wordt nadrukkelijk aandacht besteed aan de beheersing van de documentatie binnen het kwaliteitshandboek. Het is voor de ISO norm niet voldoende om alles te hebben vastgelegd, maar het is tevens noodzakelijk om de vastleggingen zelf weer te borgen. Met betrekking tot de borging worden eisen gesteld ten aanzien van goedkeuring van documenten op geschiktheid alvorens ze worden uitgegeven, periodiek beoordelen en indien Pagina 19 van 97

20 nodig actualiseren en weer goedkeuren van de documenten, identificatie van de actuele versie van de documenten, te allen tijde beschikbaar zijn van de relevante ve rsies op de werkplek en de documenten dienen leesbaar en gemakkelijk herkenbaar te blijven (NEN-EN-ISO 9001; p. 12) Koppeling ISO eisen en richtlijnen aan de componenten van COSO De ISO normen zijn gebaseerd op een kwaliteitsmanagement vraagstuk. De ISO certificering is voor iedere onderneming bedrijfsspecifiek. Het is niet mogelijk om het kwaliteitshandboek zoals gehanteerd bij bijvoorbeeld handelsonderneming A te kopiëren naar handelsonderneming B. Hiervoor zijn het kwaliteitsbeleid en de kwalite itsdoelstellingen zoals bepaald door de directie van een onderneming van belang. Het kwaliteitshandboek van een organisatie is afhankelijk van en ontstaat uit het analyseren van de kritische processen binnen een onderneming (NEN-EN-ISO 9001; p. 11) In de ISO normen staat geen definitie vermeld van hetgeen ISO onder interne controle verstaat. Zouden we echter een definitie willen vaststellen dan komt die naar mijn optiek uit op het volgende: Interne controle binnen de ISO regelgeving is het stelsel van maatregelen dat er voor zorgdraagt dat de processen binnen de onderneming, en daarmee de geformuleerde ondernemingsdoelstellingen, door middel van continue verbetering consequent worden beheerst en worden bijgestuurd. In bovenstaande definitie komt duideli jk naar voren dat ISO is gebaseerd op een procesbenadering, dat er sprake moet zijn van continue verbetering en dat er doelstellingen moeten zijn gesteld die dienen te worden beheerst en bijgestuurd. De inhoud van de door mij geformuleerde definitie is ter ug te vinden in paragraaf Om de centrale vraag in dit onderzoek, Het in het bezit hebben van een ISO-9000 certificaat is afdoende om te voldoen aan de SOX wetgeving te kunnen beantwoorden zal er een relatie Pagina 20 van 97

21 worden gelegd tussen het voorgestelde raamwerk ten behoeve van interne controle zoals vermeld in hoofdstuk 2 te weten COSO. Het doel is een antwoord te kunnen geven op de deelvraag: Zijn er aantoonbare overeenkomsten tussen de eisen die ISO stelt en de eisen die COSO stelt? In hoofdstuk 2 is de inhoud van het COSO raamwerk beschreven. De eisen en richtlijnen van de ISO-normen zal ik relateren aan de vijf genoemde componenten van COSO (zie paragraaf 2.2.2). Het doel is om hiermee een gefundeerd antwoord op de gestelde deelvraag te kunnen geven. Die onderdelen waar een X in staat vermeld komen zowel voor in de componenten van het COSO raamwerk als in de inhoud van het ISO normalisatie instituut. Hierbij is gekeken of in de ISO handboeken de essentie van de COSO componenten zijn terug te vinden. Componenten ISO / COSO COSO ISO Controleomgeving X X Risicoanalyse X X Informatie en communicatie X X Interne controle maatregelen X X Monitoren X X Directieverantwoordelijkheid X Tabel 1 Analyse ISO ten opzichte van COSO De constatering dat ISO op alle onderdelen voldoet aan de door COSO gestelde eisen, is terug te vinden in hoofdstuk 3 van dit onderzoek. De controleomgeving is uitvoerig besproken op pagina 17. De risicoanalyse is aan bod gekomen op pagina 16 en de informatie en communicatie is terug te lezen op pagina 19. De interne controle maatregelen zijn besproken op pagina 17 en het monitoren is aan bod gekomen op pagina 18. De bevindingen in tabel 1 zijn reeds eerder geconstateerd en gepubliceerd in het jaar In dit onderzoek is een tabel opgenomen met daarin de COSO componenten en de ISO items onderverdeeld in planning, transactie controles en monitoring (McAllister M.; Leveraging your ISO 9001 System for Sarbanes-Oxley Compliance; p. 2) Pagina 21 van 97

