Rapportage Administratieve Organisatie & Interne Beheersing Voorbeeld BV

Transcriptie

1 Rapportage Administratieve Organisatie & Interne Beheersing Voorbeeld BV Pagina 1/39

2 Inleiding In het kader van de interimcontrole is een inventarisatie uitgevoerd naar de Administratie Organisatie en de Interne Beheersmaatregelen (AOIB). Het doel van de inventarisatie is inzicht te verkrijgen in de wijze waarop de AOIB is ingericht. De uitkomsten dragen bij aan een doelmatige, doeltreffende uitvoering van de controlewerkzaamheden waardoor de dienstverlening beter op de specifieke situatie kan worden afgestemd. Uitvoering De inventarisatie is uitgevoerd op basis van een webbased self-assessment. Het self-assessment is uitgevoerd voor en ingevuld door: Naam organisatie Naam invuller Afdeling Functie Telefoon Voorbeeld BV A. Administratie Directeur Objecten In het assessment zijn een aantal onderdelen verplicht. Dit betreft: Besturing en beheer van de organisatie; Automatisering. Naast de verplichte onderdelen bevat het assessment een aantal facultatieve, procesgerichte onderdelen. Dit betreft: Proces inkopen; Proces betalingen; Proces verkopen; productie; Proces diensten; Proces salarissen; Proces activa. Rapportage De rapportage is uitsluitend bedoeld voor intern gebruik en bestaat uit de volgende onderdelen: - In de managementsamenvatting zijn de uitkomsten van de inventarisatie op hoofdlijnen beschreven; - In de detailbevindingen zijn de uitkomsten van de processen in detail beschreven Slotopmerkingen Deze rapportage is geautomatiseerd samengesteld en is uitsluitend gebaseerd op de uitkomsten van het self-assessment. Een verificatie van de antwoorden is niet uitgevoerd. Het is aan te bevelen de uitkomsten in een breder perspectief te plaatsen. Bijvoorbeeld door deze te bespreken met het management van de organisatie. Op basis van de uitkomsten van deze bespreking kan worden overwogen een of meerdere deelaspecten nader te verifiëren en/of te onderzoeken. De beoordeling van de behoefte en/of noodzaak hiervan is uitsluitend de verantwoordelijkheid van de gebruiker van dit rapport. Pagina 2/39

3 Managementsamenvatting Besturing en beheer In het onderdeel besturing en beheer zijn een aantal stellingen voorgelegd. Dit betreft onder andere: - Aanwezigheid, naleving en toezicht op gedragsnormen en regels; - Beschikbaarheid van voldoende en deskundig personeel; - Procedures, taakverdelingen, functiebeschrijvingen. Het doel van de stellingen is na te gaan op welke punten door het management aandacht wordt besteed aan de aspecten die met het oogpunt op de besturing en het beheer van de organisatie van belang kunnen zijn. Onderstaande grafiek toont per antwoordcategorie de verhoudingen tussen de verkregen antwoorden. Integriteit Besturing en beheer 0% 20% 40% 60% 80% 100% Bekwaamheid Governance Opvattingen/werkwijze Structuur,bevoegdheden en verantwoordelijkheden nb nee ja De grafiek geeft een globaal beeld van de mate waarin aan de stellingen van het betreffende onderdeel wordt voldaan. Op de afzonderlijke stellingen is geen weging toegepast. Elke stelling weegt even zwaar. Voor de uiteindelijke beeldvorming is het daarom belangrijk het belang van de stellingen in de juiste context te plaatsen van het belang van het onderdeel/stelling voor de besturing en het beheer van de organisatie. Procedures Om efficiënt en effectief te kunnen werken is het van belang inzicht te hebben in de activiteiten, taken en verantwoordelijkheden. Procedures/procesbeschrijvingen zijn hierbij belangrijke instrumenten. Om deze reden is een aantal stellingen voorgelegd met als doel inzicht te kriigen hoe in het algemeen met procedures wordt omgegaan. Hierbij zijn de volgende antwoorden verkregen: Procedures zijn gedocumenteerd: Procedues worden actueel onderhouden: Procedures worden toegepast/nageleefd: Op de toepassing/naleving van procedures wordt toezicht uitgeoefend/gecontroleerd: Antwoord nee nee nee nee De uitkomsten op deze vragen geven een indicatie over de mate waarin mag worden verwacht dat activiteiten, taken en verantwoordelijkheden zijn gedocumenteerd, de kwaliteit van de documentatie en de mate waarin op de naleving wordt toegezien. De uitkomsten kunnen dienen als globaal refentiekader voor het toetsen van de aanwezigheid en naleving van de procedures bij de bedrijfsprocessen. Als actuele procedures en/of controle op naleving ontbreken, is het van belang de risico's die hierdoor ontstaan met het management te bespreken. Pagina 3/39

