Interne en Externe Controle PDF

INTERNE EN EXTERNE CONTROLE BAB – BKR Antwerpen Niels Vanderschelden Bedrijfsrevisor HLB Dodémont Van Impe & Co 1 INHOUD 2 ADMINISTRATIEVE ORGANISATIE EN INTERNE CONTROLE............................................................. 5 2.1 INLEIDING................................................................................................................................ 5 2.2 COSO-MODEL.......................................................................................................................... 5 2.2.1 De drie dimensies van het COSO-model......................................................................... 7 2.3 TYPES VAN INTERNE CONTROLE + BEPERKINGEN INTERNE CONTROLE................................. 9 2.3.1 Types interne controle.................................................................................................... 9 2.3.2 Beperkingen aan interne controle................................................................................. 10 2.4 CONTROLEMAATREGELEN.................................................................................................... 10 2.4.1 Functiescheiding............................................................................................................ 10 2.4.2 Budgettering als intern controlemiddel........................................................................ 11 2.4.3 Gebruik van geschikte formulieren............................................................................... 11 2.4.4 Beveiliging van activa.................................................................................................... 11 2.5 TOEPASSING 1: INTERNE CONTROLE OP DE AANKOOPCYCLUS............................................ 12 2.5.1 Algemeen....................................................................................................................... 12 2.5.2 Overzicht aankoopcyclus............................................................................................... 12 2.5.3 Bespreking van de interne controles binnen de aankoopcyclus................................... 14 2.5.4 Controle en registratie.................................................................................................. 15 2.5.5 Betaling.......................................................................................................................... 16 2.5.6 Magazijnfunctie............................................................................................................. 16 2.5.7 Functiescheidingen........................................................................................................ 17 2.5.8 Aandachtspunten interne controle aankopen (vaak voorkomende zwakheden inzake de interne controle-omgeving)..................................................................................................... 18 2.6 TOEPASSING 2: INTERNE CONTROLE OP DE VERKOOPSCYCLUS........................................... 19 2.6.1 Behandeling van de bestellingen.................................................................................. 19 2.6.2 Levering van de bestellingen......................................................................................... 19 2.6.3 Facturatie....................................................................................................................... 19 2.6.4 Controle en registratie.................................................................................................. 20 2.6.5 Ontvangst betaling........................................................................................................ 20 2.6.6 Bijzondere aspecten...................................................................................................... 21 2.6.7 Cijferanalyse.................................................................................................................. 21 2.6.8 Functiescheidingen........................................................................................................ 22 Pagina 1 van 120 2.6.9 Aandachtspunten interne controle verkopen (vaak voorkomende zwakheden inzake de interne controle-omgeving)..................................................................................................... 22 2.7 TOEPASSING 3: INTERNE CONTROLE OP DE FINANCIËLE CYCLUS......................................... 24 2.7.1 Contant geldverkeer...................................................................................................... 24 2.8 TOEPASSING 4: INTERNE CONTROLE OP DE PERSONEELSCYCLUS........................................ 26 2.8.1 Inleiding......................................................................................................................... 26 2.8.2 Functiescheidingen........................................................................................................ 26 2.8.3 Verbandcontroles.......................................................................................................... 27 2.8.4 Cijferanalyses................................................................................................................. 27 2.8.5 Bijzondere controles...................................................................................................... 27 2.9 TOEPASSING 5: INTERNE CONTROLE OP DE INVESTERINGSCYCLUS..................................... 28 2.9.1 Algemeen....................................................................................................................... 28 2.9.2 Functiescheidingen........................................................................................................ 28 2.10 TOEPASSING 6: INTERNE CONTROLE BIJ GEAUTOMATISEERDE GEGEVENSVERWERKING... 31 2.10.1 Algemeen....................................................................................................................... 31 2.10.2 Controlemaatregelen.................................................................................................... 32 2.11 INTERNE AUDIT...................................................................................................................... 39 2.11.1 Definitie van intern audit + analyse van de defintie..................................................... 39 2.11.2 Positie van de interne auditafdeling binnen de organisatie......................................... 40 2.12 VOORBEELDEN VAN VRAGENLIJSTEN TER EVALUATIE VAN DE INTERNE CONTROLE........... 43 2.12.1 Aankopen....................................................................................................................... 43 2.12.2 Verkopen....................................................................................................................... 48 2.12.3 Personeelscyclus............................................................................................................ 54 2.12.4 Vaste activa................................................................................................................... 58 2.12.5 Kas en bankverrichtingen.............................................................................................. 62 2.12.6 Voorraad........................................................................................................................ 67 3 EXTERNE CONTROLE...................................................................................................................... 72 3.1 ISA-STANDAARDEN................................................................................................................ 72 3.1.1 Inleiding......................................................................................................................... 72 3.1.2 Structuur van de ISA’s................................................................................................... 72 3.1.3 Indeling van de ISA’s...................................................................................................... 72 3.1.4 Reikwijdte van de ISA’s (ISA 200).................................................................................. 73 Pagina 2 van 120 3.1.5 Doel van de controle van financiële overzichten (ISA 200)........................................... 74 3.2 BEWERINGEN VAN HET MANAGEMENT............................................................................... 75 3.2.1 Completeness of volledigheid....................................................................................... 75 3.2.2 Existence/occurence of bestaan/voorkomen............................................................... 75 3.2.3 Accuracy of accuraatheid.............................................................................................. 75 3.2.4 Valuation/allocation of waardering/toewijzing............................................................ 76 3.2.5 Rights and obligations of rechten en verplichtingen..................................................... 76 3.2.6 Presentation and Disclosure of presentatie en toelichting........................................... 76 3.2.7 Beweringen van het management: toepassing op de verkoopscyclus......................... 77 3.2.8 Beweringen van het management: toepassing op de voorraden................................. 78 3.3 BEGRIP MATERIALITEIT (ISA 200 en ISA 320)........................................................................ 79 3.3.1 Algehele materialiteit.................................................................................................... 79 3.3.2 Uitvoeringsmaterialiteit................................................................................................ 80 3.3.3 Hoe algehele materialiteit berekenen?......................................................................... 80 3.3.4 Cumuleren van geïdentificeerde afwijkingen (summary of audit differences / insignifant threshold).................................................................................................................... 80 3.3.5 Verband tussen materialiteit en auditrapport.............................................................. 81 3.4 CONTROLERISICO.................................................................................................................. 