Beoordeling effectiviteit interne controle * IBR-IRE * 11 Juni 2010 VANDORPE Filip Adres: Brouwerijstraat 17, 8553 Otegem GSM: +32(0)472/48 78 85 Email: fvandorpe@telenet.be WELKOM Professionele loopbaan IT Consultant 1997 2004 (CTG, DRC) Audit Manager in Fortis Audit Services 2004 2009 Auditor Capitalat Work Foyer Group 2010 - Now Opleiding Master in commercial and financial science (VLEKHO) Master in business intelligence (EHSAL) Master in project management (EHSAL) Expert class internal audit (UAMS) Audit certificates: CIA, CISA, CISM Andere activiteiten Board member (2008 2012) & chairman of Educom (IIABel) Zaakvoerder F.A.M.E. Consult Auteur: artikels gerelateerd aan het interne controle en interne audit vakgebied (Kluwer) 1
Interne Controle Agenda COSO COSO ERM Sarbanes Oxley (In control statement) en CBFA (verklaring effectieve leiding) Trends in Interne Controle Interne Controle: Inleiding Wat is interne controle? Interne controle is duur Interne controle is overbodig Waarom is interne controle (niet) nodig 2
Interne Controle: Definitie Definities (IBR, norm 2.4.1., 1997) Het geheel van methode en procedures die door de leidinggevende organen van een onderneming worden uitgewerkt om, zover dit mogelijk is, ervoor te zorgen dat: de zaken ordelijk en efficiënt verlopen binnen het kader van de door hen vastgestelde beleidslijnen Afdoende procedures aangewend worden o, belangenconflicten en misbruik van goederen van de onderneming te vermijden De activa gevrijwaard worden Fraude en vergissingen voorkomen of opgespoord worden De boekhoudregistraties volledig en correct zijn De financiële inlichtingen betrouwbaar zijn en binnen de vastgelegde termijn opgesteld worden Interne Controle: Definitie Definities (CBFA, 1997) Het geheel van maatregelen dat onder de verantwoordelijkheid van de leiding van de onderneming, met redelijke zekerheid moet toelaten dat: De bedrijfsvoering geordend en voorzichtig gebeurt met afgelijnde doelstellingen De ingezette middelen economisch en efficiënt gebruikt worden De risico s gekend zijn en afdoende beheerst worden ter bescherming van het vermogen De financiële en beheersinformatie integer en betrouwbaar zijn De wetten en reglementen alsmede de algemene beleidslijnen, plannen en interne voorschriften nageleefd worden. 3
Interne Controle: Definitie Definities (COSO, 1992) Interne controle is een door de leiding van de organisatie (RvB, Directie, management,...) tot stand gebracht proces gericht op de realisatie van de volgende categorieën van doelstellingen: Efficiëntie en effectiviteit van de bedrijfshandelingen Betrouwbaarheid van de financiële rapportering (intern & extern) Naleving van de wettelijke bepalingen en regelgeving waaraan een organisatie is onderworpen Interne Controle: Definitie Belangrijke elementen: door alle mensen van de organisatie Verantwoordelijkheid bij het management relatieve zekerheid Proces (PDCA-Cyclus) & maturiteitsniveau Gericht op de verwezenlijking van de doelstellingen van de organisatie: Werking van de organisatie (efficiënt en effectief) De financiële verslaggeving Naleving van de wetten en reglementen (compliance) 4
Interne controle is een proces... Maturiteit van interne controle 5 4 3 2 1 0 Interne controle is een proces... 0 1 2 3 4 5 Onbestaand Ad hoc Gestructureerd Gedefinieerd Beheerst Geoptimaliseerd 5
Gericht op verwezenlijken van doelstellingen... Objectieven Risico s Controles Afgeleid van strategie en missie van de onderneming (= Wat willen we bereiken) Gebeurtenissen die een negatieve invloed hebben op het bereiken van de objectieven Maatregelen om risico s tot een aanvaardbaar niveau te brengen Interne Controle: Belang Brengt structuur in de organisatie Bereiken van doelstellingen van de organisatie Gevolgen van falende Interne Controle systemen Beschermen van belangen van de stakeholders (Managment, personeel, leveranciers, overheid,...) 6
Interne Controle : Evaluatie Stap1 Voornaamste procedures selecteren Stap 2 Formuleren van de interne controle doelstellingen Stap 3 Vastleggen van controle maatregelen en procedures Stap 4 Evaluatie van de sterktes en zwaktes Stap 5 Toetsing van de effectieve toepassing Interne Controle : Evaluatie - Doelstellingen Authorisatie van handelingen en transacties (Geoorloofdheid) Juistheid van handelingen en transacties Volledigheid van handelingen en transacties Tijdigheid mbt verantwoording van de handelingen en transacties 7