4 Bedrijfsprocessen Het assessment biedt de mogelijkheid om te selecteren welke bedrijfsprocessen relevant zijn. Bijvoorbeeld op basis van de aard van de organisatie en haar activiteiten. Bij de start van het self-assessment zijn de volgende processen door de invuller geselecteerd: Inkopen Betalingen Verkopen Voorraden Productie Diensten Salarissen Activa De juistheid en volledigheid van de gemaakte selectie is niet beoordeeld. Dit is een verantwoordelijkheid van de gebruiker van dit rapport. Per geselecteerd bedrijfsproces zijn stellingen voorgelegd. Bij elk proces is een onderscheid gemaakt tussen de AOIB en de applicationcontrols (geprogrammeerde IC-maatregelen). De stellingen AOIB zijn afgeleid van diverse controlewerkprogramma's. De stellingen over de applicationcontrols zijn gebaseerd op, naar onze inschatting, gangbare en relevante IC-maatregelen. De onderstaande grafieken tonen de percentages van de antwoorden die hierbij zijn verkregen. AOIB 0% 20% 40% 60% 80% 100% Application controls 0% 20% 40% 60% 80% 100% Inkopen Betalingen Verkopen Voorraden Productie Diensten Salarissen Activa nb nvt nee ja Inkopen Betalingen Verkopen Voorraden Productie Diensten Salarissen Activa nb nvt nee ja Legenda: nb : de stelling is niet beantwoord nvt : op de stelling is aangegeven dat deze niet van toepassing is nee: aan de stelling wordt niet voldaan ja : aan de stelling wordt voldaan Uit de grafieken kan worden afgeleid in welke mate aan de stellingen wordt voldaan. Ook hier geldt dat op de afzonderlijke stellingen geen weging is toegepast. Elke stelling weegt even zwaar. Naar mate het % "ja"-antwoorden groter is, kan de verwachting worden uitgesproken dat de aangegeven beheersmaatregelen ook daadwerkelijk zijn ingevoerd. De toetsing of dit daadwerkelijk het geval is valt echter buiten het kader van deze inventarisatie. Wel biedt de inventarisatie een goed startpunt voor een dergelijke toetsing. Bij een relatief hoog % "nee"-antwoorden kan daarentegen worden verwacht dat mogelijk belangrijke beheersmaatregelen ontbreken. Voor de uiteindelijke beeldvorming is het echter van belang de uitkomsten in een bredere context te plaatsen. Bijvoorbeeld door een relatie te leggen tussen het belang van het proces en het belang van de (afzonderlijke) maatregelen om de kwaliteit van het bedrijfsproces te kunnen waarborgen. Pagina 4/39

5 Bedrijfsprocessen functiescheiding Om inzicht te krijgen in de aanwezige controletechnische functiescheiding is per proces gevraagd aan te geven door welke functionaris(sen) genoemde taken/activiteiten worden uitgevoerd. De onderstaande tabel toont de verkregen antwoorden. Tabel: Functies per bedrijfsproces Proces Inkopen Acitviteit Initiatief tot inkoop Functionaris(sen) Aanvragen offerte Nemen inkoopbeslissing Plaatsen inkoopopdracht Ontvangen goederen Magazijn medewerkers Afwikkelen retouren Magazijn medewerkers Registreren inkoopfactuur Admininstratie Controleren inkoopfactuur Administratie Accorderen betaling Betalen Geven betaalopdrachten Administratratie / directie Autoriseren betalingen Administratratie / directie Controleren betalingen directie Administreren betalingen administratie Verkopen Vaststellen verkoopprijzen/tarieven Toekennen kortingen Accepteren van orders Verkoop binnendienst / vertegenwoordigers Autoriseren creditnota's verkoop binnendienst Pagina 5/39