83 3.5 DE VIER FASEN VAN DE AUDIT.............................................................................................. 84 3.5.1 Fase 1: Plannen en bepalen van de auditaanpak.......................................................... 84 3.5.2 Fase II: Uitvoeren van test of controls en substantieve transactietesten..................... 85 3.5.3 Fase III: Uitvoeren van analytische controleprocedures en detailtesten...................... 86 3.5.4 Fase IV: Afwerken van de audit en uitbrengen van het auditrapport........................... 88 3.6 SOORTEN BEWIJSMATERIAAL............................................................................................... 89 3.6.1 Inleiding......................................................................................................................... 89 3.6.2 Fysische inspectie.......................................................................................................... 89 3.6.3 Confirmaties.................................................................................................................. 90 3.6.4 Onderzoek van documentatie....................................................................................... 92 3.6.5 Analytische procedures................................................................................................. 93 3.6.6 Bevragingen van de onderneming................................................................................ 94 3.6.7 Heruitvoering................................................................................................................. 95 3.6.8 Observatie..................................................................................................................... 95 Pagina 3 van 120 3.7 VOORBEELDEN VAN CONTROLEPROGRAMMA’S.................................................................. 96 3.7.1 Controleprogramma voor verkopen............................................................................. 96 3.7.2 Controleprogramma voor de aankopen...................................................................... 100 3.7.3 Controleprogramma van de voorraden...................................................................... 103 3.7.4 Controleplan voor contant geld en banken................................................................ 109 3.7.5 Controleprogramma voor de uitgaven als kapitaalinvesteringen (CAPEX)................. 110 3.7.6 Controleplan voor de schulden................................................................................... 113 3.7.7 Controleplan van het eigen vermogen........................................................................ 117 3.7.8 Controleplan voor de loonkosten (personeelskosten)................................................ 119 Pagina 4 van 120 2 ADMINISTRATIEVE ORGANISATIE EN INTERNE CONTROLE 2.1 INLEIDING Een organisatie is een samenwerking van mensen en middelen gericht op het realiseren van doelstellingen. Bij de ondernemingen is een belangrijke doelstelling het streven naar winst, naar een optimale verhouding tussen kosten en opbrengsten. Om deze doelstelling na te streven is er nood aan betrouwbare informatie. Deze informatie komt vanuit de administratieve organisatie. Om betrouwbare informatie te bekomen is er nood aan een goed intern controlesysteem. Onder betrouwbare informatie wordt er in deze begrepen dat er een redelijke mate van zekerheid is dat de informatie correct is. Dit is fundamenteel verschillend van absolute zekerheid. Absolute zekerheid bestaat immers niet of toch zeker niet op een kostenefficiënte manier. Intern controlesysteem: Het geheel van maatregelen en procedures om een redelijke mate van zekerheid te bekomen dat de administratieve organisatie de betrouwbare informatie aanlevert zodat de leidinggevenden met kennis van zaken beslissingen kunnen nemen. 2.2 COSO-MODEL Het COSO-model is een managementmodel dat in 2002 ontwikkeld is door The Committee Of Sponsoring Organizations of the Threadway Commission (COSO). Dit is een comité dat opgericht is door een aantal private organisaties naar aanleiding van een aantal boekhoudschandalen en fraudegevallen. Dit comité heeft een aantal aanbevelingen en richtlijnen gegeven ten aanzien van interne controle en interne beheersing. In 2004 is er een actualisatie gebeurd van het model waarbij er een aantal elementen werden toegevoegd en aangepast. Dit aangepast model richt zich niet enkel meer op de interne controle, maar op het gehele interne beheersingssysteem en staat bekend als COSO II of Entreprise Risk Management Framework1 (COSO ERM). Het COSO-model biedt een kader voor organisaties om hun interne controlesystemen te managen en te verbeteren. Het COSO-model wordt als standaard referentiemodel gebruikt 1 https://nl.wikipedia.org/wiki/COSO Pagina 5 van 120 door tal van organisaties. Het COSO-model is gebaseerd op het uitgangspunt dat elke organisatie in eerste instantie actief is om meerwaarde te creëren voor haar belanghebbenden. Vaak geldt hoe groter het risico van een genomen beslissing is, hoe hoger het (potentieel) rendement. In een snel wijzigende omgeving ontstaat vaak onzekerheid en dit biedt zowel risico’s als kansen2. Organisaties zijn actief in een omgeving waar factoren als globalisering, technologie, herstructureringen, veranderende markten, concurrentie en regelgeving onzekerheden kunnen creëren. Deze onzekerheden bieden zowel risico’s als kansen. Het COSO-model biedt organisaties: De mogelijkheid om risico’s te beheren binnen hun risicobereidheid Zekerheid en kennis omtrent risico’s Een raamwerk om te voldoen aan de vereisten van wet- en regelgeving Door de toepassing van het COSO-model wordt er getracht om bedrijfsmislukkingen en schandalen zoveel mogelijk te voorkomen met als ultiem doel het bieden van maximale waarde aan de belanghebbenden. Het intern controlekader van COSO wordt over het algemeen gepresenteerd als een kubus. 2 https://www.toolshero.nl/management-modellen/coso-model/ Pagina 6 van 120 2.2.1 De drie dimensies van het COSO-model 2.2.1.1 De beheersingscomponenten 1) De interne omgeving Het management stelt een filosofie op met betrekking tot risico’s en geeft daarmee de risicobereidheid van de organisatie aan. De interne omgeving legt de basis van het idee hoe risico’s worden bekeken en hoe daarop geanticipeerd wordt. Het is van cruciaal belang dat het management het belang van deze filosofie laat zien op alle niveaus van de onderneming en ook naar deze filosofie handelt (‘tone at the top’). 2) Bepalen van doelstellingen Doelstellingen moeten worden vastgesteld vooraleer het management potentiële gebeurtenissen kan identificeren die van invloed zijn op de prestaties en de resultaten. Het COSO-model zorgt ervoor dat het management beschikt over een proces of tool om doelen te stellen en ervoor te zorgen dat de gekozen doelen aansluiten bij de missie van de organisatie en consistent zijn met de risicobereidheid. 3) Identificatie van gebeurtenissen Het is van primordiaal belang dat het vaststellen van gebeurtenissen die mogelijk van invloed zijn op de doelstellingen uitgevoerd wordt voor zowel de interne controle als de externe omgeving. Hieronder vallen de gebeurtenissen die mogelijk kansen met zich meebrengen. Gebeurtenissen die zowel de interne controle als de externe omgeving beïnvloeden moeten met extra zorgvuldigheid afgehandeld worden. 4) Risicobeoordeling De geïdentificeerde risico’s moeten worden geanalyseerd voordat vastgesteld kan worden hoe deze moeten worden beheerd. In deze analyse dient er rekening gehouden te worden met het risicogewicht als de impact. Dit is een doorlopend proces, wat betekent dat de risicobeoordeling doorlopend dient uitgevoerd worden. 5) Risicobeheersingsmaatregelen Nadat de risico’s zijn vastgesteld en beoordeeld identificeert en evalueert men de mogelijke reacties op de risico’s. Mogelijke reacties kunnen zijn: Vermijden van de geïdentificeerde risico’s Accepteren van de geïdentificeerde risico’s Verminderen van risico’s Delen van risico’s Het management selecteert een reeks acties om risico’s af te stemmen op de risicotolerantie en de risicobereidheid van de organisatie. Pagina 7 van 120 6) Cont Controlemaatregelen rolemaatregelen Nadat de risico’s, de maatregelen en reacties hierop zijn vastgesteld worden procedures opgesteld of het beleid aangepast om ervoor te zorgen dat de geselecteerde risicobeheersingsmaatregelen zorgvuldig en effectief wordt uitgevoerd. 7) Info Informatie rmatie & communicatie De gelopen risico’s en de genomen maatregelen dienen worden vastgelegd (gedocumenteerd) en op afdoende wijze gecommuniceerd naar de betrokken/relevante medewerkers op alle niveaus van onderneming. 8) Monitoring Het volledige COSO ERM proces wordt bewaakt en indien nodig gewijzigd. In een snel veranderende omgeving is het adequaat en dynamisch handelen en reageren vereist om schade te beperken of kansen te benutten. 2.2.1.2 De activiteiten Het risicobeheer is niet strikt een serieproces, waarbij de ene component alleen invloed heeft op de volgende component(en). Het is echter een multidimensionaal proces waarbij elk onderdeel ook de andere onderdelen kan beïnvloeden. Het proces dient daarom toegepast te worden op alle niveaus van een onderneming: Het geheel van de organisatie De organisatiedivisies De bedrijfseenheden De dochterondernemingen 2.2.1.3 De organisatiedoelstellingen Het ERM-model is erop gericht op het bereiken van de doelstellingen van een organisatie, uiteengezet in onderstaande 4 categorieën. Het managen van de risico’s binnen deze vier categorieën zal meerwaarde creëren voor de belanghebbenden binnen de organisatie, omdat het weergeeft hoe het gesteld is met de risicobereidheid van de organisatie. 1) Strategisch Deze doelstellingen zijn vastgelegd op hoog niveau en zijn afgestemd op de missie en de visie van een bedrijf. Pagina 8 van 120 2) Operations Deze doelstellingen hebben betrekking op de handelingen die een bedrijf uitvoert om de vastgelegde doelstellingen te halen en worden getoetst op effectiviteit en efficiëntie. 3) Rapportage Deze doelstellingen geven de behoefte weer aan betrouwbare informatie binnen de entiteit. 4) Compliance De doelstellingen onder compliance verwijzen naar de behoefte van een organisatie om te voldoen aan de relevante wet- en regelgeving. 