ISO is gelijk aan SOX?
Rose-Marie Schoutrop Studentennummer 9880631 Afstudeerrichting Economie – BIV AO 1e Beoordelaar: Lisette Duyster-Went RA 2e Beoordelaar: Ron van Loon
01-11-06
Pagina 1 van 97
HOOFDSTUK 1 INLEIDIN G ..............................................................................................................................................4 HOOFDSTUK 2 SARBANES OXLEY ACT 2002 .........................................................................................................6 2.1 SARBANES OXLEY ACT 2002 ...................................................................................................................................6 2.1.1. DOELSTELLING SARBANES OXLEY ACT 2002 ....................................................................................................6 2.1.2. INHOUD SARBANES OXLEY ACT 2002 ...................................................................................................................7 2.2. COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION (COSO) .......................................................................................................................................................................................8 2.2.1. DEFINITIE COSO RAPPORT......................................................................................................................................9 2.2.2. INHOUD COSO RAPPORT .......................................................................................................................................10 2.3. INHOUD SOX HANDBOEK ......................................................................................................................................12 HOOFDSTUK 3 ISO............................................................................................................................................................14 3.1. ISO......................................................................................................................................................................................14 3.1.1. INHOUD ISO STANDAARDEN .................................................................................................................................15 3.1.2. INHOUD ISO HANDBOEK........................................................................................................................................19 3.2. KOPPELING ISO EISEN EN RICHTLIJNEN AAN DE COMPONENTEN VAN COSO .....................20 HOOFDSTUK 4 CONFRONT ATIE ISO MET SOX..................................................................................................23 4.1. CONFRONTATIE VERSCHILLENDE DEFINITIES INTERNE CONTROLE ......................................24 4.2. EISEN GESTELD AAN ISO OM TE VOLDOEN AAN COSO / SOX RAAM WERK.............................25 4.2.1. REVENUE CYCLE; EISEN GESTELD AAN ISO OM TE VOLDOEN AAN COSO / SOX RAAMWERK ....28 4.2.2. EXPENDITURE CYCLE; EISEN GESTELD AAN ISO OM TE VOLDOEN AAN COSO / SOX RAAMWERK .............................................................................................................................................................................31 4.2.3. HUMAN RESOURC ES CYCLE; EISEN GESTELD AAN ISO OM TE VOLDOEN AAN COSO / SOX RAAMWERK .............................................................................................................................................................................34 4.2.4. GROOTBOEKREGISTRATIE EN RAPPORTAGESYSTEEM; EISEN GESTELD AAN ISO O M TE VOLDOEN AAN COSO / SOX RAAMWERK ......................................................................................................................36 HOOFDSTUK 5 OPZET PRAKTIJKONDERZOEK ................................................................................................39 5.1.
ALGEMEEN..............................................................................................................................................................39
5.1.1. BEDRIJVEN IN HET BEZIT VAN ISO 9000 CERTIFICAAT...............................................................................39 5.1.2. SELECTIE ONDERZOEKSBEDRIJVEN .................................................................................................................40 5.2. TYPOLOGIE VAN DE ONDERZOCHTE BEDRIJVEN .................................................................................41 5.3. UITVOERING ONDERZOEK ..................................................................................................................................42
01-11-06
Pagina 2 van 97
5.3.1. RESULTAAT ANALYSE VERRICHTE ONDERZOEKEN .....................................................................................44 5.3.2. ANALYSE VAN DE INDRUKKEN TIJDENS DE UITGEVOERDE ONDERZOEKEN ...................................50 HOOFDSTUK 6 CONCLUSIE..........................................................................................................................................52 AANBEVELINGEN..............................................................................................................................................................55 BIBLIOGRAFIE....................................................................................................................................................................56 BIJLAGE A RECAPITULATIE TABEL ANTWOORDEN ONDERZOCHTE BEDRIJV EN .....................58 BIJLAGE B BEDRIJF A .....................................................................................................................................................64 BIJLAGE C BEDRIJF B .....................................................................................................................................................73 BIJLAGE D BEDRIJF C .....................................................................................................................................................83 BIJLAGE E CERTIFICER INGBEDRIJVEN VOLGENS STICHTING RAAD VOOR ACCREDITATIE .....................................................................................................................................................................................................93
01-11-06
Pagina 3 van 97
Hoofdstuk 1 Inleiding In de jaren 2001 en 2003 is de financiële wereld opgeschrikt door een aantal boekhoudschandalen die hun weerga niet kenden. Zowel de ondernemingen Enron (Publicatie Enron; 2001) als Ahold (Publicatie Ahold; 23 februari 2003) moesten naar buiten treden met verklaringen dat binnen hun organisaties de gerapporteerde winsten over de achterliggende jaren onjuist waren weergegeven. In de Enron affaire heeft dit zelfs geleid tot het faillissement van de onderneming en tot een gedwongen fusie van de controlerende partij Arthur Andersen accountants met Deloitte & Touche Accountants (17 juni 2002). Mede als gevolg van bovenstaande voorbeelden (Enron en Ahold), die beiden een beursnotering aan de New York Stock Exchange (NYSE) hadden/hebben, is er door de wetgevende macht in de USA een wet aangenomen die het foutief weergeven van gerapporteerde resultaten in de toekomst uit moet sluiten. Deze wet, de Sarbanes Oxley Act 2002 (SOX), dient hiervoor zorg te dragen (H.R. 3763; p. 1). Alle ondernemingen die genoteerd zijn aan de NYSE zullen moeten voldoen aan de hierin genoemde richtlijnen.