6 Besluit tot afboeken vordering (oninbaar) Voorraad Fysiek beheren voorraden Registreren voorraden Inkopers Autoriseren herwaardering Magazijnmedewerker (2) Autoriseren afgifte nvt Autoriseren voorraadverschillen nvt Bepalen incourantheid Salarissen Onderhoud vaste salarisgegevens Verwerken variabele beloningen/ vergoedingen accountant Gereedmaken salarisbetalingen accountant Goedkeuren salarisbetalingen Activa Vaststellen grondslagen waardering Bepalen afschrijvingen accountant Activeren activa Buiten gebruik stellen activa Voeren activa-administratie nvt Controle aanwezigheid activa De tabel geeft uitsluitend een eerste indicatie van de wijze waarop de taakverdelingen in de processen, vanuit het oogpunt van controletechnische functiescheiding, zijn georganiseerd. Omdat de invoer van de functionaris(sen) vrije tekst betreft dient de inhoud door de gebruiker van deze rapportage zelf te worden beoordeeld. In het algemeen kan worden gesteld dat naar mate dezelfde functionarissen vaker worden genoemd de kans op ongewenste functievermenging toeneemt. Pagina 6/39

7 Informatievoorziening Per proces is gevraagd aan te geven met welke systemen en op welke wijze stuurinformatie tot stand komt. Onderstaande tabel toont de resultaten van de wijze waarop de stuurinformatie per proces tot stand komt. Proces Inkopen Betalen Verkopen Voorraad Salarissen Activa Totstandkoming stuurinformatie Voornamelijk handmatig Voornamelijk handmatig Deels geautomatiseerd, deels handmatig Voornamelijk handmatig Deels geautomatiseerd, deels handmatig Deels geautomatiseerd, deels handmatig In het algemeen kan worden gesteld dat indien de stuurinformatie geheel geautomatiseerd tot stand komt dit meer waarborgen biedt voor de kwaliteit van de stuurinformatie van het proces. Een randvoorwaarde hierbij is dat de systemen die in het totstandkomingsproces zijn betrokken in opzet, inrichting en verwerkingsproces (blijvend) voldoen aan de te stellen kwaliteitseisen en dat daarop wordt gecontroleerd. Als de stuurinformatie niet geheel geautomatiseerd tot stand komt, maar het resultaat is van het overnemen en bewerken van gegevens vanuit de bronsystemen naar een rapportagetool (bijvoorbeeld Excel) neemt de kans op fouten in de stuurinformatie van het proces toe. Bijvoorbeeld door fouten bij overnemen en/of verwerken van brongegevens en/of berekeningen die daarop worden uitgevoerd. In dit geval is het van belang na te gaan welke waarborgen in het totstandkomingsproces zijn getroffen om fouten te voorkomen, cq. te ontdekken. Beheersmaatregelen Het is van belang dat beheersmaatregelen zijn afgestemd op het bedrijfsbelang, risico's en de eisen die worden gesteld om de betrouwbaarheid van een proces te kunnen garanderen. Primair is dit een verantwoordelijkheid van het management. Gevraagd is per proces aan te geven in hoeverre de nu bestaande maatregelen aan deze afstemmingseisen voldoen. Hierbij zijn de volgende resultaten verkregen: Proces Inkopen Betalen Verkopen Voorraad Salarissen Activa Mate van afstemming beheersmaatregelen Afgestemd (verbeteringen mogelijk) Afgestemd (verbeteringen mogelijk) Afgestemd (verbeteringen mogelijk) Onvoldoende afgestemd (verbeteringen noodzakelijk) Volledig afgestemd Afgestemd (verbeteringen mogelijk) Als de bestaande maatregelen als onvoldoende zijn aangemerkt en verbeteringen noodzakelijk zijn, is gevraagd de verbeteringen concreet te benoemen. Hierbij zijn de volgende verbeteringen genoemd: Proces Voorraad Mate van afstemming beheersmaatregelen De noodzakelijke verbeteringen zijn niet concreet genoemd. Het is aan te bevelen om over dit onderwerp nog eens nader van gedachten te wisselen met het management en/of de proceseigenaar. Pagina 7/39