2.3 TYPES VAN INTERNE CONTROLE + BEPERKINGEN INTERNE CONTROLE3 2.3.1 Types interne controle Er kunnen drie types van interne controles/maatregelen onderscheiden worden: 1) Preventieve maatregelen Dit zijn controles en maatregelen ter voorkoming van fouten en fraude (ex-post controles). Voorbeelden hiervan zijn: o Functiescheiding (zie infra) o Handtekeningsbevoegdheid o Kredietwaardigheidsonderzoek bij aanvaarding nieuwe klanten o ICT-beveiligingen (firewalls, virusscanners…) 2) Repressieve maatregelen Maatregelen ter ontdekking of ter opsporing van fouten en onregelmatigheden (ex- ante controles). Voorbeelden hiervan zijn: o Ratio-analyses/ cijferanalyses: controle op brutomarges, controle op toegestane kortingen o Periodieke voorraadcontroles (cycle counting) o Tussentijdse confirmaties (zie ook meer hierover in het deel externe controle) 3) Corrigerende maatregelen Maatregelen die fouten rechtzetten of sanctioneren. In dit geval is er dus een fout gebeurd. Er wordt hierbij niet enkel gezocht naar een oplossing voor het probleem zelf, maar ook naar een oplossing zodat het probleem zich niet meer kan voordoen in de toekomst. 3 IBR-studies, Inleiding tot de interne controle, jan 1994, onder leiding van Willy Groffils met bijdragen van Lieven Acke, Johan Christiaens, Michel J. De Samblanx, Daniel Lebrun en Luc Van Bael Pagina 9 van 120 Voorbeelden hiervan zijn: o Personeelsleden aanspreken op hun acties / gedragingen / nalatigheden o Extra controle uitvoeren bij het verzenden van de goederen vanuit het magazijn 2.3.2 Beperkingen aan interne controle Zoals reeds aangehaald beoogt de interne controle het bekomen van een redelijke mate van zekerheid dat de aangeleverde informatie correct is. Absolute zekerheid kan echter niet bekomen worden en dit omwille van de beperkingen van de interne controle. Er dient ook gewezen te worden op het feit dat risico’s eigen zijn aan het ondernemen. Wie niet bereid is om risico’s te nemen/te aanvaarden wordt beter geen ondernemer. Volgende beperkingen worden meestal onderscheiden: Economische beperkingen (kosten-batenanalyse / voldoende budget ter beschikking / onvoldoende groot personeelsbestand ter beschikking) Technische beperkingen (ICT). Deze beperking is in deze tijden minder relevant en is meestal een verkapte vorm van economische beperking Ingrijpen van hoger management (management override of internal controls) Samenzweringen tussen personeel onderling 2.4 CONTROLEMAATREGELEN4 2.4.1 Functiescheiding Een bijzondere vorm van interne controle en indien goed gevolgd een zeer effectieve/efficiënte vorm van interne controle is de functiescheiding. Volgende functies dienen idealiter gescheiden te zijn (d.w.z. niet bij dezelfde personen): Beschikkende functie Dit is ook de beherende/goedkeurende/autoriserende functie. Deze functie neemt beslissingen aangaande het inzetten van ondernemingsactiva. Vb: het uitbrengen van een verkooporder door de verkoopafdeling en dit tegen een bepaalde prijs. Bewarende functie Bewaart en bewaakt de vennootschapsgoederen. Vb: de magazijnier van het voorraadmagazijn. Registerende functie Verzamelt de benodigde informatie, legt administratief de beslissingen vast genomen door de beschikkende functies en de resultaten van de bewarende functies. Vb: de facturatie. 4 IBR-studies, Inleiding tot de interne controle, jan 1994, onder leiding van Willy Groffils met bijdragen van Lieven Acke, Johan Christiaens, Michel J. De Samblanx, Daniel Lebrun en Luc Van Bael Pagina 10 van 120 Controlerende functie Beoordelen van de vorige drie functies, nagaan of normen en procedures voorgeschreven voor vorige functies worden gerespecteerd. In kleinere organisaties kunnen er binnen dezelfde functie bepaalde taken gecombineerd worden (bijvoorbeeld één persoon is verantwoordelijk voor de bewarende functie binnen de verkopen en de aankopen). Een combinatie van verschillende functies door eenzelfde persoon is echter niet mogelijk, want dan is er geen voldoende functiescheiding meer. Bij quasi iedere fraude is er hetzij: o Onvoldoende functiescheiding o Management override / samenzwering waarbij de functiescheiding niet gevolgd wordt 2.4.2 Budgettering als intern controlemiddel Een budget dat goed opgemaakt is, kan een zeer efficiënte controlemaatregel zijn. Het budget is en blijft een schatting, maar de toetsing van het budget met de werkelijke tussentijdse cijfers zorgt voor een vroege opsporing van de afwijkingen en het waarom van deze afwijkingen. Het werken met een algemeen aanvaard budget vermindert het risico dat er afgeweken wordt van de doelstellingen voor wat betreft de kosten, investeringen en personeelsbeleid. 2.4.3 Gebruik van geschikte formulieren Het gebruik van geschikte formulieren/checklists in een organisatie zorgt vaak voor efficiënte en een correcte werkwijze waarbij de naleving van de interne controlemaatregelen beter gewaarborgd wordt. Aan de hand van de vooraf genummerde documenten kunnen bepaalde controles (volledigheid /cut-off) van bepaalde processen vergemakkelijkt worden en wordt de kans op fraude en fouten beperkt. Op deze formulieren wordt meestal ook de persoon of functie vermeld die moet paraferen of handtekenen zodat er ook de controle of de interne controleprocedure gevolgd is achteraf makkelijk kan gebeuren en men desgevallend de betrokken persoon kan aanspreken/bijsturen indien nodig. 2.4.4 Beveiliging van activa Hierbij kan er gedacht worden aan het goed afsluiten van het bedrijfsdomein, het goed beveiligen van diefstalgevoelige items (zoals cash geld…). Ook de beveiliging van de ICT-omgeving is een heel belangrijk gegeven. Pagina 11 van 120 2.5 TOEPASSING 1: INTERNE CONTROLE OP DE AANKOOPCYCLUS5 2.5.1 Algemeen De aankoopactiviteiten van een onderneming betreffen in wezen een ruilproces, namelijk waarden van de onderneming (geldmiddelen) worden geruild tegen verwerving van goederen of diensten. In een handelsonderneming is het aankoopvolume meestal omvangrijk en bestaat voornamelijk uit handelsgoederen. Uit de aard van het ondernemingsproces volgt bij een handelsonderneming dat een groot gedeelte van het totale kostenvolume nodig voor het verwezenlijken van de handelsactiviteiten door de aankopen van de handelsgoederen vertegenwoordigd wordt. De volgende aankopen kunnen onderscheiden worden: - Aankopen grondstoffen - Aankopen hulpstoffen - Aankopen handelsgoederen - Aankopen verbruiksinstrumenten - Aankopen diensten en diverse goederen 2.5.2 Overzicht aankoopcyclus Binnen de aankoopcyclus zijn de volgende, elkaar opeenvolgende, operaties te onderscheiden: - Identificatie van de aankoopbehoefte - Evaluatie van de kandidaat-leveranciers - Keuze van de leverancier - Bestelling - Goederenontvangst - Kwaliteitscontrole - Factuurregistratie en -controle - Betaling Bij het doorlopen van de aankoopcyclus worden een aantal documenten gegenereerd. Als voornaamste kunnen worden weerhouden: 5 IBR-studies, Inleiding tot de interne controle, jan 1994, onder leiding van Willy Groffils met bijdragen van Lieven Acke, Johan Christiaens, Michel J. De Samblanx, Daniel Lebrun en Luc Van Bael Pagina 12 van 120 - Bestelaanvraag: dit is de aanvraag die de onderscheiden ondernemingsdepartementen moeten richten tot de aankoopdienst om de goederen aan te kopen - Bestelbrief: in de bestelbrief of -bon legt de aankoopdienst de omschrijving, de hoeveelheid, de prijs, de conditionering, het leveringsadres en eventuele andere bijzondere modaliteiten van de aankoop vast - Ontvangstbon: Via dit document wordt de ontvangst van de goederen geregistreerd en worden alle mogelijke opmerkingen die uit de hoeveelheidscontrole en de kwaliteitscontrole blijken geregistreerd. - Aankoopfactuur - Betalingsdocumenten: dit zijn de overschrijvingsbewijzen, bankrekeninguittreksels of de uitgegeven cheques om de leveranciers te betalen. Samenvattend kan het proces van het verloop van de aankoopcyclus als volgt weergegeven worden: - De diverse departementen in de onderneming nemen het initiatief om, binnen de hun gedelegeerde bevoegdheden, door middel van een bestelaanvraag een opdracht uit te vaardigen6 - De goederenontvangst-dienst neemt de geleverde goederen in ontvangst tegen kwijting aan de transporteurs (meestal aftekenen van leveringsdocumenten/CMR). Er vooraleer deze CMR ondertekend wordt door de magazijnier nagegaan of de goederen naar kwaliteit en kwantiteit overeenstemmen met de bestelde goederen. De ontvangst van de goederen wordt vervolgens op een ontvangstbon geregistreerd. Op deze ontvangstbon worden tevens alle mogelijke opmerkingen die uit de hoeveelheidscontrole en kwaliteitscontrole naar voren komen genoteerd - De magazijnorganisatie is er verantwoordelijk voor dat een goed dat besteld is en in de onderneming binnenkomt onder de juiste voorwaarden en in een voldoende beveiligde omgeving bewaard wordt - Als de aankoopfacturen ontvangen worden, dienen zij aan de hand van de bestelling en de ontvangstnota goedgekeurd te worden. Dit is de zogenaamde ‘3-way match’. Er gebeurt een afstemming aan de hand van drie deelfasen, namelijk de bestelling (fase 1), de ontvangst van de goederen (fase 2) en de factuur van de goederen (fase 3). Zodoende kan er nagegaan worden of de gefactureerde goederen wel degelijk besteld zijn en ook geleverd zijn binnen de onderneming. Deze taak gebeurt meestal door de dienst boekhouding. - De betalingsorganisatie dient zodanig georganiseerd te zijn dat goedgekeurde aankoopfacturen tijdig betaald worden. 