Binnen de Europese Unie is een dergelijke wetgeving niet van kracht. Binnen Europa is de zogenaamde International Organization of Standardization (ISO) standaard zeer gewaardeerd en gerespecteerd (http:/www.iso.org/iso/en/aboutiso/introduction/index.html). De ISO standaard is een vrijwillig door bedrijven te behalen kwaliteitscertificaat. Met het in het bezit hebben van dit certificaat zijn hun afnemers ervan verzekerd dat hun leverancier een bepaalde mate van constante kwaliteit biedt.
Dit onderzoek richt zich op zowel de ISO richtlijnen alsmede op de eisen gesteld door de SOX wetgeving. Zoals reeds gesteld bestaat er binnen Europa geen eis om te voldoen aan de SOX wetgeving. Tegelijkertijd zijn de ISO richtlijnen niet verplicht gesteld voor ondernemingen. Het onderwerp van het onderzoek is te achterhalen of een onderneming die in het bezit is van een ISO 9000 certificering (dus voldoet aan de ISO richtlijnen) met het ISO certificaat ook voldoet aan de regelgeving zoals gesteld vanuit de SOX wetgeving.
01-11-06
Pagina 4 van 97
Dit onderzoek spitst zich derhalve toe op de stelling dat het in het bezit hebben van een ISO9000 certificaat afdoende is om te voldoen aan de SOX wetgeving. De stelling zal worden beantwoord door middel van verschillende deelvragen. In hoofdstuk 2 zal een antwoord worden gegeven op de vraag wat er wordt bedoeld met interne controle zoals gedefinieerd in de SOX wetgeving en vanuit het COSO (Committee of Sponsoring Organizations of the Treadway Commission) raamwerk. Tevens zal er aandacht worden besteed aan de aanvullende eisen van SOX met betrekking tot de verslaglegging. Vervolgens zal in hoofdstuk 3 de vraag worden beantwoord waar een organisatie aan moet voldoen om een ISO certificering te behalen en te behouden. In dit hoofdstuk zal tevens een relatie worden gelegd tussen de eisen van ISO en de afzonderlijke COSO componenten. De essentie van de SOX wetgeving is erop gericht om betrouwbare financiële publicaties te produceren voor de aanwezige stakeholders. Hierbij is interne controle van groot belang. In hoofdstuk 4 zullen daarom de verschillende definities van interne controle zoals aanwezig in ISO, COSO en SOX met elkaar worden geconfronteerd. De hieruit voortvloeiende aanvullende ISO eisen om aan de doelstellingen te voldoen, w orden hier nadrukkelijk naar voren gebracht. In hoofdstuk 5 zal de opzet en de uitwerking van het praktijkonderzoek worden toegelicht en wordt de eindconclusie onderbouwd. Het praktijkonderzoek is uitgevoerd door middel van een mondeling uitgevoerde enquête en boekenonderzoek bij verschillende ondernemingen. In hoofdstuk 6 tenslotte zal de conclusie naar aanleiding van de bevindingen gedurende het onderzoek worden gepresenteerd.
Dit onderzoek is wetenschappelijk van belang uit het gezichtspunt van interne controle. Beide raamwerken, zowel SOX als ISO, hebben de interne controle maatregelen als uitgangspunt. Met dit onderzoek wordt beoogd om een waardeoordeel uit te kunnen spreken over de toepasbaarheid van ISO certificering in relatie tot de SOX wetgeving.
01-11-06
Pagina 5 van 97
Hoofdstuk 2 Sarbanes Oxley Act 2002 2.1 Sarbanes Oxley Act 2002 In de stad Washington (Verenigde Staten van Amerika) is op 23 januari 2002 een wet aangenomen met de naam Sarbanes Oxley Act 2002 (SOX). Deze wet beoogt de stakeholders van de ondernemin gen die een beursnotering in de Verenigde Staten van Amerika hebben te beschermen tegen het bewust of onbewust publiceren van foutieve financiële gegevens. De SOX verstrekt wet- en regelgeving voor het verbeteren van de kwaliteit en betrouwbaarheid van ge publiceerde cijfers.
