AUDIT interne controle interne audit externe controle 1 1
INTERNE CONTROLE There ain t no such thing as a free lunch Milton Friedman Dagelijks worden zesduizend maaltijden besteld in de studentenrestaurants van de K.U.Leuven. Duizenden euros worden er uitgewisseld tussen student- en en kassiers van de restaurants. Om te garanderen dat het geld dat de kassiers ontvangen terecht komt, zijn er door de K.U.Leuven tal van controlemaatregelen uitgewerkt. Deze maatregelen noemt men interne controle. 2 2
Eén van die controlemaatregelen bestaat erin dat de telband van het kasregister dat de verkopen registreert moet overeenstemmen met het geldbedrag dat zich in de lade van het kasregister bevindt. Op het einde van de dag controleren wij of er belangrijke tekorten of overschotten zijn voor ieder kasregister zegt de directeur van de studentenrestaurants. Komen kasverschillen vaak voor? Nee, want de kassiers weten dat er disciplinaire sancties volgen wanneer er herhaaldelijk kasverschillen voorkomen Wanneer een student bij het afrekenen geen kassa-belletje hoort of wanneer hij geen kasticket ontvangt, dan bestaat de kans dat de kassier steelt. Wij weten dat het soms vervelend is om het kasticket te moeten afleveren, maar het kasticket is voor ons een absoluut noodzakelijke controlemaatregel. 3 3
Het verhaal over het studentenrestaurant toont aan dat de controle op de kasgelden erg belangrijk is. Maar gelijkaardige controles zijn nodig om andere activa van de universitaire restaurants te beveiligen. Er zijn onder meer controlemaatregelen om - diefstal van voedsel en drank te vermijden - diefstal van eetgerei en keukengerei te voorkomen - verkopen voor eigen rekening te vermijden (vb. koffie in cafetaria) Diefstal kan gebeuren door studenten maar ook door personeel en leidinggevende personen. De controlemaatregel moeten zich op alle niveau s situeren. Naast diefstal is de ontwaarding van de voorraden een probleem. Aangepaste conserveringsmethoden worden gebruikt. Daarnaast moet een nauwkeurige planning van de menu s er voor zorgen dat voedingsproducten hun vervaldag niet overschrijden. De controlemaatregelen worden bepaald in functie van - het soort activa - en de specifieke risico s (= wat kan hier mis gaan?) 4 4
De directeur van het studentenrestaurant heeft nog andere zorgen. Hij is er tevens verantwoordelijk voor dat het restaurant zijn missie vervult. Dat betekent ondermeer : - maaltijden leveren tegen democratische prijzen - zorgen voor een uitgebreid en gevarieerd aanbod - gezonde maaltijden serveren (vetten en suikers!!, ) - zorg om het milieu (afval beperken, dosering reinigingsmiddelen, ) - kwaliteitsnormen respecteren (HACCP, ) 5 5
COSO : controlemaatregelen t l - ten behoeve van de leiding - op alle bestuurlijke en operationele activiteiten - om een aanvaardbare zekerheid te bekomen omtrent - de effectiviteit en de efficiëntie van de operaties - de bescherming van de bezittingen - de betrouwbaarheid van de financiële rapportering - de naleving van de wettelijke bepalingen (compliance) m.a.w interne controle omvat alle maatregelen die het management toelaten de informatie, de bescherming en de controle te verkrijgen, die voor haar van essentieel belang zijn om de onderneming op een succesvolle manier te leiden 6 6
objectieven van de interne controle? = wat streeft IC na? effectiviteit én efficientie van de operationele activiteiten = doelmatig, doelgericht bedrijfsobjectieven naleven tegenwoordig spreekt men over performantie bezittingen beschermen betrouwbaarheid van de financiele rapportering naleving van de wettelijke bepalingen en regelgeving = compliance 7 7
Hoe kunnen de objectieven van de IC toegepast worden op het studentenrestaurant? 1. effectiviteit én efficientie van de operationele activiteiten 2. bezittingen beschermen 3. betrouwbaarheid van de financiele rapportering 4. naleving van de wettelijke bepalingen en regelgeving 8 8