6 In sommige grotere organisaties wordt er al dan niet een afzonderlijk, gecentraliseerd en gespecialiseerd orgaan, nl. de aankoopdienst gecreëerd. Deze dienst heeft idealiter geen eigen verantwoordelijkheid inzake autorisatie, bewaring of controle van aankopen; Wel staat deze dienst ten dienste van alle departementen in de onderneming om de effectieve aankoop te verrichten. Pagina 13 van 120 2.5.3 Bespreking van de interne controles binnen de aankoopcyclus 2.5.3.1 Uitvaardigen van bestellingen De uitvaardiging van een bestelling is het resultaat van een reeks van acties: Identificatie van de aankoopbehoefte door de operationele diensten; Melding van deze behoefte via een bestelaanvraag aan de aankoopdienst; Onderhandelingen tussen de leveranciers en aankoopdienst Autorisatie tot bestelling door het bevoegde orgaan Vanuit het punt van de interne controle dienen deze acties volgens bepaalde principes gestroomlijnd te worden: - Identificatie van de aankoopbehoefte: o Tijdige identificatie teneinde een voldoende voorraadniveau te waarborgen zodat de continuïteit van de operationele activiteiten gewaarborgd wordt. o Accurate identificatie teneinde: De opbouw van een onbruikbare voorraad te vermijden Bestelkosten te minimaliseren Voorraadkosten te minimaliseren - Inzake opmaak van aankoopopdracht: o Binnen het organigram van de onderneming moet duidelijk worden aangegeven aan wie de bevoegdheid toekomt om aankoopopdrachten aan de aankoopafdeling te geven; o Verzekerd worden dat elke aankoopopdracht tijdig en volgens de correcte weg leidt tot het plaatsen van een bestelling bij de leverancier (voorgedrukte, eventueel voorgenummerde formulieren). Deze formulieren dienen voldoende duidelijk en volledig te zijn om een correcte bestelling te kunnen plaatsen. o Er dient enkel besteld te worden bij geëvalueerde en goedgekeurde leveranciers met de meest gunstige prijs/kwaliteitsverhouding en die tevens aanvaardbare leveringstermijnen kunnen waarborgen - Inzake het plaatsen van bestellingen: o De bestelling is goedgekeurd door het vereiste bevoegdheidsniveau o Er worden geen bestellingen geplaatst die niet op een goedgekeurde aankoopopdracht steunen o Van iedere bestelling wordt een bestelbon opgemaakt en dit uitsluitend door de aankoopdienst o De bestelbon dient minimaal volgende gegevens te bevatten: Sequentieel volgnummer Besteldatum Identificatie leverancier Omschrijving artikel (nummer) Bestelde hoeveelheid Pagina 14 van 120 Overeengekomen eenheidsprijs Bedongen kortingen Totale bestelprijs Leveringstermijn Plaats van levering Verzendingsmodaliteiten 2.5.3.2 Ontvangst van goederen en diensten Alle geleverde en bestelde goederen dienen gecontroleerd te worden op het vlak van hoeveelheid en kwaliteit. Volgende principes dienen hierbij gevolgd te worden: o Bij iedere ontvangst dient onmiddellijk een ontvangstbon te worden opgemaakt door de ontvangstafdeling (in de praktijk is het vaak zo dat de leveringsbon die de goederen vergezelt dienst doet als ontvangstbon) o Goederen worden slechts aanvaard als er een voldoende geautoriseerde bestelbon aanwezig is o De ontvangstbon dient voldoend gedetailleerd te zijn teneinde de aansluiting met de bestelbon en de latere factuur mogelijk te maken o Leveringen die niet voldoen aan de eisen van kwaliteit en eventueel qua hoeveelheid worden formeel geweigerd door de ontvangende dienst. De ontvangende dienst kan niet autonoom beslissen of deze goederen al dan niet mogen ontvangen worden o Aanvaarde goederen worden zo snel mogelijk ter beschikking gesteld van de aanvrager/gebruiker 2.5.4 Controle en registratie Iedere levering dient zonder uitstel een aangepaste registratie te krijgen in de boekhouding. De boekhouding dient de facturen goed te keuren. Hierbij is de 3-way match uitermate belangrijk. Er dient hierbij een afstemming gemaakt te worden tussen de volgende documenten: o De bestelbon o De ontvangstbon o De factuur Volgende punten zijn belangrijk ten aanzien van deze registratie van facturen: Pagina 15 van 120 o Alle facturen worden rechtstreeks ontvangen door de crediteurenadministratie o Alle facturen worden onderworpen aan de 3-way match o Alle facturen worden genummerd o De facturen worden verwerkt op de geëigende rekeningen in het rekeningenstelsel en indien van toepassing tegen de juiste prijzen in de voorraadadministratie 2.5.5 Betaling Eindstadium van de aankoopcyclus vormt de uitvoering van de betaling en de registratie van deze betaling. Er dient verzekerd te worden dat de betaling gebeurt binnen de overeengekomen termijnen. Belangrijk hierbij is dat: o De betaling tijdig (niet vroeg- of laattijdig) geschiedt o De betalingsvoorwaarden optimaal worden benut (korting contant) o Enkel gecontroleerde en goedgekeurde facturen voor betaling in aanmerking komen o Dubbele betalingen worden vermeden o De betalingen gebeuren op het correcte bankrekeningnummer van de leverancier o De betaling correct wordt geregistreerd in de leveranciersrekeningen o De handtekeningsbevoegdheden7 gerespecteerd worden. 2.5.6 Magazijnfunctie Dit is een typisch bewarende functie die idealiter losstaat van de afdeling van de goederenontvangst en van de afdeling die de goederen verzenden en ook los staat van alle beschikkende en registrerende functies (zie ook supra, sectie aangaande functiescheidingen). Overdrachten tussen het magazijn en de afdelingen goederenontvangst/goederenverzending dienen ondersteund te worden door onderliggende documenten. 7 Met handtekeningsbevoegdheden zijn meestal gebonden aan de grootte van de betaling. Bijvoorbeeld: Voor iedere betaling dienen minstens 2 daartoe bevoegde personen te tekenen alvorens de betaling uitgevoerd wordt. Indien het totaalbedrag van de betalingen meer dan 25.000 EURO is, dient nog een derde bevoegde persoon bijkomend te tekenen. Er kunnen naast betalingen groter dan een bepaald bedrag ook andere beperkingen zijn, bijvoorbeeld voor betalingen naar bepaalde landen dient er een additionele goedkeuring te gebeuren door een additionele bevoegde persoon. Ook bijvoorbeeld voor betalingen aan bepaalde bankrekeningen (bijvoorbeeld bankrekeningen van personeel) dient er bijvoorbeeld een additionele goedkeuring te zijn van een bevoegd lid van de personeelsdienst. Deze beperkingen in handtekeningsbevoegdheden worden meestal afgedwongen in samenspraak met de bank in de onderliggende betalingsapplicatie. Pagina 16 van 120 De administratieve stock dient bijgehouden te worden door een dienst die functioneel losstaat van de magazijnfunctie. Deze registrerende taak wordt verricht aan de hand van onderliggende documenten met betrekking tot de inkomende en uitgaande bewegingen. De magazijnfunctie mag echter wel de stock consulteren en ook bepaalde welomlijnde handelingen uitvoeren (zoals het aanbrengen/wijzigen van stocklocaties…). De controlerende functie dient op permanente wijze de aansluitingen vast te stellen: Aankoopfacturen/ontvangst van goederen en boekingen in de voorraadadministratie Verkoopfacturen/uitlevering van goederen en de afboeking in de voorraadadministratie Opdat de magazijnier zijn bewarende functie kan vervullen die, moet voorzien worden in een aantal procedures zoals: Afsluiting van de magazijnruimten voor andere operationele afdelingen Geen toegang tot het magazijn voor onbevoegden Orde en netheid in de magazijnen Geen enkele inkomende en uitgaande beweging zonder document afkomstig van bevoegde diensten en te registreren door de administratieve dienst Vanuit controle-oogpunt is het tevens belangrijk dat er bijzondere aandacht besteed wordt aan de volgende zaken: Regelmatige (op basis van steekproef of op rotatie) inventariscontrole door een persoon onafhankelijk van de bewarende en de registrerende functies. Om eventuele voorkomende voorraadverschillen te kunnen analyseren en te inventariseren is het van belang te beschikken over een gedetailleerde historiek van alle voorraadbewegingen. In deze historiek dient er voor elke stockmutatie gerefereerd te worden naar het betreffende document. Bijzondere aandacht dient besteed te worden aan de procedures/autorisaties met betrekking tot stockrechtzettingen, verschrooting, gratis leveringen, demozendingen, consignatiestock… 2.5.7 Functiescheidingen 2.5.7.1 Beschikkende functies met betrekking tot de aankopen Goedkeuren van aankoopopdrachten Ondertekening van bestelbonnen Goedkeuring van aankoopfacturen Ondertekening van betaalopdrachten Verlenen van toegang tot gegevensbestanden die met aankopen verband houden Pagina 17 van 120 2.5.7.2 Bewarende functies met betrekking tot de aankopen Uitschrijven en ondertekenen van ontvangstbonnen Magazijnfunctie Opvolging van aanvragen creditnota’s aan leveranciers 2.5.7.3 Registrerende functies met betrekking tot de aankopen Uitschrijven van aankoopopdrachten en bestelbonnen Uitschrijven van ontvangstbonnen Bijhouden van de boekhouding (inkopen/crediteuren) Voeren van een voorraadadministratie Aanmaak betalingsopdrachten 2.5.7.4 Controlerende functies met betrekking tot de aankopen Afstemmen bestelbon, ontvangstbon en factuur (3-way match) Controle boekhoudkundige registratie met o.a. aansluiting tussen subadministratie grootboek Inventariscontrole op voorraden Toegangsbeveiliging tussen de verschillende modules/bestanden Controle op de creatie/wijziging van de leveranciersgegevens (bij voorkeur voorafgaandelijke(ex ante) controle). 2.5.8 Aandachtspunten interne controle aankopen (vaak voorkomende zwakheden inzake de interne controle-omgeving) Onkostennota’s Wijziging leveranciersgegevens (masterdata van de leveranciers, bankrekeninggegevens van de leveranciers…). Pagina 18 van 120 2.6 TOEPASSING 2: INTERNE CONTROLE OP DE VERKOOPSCYCLUS8 2.6.1 Behandeling van de bestellingen De verkoopafdeling zorgt dat alle binnenkomende bestellingen systematisch en chronologisch worden geregistreerd (doorlopende nummering bestelbonnen), teneinde de later uitvoering te kunnen opvolgen. De commerciële dienst is verantwoordelijk voor de bestelbonnen wat betreft de verkoopprijzen, kortingen en betalingscondities. De financiële directie controleert de kredietwaardigheid van de klant door toetsing aan de intern vastgelegde kredietlimieten en betalingscondities. Eénmaal de bestelling formeel aanvaard is, wordt dit bevestigd aan de klant en worden de nodige maatregelen genomen om de leveringen tijdig aan de klant te waarborgen. 2.6.2 Levering van de bestellingen De verkoopafdeling geeft door middel van een door haar opgestelde leveringsbon opdracht aan het magazijn om de goederen uit stock te nemen en aan de expeditieafdeling over te dragen. Hetzelfde document geeft tevens opdracht aan de expeditie de goederen klaar te maken voor verzending en over te dragen aan de transporteur. Deze laatste draagt op zijn beurt de goederen over aan de klant. Het is evident dat een goede interne controle vereist dat voornoemde opeenvolgende overdrachten steeds gebeuren met getekende documenten, waarbij de ontvangende partij verantwoordelijk is om te controleren of de overgedragen goederen overeenstemmen met de specificaties volgens de leveringsbon. Interne procedures dienen zo opgesteld te zijn dat de magazijnier geen uitgiften van goederen mag verrichten zonder leveringsbon opgesteld door de verkoopafdeling. Na aflevering aan de klant gaat een door deze klant getekend exemplaar van de leveringsbon terug naar de verkoopafdeling. 