22 De conclusie die we uit het bovenstaande kunnen trekken is dat indien we kijken naar de gestelde eisen door ISO en COSO beide kwaliteitssystemen aan elkaar gewaagd zijn. Het antwoord op de deelvraag is derhalve dat er aantoonbare overeenkomsten zijn tussen de eisen die ISO stelt en de eisen zoa ls deze door COSO worden gesteld aan het interne controle systeem. Voor de beantwoording van de hoofdvraag zal er echter verder op detail niveau (aanwezige processen) moeten worden gekeken en onderzocht. Hier kom ik in hoofdstuk 4 verder op terug. Ik zal dan identificeren welke hoofdprocessen er zijn te onderkennen in een handelsonderneming. De risico s die door derden kunnen worden onderkend (dus geen onderzoek op gestelde doelen t.o.v. de ingevoerde maatregelen) zullen nader worden uitgewerkt in hoofdstuk Pagina 22 van 97

23 Hoofdstuk 4 Confrontatie ISO met SOX ISO is mede ontstaan uit de behoefte aan een kwaliteitscertificaat voor ondernemingen. De stakeholders van die ondernemingen die in het bezit zijn van een ISO certificaat hebben hierdoor een waarborg voor de continuïteit van het kwaliteitsbeleid binnen de onderneming zelf. SOX is erop gericht om de stakeholders een waarborg te verstrekken met het oog op de correctheid van financiële publicaties. Zowel ISO als SOX willen een waarborg bieden aan de stakeholders. ISO redeneert vanuit de operationele processen, SOX redeneert vanuit de naar buiten te brengen publicaties omtrent de resultaten. Vanuit SOX geredeneerd is het operationele proces niet primair van belang, maar zijn alleen de financiële publicaties die hieruit voortvloeien van belang. Dit is ook terug te vinden in een onderzoek uitgevoerd in maart Hierin zijn de verschillende titels van SOX naast de ISO richtlijnen geplaatst (Stimson W.A.; Sarbanes-Oxley And ISO 9000; maart 2005; p. 27). Het bovenstaande zal ik verduidelijken met een voorbeeld dat bij handelsondernemingen van toepassing is. De post voorraden is een van de belangrijkste activa op de balans bij een handelsonderneming. Om de financiële waarde adequaat vast te kunnen stellen is allereerst de vaststelling van de feitelijke aanwezige voorraad van belang (beheersing van het operationele proces). Het tweede aspect dat van belang is, is de waardering van de vastgestelde feitelijke aanwezige voorraden. Er kan binnen een onderneming zijn gesteld dat de voorraden standaard worden gewaardeerd op inkoopprijs. Indien echter de inkoopprijs hoger is dan de verkoopprijs, is de vastgestelde automatische waardering niet meer correct. Om dit te ondervangen moet binnen het stelsel van interne controlemaatregelen een controle geschieden op zowel de feitelijke aanwezige voorraad alsmede op de specifieke individuele waardering ervan. Dit om een gefundeerde uitspraak te kunnen doen over de balanspost voorraden zoals deze is opgenomen in de financiële publicaties Pagina 23 van 97