Hoe kunnen de objectieven van de IC toegepast worden op het studentenrestaurant? 1. effectiviteit én efficientie van de operationele activiteiten bedenk een paar performantie-indicatoren zijn er historieken die je zou bestuderen? 2. bezittingen beschermen bedenk een paar beveiligingsmaatregelen 3. betrouwbaarheid van de financiele rapportering hoe zou je de gerapporteerde cijfers controleren? hoe zou je verkopen voor eigen rekening kunnen dedecteren? 4. naleving van de wettelijke bepalingen en regelgeving welke normen moet je zoal naleven? ben je BTW-plichtig? welke verplichtingen heb je inzake BTW? hoe controleer je of de HCAPP-normen worden nageleefd? 9 9
Fraude, diefstal, laksheid, non-performantie kunnen voorkomen op alle niveau s en op iedere plaats in de onderneming. Daarom moet controle geïntegreerd worden in heel de organisatie. Dit brengt aanzienlijke kosten met zich mee. De kosten moeten afgewogen worden tegenover de opbrengsten. Een goede IC moet een optimum zoeken teneinde een aanvaardbare zekerheid te verkrijgen. = reasonable assurance 10 10
wat is controle? Elk controleproces bestaat uit volgende elementen : het verkijgen van informatie omtrent de feitelijke situatie (Ist-situatie) het verkijgen van informatie die als toetsingsmaatstaf wordt gebruikt (Soll-situatie) de eigenlijke toetsing het evalueren en ev. initiëren van regulariserende handelingen (=bijsturen van het proces) 11 11
In een organisatie komt controle voor op alle niveau s en in alle functies. vb. controle op realisatie van de planning op naleving van de budgetten op juiste en tijdige uitvoering v/d operationele activiteiten op de gerapporteerde exploitatieresultaten, Controle is onafscheidelijk verbonden met informatie. Informatie is enkel nuttig als ze betrouwbaar is. Daarom mag ze niet afkomstig zijn van de medewerker die moet gecontroleerd worden!! (= objectiviteit van de bron). De controlemaatregelen zijn van toepassing op personen goederen informatie 12 12
PERSONEN elke medewerker van de onderneming draagt bij tot t het functioneren van de onderneming en het bereiken van de doelstellingen via delegatie van bevoegdheden mogelijke problemen : - mensen maken fouten (=onvrijwillig) - mensen plegen fraude (=vrijwillig, bedoeling om te schaden) - mensen werken vaak ondoelmatig, inefficiënt mensen = management : bestuurders en directieleden hogere niveau s : kaderleden lagere niveau s : uitvoerend personeel 13 13
PERSONEN 1. het management delegeert bevoegdheden aan de lagere niveaus de lagere niveau s moeten - verantwoording afleggen = informatie moet gecontroleerd worden vb telband, kasboek, inventaris magazaijnier, prestatiestaten, verkoopbons, - gecontroleerd worden = rechtstreekse controle op - diefstal - efficientie - compliance, 2. aandeelhouders delegeren bevoegdheden aan het management ook het management moet gecontroleerd worden = externe controle 14 14
GOEDEREN zij kunnen het voorwerp worden van - ontvreemding - beschadiging i - verlies - bederf - vandalisme... 15 15
akelijk is externe con ntrole noodz zo be langrijk dat com mmissaris INFORMATIE de jaarrekening en het jaarverslag, de budgettering en de ondernemingsstatistieken, de strategische informatie over markten, klanten, concurrentie, deze informatie vormt de basis voor de beslissingen van - het management (beleids- en operationele beslissingen) - derden (aandeelhouders, kredietverschaffers, ) Controle op deze informatie is noodzakelijk om juiste beslissingen te kunnen nemen!!!! kwalitatieve informatie moet : (1) juist, (2) volledig (3) tijdig zijn = betrouwbaar 16 16
Pijlers van een goed ICS functie- scheidingen bevoegdheids- verdeling goedkeurings- procedures risicodetectie en aangepast risicobeheer fysische, mechanische en electronische controles administratieve procedures en documentenstroom budgettering periodieke rapportering onafhankelijke interne audit 17 17