2.6.3 Facturatie De door de klant voor ontvangst getekende levering vormt tesamen met de bestelbon de basis voor de opmaak van de verkoopfactuur (de zogenaamde 3-way match). De interne controle dient te waarborgen dat alle uitleveringen volledig, tijdig en tegen de juiste verkoopprijzen gefactureerd worden. 8 IBR-studies, Inleiding tot de interne controle, jan 1994, onder leiding van Willy Groffils met bijdragen van Lieven Acke, Johan Christiaens, Michel J. De Samblanx, Daniel Lebrun en Luc Van Bael Pagina 19 van 120 In de meeste geïnformatiseerde systemen bestaat er voor de verkoopscyclus een automatische koppeling/match tussen de opmaak van een bestelbon, de leveringsbon en de factuur. Een dergelijke koppeling/match laat toe om op eenvoudige wijze na te gaan welke bestelbonnen nog niet werden uitgeleverd of welke leveringen nog niet werden gefactureerd. Een goed uitgebouwd IT-systeem waar de nodige functiescheidingen zijn in ingebouwd is een belangrijke versterking van de interne controle. Bijzondere punten van controle/aandachtspunten betreffen de in het facturatieproces te hanteren verkoopprijzen, kortingen, etc. In deze dient er een strikte autorisatieprocedure voorzien te worden alsmede een continue bewaking/toetsing opdat de correcte tarieven zouden worden toegepast. 2.6.4 Controle en registratie De facturatie van de verkopen dient zonder uitstel en op systematische wijze worden geregistreerd in de boekhouding. De feitelijke registratie valt onder de verantwoordelijkheid van de boekhouding en vindt plaats op basis van de verkoopfacturen. De meeste boekhoudpakketten zijn voorzien van een automatische integratie in de boekhouding van alle op het systeem aangemaakte facturen en creditnota’s. Belangrijke punten van interne controle zijn desalniettemin: - Aansluiting bestelbon, leveringsbon en factuur (3-way match) - Controle op de opeenvolgende numerieke volgorde van de facturen in het verkoopjournaal - Aansluiting tussen de verkooprekeningen en de tegenboeking op de klantenrekeningen - Controle van de op de factuur toegepaste prijzen, kortingen - Narekenen van de facturen - Controle op de juiste boeking in het rekeningenplan - Controle op boeking in de juiste periode (afgrenzing levering facturatie) - Opvolgingsprocedures van de vorderingen - Controle op autorisaties van waardeverminderingen op vorderingen - Controles van de brutomarges per artikelgroep, klant, … 2.6.5 Ontvangst betaling De verkoopscyclus loopt ten einde bij de betaling van de klant van de factuur en de registratie ervan. Er dient verzekerd te worden dat er een sluitende opvolging plaatsvindt van alle openstaande vorderingen en een correcte registratie van de ontvangen betalingen. Dit vereist functiescheidingen tussen de commerciële afdelingen, de verkoopdienst, de magazijnier en de dienst boekhouding. De dienst boekhouding heeft zowel een bewarende als een registrerende functie. Het bewarende aspect slaat in deze op de Pagina 20 van 120 openstaande vorderingen en de persoon daarvoor verantwoordelijk mag geen toegang hebben tot het beheer van geldmiddelen of het opmaken van facturen en creditnota’s. 2.6.6 Bijzondere aspecten - De toekenning en berekening van bijzondere kortingen of bonussen dient steeds het voorwerp te zijn van bijzondere goedkeuring - De aanmaak van een creditnota vereist eveneens een bijzondere goedkeuringsprocedure op basis van een volledig dossier (retourzendingen goederen, klachten, commerciële toegevingen…) - De toekenning en berekening van commissies aan verkopers, agenten etc. moet onder toezicht staan van en gecontroleerd worden door een persoon functioneel gescheiden van de verkoopdiensten en de debiteurenregistratie en aan de hand van contractuele overeengekomen condities en tarieven - Bijzondere aandacht dient besteed te worden aan een permanente opvolging van zogenaamde ‘wachtbestanden’ zoals nog te leveren bestellingen (deelleveringen), leveringen die uitgesteld zijn door een tekort aan beschikbare voorraad (de zogenaamde back-orders), nog te factureren leveringen, te crediteren retourzendingen… 2.6.7 Cijferanalyse Een belangrijke middel van repressieve interne controle op de verkoopcyclus bestaat uit een systematische cijferanalyse van behaalde omzetcijfers en brutoresultaten. Zeker in bedrijven die beschikken over een tool waarbij de verkoopstatistieken gekoppeld zijn aan de boekhouding kan dit een belangrijk middel zijn van repressieve interne controle. (‘data-analyse’) Er kan hierbij bijvoorbeeld gedacht worden aan brutowinstanalyse per product(groep), per klant(engroep), per factuurlijn, per regio… Het voordeel van data-analyse is dat er op een relatief efficiënte manier een controle kan uitgevoerd worden op de totale populatie. Hierbij dienen enkel de transacties die bijzondere aandacht vergen (zoals bijvoorbeeld de verkopen onder een bepaalde brutowinstmarge) gedestilleerd te worden en van nader bij bekeken te worden. Een dergelijke manier van controleren is zowel efficiënt als effectief. Belangrijke randvoorwaarde/uitdaging is dan wel dat de criteria ter weerhouding van bepaalde transacties correct bepaald worden en periodiek geëvalueerd worden om na te gaan of ze niet dienen aangepast te worden. Pagina 21 van 120 2.6.8 Functiescheidingen Te onderscheiden zijn de volgende functies: 2.6.8.1 Beschikkende functie met betrekking tot verkopen - Algemene commerciële politiek en in het bijzonder de goedkeuring van de verkoopprijzen en -condities - Goedkeuring van klantenkrediet - Autorisatie van levering van goederen - Toegang tot databestanden die met verkopen verband houden - Autorisatie van creditnota’s en van het afboeken van oninbare vorderingen 2.6.8.2 Bewarende functie met betrekking tot de verkopen - Magazijnfuncties - Debiteurenadministratie 2.6.8.3 Registrerende functie met betrekking tot de verkopen - Opmaak van bestelbonnen, leveringsbonnen, verkoopfacturen, creditnota’s - Bijhouden van verkoopjournaal 2.6.8.4 Controlerende functie met betrekking tot de verkopen - Controle van de verkoopfacturen en creditnota’s - Afstemming van de verkoopjournalen en subadministratie debiteuren met de grootboekrekeningen - Opvolging van de ouderdomsoverzichten debiteuren - Opvolging van betwistingen met debiteuren - Controles op de goede werking en beveiliging van computerprogramma’s die verband houden met de verkoopscyclus - Controle op wijziging van masterdata van klanten (bijvoorbeeld (leverings)adres, wijziging kredietlimieten, wijziging in van toepassing zijnde prijzensysteem, creatie van nieuwe klanten…. 2.6.9 Aandachtspunten interne controle verkopen (vaak voorkomende zwakheden inzake de interne controle-omgeving) - Ongeautoriseerde creditnota’s worden uitgereikt - Diefstal uit de magazijnen van de onderneming wordt geregistreerd als beschadigde voorraad of gratis geleverde goederen of worden niet geregistreerd waardoor er belangrijke voorraadverschillen ontstaan - Gebruik van verkeerde prijzen (vaak te lage prijzen)/kortingen (vaak te hoge korting) - Er wordt geleverd aan niet kredietwaardige klanten om de omzetdoelstellingen te halen - Niet verkochte voorraad/ voorraad in consignatie wordt geregistreerd als verkoop Pagina 22 van 120 - Fictieve verkoopfacturen worden opgemaakt - Niet alle leveringen leiden tot een verkoopfactuur - Contante betalingen door klanten worden niet geregistreerd. - Onterechte eindejaarsbonussen aan de klanten of onterechte commissies worden toegekend aan commerciële agenten. Pagina 23 van 120 2.7 TOEPASSING 3: INTERNE CONTROLE OP DE FINANCIËLE CYCLUS9 Een gedeelte van de financiële cyclus werd reeds besproken bij de bespreking van de aankoopcyclus (zie supra, toepassing 1) en bij de bespreking van de verkoopscyclus (zie supra, toepassing 2). Tengevolge van de specifieke gevaren verbonden aan het werken met contant geld zal dit onderdeel van deze cyclus apart besproken worden. 2.7.1 Contant geldverkeer 2.7.1.1 De kassiersfunctie De taak van kassier houdt in het bewaren van geldmiddelen in functie van ontvangsten en betalingen in contant geld. Zowel voor het ontvangen van gelden als voor het doen van betalingen heeft de kassier een goedkeuring nodig (bij voorkeur met controlespoor voor eventuele latere ex post controles) van een functionaris die een beschikkende bevoegdheid bezit. Om de zorgvuldige behandeling van de geldmiddelen zoveel mogelijk te garanderen dient de kassier zich te houden aan strikte voorschriften welke vastgelegd zijn in de kasinstructie. Hierin dient idealiter opgenomen te zijn dat de kassier: Nooit geld mag ontvangen of betalingen mag verrichten zonder schriftelijke opdracht van een daartoe bevoegde functionaris Nooit zelf kwijting mag geven voor de door hem ontvangen bedragen Bij de ontvangst van een cheque moet nagaan of dit een legitieme cheque is die voldoet aan alle voorgeschreven voorwaarden (is de cheque oindertekend door de correcte persoon, juist geadresseerd…) Toeziet dat bij overschrijding van een vastgesteld maximum het overtollige kassaldo wordt gestort op de bankrekening van de onderneming. De kasbewijzen direct inschrijft in het kasboek en de onderliggende stukken zorgvuldig bewaart 2.7.1.2 Het bewaren van de geldmiddelen De maatregelen van interne controle die met betrekking tot de bewaring van geldmiddelen dienen te worden voorzien betreffen het veilig opbergen van het geld en het geven van strikte instructies aan de bewaarder (kassier). De kassier is verantwoordelijk voor de hem toevertrouwde geldmiddelen en van hem kan principieel geen enkele fout getollereerd worden. De opberging van het geld dient te gebeuren in een geldkist, brandkast of kluis. Wanneer de geldvoorraad belangrijke bedragen omvat, zal men bij voorkeur een toegangsregeling voorzien met twee verschillende sleutels die beiden nodig zijn om aan de geldvoorraad te komen. Idealiter wordt het kassaldo zo laag mogelijk gehouden door te voorzien in een instructie voor maximaal bedrag dat in de 9 IBR-studies, Inleiding tot de interne controle, jan 1994, onder leiding van Willy Groffils met bijdragen van Lieven Acke, Johan Christiaens, Michel J. De Samblanx, Daniel Lebrun en Luc Van Bael Pagina 24 van 120 kassa mag aanwezig mag zijn. Een dergelijke instructie beperkt ook het risico door verlies of diefstal. In bepaalde grotere organisaties kunnen meerdere kassiers worden aangesteld, waarbij één of meerdere kassiers zijn belast met de ontvangstfunctie en een andere kassier de betaalfunctie waarneemt. Er dient vermeden te worden dat kasgeld vervangen wordt door ‘tegoedbonnen’, aangezien er hierdoor het risico ontstaat dat er gesleept wordt met kasgeld. Slepen met kasgeld betreft het laattijdig verantwoorden van kasgelden ten behoeve van persoonlijk gebruik. 