24 4.1. Confrontatie verschillende definities interne controle We hebben verschillende definities van interne controle langs zien komen. We hebben de definitie gezien van COSO (paragraaf ), SEC (paragraaf ) en de door mijzelf, op basis van de elementen van het ISO systeem, samengestelde definitie van ISO (paragraaf 3.2.). In de vergelijking van de diverse definities zien we zowel overeenkomsten als ook verschillen. Een belangrijke overeenkomst in alle interne controle definities is het gegeven dat alle definities uitgaan van een proces. Het geheel aan maatregelen voor interne controle is niet van toepassing op een enkel onderdeel van een organisatie, maar op het geheel van de start van de activiteit tot en met de output van de activiteit. Een belangrijk verschil is dat er binnen de ISO regelgeving alleen over het operationele proces wordt gesproken. De financiële rapportage speelt bij ISO geen rol. Dit is wel het geval bij de definities van zowel COSO als SEC. Om de onderzoeksvraag verder te kunnen beantwoorden en onderzoeken is het noodzakelijk om de interne controle definitie van ISO uit te breiden. Dit met het doel om vanuit ISO een definitie te formuleren die een waarborg biedt voor een betrouwbare financiële rapportage. In mijn optiek zal de definitie zoals gedestilleerd uit de ISO regelgeving uitgebreid dienen te worden tot: ISO Interne controle binnen de ISO regelgeving is het stelsel van maatregelen dat er voor zorgdraagt dat de operationele en financiële processen binnen de onderneming, en daarmee de geformuleerde ondernemingsdoelstellingen, door middel van continue verbetering consequent worden beheerst en worden bijgestuurd ten einde te komen tot een betrouwbare financiële rapportage Pagina 24 van 97

25 De uitbreiding is noodzakelijk om een relatie te leggen tussen de operationele processen en de uiteindelijke financiële rapportage. Binnen de procesbeschrijvingen van ISO zal deze relatie duidelijk naar voren dienen te komen. In de hoofdstukken 2 en 3 zijn de richtlijnen en eisen beschreven waaraan moet worden voldaan volgens ISO, SOX en COSO. Samenvattend kunnen we tot de conclusie komen dat: Door de nieuwe definitie van ISO te vergelijken met die van COSO en SEC kunnen we stellen dat de diverse definities met betrekking tot interne controle nu met elkaar in overeenstemming zijn. Op iedere onderneming is zowel de ISO certificering alsmede ook de SOX wetgeving toepasbaar. Dit ongeacht het type onderneming of de grootte van de onderneming. Het voldoen aan het gedachtegoed van de inhoud van de SOX wetgeving is voor ieder type onderneming een wens of indien er sprake is van een beursgenoteerde onderneming een eis. Het praktijkonderzoek zal een antwoord geven op de stelling: Het in het bezit hebben van een ISO-9000 certificaat is afdoende om te voldoen aan de SOX wetgeving. Het praktijkonderzoek wordt uitgevoerd met de door mij geformuleerde interne controle definitie van ISO als uitgangspunt. Hiervoor wordt in de volgende paragraaf aan de hand van bestaande literatuur aandachtspunten geformuleerd welke in de praktijk worden onderzocht Eisen gesteld aan ISO om te voldoen aan COSO / SOX raamwerk In deze paragraaf zullen meer in detail eisen worden geformuleerd op het gebied van financiële rapportages met als leidraad de afzonderlijke operationele processen. Deze eisen worden toegespitst op de financiële risico s die met deze processen samenhangen. Er zal worden onderzocht of er in de ISO handboeken van de onderzochte ondernemingen procedures zijn vastgelegd die betrekking hebben op de financiële risico s Pagina 25 van 97