Interne Controle : Evaluatie - Controlemiddelen Lijncontrole Cijferbeoordeling Verbandscontroles Staving met bewijsstukken Bestaansvaststelling Observatie (waarneming ter plaatse) Interviews (inlichtingen verwerven) Vergelijken met normen, best practices... Fasen in de analytische controle aanpak CASE LEGUFRU Wat zijn de risico s indien er geen intern controlesysteem is? Stel de interne controledoelstellingen op Stel de interne controlemaatregelen op 8
Interne Controle Agenda COSO COSO ERM Sarbanes Oxley (In control statement) en CBFA (verklaring effectieve leiding) Trends in Interne Controle COSO Publicaties COSO rapport m.b.t. interne control (1992) ERM risk raamwerk (2002) COSO interne controle bij financieel rapporteringsproces (2006) COSO Monitoring (discussie document) (2007) 2009: COSO paper on ERM strategic advice http://www.coso.org 9
COSO-model 3 Dimensies 3 Doelstellingen 5 Componenten Organisatie universum Componenten van interne controle Controle omgeving Risico identificatie en evaluatie Controle activiteiten Informatie en communicatie Opvolging (en bijsturing) 10
De controle omgeving (1/8) Integriteit en ethische waarden Bekwaamheid van personeel Filosofie en stijl van het management Deugdelijk bestuur Structuur van de organisatie Toekennen van verantwoordelijkheden en beslissingsmacht HR beleid De controle omgeving (2/8) Integriteit en ethische waarden Gedragscode : Bestaan en communicatie Voorbeeldfunctie van het (top)management Sanctioneringsbeleid Bonussen en verleidingen 11
De controle omgeving (3/8) Bekwaamheid van personeel Verhouding tussen aanwezige en nodige kennis Opleidingsmogelijkheden Functiebeschrijvingen De controle omgeving (4/8) Filosofie en stijl van het management Controlebewustzijn Zin voor risico (Risk Appetite) Stabiliteit van het managementteam Communicatiestijl 12
De controle omgeving (5/8) Deugdelijk bestuur (Corporate Governance) Bestaan van comités (audit, renumeratie,...) Onafhankelijkheid van de bestuursleden Algemene principes: Respecteer andermans rechten Integriteit Transparantie Accountability Managementstructuur De controle omgeving (6/8) Structuur van de organisatie =Afhankelijk van de grootte en activiteiten van de organisatie Lokaal <> Centraal Nationaal <> Internationaal Relaties tussen departementen 13
De controle omgeving (7/8) Toekennen van verantwoordelijkheden en beslissingsmacht Duidelijk vastgelegde bevoegdheden Afgebakend (Functiescheiding) De controle omgeving (8/8) HR beleid Selectie en aanwerving Opleidingen Verloning en promotie Identificatie met de onderneming 14
Risico identificatie en analyse Vastleggen van doelstellingen van de organisatie: Operationele doelstellingen Doelstellingen mbt financiële rapportering Doelstellingen mbt naleving van wetten en regelgeving Risico s = alle factoren en gebeurtenissen die ervoor kunnen zorgen dat de doelstellingen niet bereikt worden Kans/waarschijnlijkheid en impact Controle activiteiten (1/6) Policy s en procedures Policy legt vast wat moet gebeuren Procedure bepaalt hoe het moet gebeuren Kunnen worden onderverdeeld in 3 categorieën: Activiteiten van de onderneming (Operations) Financiële verslaggeving (Financial reporting) Naleven van wetten en reglementen (Compliance) 15
Controle activiteiten (2/6) Informatiesysteemcontroles Algemene controles (General controls) IT handelingen in het data center Systeem software Logische toegangsbeveiliging Ontwikkeling van systemen Systeemcontroles (Application controls) Gericht op volledigheid, juistheid, authorisatie, geldigheid Input Proces - Output Controle activiteiten (3/6) Controles specifiek voor de entiteit Afhankelijk van de strategie en objectieven zullen de interne controle activiteiten verschillen. Bepalende factoren zijn o.a.: Leidinggevende competentie en zin voor controle Omgeving en industrie Complexiteit, aard en bereik van de entiteit Geografische verscheidenheid van mensen en middelen Grootte en complexiteit van de activiteiten en ISsystemen 16