2.7.1.3 Het beschikken over geldmiddelen Zoals reeds aangehaald mag de kassier slechts gelden ontvangen of betalen op basis van schriftelijke opdrachten van bevoegde personen. Dit geldt niet enkel ten aanzien van ontvangsten van verkopen of betalingen aan crediteuren maar eveneens voor interne transacties zoals het uitbetalen van voorschotten aan het personeel. Dit laatste zou in principe alleen mogen gebeuren op basis van een schriftelijke opdracht van de personeelsdienst. Ten aanzien van betalingen zal de schriftelijke opdracht meestal bestaan uit voor akkoord getekende facturen, betalingsopdrachten en dergelijke. Deze documenten dienen bij betaling te worden gemerkt ter voorkoming van dubbele betaling. Met betrekking tot de ontvangsten zal de schriftelijke toestemming tot in het ontvangst nemen van bedragen in de praktijk overeenkomen met het tekenen van een kwitantie. Ter versterking van de interne controle verdient het nochtans aanbeveling dat er een strikte scheiding is tussen de beschikkende functie (geeft toestemming tot ontvangst en tekent na ontvangst af voor kwijting) en de kassiersfunctie. 2.7.1.4 Het verantwoorden van geldmiddelen De kassier is als bewaarder van de “voorraad” geld verplicht om van zijn handelingen rekenschap af te leggen. Hij dient ervoor te zorgen dat het kassaldo dat zou moeten aanwezig zijn ook effectief aanwezig is. De controle van het aanwezige kasgeld gebeurt middels kasopname van iemand die niet betrokken is bij het kasbeheer. Bij een kasopname telt de kassier het aanwezige kasgeld en eventueel andere waardepapieren onder toezicht van de interne controleur. De eventuele verschillen worden genoteerd en verder onderzocht. Pagina 25 van 120 2.8 TOEPASSING 4: INTERNE CONTROLE OP DE PERSONEELSCYCLUS10 2.8.1 Inleiding De interne organisatie met betrekking tot personeel en payroll heeft onder meer betrekking op: - De aanstelling en ontslag van personeel (in uitvoering van planning en budgetten) - De vaststelling van salaris of uurloon (inclusief eventuele wijzigingen hieraan) - De vaststelling van de geleverde prestaties of werktijden - De berekening van de personeelskosten en de opstelling van de afrekeningen R.S.Z., bedrijfsvoorheffing en nettosalarissen/lonen - Uitbetaling van de personeelskosten - Boekhoudkundige registratie der personeelskosten In dit overzicht blijken vooral de beschikkende functie en de registrerende functies aan bod te komen. Daarnaast zal ook de controlerende functie niet mogen ontbreken. De interne controle met betrekking tot de personeelscyclus zal in belangrijke mate steunen op het creëren van functiescheidingen met betrekking tot de hiervoor opgesomde functie en taken. 2.8.2 Functiescheidingen In de praktijk zal de beschikkende functie meestal waargenomen worden door de topleiding, dan wel door een rechtstreeks onder deze leiding ressorterende personeelsdienst. Daarbij is het vaak zo dat stafmedewerkers in belangrijke mate kunnen betrokken worden in de aanwervings- en selectieprocedures met betrekking tot nieuwe personeelsleden, maar de uiteindelijke beslissing blijft meestal in handen van de hoogste leiding. De basisinformatie inzake personeelsbestand en beloningsgrondslagen wordt vastgelegd in personeelsdossiers, meestal in een database. Centralisatie van deze basisinformatie bij een personeelsdienst is van belang voor de uniformiteit in de regelingen en schept de mogelijkheid om op een centraal punt een overzicht te verkrijgen van alle lopende personeelsovereenkomsten, hetgeen de controle vergemakkelijkt. De registrerende functies zijn in eerste instantie gericht op het systematisch vastleggen van de gepresteerde werktijden, de basis maandsalarissen of uurlonen en het doorgeven van deze informatie aan de dienst belast met de payrollberekeningen (meestal het sociaal secretariaat). De registratie van de personeelsprestaties kan niet los gezien worden van een controle op de aanwezigheid van het personeel. De interne controle op aanwezigheid/prestaties van het personeel zullen naargelang de omstandigheden sterk uiteenlopen. 10 IBR-studies, Inleiding tot de interne controle, jan 1994, onder leiding van Willy Groffils met bijdragen van Lieven Acke, Johan Christiaens, Michel J. De Samblanx, Daniel Lebrun en Luc Van Bael Pagina 26 van 120 Mogelijkheden zijn sociale controle/toezicht door de leidinggevenden, tijdsregistratieapparaten, speciale controleurs, prestatierapporten die voor akkoord getekend worden door de klant…. De uitvoerende functie inzake payrollberekeningen wordt meestal ondergebracht bij een externe dienst (sociaal secretariaat). Controles zijn nodig op de informatie die aan deze dienst verstrekt wordt en ook zijn er redelijkheidscontroles nodig op de resultaten van de verwerkte informatie door deze dienst. Indien de payrollberekeningen in huis gebeuren dient een functiescheidingen georganiseerd te worden tussen de betreffende dienst en de overige afdelingen die betrokken zijn in de personeelscyclus. Tenslotte is er nog de beschikkende functie met betrekking tot de betaling van de personeelskosten. In de praktijk komt het ook soms voor dat het sociaal secretariaat een volmacht heeft op de bankrekening van de onderneming voor de betaling van de sociale schulden (RSZ, BV…) en soms ook voor de betaling van de nettolonen aan de werknemers. Per onderdeel van de personeelscyclus dienen de functies en taakbeschrijvingen te worden vastgelegd. 2.8.3 Verbandcontroles Bij prestatiebeloning zijn verbandcontroles te organiseren door de link te leggen met de goederen- of dienstenstroom. In sommige productie- of dienstenbedrijven zijn totaalcontroles mogelijk tussen de per periode uitbetaalde uren en de gepresteerde uren op werkorders volgens nacalculaties. Dergelijke periodieke verbandcontroles dienen door een controlerende functionaris te worden verricht, waarbij tevens aandacht dient besteed te worden aan het risico van verschuivingen tussen periodes en tussen werkorders. Bij tijdsbeloning (vergoeding volgens uurtarief) is vooral de organisatie van aanwezigheidscontroles van belang (prikklokken en/of sociale controle). 2.8.4 Cijferanalyses Statistische opvolging van elementen zoals opvolging van directe uren versus indirecte uren, overuren, absenteïsme, ziekteverzuim, (maandelijkse) loonkost per FTE, loonkost per gepresteerd uur zijn vanuit intern controleoogpunt belangrijke controles. 2.8.5 Bijzondere controles Bijzondere aspecten van interne controle betreffen: - De controles op de tijdige betalingen van bedrijfsvoorheffing en sociale controles - De boekhoudkundige aansluitingen van de jaarlijkse loonsynthese met de loonkosten opgenomen in de boekhouding, de aangiftes bedrijfsvoorheffing en RSZ - De volledigheid van de wettelijke en aanvullende verzekeringen - Pensioenaspecten Pagina 27 van 120 2.9 TOEPASSING 5: INTERNE CONTROLE OP DE INVESTERINGSCYCLUS11 2.9.1 Algemeen De interne controles inzake investeringsgoederen betreffen vaste activa en zowel de fysisch waarneembare materiële vaste activa als de immateriële en de financiële vaste activa. Kenmerkend voor de financiële vaste activa is dat mutaties meestal niet zo frequent optreden en dat bijgevolg in de meeste ondernemingen geen procedures van interne controle in deze zijn voorzien. Wat materiële vaste activa betreft, onderscheiden deze zich van de vlottende activa doordat zij geen onderdeel uitmaken van de courante goederenbeweging, en daardoor voor een aantal aspecten veelal buiten de routine van de interne controles vallen. Niettemin verdient het aanbeveling dat ook met betrekking tot de vaste activa de nodige interne controles georganiseerd worden, waarbij uiteraard ook de functiescheidingen van primordiaal/cruciaal belang zijn. 2.9.2 Functiescheidingen 2.9.2.1 Beschikkende functies De beslissing tot aanschaf van vaste activa dienen in principe altijd door de hoogste leiding genomen. Wat betreft de courante vervangingsinvesteringen maken deze beslissingen normaliter deel uit van jaarbudgetten, en wordt alnaargelang de belangrijkheid van de afzonderlijke investeringen in meerdere of mindere mate gedelegeerd aan de lagere leiding. De minder courante investeringen en met name de strategische investeringen in nieuwe productiecapaciteit of de verwerving van participaties, vallen praktisch altijd onder de exclusieve bevoegdheid van de hoogste leiding. Dergelijke beslissingen raken immers meestal de financiële structuur van de onderneming en dienen te kaderen in de lange termijn-objectieven. De beslissingen terzake dienen dan ook bij voorkeur opgenomen te worden in de notulen van Raad ven Bestuur of het Directiecomité. De realisatie van de investeringsbeslissing verloopt uit intern controleoogpunt bij voorkeur volgens een (beperkte) aanbestedingsprocedure. Ingeval van delegatie van uitvoering zal de leiding erop toezien dat de voorgeschreven procedures correct worden toegepast. Bijvoorbeeld dient aan een voldoende aantal potentiële leveranciers een offerte gevraagd te worden en dient de selectie te gebeuren volgens objectieve criteria. Wanneer de hoogste leiding de 11 IBR-studies, Inleiding tot de interne controle, jan 1994, onder leiding van Willy Groffils met bijdragen van Lieven Acke, Johan Christiaens, Michel J. De Samblanx, Daniel Lebrun en Luc Van Bael Pagina 28 van 120 uitvoering van de investeringsbeslissingen aan zichzelf voorbehoudt, vallen deze buiten de procedures van interne controle. Bijzondere aandacht vergen de procedures met betrekking tot buitengebruikstelling en verkoop van vaste activa. Ook hier zal meestal de beschikkende functie in handen blijven van de hoogste leiding. Bij delegatie zijn maatregelen van interne controle vereist met betrekking tot de vaststelling van de verkoopprijs, leverings- en betalingscondities. 