1. AANGEPASTE ORGANISATIE Fraude wordt in de hand gewerkt door te veel bevoegdheden aan één persoon toe te vertouwen vnl. i.v.m. de ontvangsten en uitgaven van geldstromen. Een aangepaste organisatievorm behelst : - degelijke functiescheiding - duidelijke bevoegdheidsverdeling - strikt na te leven goedkeuringsprocedures 18 18
1.A FUNCTIESCHEIDING = een scheiding van onverenigbare functies Onverenigbare functies zijn functies die in combinatie met elkaar de kans op fouten en/of fraude groter maken. Wanneer één persoon verantwoordelijk is voor een hele reeks gerelateerde activiteiten dan neemt de kans op fouten en onregel- matigheden sterk toe. Functiescheiding is moeilijk realiseerbaar in kleine ondernemingen. De zaakvoerder moet in dat geval bijkomende controle-werkzaamheden op zich nemen. 19 19
1.A FUNCTIESCHEIDING Men zal door bepaalde organisatorische taakverdeling er voor zorgen dat de ene taakopdracht de andere taakopdracht controleert. Deze controle gebeurt door verantwoordingsverslagen aan elkaar te toetsen. Daarom moet men een kritische instelling ontwikkelen t.o.v. documenten, operaties, boekingen, verklaringen, Zo ontstaat een automatische controle. Telkens een kassier zijn dienst begint wordt een geldlade in het kasregister geplaatst. Op het einde van zijn shift, wordt de geldlade verwijderd en wordt het kasgeld geteld door een andere bediende. Het totaal van het kasgeld wordt vergeleken met het totaal zoals geregistreerd op de controleband van het kasregister. zie Financiële cyclus 2.5 het kasregister. 20 20
volgende functies kan men onderscheiden : functie van beheer : beschikkingsbevoegdheid = beslissingen nemen functie van behoud : bewaringsbevoegdheid = toegang tot en bevoegdheid tot bewaren van bezittingen zoals kasgelden, goederen in magazijn, effecten, registratiefunctie: inschrijven van de ondernemingsverrichtingen in de boekhouding operationele functie: de toelating om bepaalde handelingen/taken uit te voeren controlefunctie : bevoegdheid om uitgevoerde handelingen en taken van anderen te controleren 21 21
1.B BEVOEGDHEIDSVERDELING EN -BEPERKING Bevoegdheidsverdeling Een onderneming moet duidelijk vastleggen welke functies welke bevoegheden toebedeeld krijgen. Waarom? 1. zo krijgt men garantie dat de taak daadwerkelijk wordt uitgevoerd 2. controle is het meest effectief wanneer slechts één enkele persoon verantwoordelijk is voor een bepaalde taak Indien er een tekortkoming is kan men de verantwoordelijke aanwijzen. Dit laat toe om bij te sturen en/of te sanctioneren. 22 22
1.B BEVOEGDHEIDSVERDELING EN -BEPERKING Bevoegdheidsbeperking en goedkeuringsprocedures Niet iedereen krijgt evenveel vertouwen. Wanneer de financiële impact van een daad toeneemt, zal ook meer beveiliging ingebouwd moeten worden door bevoegdheden te beperken. De beslissingsmacht wordt verschoven naar een hierarchisch hoger niveau én naar meerdere personen (vier-ogen principe). Goedkeuringsprocedures bepalen dat bepaalde transacties de expliciete goedkeuring moeten krijgen van een hoger geplaatst persoon onder vorm van een handtekening. 23 23
2. ADMINISTRATIEVE PROCEDURES EN DOCUMENTENSTROOM Procedures? wat er moet gedaan worden als een verrichting aanvangt hoe bepaalde taken moeten worden uitgevoerd wie toelating heeft om te beslissen over bepaalde handelingen en wie die handelingen mag/moet uitvoeren welke verantwoordingsstukken moeten gecreëerd worden en welke hun verdere bestemming is = documentenstroom t SOP = Standard Operating Procedure 24 24
2. ADMINISTRATIEVE PROCEDURES EN DOCUMENTENSTROOM Soorten procedures? De procedures hebben betrekking op de verschillende ondernemingscycli. Cyclus? de aankoopcyclus de verkoopcyclus de fabricagecyclus de personeelscyclus l de liquiditeitscyclus (financiële cyclus) 25 25