8 Automatisering Vanwege het belang van automatisering voor de betrouwbaarheid van de geautomatiseerde gegevensverwerking en de continuïteit is automatisering een verplicht onderdeel van het assessment. Deze managamentsamenvatting gaat alleen in op een aantal punten die van belang zijn voor de continuïteit van de automatisering. Het aantal geautomatiseerde werkplekken bedraagt: Het aantal geautomatiseerde werkplekken is een indicator voor de invloed van automatisering op de betrouwbaarheid en continuïteit van de gegevensverwerking. Naar mate het aantal werkplekken, absoluut en/of relatief, hoger is, neemt ook het belang toe om aandacht te besteden aan de kwaliteit van de beheersmaatregelen inzake automatisering en de toetsing daarvan aan de te stellen eisen. Afhankelijkheid primaire bedrijfsprocessen De bedrijfsprocessen zijn sterk of geheel afhankelijk van de beschikbaarheid van de automatiseringsvoorzieningen. Een verstoring in de beschikbaarheid van de automatiseringsvoorzieningen kan daarom van grote inlvoed zijn op de continuiteit van de primaire bedrijfsprocessen. Het is daarom van belang specifiek aandacht te besteden aan de toereikendheid van de continuϊteitsvoorzieningen rondom automatisering. Bijvoorbeeld door het uitvoeren van een impactanalyse. Door de bestaande maatregelen te vergelijken met de uitkomsten van de impactanalyse kan worden vastgesteld of er discrepanties bestaan. Op basis van een dialoog met het management kan vervolgens worden bepaald welke aanvullende maatregelen nodig zijn om de voorzieningen op het vereiste niveau te brengen. Afhankelijkheid derden Derden zoals klanten en leveranciers zijn sterk of geheel afhankelijk van de beschikbaarheid van de automatiseringsvoorzieningen. Bij verstoringen in de automatiseringsvoorzieningen kunnen derden daarom direct hinder ondervinden. Dit kan leiden tot aantasting van het imago, extra kosten en mogelijk tot gevolgschade. Het is daarom van belang na te gaan of wordt voldaan aan de eisen die in dit verband worden gesteld. Backup en recovery Om de aangegeven afhankelijkheid van de eigen organisatie en derden in een betere context te kunnen plaatsen is het van belang kennis te nemen van de antwoorden op een aantal stellingen inzake backup en recovery. Dit betreft de volgende stellingen: 18 Backupprocedures van programmatuur en gegevensbestanden zijn toereikend Backups worden veilig bewaard (kluis of buiten de organisatie) nb nvt nee ja In geval van een calamiteit wordt beschikt over een getest reconstructieplan De antwoorden op deze stellingen geven een indicatie over de mate waarin de continuïteitsmaatregelen zijn afgestemd op het belang van de afhankelijkheid van automatisering voor de eigen organisatie en/of derden. Indien deze afstemming in onvoldoende mate aanwezig is, is het van belang dit onder de aandacht van het management te brengen en mogelijke maatregelen te bespreken en op te pakken. Beheersmaatregelen Het is van belang dat de beheersmaatregelen toereikend zijn om de betrouwbaarheid en de continuïteit van de geautomatiseerde gegevensverwerking te kunnen waarborgen. Dit is primair een verantwoordelijkheid van het management. In dit verband is gevraagd aan te geven of de bestaande beheersmaatregelen inzake automatisering naar de mening van de organisatie voldoen. Hierbij zijn de bestaande beheersmaatregelen aangemerkt als: Afgestemd (verbeteringen mogelijk) In dit verband zijn de volgende verbeteringen genoemd: n.v.t. Slotopmerkingen cliënt Aan het einde van het assessment is de mogelijkheid geboden om nog afsluitende opmerkingen te plaatsen over het assessement. Hierbij is door de cliënt aangegeven: Er is geen gebruik gemaakt van de mogelijkheid om algemene opmerkingen te plaatsen Pagina 8/39