2.1.1. Doelstelling Sarbanes Oxley Act 2002
SOX geeft de volgende doelstelling:
To protect investors by improving the accuracy and reliability of corporate disclosures made pursuant to the securities laws, and for other purposes (H.R. 3763; p. 1) SOX is opgebouwd uit diverse titels, die ook weer verder zijn onderverdeeld in secties. De gehele SOX heeft betrekking op allerlei zaken die van invloed zouden kunnen zijn op de integriteit van een onderneming. Er zijn regels opgenomen met betrekking tot belangenverstrengeling van bestuurders, onafhankelijkheid van accountants etc. Voor dit onderzoek is een onderdeel van titel III en bijna de gehele titel IV van belang. Titel III houdt zich bezig met de verantwoordelijkheid van de onderneming en titel IV houdt zich bezig met het verbeteren van financiële publicaties (H.R. 3763; p. 1). Binnen titel III in sectie 302 wordt er specifiek aandacht geschonken aan de verantwoordelijkheid van de onderneming met betrekking tot de financiële rapportage (H.R. 3763; p. 33). De essentie van deze sectie 302 is dat de Chief Executive Officer (CEO) en de Chief Financial Officer (CFO) verantwoordelijk zijn voor de implementatie en evaluatie van de interne controlemaatregelen en dat zij deze evaluaties in een afzonderlijk rapport meedelen aan de stakeholders (H.R. 3763; p. 33). Tevens dienen de CEO en CFO zich op de hoogte te stellen van de veranderingen die zich hebben voorgedaan in het interne controle apparaat. De impact van deze veranderingen moeten zij interpreteren zodat er een uitspraak gedaan kan worden over de effectiviteit van het stelsel aan interne controle maatregelen in zijn geheel
01-11-06
Pagina 6 van 97
(Protiviti.com; Guide to the Sarbanes-Oxley Act: Internal Control Reporting requirements; p. 15). Binnen titel IV is de sectie 404 voor dit onderzoek van belang. Hierin wordt bepaald dat elke onderneming jaarlijks een internal control rapport opstelt met daarin minimaal: -
de mate van verantwoordelijkheid van het management voor het implementeren en onderhouden van een ade quate interne controle structuur en de daarbij behorende procedures voor het opstellen van de financiële rapportages
-
een beoordeling, per het einde van een fiscale periode van de onderneming, van de effectiviteit van de interne controle structuur en van de daarbij behorende procedures voor de financiële rapportage (H.R. 3763; p. 45)
2.1.2. Inhoud Sarbanes Oxley Act 2002 Wat is de inhoud van de SOX wetgeving? Zoals reeds in de doelstelling van SOX met betrekking tot “internal control over financial reporting” vermeld is, heeft de interne controle vanuit SOX grotendeels betrekking op de betrouwbaarheid van de financiële resultaten en op de presentatie hiervan (Protiviti.com; Guide to the Sarbanes-Oxley Act: Internal Control Reporting requirements; p. 22). Er wordt niet gerefereerd aan de effectiviteit en efficiency van de operationele activiteiten. Het moeten voldoen aan de geldende wet- en regelgeving is alleen van toepassing op het stand komen van de financiële cijfers (Protiviti.com; Guide to the Sarbanes-Oxley Act: Internal Control Reporting requirements; p. 23).
In SOX wordt o.a. de term “material weakness” gehanteerd. Zodra het management constateert dat er één of meerdere “material weaknesses” zijn vastgesteld dan kan de beoordeling van het management op basis van SOX niet zijn dat de interne controlemaatregelen adequaat en efficiënt zijn ingeregeld. (SEC final rule; p. 17). Er wordt echter ook melding gemaakt van een andere term en dit is een “significant deficiency”. Het onderscheid tussen beide termen binnen SOX is dat een “material weakness” een grotere negatieve afwijking vertegenwoordigt in de interne controle maatregelen dan de term “significant deficiency”. Het verschil tussen deze twee termen binnen SOX is dat een “significant deficiency” niet automatisch hoeft te worden aangemerkt als een “material weakness”. Een gebrek in de interne controlemaatregelen wordt pas aangemerkt als een “material weakness” indien dit een materieel effect kan hebben op de gerapporteerde 01-11-06
Pagina 7 van 97
financiële cijfers (Protiviti.com; Guide to the Sarbanes-Oxley Act: Internal Control Reporting requirements; p. 73). The U.S. Securities and Exchange Commission (SEC) heeft naar aanleiding van de SOX wetgeving richtlijnen uitgevaardigd die ervoor zorgdragen dat iedere onderneming die gehouden is aan de SOX wetgeving deze richtlijnen op dezelfde manier interpreteert en implementeert.