2. ADMINISTRATIEVE PROCEDURES EN DOCUMENTENSTROOM Doel van de procedures? het routinematig handelen bevorderen waardoor alleen uitzondering onder de aandacht v/h management worden gebracht uniformiteit scheppen bij de uitvoering inbouwen van beveiliging via functiescheiding, goedkeuring, efficiëntie-verhoging 26 26
27 27
28 28
2.A AANKOOPCYCLUS aankoopactiviteiten = ruilproces gelden ruilen tegen goederen en diensten doelstelling IC : bewaken van gelijkwaardigheid De omvang (verschillende stappen en documenten) van deze cyclus is functie van de ondernemingsactiviteit. vgl. bank handelsonderneming productieonderneming Bij een handelsonderneming bestaat het grootste deel van de kosten uit aankopen van goederen. Wanneer in het aankoopproces iets fout loopt, dan kan dit enorme gevolgen hebben voor de onderneming. 29 29
2.A AANKOOPCYCLUS Indien aankoopfunctie belangrijk AANKOOPDIENST = afzonderlijke en gespecialiseerde dienst Deze dienst staat ten dienste van alle departementen van de onderneming. Haar functie is het verrichten van de aankopen. Zij heeft evenwel geen eigen verantwoordelijkheid inzake - autorisatie - bewaring - controle van aankopen 30 30
2.A.1 Operaties in de aankoopcyclus - identificatie van de aankoopbehoefte - evaluatie van de kandidaat-leveranciers - keuze van de leverancier - bestelling - goederenontvangst - kwaliteitscontrole - factuurcontrole en -registratie - betaling 31 31
32 32
2.A.2 Documenten - bestelaanvraag : aanvraag van departementen bij de aankoopdienst (synoniem : aankoopopdracht) - bestelbon :(of brief) hiermee bepaalt de aankoopdienst - de omschrijving - de hoeveelheid - de prijs - de conditionering - het leveringsadres - en de aanbevelingen of contractuele bijzondere modaliteiten = 1. intern bewijsstuk van de aankoop 2. naar de leverancier gestuurd om de aankoop te bevestigen. die antwoordt met een orderbevestiging 33 33
2.A.2 Documenten - ontvangstbon : - registratie van de ontvangst van de goederen geregistreerd - registratie van opmerkingen t.g.v. - de hoeveelheidscontrole - de kwaliteitscontrole ** vaak wordt de leveringsbon van de leverancier gebruikt - betalingsdocumenten : documenten die wijzen op betaling leverancier - overschrijvingsbewijzen - uitgegeven cheques - betaallijsten computersysteem 34 34
2.A.3 Verloop van aankoopcyclus departementen bestelaanvraag aankoopdienst bestelbon goederenontvangst g ontvangstbon magazijn boekhouding bestelbon ontvangstbon factuur betaaldienst crediteurenadministratie betaaldocument 35 35
2.A.4 Interne controle binnen aankoopcyclus 1. uitvaardigen bestelling 2. ontvangst goederen en diensten 3. controle en registratie 4. betaling 5. magazijnfunctie 36 36
2.A.4 Interne controle binnen aankoopcyclus = Welke interne controle-maatregelen dringen zich op i.v.m. 1) uitvaardigen bestelling : - identificatie van de aankoopbehoefte - tijdig continuïteit! out-of-stock problemen - accurate identificatie onbruikbare voorraden vermijden bestelkosten minimaliseren voorraadkosten minimaliseren IC : zijn er procedures om de aankoopbehoefte vast te stellen? - opmaken bestelaanvraag - organigram wie is bevoegd om bestelaanvraag door te geven aan de aankoopdienst? - voorgedrukte eventueel voorgenummerde formulieren? -voldoende d gedetailleerd d opgemaakt? 37 37
- onderhandelingen leveranciers - aankoopdienst - worden richtlijnen m.b.t. aanvragen prijsoffertes en eventuele aanbestedingsprocedures nageleefd? - er wordt uitsluitend bij geëvalueerde en goedgekeurde g leveranciers besteld? - bestellingen moeten worden geplaats bij leverancier - met meest gunstige g prijs/kwaliteit verhouding - die aanvaardbare leveringstermijn waarborgt De aankoopdienst loopt een bijzonder risico omdat aankopers vaak door leveranciers worden benaderd. Speciale controlemaatregelen dringen zich op o.a. een systematische personeelsrotatie. 38 38