9 Conclusie en aanbevelingen De uitkomsten van het self-assessment geven een indicatie over de aard en kwaliteit van de AOIB. Het self-assessment heeft hierbij de functie vervult van het systematisch verzamelen en structureren van informatie en het identificeren van mogelijke relevante aandachtspunten. Omdat de eisen die worden gesteld aan de AOIB afhankelijk zijn van de individuele en specifieke omstandigheden bij een organisatie kan geen eenduidig en absoluut toetsingskader worden gehanteerd om de uitkomsten tegen af te zetten. In algemene zin kan wel worden gesteld dat in de uitkomsten van deze inventarisatie een zekere consitentie aanwezig dient te zijn tussen de uitkomsten van het onderdeel Besturing en Beheer en de uitkomsten van de AOIB en applicationcontrols bij de bedrijfsprocessen. Zo mag worden verwacht dat naar mate het aantal 'ja'-antwoorden in het onderdeel besturing en beheersing relatief groter is, sprake is van een zekere mate van bewustzijn van het management omtrent het belang hiervan. Als gevolg hiervan mag worden verwacht dat dit bewustzijn ook een weerslag krijgt in de maatregelen AOIB en de applicationcontrols bij de processen. Onderstaande grafieken geven een indicatie of in de drie gebieden het bedoelde evenwicht zichbaar is op basis van de relatieve "ja"- en nee""-antwoorden die zijn verkregen. Besturing en beheer AOIB Applicationcontrols Ja 45% Nee 55% Ja 63% Nee 37% Ja 65% Nee 35% De uiteindelijke interpretatie en oordeelsvorming over de uitkomsten kunnen alleen situationeel worden bepaald. Het is aan te bevelen de uitkomsten te bespreken met het management. Deze rapportage kan hierbij dienen als startpunt. Afhankelijk van de uitkomsten van de bespreking kan vervolgens een bewuste afweging worden gemaakt voor eventuele vervolgstappen om tot een weloverwogen oordeelsvorming te kunnen komen. Pagina 9/39

10 Detailrapportage Pagina 10/39

11 De detailrapportage bestaat uit drie onderdelen, die als volgt zijn opgebouwd: Bestuur en beheer Hierbij is de volgende informatie opgenomen: - Aanduiding aantal stellingen en aantal en*; - Grafische presentatie van de antwoorden per antwoordcategorie*; - Stellingen en antwoorden. Bedrijfsprocessen Hierbij is per bedrijfsproces de volgende informatie opgenomen: - Aanduiding aantal stellingen en en*; - Grafische presentatie van de antwoorden per antwoordcategorie*; - AOIB stellingen en antwoorden; - Application controls stellingen en antwoorden; - Organisatorische functiescheiding, stuurinformatie en beheersmaatregelen; - Eventuele opmerkingen. Automatisering Hierbij is de volgende informatie opgenomen: - Aanduiding aantal stellingen en en*; - Grafische presentatie van de antwoorden per antwoordcategorie*; - Aantal geautomatiseerde werkplekken; - Afhankelijkheid automatisering; - AOIB stellingen en antwoorden; - Organisatorische functiescheiding, stuurinformatie en beheersmaatregelen; - Eventuele opmerkingen. * Interpretatie resultaten Op de stellingen is geen weging toegepast. Elke stelling weegt even zwaar. Voor de uiteindelijke beoordeling van de resultaten is het daarom van belang het 'gewicht' van elke stelling te bepalen en in de context van de organisatie en het belang van de betreffende beheersmaatregelen te plaatsen. Het assessment biedt de mogelijheid een antwoordkeuze nader toe te lichten. Bijvoorbeeld om een nuancering aan te geven op een 'ja''- of 'nee'keuze. Voor een juiste interpretatie van het gegeven antwoord is het van belang expliciet kennis te nemen van de en bij de individuele stellingen. Aan het begin van elk onderdeel wordt het aantal en aangegeven als indicatie voor het aantal keren dat op een stelling een is gegeven, respectievelijk het belang om hiervan kennis te nemen. Pagina 11/39