De definitie van de SEC, met betrekking tot “Internal control over financial reporting”, luidt als volgt:
A process designed by, or under the supervision of, the issuer’s principal executive and principal financial officers, or persons performing similar functions, and effected by the issuer’s board of directors, management and other personnel, to provide reasonable assurance regarding the reliability of f inancial reporting and the preparation of financial statements for external purposes in accordance with generally accepted accounting principles and includes those policies and procedures that: -
pertain to the maintenance of records that in reasonable detail accurately and fairly reflect the transactions and dispositions of the assets of the issuer
-
provide reasonable assurance that transactions are recorded as necessary to permit preparation of financial statements in accordance with generally accepted accounting principles, and that receipts and expenditures of the issuer are being made only in accordance with authorizations of management and directors of the issuer; and
-
provide reasonable assurance regarding prevention or timely detection of unauthorized ac quisition, use or disposition of the issuer’s assets that could have a material effect on the financial statements. (SEC final rule; p. 11)
2.2. Committee of Sponsoring Organizations of the Treadway Commission (COSO) De SEC vaardigt richtlijnen uit. In één van deze richtlijnen heeft de SEC gesteld dat iedere onderneming een raamwerk van interne controlemaatregelen dient te implementeren. Specifiek heeft de SEC hierbij melding gemaakt van het Committee of Sponsoring 01-11-06
Pagina 8 van 97
Organizations of the Treadway Comission (COSO) rapport. Het COSO rapport biedt een kwalitatief hoogwaardig stelsel aan maatregelen dat als basis kan dienen om aan gestelde eisen ten behoeve van de jaarlijkse interne controle evaluatie en de financiële rapportage te voldoen (SEC final rule; p. 16). Voor het onderzoek nemen we als basis het COSO rapport en vullen dit aan met de extra eisen met betrekking tot SOX. Het COSO rapport is een onderdeel van de eisen van SOX en de aanvullende richtlijnen zoals uitgevaardigd door de SEC.
2.2.1. Definitie COSO rapport
Er bestaan verschillende definities over het begrip “internal control”. Het COSO rapport definieert het als volgt: Internal control is a process, effected by an entity’s board of directors, management and other personnel, designed to provide reasonable assurance regarding the achievement of objectives in the following categories: -
Effectiveness and efficiency of operations
-
Reliability of financial reporting
-
Compliance with applicable laws and regulations (Integral Control – Integrated Framewor k, 1994, p. 3)
COSO definieert interne controle dus als een proces, waarin alle werknemers van een organisatie een rol hebben te vervullen, met als doel het realiseren van de gestelde doelen van de organisatie. Tevens is interne controle van COSO met name gericht op de efficiency en effectiviteit van de operationele activiteiten, de betrouwbaarheid van de financiële rapportages en het voldoen aan de relevante wet- en regelgeving.
De definitie van de SEC is gedeeltelijk consistent met de definitie van COSO . Bij beide definities wordt interne controle gedefinieerd als een proces, ligt de verantwoordelijk voor de uitvoering bij de gehele onderneming, wordt er een relatie gelegd met de operationele processen en wordt er een relatie gelegd met de relevante wet- en regelgeving (paragraaf 2.1.2. en paragraaf 2.2.1). Er zijn echter ook verschillen. In de definitie van de SEC wordt specifieker aandacht gevraagd voor de verantwoordelijken van een onderneming, de CEO en de CFO. Bij de definitie van de SEC dienen de CEO en de CFO de interne 01-11-06
Pagina 9 van 97
controlemaatregelen met name te hebben ontworpen en geïmplementeerd. Binnen het COSO rapport wordt dit niet zo nadrukkelijk gesteld (Exchange Act Section 13(b)(2)(B). 2.2.2. Inhoud COSO rapport
Wat is het COSO raamwerk? Het COSO raamwerk bestaat uit drie algemene categorieën en uit vijf componenten. De componenten lopen als een rode draad door de afzonderlijke categorieën heen. Ze kunnen binnen een categorie niet als een afzonderlijk iets worden beschouwd. De drie categorieën zijn: a. operationele activiteiten b. financiële rapportage, betrouwbaarheid informatie c. compliance De vijf componenten zijn: 1. controle omgeving, besturingskader 2. risico analyse 3. interne controle maatregelen, beheersingsmaatregelen 4. informatie en communicatie 5. monitoren, bewaking (Integral Control – Integrated Framework, 1994, p. 16)
01-11-06
Pagina 10 van 97
De relatie tussen bovenstaande componenten en tussen de doelstellingen zoals gesteld in de definitie van het COSO-rapport kunnen als volgt worden gevisualiseerd:
Figuur 1 : Relatie tussen categorieën en componenten (Integral Control – Integrated Framework, 1994, p. 19)
Aan de hand van bovenstaande figuur wordt de bedoeling hiervan duidelijk. Bijvoorbeeld de controle omgeving (besturingskader) heeft zijn invloed op zowel de operationele activiteiten als op de financiële rapportage, alsmede op de derde en laatste categorie het voldoen aan de gestelde wettelijke eisen. Binnen het COSO raamwerk wordt uitgebreid ingegaan op de verschillende componenten. Iedere component heeft binnen he t COSO raamwerk zijn / haar eigen betekenis en invulling. De implementatie van het COSO raamwerk is ondernemingsafhankelijk (Integral Control – Integrated Framework, 1994, p. 4). Door middel van een analyse van de behoeften aan interne controlemaatregelen geeft een onderneming handen en voeten aan het COSO raamwerk in de praktijk.
De inhoud en de betekenis van het COSO raamwerk wordt als zijnde bekend verondersteld.
01-11-06
Pagina 11 van 97
2.3. Inhoud SOX handboek In de SOX wetgeving wordt veel nadruk gelegd op documentatie. De houding ten aanzien van documentatie is dat indien er een interne controle maatregel in werking is, maar deze maatregel is niet gedocumenteerd dan wordt deze maatregel als zijnde niet bestaand beschouwd (Diekman P.; MAB. Rapporteren over interne controle; p. 520).