- plaatsen bestelling - is de bestelling geautoriseerd door - het vereiste bevoegdheidsniveau (organigram)? - het budget? - enkel bestellingen met goedgekeurde g bestelaanvraag - voor iedere bestelling wordt een bestelbon opgemaakt door de aankoopdienst - bestelbon bevat minimaal : - sequentieel ee volgnummer; - besteldatum; - identificatie leverancier; - omschrijving artikel (nummer); - bestelde hoeveelheid; - overeengekomen eenheidsprijs; - bedongen kortingen: - totale bestelprijs; - leveringstermijn; - plaats van levering; - verzendingsmodaliteiten. 39 39
2) ontvangst van de goederen (en diensten) : - bij iedere ontvangst wordt ontvangstbon opgemaakt - goederen worden slecht aanvaard mits goedgekeurde bestelbon - ontvangstbon moet voldoende gedetailleerd zijn (vgl. met bestelbon moet mogelijk zijn) in praktijk wordt vaak een doorslag van bestelbon gebruikt - goederen die niet conform zijn qua kwaliteit/hoeveelheid weigeren - aanvaarde goederen zo snel mogelijk ter beschikking van aanvrager/gebruiker 40 40
3) controle en registratie : - documentenstroom t moet danig georganiseerd zijn dat iedere schuld onmiddellijk in de boekhouding geregistreerd wordt. - de registratie gebeurt bij de boekhoudafdeling/crediteurenadministratie - deze steunt zich op gescheiden bronnen : DOCUMENT Factuur Ontvangstbon Bestelbon BRON Leverancier Goed.ontv.dienst Aankoopdienst - juistheid factuur steunt op toetsing 3 documenten - resultaten controles worden aangetekend op factuur - facturen worden na controle, genummerd en geboekt 41 41
4) betaling : - alle gecontroleerde en akkoord bevonden facturen moeten aan de leveranciers worden betaald binnen de overeengekomen termijn = tijdig niet te vroeg, niet te laat - optimalisatie betalingsvoorwaarden - dubbele betaling moet worden vermeden - correcte registratie van betaling op de leveranciersrekening 42 42
5) magazijnfunctie : - typisch bewarende functie - elke overdracht tussen magazijn en een afdeling gebeurt steeds tegen kwijting voor ontvangst - administratieve stock moet worden bijgehouden door dienst die los staat van magazijnfunctie registrerende functie : registreert in- en uitbewegingen op basis van documenten - opdat de magazijnier zou kunnen bewaren moet voorzien worden in : - afgesloten magazijnruimten - strikte toegangscontrole tot magazijn - orde en netheid in magazijn - geen in- of uitbeweging zonder document van bevoegde dienst - regelmatige inventariscontroles door functionaris die los staat van bewarende en registrerende functie belang gedetailleerde historiek - bijzondere aandacht voor : stockrechtzettingen, verschrooting, gratis leveringen, demo-zendingen, goederen in consignatie, 43 43
44 44
2.A.5 Functiescheidingen beschikkende functies : - goedkeuren van de aankoopopdrachten - ondertekening van de bestelbons - goedkeuring van de aankoopfacturen - ondertekening van de betaalopdrachten - verlenen van toegang tot gegevensbestanden die met aankopen verband houden bewarende functies : - uitschrijven en ondertekenen van ontvangstbonnen - magazijnfunctie - opvolging van aanvragen van creditnota's aan leveranciers 45 45
2.A.5 Functiescheidingen registrerende functies : - uitschrijven van aankoopopdrachten en bestelbonnen - uitschrijven ontvangstbonnen - bijhouden van de boekhouding (inkopen/crediteuren) - voeren van de voorraadadministratie - aanmaak betalingsopdrachten controlerende functies : - afstemmen bestelbon, ontvangstbon en factuur - controle boekhoudkundige registraties met o.a. aansluiting tussen subadministratie en grootboek - inventariscontroles op voorraden - analyse prijsverschillen, aankoopresultaten, partijresultaten - toegangsbeveiliging diverse registraties/bestanden 46 46