2.9.2.2 Registrerende functies De registrerende functie gaat bij vaste activa verder dan het louter vastleggen in de boekhouding van een aankoop – of verkooptransactie. De materiële vaste activa moeten worden geregistreerd in de investerings- en afschrijvingstabellen. Bij de registratie van deze activa moet tevens vastgelegd worden waar de goederen zich fysisch bevinden (bijvoorbeeld in welke afdeling in fabriek). In samenhang daarmee vereist een goede interne controle dat de investeringsgoederen een registratie- of identificatienummer verkrijgen (bij voorkeur niet-verwijderbaar aangebracht op het goed), dat verwijst naar investeringstabellen of een ander registratiesysteem. Dergelijke registratie is niet altijd evident te realiseren. Bijvoorbeeld ingeval van samenbouw van industriële installaties bestaat een productie-eenheid vaak uit een veelheid van afzonderlijk aangekochte goederen en materialen, die samen de investeringswaarde uitmaken. In dergelijke gevallen zal de registrerende functie in overleg met bijvoorbeeld de productieafdeling bij bedrijfsklaarheid de investeringswaarde en registratiewijze bepalen. 2.9.2.3 Controlerende en bewarende functies Deze functies zijn onontbeerlijk in het systeem van interne controle op vaste activa. Concreet houdt dit in dat controle dient plaats te vinden op de aanwezigheid en de aanwending van deze vaste activa. Vooral wat betreft de roerende goederen is dit niet altijd evident te realiseren. Denk bijvoorbeeld aan een aanneembedrijf waar de machines en uitrustingsgoederen verspreid zijn over tientallen werven. In dergelijke situatie zal de registrerende functie een vorm van permanente opvolging van de activa moeten organiseren. De controlerende functie steunt voornamelijk op fysieke aanwezigheidscontroles op de vaste activa. Deze controles worden bij voorkeur partieel roulerend verricht door een functionaris die losstaat van de operationele activiteiten. Een vorm van indirecte controle is meestal te organiseren ingeval de aanwending van de vaste activa rechtstreeks toewijsbare opbrengsten teweeg brengt, zoals bijvoorbeeld in een transportbedrijf. Pagina 29 van 120 In het algemeen kan gesteld worden dat zonder een dergelijke registratie van de vaste activa geen zinvolle controles op de aanwezigheid zijn uit te voeren. Pagina 30 van 120 2.10 TOEPASSING 6: INTERNE CONTROLE BIJ GEAUTOMATISEERDE GEGEVENSVERWERKING12 2.10.1 Algemeen In de meeste organisaties is de werking van de primaire bedrijfsactiviteiten zoals aan- en verkoop in sterke mate, dan wel volledig afhankelijk van een goed functionerend IT-systeem; Het inschakelen van computers in de gegevensverwerking heeft tot gevolg dat de toepassing van een aantal “klassieke” interne controlemaatregelen niet meer mogelijk zal zijn of aan betekenis zal inboeten. Anderzijds zal door het toepassen van bepaalde technieken en eigenheden van geautomatiseerde gegevensverwerking op een aantal versterkingen van de interne controle optreden. Omstandigheden die de interne controle verzwakken zijn: - De integratie van voorheen meervoudige registraties in één systeem waardoor de mogelijkheid wegvalt om langs verschillende weg verkregen verwerkingsuitkomsten met elkaar te controleren. Dit kan ondervangen worden door een controle te doen op de ingaande gegevens alsook een (redelijkheids)controle op de uitkomsten. Het IT-systeem mag geen ‘black- box-omgeving worden waarbij er geen vat meer is op de uitkomsten van het IT-systeem en deze uitkomsten zomaar als juist en correct worden aanvaard zonder verdere controle - Het in één verwerkingsproces uitvoeren van een reeks administratieve handelingen waardoor de mogelijkheid van tussentijdse afstemmingen of beoordeling van uitkomsten wegvalt - De betrouwbaarheid van de verwerking is zeer sterk afhankelijk van de juistheid en de volledigheid van de ingevoerde gegevens. - In vele gevallen is het moeilijk om de juistheid van de individuele uitkomsten te beoordelen omdat er geen directe relatie met de ingevoerde gegevens vast te stellen is - Door het opnemen van ongeoorloofde instructies in het programma is het opzettelijk beïnvloeding van de uitkomsten mogelijk, zonder dat deze beïnvloeding direct zichtbare sporen hoeft achter te laten - Er vindt een concentratie plaats van gegevensverzamelingen bij een beperkt aantal specialisten (computerprogrammeurs, operators) waardoor het risico van frauduleuze ingrepen toeneemt en anderzijds de kans op ontdekking ervan afneemt doordat de meeste gegevens zijn vastgelegd op een voor een leek niet-leesbare wijze (black-box omgeving) - De concentratie van gegevens en informatie op één locatie verhoogt het risico van verloren gaan van deze gegevens door verkeerde handelingen, storingen, virussen, cyberaanvallen… - Ingeval van een beperkte geheugencapaciteit ontbreekt vaak een systematisch vastlegging van mutatie-overzichten, waardoor moeilijkheden optreden bij controle achteraf en bij het verklaren van verschillen (accounting trail) - Bij geïntegreerd systeem ontstaat de mogelijkheid dat gebruikers via terminals op ongeoorloofde wijze toegang verkrijgen tot niet voor hen 12 IBR-studies, Inleiding tot de interne controle, jan 1994, onder leiding van Willy Groffils met bijdragen van Lieven Acke, Johan Christiaens, Michel J. De Samblanx, Daniel Lebrun en Luc Van Bael Pagina 31 van 120 bestemde informatie en eventueel de mogelijkheid krijgen deze informatie te wijzigen - Door het wegvallen van documenten kan het voorkomen dat het niet meer mogelijk is om achteraf vast te stellen of een bepaalde actie mocht worden ondernomen; - Indien in het verwerkingsproces zogenaamde routinematige beslissingen worden meegeprogrammeerd kan het gevaar ontstaan dat de leiding niet steeds het nodige inzicht in het toegepaste systeem blijft behouden, hetgeen tot een uitholling van bestuursfunctie kan leiden (black-box-omgeving) - Een geautomatiseerd informatiesysteem bestrijkt derhalve meer dan alleen de registratiefunctie en komt op het terrein van de besluitvorming en de uitvoering, hetgeen een aantasting kan betekenen van de controle-technische functiescheidingen Er zijn echter ook belangrijke voordelen aan het gebruik van een IT-systeem voor de interne controle: - De snelheid van verwerking en de ermee gepaard gaande uitschakeling van routinematige arbeid - De in principe steeds juiste verwerking waardoor manuele accuratessefouten worden uitgesloten - De mogelijkheid van geprogrammeerde controles - De vaak enorm mogelijkheden die de computer biedt wat betreft verwerking en analyse van managementinformatie en besturing en beheersing van de ondernemingsprocessen. 2.10.2 Controlemaatregelen Het samenstel van controlemaatregelen dat in systemen van geautomatiseerde informatieverzorging noodzakelijk is, kan als volgt worden onderscheiden: - Maatregelen van organisatorische aard met betrekking tot: De ontwikkeling van het systeem De plaats van het computersysteem in de organisatie De organisatie van het computercentrum zelf - Maatregelen ter verzekering van de goede werking: In de computer ingebouwde controles Geprogrammeerde controles Controles van programma’s Beveiliging en reconstructies 2.10.2.1 Controle op de ontwikkeling van het systeem Volgende punten zijn van belang: - Betrokkenheid van de directie, in mindere of meerdere mate, doch steeds goedkeuring bij aantal kritieke fasen; - Instelling van een stuurgroep waarin gebruikers, computerspecialisten en eventueel “tussen-deskundigen” hun plaats hebben - Inventarisatie van bestaande organisatie, problemen en knelpunten Pagina 32 van 120 - Alternatieve mogelijkheden van automatisering en motivatie van keuze - Past het voorgestelde plan in de bedrijfproblematiek? - Sluiten de onderdelen van dit plan op elkaar en op reeds bestaande automatiseringssystemen aan - Is de opzet van de interne controle in het automatiseringsproces aanvaardbaar - Wordt de invloed op taken en verantwoordelijkheden duidelijk tot uitdrukking gebracht - Welk type computer – welk type software – kostenaspecten van de verschillende keuzemogelijkheden - Noodzaak van een degelijke documentatie van het systeem (ontwerp) opdat: Gebruikers het systeem voldoende kennen De systeemontwerper verantwoording kan afleggen Evaluaties en beoordeling kan plaatsvinden Systeemtests kunnen uitgevoerd worden Systeemwijzigingen achteraf relatief eenvoudig mogelijk blijven Hierbij is het van belang dat er tijdens de systeemontwikkeling voldoende aandacht wordt besteed door de uiteindelijke gebruikers aan: - Het voldoende duidelijk zijn van de documentatie - Of er voldoende rekening gehouden werd met de typische kenmerken en variaties in het bedrijfsgebeuren - De computeroutput voldoet aan o Eisen van de operationele afdelingen o Eisen van de administratie o Eis van tijdigheid Het belang van duidelijk gepresenteerde en duidelijk leesbare/interpreteerbare in- en output kan niet onderschat worden en is in de praktijk soms een heikel punt. - Er voldoende interne controlemaatregelen zijn met betrekking tot: Volledigheid, juistheid, tijdigheid, geoorloofdheid, lokaliseerbaarheid Gebruikmaking van geprogrammeerde controles Omspannende totaalcontroles Beveiliging gegevensverzamelingen Mogelijkheid tot afstemming met de werkelijkheid - De correctieprocedures voldoende functiescheidingen inbouwen (wie kan wat corrigeren) en voldoende controlesporen nalaten - Er reconstructiemogelijkheden voorzien zijn (back-ups) 2.10.2.2 Plaats en organisatie van het IT-centrum binnen het bedrijf In de laatste jaren is er in de meeste bedrijven een decentralisatie van de klassieke computerafdeling waar te nemen. Er is bijgevolg geen afgezonderd computercentra meer. Wat nog overblijft van de computercentra is vaak een cel van systeemanalisten/programmeurs die verantwoordelijk zijn voor de eigen systeemontwikkeling en -onderhoud in het bedrijf. Pagina 33 van 120 Uit oogpunt van interne controle is het een vereiste dat interne systeemanalisten/programmeurs onafhankelijk staan ten opzichte van elke beherende, bewarende en registrerende activiteit. Met hun gespecialiseerde kennis is de kans op niet-detecteerbare frauduleuze ingrepen immers levensgroot. Vanuit de gebruikers en mede namens de directie dient erover gewaakt dat deze specialisten geen ongecontroleerde toegang hebben tot gegevensverzameling en in gebruik zijnde programma’s. In de praktijk en dan vooral in kleinere bedrijven is dit niet altijd eenvoudig en soms zelfs praktisch gezien niet te realiseren. De leiding dient zich dan wel bewust te zijn van de risico’s en moet er voor instaan dat zoveel mogelijk alternatieve controlemaatregelen worden voorzien. Voor het overige wordt er verwezen naar gespecialiseerde lectuur met betrekking tot de plaats en organisatie van een effectief computercentrum in grotere ondernemingen. 