De documentatie dient te voldoen aan de volgende eisen: 1. Mogelijkheid tot objectieve beoordeling van de opzet van het systeem van interne controle maatregelen. 2. Mogelijkheid tot objectieve beoordeling van het systeem van interne controle maatregelen en dan met name gericht op de feitelijke werking van het systeem. Dit is een verantwoordelijkheid van het management. 3. De externe accountant dient een onafhankelijke verklaring af te geven over de beoordeling zoals deze is afgegeven door het management. H ierbij zal o.a. gekeken worden naar de wijze waarop het management tot haar oordeel is gekomen, de kwaliteit van de interne rapportering, de grondslag waarop het management tot haar oordeel is gekomen, de gekozen materialiteit en de organisatie van de beoordeling. (Diekman P.; MAB; Rapporteren over interne controle; p. 514). Aan de hand van een stappenplan wordt de documentatie voor SOX aangepakt. Allereerst wordt er door de onderneming bepaald wat de reikwijdte van de SOX wetgeving voor deze specifieke onderneming is. Het uitgangspunt is de geconsolideerde jaarrekening zoals deze door de onderneming wordt gepubliceerd (Diekman P.; MAB; Rapporteren over interne controle; p. 516). Vanuit de geconsolideerde jaarrekening worden alle afzonderlijke posten tegen het licht gehouden. Dit ter bepaling van de kwantitatieve en kwalitatieve impact op het geheel van de jaarrekening. Hier wordt een beoordeling gemaakt van de materiële invloed die de afzonderlijke posten hebben op het geheel. Nadat deze stap is uitgevoer d worden de verschillende bedrijfsprocessen, die gerelateerd zijn aan de jaarrekeningposten ontleed. Zodra deze inzichtelijk zijn kunnen de controle punten verder in kaart worden gebracht. Voor de documentatie moeten van ieder kernproces alle administratieve stappen, met daarin de controlepunten, worden vastgelegd. Alle beschrijvingen van deze processen dienen te
01-11-06
Pagina 12 van 97
voldoen aan de controlerichtlijn zoals opgesteld door de PCAOB (Public Company Accounting Oversight Board). In de vastlegging behoren de fasen: initiatie, autorisatie, vastlegging, bewerking en rapportering naar voren te komen (Diekman P.; MAB; Rapporteren over interne controle; p. 516). Tevens dienen de 5 componenten van het COSO raamwerk te worden meegenomen. Extra aandachtspunt boven op het bovenstaande zijn de controlemaatregelen die zijn genomen voor het waarborgen van de kwaliteit van posten in de jaarrekening die niet-routinematig tot stand komen (bijvoorbeeld: schattingen van waarderingen). De interne controle maatregelen moeten een hoge mate van zekerheid te geven over de juistheid, volledigheid en tijdigheid van de betreffende post, de hoogte van de waardering en de wettelijke eisen ten aanzien van presentatie en transparantie (Diekman P.; MAB; Rapporteren over interne controle; p. 517).
De beschreven interne controle maatregelen dienen, aan de hand van testplannen, ook periodiek te worden getoetst. Deze testplannen maken ook deel uit van de documentatie die nodig is voor het compliant zijn aan de SOX wetgeving.
Samenvattend kunnen we over deze paragraaf stellen dat de eisen aan het SOX handboek alles omvatten van de start van de beoordeling van de materialiteit van posten in de jaarrekening tot het vastleggen in detail van processen en de testplannen. Dit met het uiteindelijke doel het kunnen aantonen van een geheel aan maatregelen dat door de organisatie is getroffen en waarmee de vastgelegde resultaten te allen tijde zijn na te bootsen. Hiermee zijn de uitkomsten objectief en bij herhaling verifieerbaar voor derden.
In dit hoofdstuk is de inhoud van de SOX wetgeving uitgediept. We hebben hierbij kunnen constateren dat de SOX wetgeving gericht is op het beschermen van de stakeholders van een organisatie. De SOX wetgeving is gericht op de betrouwbaarheid van de financiële rapportages. Hierbij wordt gebruik gemaakt van het COSO raamwerk. De onderdelen van het COSO raamwerk zijn uitgebreider dan hetgeen in de SOX wetgeving wordt genoemd. Echter door het beheersen van alle onderdelen van het COSO raamwerk wordt impliciet de voorwaarden geschapen voor het voldoen aan de SOX wetgeving. Aan de vastlegging van de genomen interne controlemaatregelen worden expliciet aanvullende eisen gesteld.