26 Dit wordt onderzocht aan de hand van literatuur op het gebied van Bestuurlijke informatievoorziening. De geraadpleegde literatuur zijn de werken van Starreveld (Bestuurlijke informatieverzorging deel 2a, 4 e druk) en van Romney en Steinbart (Accounting Information systems, 8 e druk). Binnen de Nederlandse literatuur wordt er onderscheid gemaakt tussen verschillende bedrijfstypologieën. Voor ieder soort bedrijf zijn er specifieke aandachtsgebieden geformuleerd met betrekking tot het accent van de interne controle. De typering van de bedrijven is gedefinieerd door Starreveld (Bestuurlijke informatieverzorging deel 2a, 4 e druk, Starreveld e.a.). Er wordt onderscheid gemaakt tussen bedrijfssoorten als handelsbedrijven, industriële bedrijven, agrarische bedrijven, dienstverleningsbedrijven etc. Voor dit onderzoek voert het te ver om alle verschillende typologieën onder de loep te nemen. Derhalve zal met name het handelsbedrijf worden geanalyseerd. Het primaire proces binnen een handelsbedrijf bestaat uit inkopen, bewaren van voorraden en het verkopen van deze voorraden (Bestuurlijke informatieverzorging deel 2b, 4 e druk, p. 24, Starreveld e.a.). Inkopen Voorraden Verkopen Figuur 4: Deel waardekringloop handelsbedrijf In bovenstaande figuur is dit nader uitgebeeld. Als gevolg van het inkopen van goederen ontstaan er voorraden. Om verkopen te kunnen realiseren, zal er eerst een voorraad goederen aanwezig dienen te zijn. Binnen de typologie handelsbedrijven kan een tweetal categorieën worden onderscheiden: 1. Handelsbedrijven met in hoofdzaak verkopen op rekening 2. Handelsbedrijven met in hoofdzaak verkopen à contant Bij beide categorieën staat de goederenbeweging centraal. Indien er sprake is van een handelsbedrijf met in hoofdzaak verkopen à contant, dan komt hier als belangrijk centraal Pagina 26 van 97

27 element ook de geldbeweging bij (Starreveld e.a., Bestuurlijke informatieverzorging deel 2b, 4 e druk, p. 31). Een andere benadering van de typologie van een handelsbedrijf is dat we deze gaan opsplitsen in functionele gebieden. De verschillende functionele gebieden die hierin onderscheiden kunnen worden zijn: - Opbrengsten (Revenue cycle) - Kosten (Expenditure cycle) - Financieel (Financial cycle) - P&O (Human Resources cycle) (Romney en Steinbart, Accounting Information systems, 8 e druk, p. 30). De functionele gebieden zijn op een zodanige manier bepaald dat de activiteiten die uit een gebied voortvloeien een geheel proces bestrijken. Zo zijn in de Revenue Cycle begrepen de activiteiten als de ontvangst van order van de klant, het picken van de order / uitlevering, ontvangst van de verkoop opbrengsten, verkoopkortingen, retour goederen en hieruit voortvloeiende vergoedingen, voorziening dubieuze debiteuren (Romney en Steinbart, Accounting Information systems, 8 e druk, p. 30). Het geheel van het eerste klantcontact tot en met het innen van de uitstaande vorderingen zit derhalve binnen de Revenue Cycle. In de Expenditure cycle zit het geheel van het eerste leverancierscontact tot en met de betaling van de leveranciersfacturen. Onder de Human Resources cycle wordt alles vervat wat op het personeel betrekking heeft (aannemen/ontslaan van medewerkers, uitbetalen van salarissen etc.). De Financial cycle tenslotte heeft alle zaken in zich die met het be sturen van de organisatie te maken heeft (investeringen, leningen, uitbetaling dividenden etc.). Vanuit control oogpunt dient de opzet binnen alle cycles zodanig te zijn dat de volgende punten in de onderneming zijn geborgd: 1. alle uitgevoerde transacties door de juiste personen zijn geautoriseerd 2. alle transacties geldig zijn 3. alle transacties die én geldig én geautoriseerd zijn, ook daadwerkelijk zijn vastgelegd en correct zijn vastgelegd 4. de activa posten (kas, voorraad en data) zijn beschermd voor diefstal en verlies 5. alle bedrijfsactiviteiten efficiënt en effectief zijn uitgevoerd (Romney en Steinbart, Accounting Information systems, 8 e druk, p. 439) Pagina 27 van 97