2.10.2.3 Geprogrammeerde controles Het belangrijkste doel van geprogrammeerde controles is een compensatie te vinden voor het bij de geautomatiseerde gegevensverwerking ontbreken van de kritische menselijke beoordeling. Aan de ene kant bieden geprogrammeerde controles hiervoor slechts een beperkte compensatie daar zij slechts mogelijk zijn voor zover de aan de gewenste beoordeling ten grondslag liggende maatstaven als kwantitatief meetbare normen te formuleren. Aan de andere kant hebben de geprogrammeerde controles het voordeel veel effectiever te zijn dan door de mens uitgevoerde controles, omdat een computer dergelijke controles altijd en met een volstrekte systematiek zal toepassen. De geprogrammeerde controles kunnen ingedeeld worden als volgt: - Controles op invoer van informatie - Controles op informatieverzamelingen - Controles op bewerking van informatie - Redelijkheidscontroles Voorbeelden van geprogrammeerde controles zijn: a) Toegangscontroles tot de computer zoals: Het gebruik maken van systeemsoftware waarin gespecifieerd wordt welke terminals en welke gebruikers toegang hebben tot goed gedefinieerde programma’s en bestanden; Een badge/inlogsysteem waarmee de gebruiker een terminal in werking moet stellen De identificatie van de gebruiker van een paswoord en/of identificatienummer/naam of een andere toegangscontrole Via het invoerstation beantwoorden van een korte reeks vragen waarop alleen de geautoriseerde gebruiker het antwoord kan weten Signalisering (via logboek) van alle pogingen (zowel succesvolle als niet succesvolle) van toegang tot het systeem of tot deelsystemen van gegevens van de gebruiker die (probeert om) toegang verkrijgt (te verkrijgen). Pagina 34 van 120 In de praktijk wordt er veelal onzorgvuldig omgesprongen met paswoorden en blijft er van de effectieve beveiliging meestal zeer weinig over. Daarom is er noodzaak tot het regelmatig wijzigen van paswoorden en zeker na cruciale gebeurtenissen zoals overplaatsing of ontslag. Er dient ook aandacht besteed te worden aan de creatie van superusers. Dit zijn personen die al dan niet door te roteren van functie binnen het bedrijf toegang krijgen tot nieuwe bestanden/databases zonder dat de rechten tot toegang uit hun vorige functie geschrapt worden (meestal onder het mom van een tijdelijke overgang, waarbij dan vergeten wordt om de oude rechten te schrappen). Hierdoor worden de rechten opgestapeld en kan er zich een ongeoorloofde/ongewenste cumul van functies voordoen waardoor de uitgebouwde functiescheiding niet meer effectief is. b) Controles op de juistheid en volledigheid van de invoer Het aantal voor bewerking vergelijken met het aantal na bewerking en controle van eventuele verschillen Het op het beeldscherm presenteren van klantengegevens als er een klantennummer wordt ingegeven zodat er een afstemming kan gebeuren of dit wel degelijk het juiste klantennummer is Signalisatie of blokkering bij het ontbreken van basisgegevens in bijvoorbeeld het facturatieprogramma (er kan geen factuur vertrekken als de cliëntnaam ontbreekt) Uiterst gevoelig punt zijn de correcties die hieruit zouden resulteren op de eerder ingevoerde gegevens. In principe dient iedere correctie geautoriseerd te worden door een hoger geplaatste persoon dan diegene die de correctie daadwerkelijk uitvoert (4-ogenprincipe). Indien dit niet gebeurt neemt de kans op misbruik (geen voldoende functiescheiding) immers sterk toe. c) Redelijkheidscontroles Redelijkheidscontroles houden in dat van invoergegevens, tussenresultaten of einduitkomsten van het IT-systeem worden getoetst of zij redelijkerwijs aanvaardbaar zijn. Dit impliceert dat er verwachtingen dienen gecreëerd te worden. Bovendien dienen er zogenaamde tolerantiecriteria vastgelegd te worden. Dit zijn de afwijkingen van de verwachtingen die als aanvaardbaar worden beschouwd. Het uitwerken van verwachtingen en het instellen van de tolerantiecriteria dient met de nodige omzichtigheid en kennis van zaken te gebeuren. Het is belangrijk dat de tolerantiecriteria : De tolerantiecriteria mogen niet te kritisch werken omdat daardoor een te groot aantal posten wordt gesignaleerd ter verificatie. Dit is niet alleen tijdrovend en kostelijk, maar geeft bijkomend tot gevolg dat de gesignaleerde items slechts oppervlakkig zullen worden onderzocht Pagina 35 van 120 De tolerantiecriteria mogen evenmin te ruim worden gesteld omdat dan het risico ontstaat dat belangrijke en mogelijk systematische fouten onopgemerkt blijven In de praktijk zullen veel redelijkheidscontroles de vorm aan nemen van exceptierapporteringen. Zo kan de directie bij de verkopen de directie een rapport bekomen van alle verkopen beneden een bepaalde brutomarge of met een korting welke een bepaald percentage van de verkoopprijs te boven gaan. Dit betreffen in feite uitzonderingsgevallen die dienen gesignaleerd te worden en die dienen beoordeeld te worden op hun aanvaardbaarheid en/of autorisatie. 2.10.2.4 Controle van programma’s Alvorens een programma in gebruik wordt genomen dient door middel van doeltreffende controles worden vastgesteld dat het in alle opzichten tot een goed verwerkingsprocedure zal leiden. Bij de beoordeling van een programma dient te worden gecontroleerd dat de gewenste en overeengekomen specificaties zijn opgenomen en dat er duidelijke en correcte instructies zijn opgenomen. Een van de meest eenvoudige en voor de hand liggende methode van indirecte controle is het schaduwdraaien. Dit komt erop neer dat gedurende een periode de oude wijze van verwerking en de nieuwe naast elkaar bestaan en dat de uitkomsten van beide verwerkingswijzen met elkaar worden vergeleken. Alhoewel deze methode in de praktijk veel toegepast wordt kent zij toch enkele belangrijke beperkingen: De uitkomsten van het oude en nieuwe systeem zijn vaak moeilijk vergelijkbaar aangezien het nieuwe systeem vaak vele meer functionaliteiten heeft De proefperiode meestal niet zo lang genomen kan worden zodat volledige zekerheid bestaat dat alle denkbare varianten en combinaties minstens eenmaal zijn voorkomen De toetsing van de uitkomsten van het nieuwe systeem met die van het bestaande geen uitsluitsel geeft over het al dan niet in het programma voorkomen van frauduleuze instructies Een andere methode van indirecte controle van programma’s is de toetsing door proefgevallen. Het samenstellen van dergelijke test-cases dient zorgvuldig en met overleg te gebeuren omdat zij zo representatief mogelijk moeten zijn voor de informatie die later met het programma zal worden verwerkt. Ook dient er bij de samenstelling van de test-cases opgelet te worden dat het toetsen van het programma zoveel mogelijk in al zijn vertakkingen wordt doorlopen. Ook hier zijn er beperkingen aangezien de proefgevallen slechts een antwoord geven of bepaalde fouten waarmee de ontwerper van de proefgevallen voordien rekening heeft gehouden Pagina 36 van 120 worden weerhouden. De vraag of eventuele andere fouten al dan niet ontdekt worden door het programma blijft hierbij onbeantwoord. Naast de controles die gebeuren of plaatsvinden vooraleer de programma’s effectief in gebruik worden genomen dient er aandacht besteed te worden aan de maatregelen die ervoor zorgen dat de programma’s na hun ingebruikname niet worden gewijzigd en steeds volledig worden doorlopen. Controlemogelijkheden in deze zijn o.a. de volgende: Het ontoegankelijk maken van programma’s voor niet-bevoegden Het achteraf in detail vergelijken van het in gebruik zijnde programma met een kopie van het origineel goedgekeurde en destijds in gebruik genomen programma. Hiervoor bestaan er standaard-testprogramma’s. Deze controle kan eventueel ongeoorloofde wijzigingen aan het licht brengen 2.10.2.5 Beveiliging en reconstructie Noodzaak tot beveiliging Een IT-systeem en de erin opgeslagen informatie dienen te worden beschermd tegen: o Ongeautoriseerde toegang o Incidenten zoals brand, overstroming, diefstal… o Stroomonderbrekingen o Uitvallen van koelsystemen (voornamelijk voor grote IT-systemen) o Hardwarestoringen die eventueel tot gevolg kunnen hebben dat gegevens geheel of gedeeltelijk verloren gaan o Software en bedieningsfouten o Virussen Beveiligingsmaatregelen Volgende beveilings- en reconstructiemaatregelen zijn dan ook onontbeerlijk: - Fysieke veiligheid zoals: Constructie van computerruimte met veiligheidsglas, een minimum aantal toegangsmogelijkheden, vuurbestendige materialen, brandblusinstallaties Strikte toegangscontroles tot computerruimte, alarmsysteem, voorzien in alternatieve stroomtoevoer van computer en koelsysteem Noodplan met instructies voor te nemen maatregelen ingeval van incidenten - Voorzien in uitwijkmogelijkheden ingeval van volledig uitvallen van de computer over een langere periode. Meestal in afspraak met de hardwareleverancier waarbij de meest urgente taken kunnen worden verdergezet op een stand-by-installatie. - Back-up procedure: is het regelmatig dumpen van back-ups van de gegevensverzameling. Bij een incident verliest men dan enkel de input- gegevens vanaf de laatste back-up. Belangrijk hierbij is om (vooraleer er zich Pagina 37 van 120 een incident voordoet) na te gaan of er de back-ups vlot bruikbaar zijn. Verder is het noodzakelijk dat de back-ups van gegevensverzamelingen en programma’s worden bewaard op een locatie (liefst een

Interne en Externe Controle PDF

Document Details

Tags

Related

Summary

Full Transcript

Upgrade to continue