Controle activiteiten (4/6) Preventieve <> Repressieve controleactiviteiten Vastleggen van bevoegdheden en verantwoordelijkheden Procedures en formulieren opstellen Verdeling van de werkzaamheden over verschillende afdelingen/personen Handtekeningsbevoegheden publiceren Planning en werkvoorbereidingen opmaken Controle activiteiten (5/6) Preventieve <> Repressieve controleactiviteiten Waardencreatie doen registreren Schriftelijke kwijting bij iedere overdracht van goederen door de ontvanger Verantwoordingsverslagen laten opstellen door een verantwoordelijke Inventaris doen opstellen door een onafhankelijk persoon 17
Controle activiteiten (6/6) Voorbeelden van controlemiddelen Functiescheidingen Beheren Bewaren Registreren Uitvoeren Controleren Organogram en functiebeschrijvingen Handleidingen (procedures) Analytisch nazicht door leiding Fysieke controles Cijferbeoordelingen Informatie en communicatie Pertinente informatie moet worden geïdentificeerd, opgevangen en gecommuniceerd in een een vorm en tijdsbestek dat mensen hun verantwoordelijkheid kunnen uitvoeren. Informatie komt zowel van binnen als buiten de onderneming Zowel top-down als bottom-up Kan formeel of informeel 18
Opvolging (en bijsturing) Permanent (vb. door verantwoordelijke) Discontinu (vb. door interne audit) Beperkingen van het ICS Inschattingsfouten Break downs Overruling door verantwoordelijke Samenwerking (Collusie) Kosten Baten analyse 19
COSO ERM-model + Strategische doelstelling 8 Componenten Focus op risico management Event identification Identificatie risico s en opportuniteiten Minstens éénmaal per jaar Risk assessment Inschatten van risico s Inherente vs. Residuele risico s Kwalitatief kwantitatief Risk response 20
Focus op risico management Risk response (4 mogelijkheden) Aanvaarden risico Elimineren risico Transfereren/delen risico Risico verminderern via beheersmaatregelen Interne Controle Agenda COSO COSO ERM Sarbanes Oxley (In control statement) en CBFA (verklaring effectieve leiding) Trends in Interne Controle 21
In Control Statement: Wet Sarbanes-Oxley Oorsprong: Falende interne en externe controles van bedrijven (2002) Hoofdspelers : Enron Arthur Andersen Betrokken: Alle ondernemingen genoteerd op Amerikaanse beurs Keywords = formalisatie en aansprakelijkheid Twee belangrijkste artikels 302 en 404 In Control Statement: Wet Sarbanes-Oxley (Artikel 302) Handelt over de controle op de verspreiding van informatie (disclosures). Leiding van het bedrijf moet periodiek rapporteren over de effectiviteit van de controles: Ontwerp / Design van controlesystemen Operationele effectieve werking van het controlesysteem 22
In Control Statement: Wet Sarbanes-Oxley (Artikel 404) Bepaalt regels voor de interne controle en financiële rapportering. Management (ic CEO en CFO) moeten jaarlijks expliciet een uitspraak doen over de betrouwbaarheid van de interne controles die in het bedrijf gehanteerd worden. Externe auditor een verklaring omtrent het akkoord met de uitspraken van het Management In Control Statement: Elementen Het management ontwikkelt, handelt en volgt het interne controle systeem op om zich ervan te verzekeren dat volgende objectieven zullen worden bereikt: Bereiken van de ondernemingsdoelstellingen Vrijwaren van activa en identificatie en beheer van schulden Effeciëntie en effectiviteit van handelen Kwaliteit van informatie (juistheid, volledigheid, betrouwbaarheid) Naleven van wetten, reglementeringen en interne policies Governance, risicobeheers- en controleprocessen werden ontwikkeld om de effectiviteit van controle te bepalen De materiële (significant) risico s, controle incidenten en zwakheden werden openbaar gemaakt Link met interne controle raamwerk (vb. Coso, Cobit) Formele handtekening door CEO 23
In Control Statement België : CBFA 2008_12 De verslaggeving van de effectieve leiding inzake de beoordeling van het interne controlesysteem: Beschrijving van de organisatie, activiteiten en het risicobeheer Beoordeling over de passende werking van het interne controlesysteem Opsomming van de genomen maatregelen België : CBFA 2008_12 - Beschrijving Evaluatie methodiek Interne controlemaatregelen (betrouwbaarheid financiële verslaggeving) Operationele werking van de organisatie (inclusief IC-processen) Algemeen risicobeheer Specifieke compliancedomeinen 24