12 Besturing en beheer Dit onderdeel gaat in op de wijze waarop de organisatie wordt bestuurt en beheerst. Dit betreft onder andere: - Aanwezigheid, naleving en toezicht op gedragsnormen en regels; - Beschikbaarheid van voldoende en deskundig personeel; - Procedures, taakverdelingen, functiebeschrijvingen. De uitkomsten geven een beeld van de wijze waarop de organisatie vanuit het management wordt aangestuurd en beheerst. Onderstaande grafiek toont per onderwerp de relatieve score per antwoordcategorie. Stellingen en en: Stellingen 22 # en 6 % en 27,27 Integriteit Bekwaamheid Governance Opvattingen/werkwijze Structuur,bevoegdheden en verantwoordelijkheden nb nee ja 0% 20% 40% 60% 80% 100% Integriteit nee ja In de organisatie zijn ethische en gedragsnormen gedefinieerd en gecommuniceerd In de cultuur van de organisatie worden het belang van integriteit, ethische- en gedragsnormen benadrukt mondeling De leiding vervult een voorbeeldfunctie wat betreft integriteit en het handhaven van normen De leiding en het management hanteren zelf de hoogste ethische en gedragsnormen De leiding neemt bij overtreding van de normen, procedures en voorschriften adequate maatregelen mondeling Bekwaamheid De leiding stelt voldoende personeel beschikbaar om de taken in de organisatie qua kennis en capaciteit uit te kunnen voeren Het personeel van de financiële administratie en ITafdeling heeft voldoende vakbekwaamheid, kennis, opleiding en ervaring voor het uitvoeren van haar taken deels via outsourcing accountant en syteembeheerder Het financiële management is voldoende bekwaam om (nieuwe) verslaggevings- en AOIB-vraagstukken te behandelen Pagina 12/39

13 Toezichthoudend orgaan In het assessment is aangegeven dat er geen toezichthoudend orgaan is ingesteld. Op basis hiervan zijn de stellingen over het onderdeel governance in het assessment niet voorgelegd. Opvattingen en werkwijze nee ja De leiding geeft voldoende aandacht aan administratieve organisatie en interne beheersing. De leiding van de organisatie is evenwichtig samengesteld met voldoende mogelijkheden voor onderling toezicht. De houding van de leiding met betrekking tot financiële verslaggeving (keuze van waarderingsgrondslagen en wijze van behandeling van schattingsposten) is behoudend en niet dynamisch/agressief. Bij vraagstukken over financiële verslaglegging en/of AOIB consulteert de leiding de accountant in voldoende mate Pagina 13/39

14 Organisatiestructuur, toekennen van bevoegdheden en verantwoordelijkheden Een bijgewerkt organisatieschema en een beschrijving van de bedrijfsactiviteiten zijn aanwezig onderhanden / niet actueel Taakverdelingen voor: individuele directieleden, lijnfunctionarissen, auditcommittee e.d., divisieleiding, groepsleiding zijn duidelijk De autorisatie- c.q. tekeningbevoegdheden zijn schriftelijk vastgelegd en bekend bij alle relevante partijen bij externe partijen wel, geen limieten qua bedragen. intern niet schriftelijk Taak- en functieomschrijvingen voor administratief personeel en automatiseringspersoneel zijn aanwezig Door/namens de leiding wordt interne controle uitgevoerd op de administratie Gedragslijnen en methoden t.a.v. personele zaken zijn aanwezig Gedragslijnen en methoden ten aanzien van inhuur van personeel, introductie, opleiding, beoordeling, beloning en promotie zijn aanwezig Actuele functie- en taakbeschrijvingen en werkinstructies, waaruit de verantwoordelijkheden van het personeel duidelijk blijken zijn aanwezig wel deels voor magazijnpersoneel Een opleidingsbeleid gericht op toekomstige rollen, verantwoordelijkheden en te verwachten prestaties en gedrag zijn aanwezig Pagina 14/39