01-11-06
Pagina 13 van 97
Hoofdstuk 3 ISO De International Organization of Standardization (ISO) is opgericht in het jaar 1947. ISO heeft door de jaren heen meer dan 13000 standaarden gepubliceerd. De ISO 9000 en ISO 14000 standaarden zijn de meest verbreide en succesvolste standaarden die zijn gepubliceerd. Beide standaarden zijn generieke standaarden waarmee wordt bedoeld dat ze geldig zijn voor en toepasbaar op elke onderneming ongeacht de grootte van de onderneming, het gevoerde product of dienst. De ISO 9000 en 14000 normen zijn voor het eerst gepubliceerd in de jaren negentig. In het kalenderjaar 2000 zijn de in de jaren negentig opgestelde normen aangepast aan de nieuwe tijd. Hiertoe zijn de “oude” normen ingrijpend aangepast. Ook de nummering van de normen is aangepast. Met ingang van het jaar 2000 bestaan de normen NEN-EN-ISO 9000, NEN-EN-ISO 9001, NEN-EN-ISO 9004 en de norm NEN-EN-ISO 19011 (Nederlands norm NEN-EN-ISO 9000 t/m 19011; december 2004).
3.1. ISO De standaarden ISO 9000 en ISO 14000 zijn standaarden die door iedere onderneming mogen worden gebruikt voor interne doelstellingen. Zodra ondernemingen de standaarde n als een kwaliteitskenmerk voor externe doeleinden willen gebruiken, dient een onafhankelijk certificeringbureau een waardeoordeel uit te spreken over de wijze waarop een onderneming de ISO normen heeft ingevoerd. Het waardeoordeel wordt afgegeven door middel van het verstrekken van een certificaat. Voor dit onderzoek zijn de gestelde normen voor ISO 14000 niet van belang. ISO 14000 heeft betrekking op alle aspecten die samenhangen met het milieu. Voor het verkrijgen van een ISO 9000 certificaat zijn de normen NEN-EN-ISO 9000 (ISO 9000) en NEN-EN-ISO 9001 (ISO 9001) van belang. In ISO 9000 worden de grondbeginselen van een kwaliteitsmanagementsysteem uitgelegd en worden de definities van de diverse te hanteren begrippen uitgelegd en bepaald (NEN-EN-ISO 9000; p. 5). In ISO 9001 worden de eisen die aan het kwaliteitsmanagementsysteem gesteld worden beschreven. Hierin staan de eisen genoemd van het kwaliteitsmanagementsysteem met het oog op het voldoen aan de eisen van de geleverde producten en/of diensten, het voldoen aan
01-11-06
Pagina 14 van 97
de geldende regelgeving en wetgeving alsmede de eisen indien men continu de klanttevredenheid wil verhogen (NEN-EN-ISO 9000; p. 5). De norm NEN-EN-ISO 9004 (ISO 9004) geeft richtlijnen voor met name het realiseren van continue verbetering binnen de organisatie. Het begrip continue verbetering richt zich op het gebied van algehele prestaties alsmede op het gebied van doelmatigheid en doeltreffendheid van een organisatie (NEN-EN-ISO 9004; p. 7). ISO 9004 is officieel geen onderdeel van de ISO eisen om in aanmerking te komen voor certificering. Voor dit onderzoek zal ik geen nadruk leggen op dit onderscheid. Alle gepubliceerde normen binnen de ISO 9000 familie zijn voor dit onderzoek meegenomen.
3.1.1. Inhoud ISO standaarden
De ISO organisatie heeft de standaarden ontwikkeld met het doel om organisaties voordelen te laten behalen uit de implementatie van een kwaliteitsmanagementsysteem, de potentiële afnemers een kwaliteitskeurmerk van de betreffende organisatie te bieden en eenduidigheid te verstrekken over de terminologie die wordt gehanteerd.
Doelstelling van het toepassen van een uitgebreid kwaliteitsmanagementsysteem is het waarborgen van de effectiviteit en de efficiency van de processen. Het toepassen van een kwaliteitsmanagementsysteem kan tevens een belangrijke bijdrage leveren aan het besturen van een organisatie op basis van kosten en risico’s (NEN-EN-ISO 9004; p. 5).
De ISO standaarden zijn gebaseerd op een procesbenadering (NEN-EN-ISO 9000; p. 8). Een procesbenadering is de identif icatie van alle handelingen die plaats moeten vinden voordat een transactie is afgerond, waarbij alle interacties tussen verschillende afdelingen worden betrokken. Een proces is derhalve het resultaat van een geheel van samenhangende of elkaar beïnvloedende activiteiten die input omzet in output.
01-11-06
Pagina 15 van 97
Figuur 2 Procesbenadering
In bovenstaande figuur is dit duidelijk weergegeven. Was het voorheen zo dat er per afdeling een beginpunt en eindpunt van het werk werd gedefinieerd, binnen het kwaliteitsmanagementsysteem van ISO is van deze duidelijke afbakening geen sprake meer. De afzonderlijke afdelingen staan in nauw contact met elkaar. Vooraf is gedefinieerd wat de input dient te zijn waarna alle betrokken afdelingen met elkaar samenwerken teneinde ervoor zorg te dragen dat de output effectief en efficiënt tot stand komt (Ahaus C.T.B. e.a.; ISO 9000:2000-serie, strategie en aanpak; p. 44).