Pijlers van een goed ICS functie- scheidingen bevoegdheids- verdeling goedkeurings- procedures risicodetectie en aangepast risicobeheer fysische, mechanische en electronische controles administratieve procedures en documentenstroom budgettering periodieke rapportering onafhankelijke interne audit 47 47
3. BUDGET Budget heeft een taakstellende functie : 1. het bepaalt de objectieven van de organisatie = to do s voor de volgende periode 2. autorisatie van uitgaven om objectieven te realiseren het budget kan gebruikt worden als toetsingsmaatstaf = toetsen of onderneming taken effectief en efficient heeft uitgevoerd. normen waaraan budget moeten voldoen : 1. moet goedgekeurd zijn door ondernemingsleiding 2. moet aangepast zijn aan organisatie voldoende detail 3. moet in relatie staan tot budgetten uit verleden 4. moet in relatie staan tot financiering en liquiditeitsplanning 48 48
4. PERIODIEKE RAPPORTERING = een periodieke en gestructureerde verantwoording omtrent de uitkomsten van het gevoerde beleid normen : 1. moet juist, volledig en tijdig zijn 2. moet voldoen aan informatiebehoefte van de gebruiker 3. moet leesbaar zijn Om de informatiehoeveelheid te beperken kan men rapporteren wat significant afwijkt van het normale : Management by exception reporting by exception 49 49
Wat moet gerapporteerd worden? omzet en brutowinst per artikelgroep deelactiviteit verkooppunt vgl. segmental reporting synthese van de kosten variabele en structurele periodieke resultaten t stand van de voorraad / stand van de bestellingen in uitvoering openstaande saldi + aging klanten en leveranciers stand van de financiële rekeningen personeelsbestand verschillenanalyse (productieondernemingen) vergelijking resultaten met budget toekomstgerichte informatie : orderportefeuille cash-flow prognose vb reporting by exception : - openstaande vorderingen > 60 dagen - verkopen met winstmarge < x% 50 50
structuur ICS = INTERNE CONTROLE STRUCTUUR externe auditor is verplicht de interne controlestructuur van de onderneming te beoordelen vooraleer zijn werkzaamheden aan te vatten wat zijn de elementen van de controlestructuur? Elementen van de controlestructuur 1. controle omgeving = hoe is houding van management t.o.v. controle? ondernemingsfilosofie, leiderschapsstijl communicatiemethode integriteit van de leiding algemene organisatiestructuur 51 51
structuur 2. risico-analyse interne en externe risico's bedreigen de onderneming worden deze risico's onderkend? neemt het management gepaste maatregelen? 3. specifieke controleprocedures worden functiescheidingen georganiseerd? is er een duidelijke documentenstroom? worden transacties en hun registratie getest? (revenue leakages) autorisatie van bepaalde transacties? beveiliging van toegang tot activa? tot bankrekeningen? paswoorden? toetsing aan werkelijkheid (inventariscontrole) toetsing aan ex-ante gegevens (budgetten en voorcalculaties) permanente controle door interne audit-afdeling? 52 52
structuur 4. informatie en accountingsysteem alle personen moeten de juiste informatie krijgen om hun operationele activiteiten te leiden/uit tevoeren 1) boekhoudkundige informatie en verwerking worden de 'geldige transacties op een effectieve wijze geïdentificeerd en vastgelegd? in de juiste tijdsperiode? tegen de juiste waarde? en op een correcte wijze voorgesteld en toegelicht? 2) voorziet het informatiesysteem ook in informatie omtrent externe gebeurtenissen en externe ontwikkelingen die de onderneming beïnvloeden o.a. invloed op waarderingen, indekking,... 3) Loopt de informatie van boven naar beneden en dwars door het bedrijf? = motivatie van medewerkers 53 53
structuur beperkingen van het ICS controle is onderhevig aan misverstanden, beoordelingsfouten zorgeloosheid van het personeel samenspanning Interne controle is geen sleutel tot succes, wel een hulpmiddel om de doelstellingen van de onderneming te bereiken. 54 54
55 55
56 56
57 57
58 58
59 59