15 Inkopen Het proces inkopen gaat onder andere in op het offerteproces, bestellen goederen, kostenfacturen, controle en de verwerking van inkoopfacturen. Verder zijn vragen gesteld over de organisatorische functiescheiding, de stuurinformatie die voor dit proces wordt gebruikt en is een stelling voorgelegd over de toereikendheid van de beheersmaatregelen. Onderstaande grafiek toont per onderwerp de relatieve score per antwoordcategorie. Stellingen: AOIB 20 Appl.controls 12 Totaal 32 # en 9 % en 28,13 AOIB Applicationcontrols 0% 20% 40% 60% 80% 100% nb nvt nee ja Inkopen AOIB Stellingen/anwoorden: Voor leveranciers, afname hoeveelheden, prijzen/kortingen, maximum orderbedrag zijn richtlijnen aanwezig nvt nb nee ja muv maximaal orderbedrag Kortingen/afspraken met leveranciers liggen vast en worden nageleefd Regelmatig worden offertes bij concurrerende leveranciers gevraagd Alle bestellingen worden schriftelijk/ elektronisch vastgelegd muv telefonische nabestellingen De inkoopdocumentatie (orders/ontvangstebewijzen/facturen) is toegankelijk en actueel Op bestellingen wordt een voortgangscontrole uitgevoerd Periodieke uitgaven/bestellingen zijn afzonderlijk vastgelegd en geautoriseerd loopt via de directie Vaste verrekenprijzen kunnen, na goedkeuring, alleen nog door geautoriseerde functionarissen worden gewijzigd De rekening prijsverschillen wordt regelmatig uitgezocht en geanalyseerd Inkoopfacturen worden gecontroleerd (hoeveelheid/prijs) met order en ontvangstmelding Pagina 15/39

16 De controle op de inkoopfacturen wordt zichtbaar gemaakt op de inkoopfacturen De inkoopnota's worden tijdig, juist gecodeerd Stellingen/anwoorden: Inkoopnota's, bestellingen en magazijnontvangsten worden systematisch gearchiveerd nvt nb nee ja sinds 2010 Crediteurensaldi worden regelmatig op afloop gecontroleerd niet vanuit financiele administratie, zelden aanmaningen Saldi (intercompany/grote leveranciers) worden regelmatig afgestemd/bevestigd Keuze van dienstverleners vindt plaats op basis van voorschriften/objectieve criteria Kostenfacturen worden gecontroleerd met de opdracht en goedkeuring van de geleverde prestatie Periodieke kosten kosten, bijv. abonnementen, energienota's en huur worden regelmatig intern gecontroleerd Kostendeclaraties worden voldoende door bescheiden onderbouwd Intern wordt gecontroleerd of vergoedingsregelingen goed worden toegepast Inkopen application controls Bij het proces wordt gebruikt gemaakt van de applicaties/pakketten: Navision Applicationcontrols/logische functiescheidingen: Alleen geautoriseerde personen kunnen parameters en kritische instellingen wijzigen nb nee ja De toegangsbevoegdheden zijn gebaseerd op het principe van 'need to have' Pagina 16/39

17 Bij het invoeren van gegevens wordt gecontroleerd op het volledig invullen van (verplichte) gegevens verplichte velden aanwezig Inkoopfacturen kunnen alleen worden toegekend aan een bestaande crediteur administratie kan zelf crediteuren aanmaken De applicatie voorkomt dat dezelfde factuur meerdere keren kan worden geboekt Bij goederenfacturen wordt de inkoopfactuur automatisch gecontroleerd met order en ontvangst (matching) factuurnummer controle De applicatie voorkomt dat ingerichte controles niet kunnen worden omzeild Logische functiescheiding stellingen: Onderhoud crediteurenstamgegevens t.o.v. betalen Onderhoud crediteurenstamgegevens t.o.v. plaatsen inkooporders Invoeren inkoopfacturen t.o.v. fiatteren inkoopfacturen fiattering directie (op factuur handmatig) Fiatteren inkoopfacturen t.o.v. betalen Fiatteren inkoopfacturen t.o.v. verwerking financiële administratie Organisatorische functiescheiding In onderstaande tabel wordt aangegeven door wie de genoemde functies/activiteiten worden uitgevoerd. Op deze tabel is geen nadere analyse uitgevoerd. Met het oog op de gewenste cq noodzakelijke controletechnische functiescheiding is het van belang na te gaan of en in hoeverre de aangegeven taakverdeling aanvullende maatregelen noodzakelijk maken. Functie/activiteit Uitgevoerd door: Opmerkingen Initiatief tot inkoop Aanvragen offerte Nemen inkoopbeslissing Pagina 17/39