Evaluatie van de controleomgeving Vastleggen en prioriteit bepalen van de doelstellingen Gebeurtenissen identificeren en risico s evalueren Risico beheren (Aanvaarden, Transfereren, Elimineren, Beheersen) Controle Activiteiten portfolio Overblijvend risico (Residueel) NEE In risico appetijt en -tolerantie niveau? NEE JA Optimaliseren van de Controle Activiteiten portfolio JA ControleAct ie Plan In Control Statement Continue opvolging Objectieven Risico s Controles DOCUMENTATIE Continuous auditing Continuous monitoring Opvolging (monitoring) 25
Interne Controle Agenda COSO COSO ERM Sarbanes Oxley (In control statement) en CBFA (verklaring effectieve leiding) Trends in Interne Controle Trends in Interne Controle Interne controle als bouwsteen voor Corporate Governance Opkomst Risk Management Opkomst Compliance officer Verdere opgang van interne audit Verdere opgang van audit comité s Opkomst Control Self Assessment en in control statement vanwege management 26
Compliance en Risk management Een volgende niveau in de lines of defence van een organisatie Corporate Governance Codes / Toezicht Externe Audit Interne Audit Andere assurance providers ( Compliance, Risk Management,...) Interne Controle (operationeel management) Interne Audit Interne audit is een onafhankelijke, objectieve zekerheidsverschaffende- en adviserende activiteit met als doel toegevoegde waarde te verschaffen en de activiteiten van de onderneming te verbeteren. Het helpt de onderneming om zijn objectieven te realiseren door het gebruik van een systematische, gedisciplineerde aanpak om de effectiviteit van de Governance, Risicobeheers en Controleprocessen te evalueren en verbeteren. 27
Algemeen referentiekader IA Definitie van Interne Audit Ethische gedragscode Normen (Standaarden) Verplicht op te volgen! Position papers Praktische adviezen Praktische gidsen Sterk aanbevolen! Audit Charter Interne Audit Doel, verantwoordelijkheden en bevoegdheden vastleggen Formeel goedgekeurd door directie en raad van bestuur (of auditcomité) Gecommuniceerd binnen de onderneming Herziening om de 3 tot 5 jaar 28
Interne Audit Organisationele onafhankelijkheid Individuele objectiviteit Beperkingen op het vlak van onafhankelijkehid & objectiviteit Oefening: Evalueer organisatieschema s en bepaal + en voor wat onafhankelijkheid betreft. Welke situatie geniet de voorkeur? Corporate Governance Wat is Corporate Governance? Waarom belangrijk? 29
Belgische Corporate Governance Code 2009 Principe van Comply or Explain 9 principes van deugdelijk bestuur Bepalingen <> Richtlijnen Verklaren hoe de principes moeten worden toegepast Fungeren als leidraad bij de toepassing van de principes Corporate Governance (Principes) GOVERNANCE STRUCTUUR INTEGRITEIT CORPORATE GOVERNANCE ACCOUNTABILITY RESPECT TRANSPARANTIE 30
Corporate Governance (Principes) RESPECT Respect voor rechten van alle stakeholders Respect voor milieu Corporate Governance (Principes) INTEGRITEIT Ethiek en normen Ethische gedragscode Stijl van het Management (Tone at the top) Eerlijkheid, Rechtlijnigheid, Objectiviteit 31
Corporate Governance (Principes) TRANSPARANTIE Juistheid, volledigheid en duidelijkheid van de communicatie Externe rapportering Jaarverslag Externe audit Betrokkenheid van alle stakeholders Corporate Governance (Principes) ACCOUNTABILITY Verantwoordingsplicht Rapporteringsplicht 32
Corporate Governance (Principes) GOVERNANCE STRUCTUUR Duidelijke structuur: Organogram Rol Raad van Bestuur & Management Specifieke comités (benoeming, remuneratie, audit,...) Interne controle, risicomanagement, compliance en interne audit Audit comités Opgericht door Raad van Bestuur en bestaat uitsluitend uit niet-uitvoerende bestuurders (meerderheid onafhankelijk) Relevante deskundigheid (financieel, inherente business activiteiten,...) Frekwentie van samenkomen = minstens 3 keer/jaar 33
Audit Comités Financiële rapportering Waken over integriteit (beoordeling van de boekhoudnormen, criteria voor consolidatie) Beoordelen van de nauwkeurigheid, volledigheid en consequente karakter Interne controle en risicobeheer Inzicht in de voornaamste risico s Effectiviteit van het interne controle systeem Fraude Interne Audit Werkzaamheden Effectiviteit Aanpak van de aanbevelingen Externe Audit Aanstelling, vergoeding en opvolging van de prestaties Werkzaamheden Onafhankelijkheidscriteria Aanpak van de opmerkingen/aanbevelingen Taken van het Audit Comité Interne Controle Agenda COSO COSO ERM Sarbanes Oxley (In control statement) en CBFA (verklaring effectieve leiding) Trends in Interne Controle Vragen?? 34