Voordat een kwaliteitsmanagementsysteem wordt opgezet is een inventarisatie noodzakelijk van alle processen die nodig zijn voor het kwaliteitssysteem zelf. Hieronder vallen de processen die van belang zijn voor besturingsactiviteiten, het beschikbaar stellen van middelen, het realiseren van het product of dienst en het meten van de processen zelf (NENEN-ISO 9001; p. 11). Voor het doeltreffend functioneren van een organisatie zullen alle afzonderlijke activiteiten moeten worden vastgesteld, er dient beoordeeld te worden hoe ze onderling met elkaar verbonden zijn en hoe deze kunnen worden bestuurd (NEN-EN-ISO 9001; p. 7). Een kw aliteitsmanagementsysteem moet beschikken over een kwaliteitsbeleid en over kwaliteitsdoelstellingen. De directie heeft de verantwoordelijkheid om het kwaliteitsbeleid te bepalen en meetbare kwaliteitsdoelstellingen vast te stellen die consistent zijn met het kwaliteitsbeleid (NEN-EN-ISO 9001; p. 13) Het kwaliteitsmanagementsysteem dient voor ISO te worden gedocumenteerd. In dit kwaliteitshandboek moet minimaal worden vastgelegd: het geformuleerde kwaliteitsbeleid en de hiervan afgeleide kwaliteitsdoelste llingen, de procedures, die documenten die de
01-11-06
Pagina 16 van 97
organisatie nodig heeft voor het op een juiste manier uitoefenen van de processen inclusief de planning en de beheersing hiervan (NEN-EN-ISO 9001; p. 11). Binnen de ISO normen die geldig zijn vanaf het kalenderjaar 2000 wordt er grote nadruk gelegd op de verantwoordelijkheid van de directie. Deze verantwoordelijkheid gaat verder dan het formuleren van de missie, visie en strategie van de onderneming. De directie heeft de volgende verantwoordelijkheden en dient : •
zich te onthouden van onwenselijk gedrag
•
zich pro-actief op te stellen in het deelnemen aan verbetertrajecten
•
zich regelmatig op de hoogte te stellen van de doeltreffendheid en doelmatigheid van het geïmplementeerde kwaliteitsmanagementsysteem
•
de processen voor het verkrijgen van het product en/of dienst en de ondersteunende processen vast te stellen
•
de medewerkers van de organisatie een persoonlijk ontwikkelingsplan te geven
•
de onderneming te voorzien van de structuur en middelen om de gestelde strategische doelen haalbaar te maken
(NEN-EN-ISO 9004; p. 14). De vertaling van het bovenstaande is uiteindelijk dat de directie niet alleen op een managementstoel kan zitten, maar dat zij ook de in’s en out’s van een organisatie kent en hierop adequaat in kan springen. In de praktijk zal de directie op de hoogte (moeten) blijven van de ontwikkelingen binnen de organisatie op zowel tactisch als operationeel niveau door middel van het invoeren van verschillende overlegstructuren.
Om te voldoen aan de ISO normen ter verkrijging van het ISO certificaat is de organisatie verplicht een systeem te hebben geïmplementeerd waarmee de organisatie voldoet aan de eis van continue verbetering (NEN-EN-ISO 9001; p. 24). Binnen de ISO norm wordt de methodologie van de Deming- Cirkel toegepast (Edwards Deming W. , The New Economy, 2e druk). De Deming cirkel kent vier onderdelen. Dit is als volgt te visualiseren:
01-11-06
Pagina 17 van 97
Figuur 3 : Deming Cirkel (Edwards Deming W. , The New Economy, 2e druk)
De vier fasen uit de Deming-cirkel houden in: 1. Plannen: het vaststellen van de doelen en processen. 2. Uitvoeren: het uitvoeren van de processen en- van de geplande activiteiten. 3. Beoordelen en evalueren: meten in hoeverre de doelen zijn gerealiseerd. 4. Borgen en verbeteren: het nemen van maatregelen om procesprestaties te verbeteren. (Edwards Deming W. , The New Economy, 2e druk). Het principe van continue verbetering heeft zijn weerslag op alle onderdelen van een organisatie. Zowel op strategisch, tactisch als op operationeel niveau. De opzet voor de continue verbetering hangt mede af van het niveau waar de verbetering betrekking op heeft. Over het algemeen is de Deming-cirkel voor het tactisch en operationeel niveau zichtbaar in continue kleine verbeteringsstappen binnen de geldende processen. Voor met name het verbeteren op strategisch niveau zal dit meer gebeuren met zorgvuldig geplande grote projecten (bijvoorbeeld op IT gebied) waardoor bestaande processen ingrijpend worden herzien of in zijn geheel komen te vervallen (Ahaus C.T.B. e.a.; ISO 9000:2000-serie, strategie en aanpak; p. 143).
Binnen ISO moet aangetoond kunnen worden dat bij afwijkingen van de te realiseren doelen corrigerende maatregelen worden genomen. De genomen maatregelen moeten acties bevatten
01-11-06
Pagina 18 van 97
waardoor de afwijkingen niet meer of in mindere mate terugkeren. In het proces van continue verbeteren moet derhalve altijd de reden voor verbetering zitten besloten, een beschrijving van de huidige situatie, een analyse van de bevindingen en tenslotte de identificatie van de mogelijke oplossingen. Uiteindelijk moet die oplossing worden gekozen die de oorzaak van de afwijking aanpakt en opheft. De laatste actie is het achteraf beoordelen van de doeltreffendheid en doelmatigheid van de verbetermaatregel (NEN-EN-ISO 9004; p. 71).