18 Plaatsen inkoopopdracht Ontvangen goederen Magazijn medewerkers Magazijn medewerkers Afwikkelen retouren Magazijn medewerkers Registreren inkoopfactuur Controleren inkoopfactuur Admininstratie Administratie Stuurinformatie Voor het sturen van het proces wordt gebruik gemaakt van: Handmatig o.b.v. fysieke aanwezigheid in magazijn i.c.m. backorders o.b.v. bestellingen klanten De stuurinformatie komt niet geheel geautomatiseerd tot stand. Een mogelijk gevolg hiervan is dat de kans op fouten in de stuurinformatie toeneemt. Bijvoorbeeld door fouten bij overnemen en/of verwerken van brongegevens. In dit verband is het van belang na te gaan welke waarborgen in het totstandkomingsproces van de stuurinformatie aanwezig zijn om de kwaliteit te kunnen waarborgen. Beheersmaatregelen Op de vraag of de getroffen beheersmaatregelen (o.a. taken/functies, procedures, aansturing en controles) zijn afgestemd op het belang en de risico's van het bedrijfsproces is aangegeven dat deze voldoende zijn afgestemd en er geen verbeteringen noodzakelijk zijn. Aanvullende opmerkingen Sinds een aantal jaren wordt het pakket Navision gebruikt. In 2010 is begonnen met een betere registratie van de inkoopprijzen/aantallen i.c.m. bestellingen en pakboncontrole Pagina 18/39

19 Betalingen Het proces betalingen gaat onder andere in op uitgaande betalingen, controle op saldi bankrekeningen en het kasverkeer. Verder zijn vragen gesteld over de organisatorische functiescheiding, de stuurinformatie die voor dit proces wordt gebruikt en is een stelling voorgelegd over de toereikendheid van de beheersmaatregelen. Onderstaande grafiek toont per onderwerp de relatieve score per antwoordcategorie. Stellingen: AOIB 11 Appl.controls 12 Totaal 23 # en 3 % en 13,04 AOIB Applicationcontrols 0% 20% 40% 60% 80% 100% nb nvt nee ja Betalingen AOIB Stellingen/antwoorden: De betalingsmiddelen zijn fysiek gescheiden van en beveiligd tegen onbevoegd gebruik nvt nb nee ja Bij electronic banking zijn voldoende waarborgen dat geleidelijsten(aantal posten, som rekeningnummers, totaalbedrag) overeenkomen met het betaalbestand Bij betaling van inkomende facturen worden bedrag en rekeningnummer gecontroleerd door de procuratiehouder Betaling van de salarissen vindt plaats op basis van gecontroleerde betaallijsten Alle betalingen worden direct (tijdig) geregistreerd door de boekhouding elke dag De saldi van de bankrekeningen (afschriften) worden regelmatig aangesloten met de desbetreffende grootboekrekeningen wel met saldo dagboek bank, niet met proefsaldi balans De rekening kruisposten en gelden onderweg worden regelmatig uitgezocht en nader geanalyseerd Het kasverkeer is relatief beperkt Het kasgeld wordt regelmatig geteld, aangesloten met de boekhouding en afgetekend door de procuratiehouders Kasopnamen worden uitsluitend verricht door de procuratiehouder of gedelegeerden Pagina 19/39

20 De procuratiehouders zijn op juiste wijze ingeschreven bij de Kamer van Koophandel en de bankiers Betalingen applicationcontrols Bij het proces wordt gebruikt gemaakt van de volgende applicaties/pakketten: Applicationcontrols/logische functiescheidingen: Alleen geautoriseerde personen kunnen parameters en kritische instellingen wijzigen nb nee ja De toegangsbevoegdheden zijn gebaseerd op het principe van 'need to have' Voor betalen benodigde identificatie- en authentificatiemiddelen zijn uitsluitend toegankelijk voor geautoriseerde personen Bij het invoeren van gegevens wordt gecontroleerd op het volledig invullen van (verplichte) gegevens Betalingen kunnen alleen worden ingevoerd voor bestaande crediteuren nieuwe crediteuren kunnen in pakketten aangemaakt worden Voor betalingen boven bepaalde grenzen is afzonderlijke/aanvullende procuratie nodig De applicatie voorkomt dat ingerichte controles kunnen worden omzeild Logische functiescheiding waarin is voorzien: Betaalfunctie t.o.v. crediteurenadministratie Betaalfunctie t.o.v. salarisadministratie Invoeren betalingen t.o.v. fiatteren van betalingen Verzenden van betalingen t.o.v. invoer betalingen Pagina 20/39