28 Om het bovenstaande te kunnen bereiken is het noodzakelijk dat er binnen de onderneming een bepaalde mate van functiescheiding aanwezig is. De functiescheiding wordt opgesplitst in de deelgebieden autorisatie, vastlegging en bewaren (Romney en Steinbart, Accounting Information systems, 8 e druk, p. 263). Hierbij verwijst het deelgebied autorisatie naar punten 1 en 2 in de onderverdeling vanuit control oogpunt, het deelgebied vastlegging verwijst naar de punten 2, 3 en 5 en tenslotte verwijst het deelgebied bewaren naar punt 4 in de onderverdeling van de punten waaraan een onderneming volgens Romney moet voldoen om in control te zijn. Voor de verdere uitwerking zal er worden ingegaan op de specifieke eisen uitgaande van de functionele gebieden zoals deze door Romney en Steinbart (Accounting Information systems, 8 e druk) zijn benoemd Revenue cycle; eisen gesteld aan ISO om te voldoen aan COSO / SOX raamwerk Binnen een handelsbedrijf is de revenue cycle het belangrijkste onderdeel van een onderneming. Als er niets wordt verkocht of onder de verkeerde omstandigheden zal er uiteindelijk niets aan worden verdiend en is de onderneming niet levensvatbaar. De revenue cycle omvat alle activiteiten van het eerste klantcontact tot en met het uiteindelijk innen van de uitstaande vorderingen. Als we dit onderverdelen in afzonderlijke stappen dan komen we tot de volgende hoofdonderdelen: 1. verkooporder vastlegging 2. uitleveren van de goederen aan de klant 3. factureren van de geleverde goederen 4. verwerken van de ontvangen bedragen ten behoeve van de uitstaande facturen (Romney en Steinbart, Accounting Information systems, 8 e druk, p. 417). De eisen die gesteld worden aan de interne controle zullen we aan de hand van de vier hoofdonderdelen doorlopen. Verkooporder vastlegging Pagina 28 van 97

29 Voordat we een verkooporder vastleggen zullen we allereerst een beoordeling moeten maken van de klant. Hierbij maken we een onderscheid tussen bestaande klanten en nieuwe klanten. Indien er sprake is van een nieuwe klant moet er worden bekeken of de onderneming met deze potentiële afnemer zaken wil doen. Hieruit vloeien de acties voort zoals: kredietbeoordeling, bij akkoord zal de klant moeten worden vastgelegd in de gebruikte informatiesystemen. Wordt er door de onderneming een maximaal te accepteren uitstaande post bij deze klant bepaald? Deze zal moeten worden gemonitored bij iedere nieuw te plaatsen order. Indien er sprake is van een bestaande klant zal er bij iedere nieuw geplaatste order een kredietbeoordeling dienen plaats te vinden. Deze beoordeling bepaalt of het maximaal geoorloofde openstaande bedrag van de klant bij de onderneming al dan niet wordt overschreden. Indien het vastgestelde maximale openstaande bedrag nog niet is bereikt, vindt er een beoordeling op de ouderdom van de nog openstaande bedragen plaats. Hierdoor is het mogelijk om te beoordelen of er een risico bestaat op het ontstaan van of reeds aanwezig zijn van een op langere termijn blijkende oninbare vordering (Romney en Steinbart, Accounting Information systems, 8 e druk, p. 418). Binnen een handelsbedrijf is het bepalen van de leveringscondities, hiermee wordt met name bedoeld de betalingstermijn, de hoogte van de verkoopprijs etc., van zeer groot belang. Wie is geautoriseerd voor deze handelingen? Zijn er hiervoor bevoegdheden gedelegeerd binnen de onderneming? Hoe worden deze bevoegdheden gecontroleerd? Bestaat er een mogelijkheid tussen werknemers van de onderneming om samen te spannen om hierdoor de onderneming schade toe te brengen? (Romney en Steinbart, Accounting Information systems, 8 e druk, p. 419). Uitleveren van de goederen aan de klant Nadat de verkooporder in het systeem is ingevoerd, zullen de goederen uit het magazijn moeten worden gehaald teneinde ervoor zorg te kunnen dragen dat de goederen bij de klant zullen worden afgeleverd. De verkooporder met hierop vermeld de hoeveelheden per soort artikel is het startpunt voor de werkzaamheden in het magazijn. Belangrijk hierbij is dat en het juiste artikel wordt klaargezet en in de juiste hoeveelheden. Hoe is hier de interne controle op ingericht? Hoe is de informatie van de orderstatus bekend bij zowel de afdeling die de verkooporder initieel heeft vastgelegd en hoe komt de informatie Pagina 29 van 97