3.1.2. Inhoud ISO handboek In de vorige paragraaf is de inhoud van de verschillende ISO standaarden beschreven. Tevens komt hier naar voren dat er een kwaliteitshandboek moet bestaan. Om de begrijpelijkheid en inzichtelijkheid te bevorderen van de specifieke eisen met betrekking tot de inhoud van het ISO handboek is het noodzakelijk om hier een aparte paragraaf aan te wijden. Het kwaliteitsmanagementsysteem moet worden gedocumenteerd. Hierin dienen zoals reeds in de vorige paragraaf vermeld de verklaringen te worden vas tgelegd met betrekking tot het vastgesteld kwaliteitsbeleid en de vastgestelde kwaliteitsdoelstellingen. Tevens is het verplicht dat er een kwaliteitshandboek aanwezig is. In het kwaliteitshandboek moet het onderwerp en het toepassingsgebied van het kwaliteitsmanagementsysteem (hierbij specifieke aandacht voor de bijzonderheden en met name de reden voor eventuele uitsluitingen uit het toepassingsgebied) zijn beschreven (NEN-EN-ISO 9001; p. 12). De reden voor het met name noemen van het toepassingsgebied va n een kwaliteitsmanagementsysteem is dat derden hieruit moeten kunnen afleiden of de ISO norm geldig is voor de gehele onderneming of slechts een gedeelte ervan. In het kwaliteitshandboek zijn minimaal de vastgelegde gedocumenteerde procedures of een verw ijzing hiernaar alsmede een beschrijving van de interacties tussen de benoemde processen van het kwaliteitsmanagementsysteem opgenomen (NEN-EN-ISO 9001; p. 12). In de ISO richtlijnen wordt nadrukkelijk aandacht besteed aan de beheersing van de documentatie binnen het kwaliteitshandboek. Het is voor de ISO norm niet voldoende om alles te hebben vastgelegd, maar het is tevens noodzakelijk om de vastleggingen zelf weer te borgen. Met betrekking tot de borging worden eisen gesteld ten aanzien van goedkeuring van documenten op geschiktheid alvorens ze worden uitgegeven, periodiek beoordelen en indien 01-11-06
Pagina 19 van 97
nodig actualiseren en weer goedkeuren van de documenten, identificatie van de actuele versie van de documenten, te allen tijde beschikbaar zijn van de relevante ve rsies op de werkplek en de documenten dienen leesbaar en gemakkelijk herkenbaar te blijven (NEN-EN-ISO 9001; p. 12).
3.2. Koppeling ISO eisen en richtlijnen aan de componenten van COSO De ISO normen zijn gebaseerd op een kwaliteitsmanagement vraagstuk. De ISO certificering is voor iedere onderneming bedrijfsspecifiek. Het is niet mogelijk om het kwaliteitshandboek zoals gehanteerd bij bijvoorbeeld handelsonderneming A te kopiëren naar handelsonderneming B. Hiervoor zijn het kwaliteitsbeleid en de kwalite itsdoelstellingen zoals bepaald door de directie van een onderneming van belang. Het kwaliteitshandboek van een organisatie is afhankelijk van en ontstaat uit het analyseren van de kritische processen binnen een onderneming (NEN-EN-ISO 9001; p. 11)
In de ISO normen staat geen definitie vermeld van hetgeen ISO onder interne controle verstaat. Zouden we echter een definitie willen vaststellen dan komt die naar mijn optiek uit op het volgende: Interne controle binnen de ISO regelgeving is het stelsel van maatregelen dat er voor zorgdraagt dat de processen binnen de onderneming, en daarmee de geformuleerde ondernemingsdoelstellingen, door middel van continue verbetering consequent worden beheerst en worden bijgestuurd.
In bovenstaande definitie komt duideli jk naar voren dat ISO is gebaseerd op een procesbenadering, dat er sprake moet zijn van continue verbetering en dat er doelstellingen moeten zijn gesteld die dienen te worden beheerst en bijgestuurd. De inhoud van de door mij geformuleerde definitie is ter ug te vinden in paragraaf 3.1.1. Om de centrale vraag in dit onderzoek, “Het in het bezit hebben van een ISO-9000 certificaat is afdoende om te voldoen aan de SOX wetgeving” te kunnen beantwoorden zal er een relatie
01-11-06
Pagina 20 van 97
worden gelegd tussen het voorgestelde raamwerk ten behoeve van interne controle zoals vermeld in hoofdstuk 2 te weten COSO. Het doel is een antwoord te kunnen geven op de deelvraag: Zijn er aantoonbare overeenkomsten tussen de eisen die ISO stelt en de eisen die COSO stelt? In hoofdstuk 2 is de inhoud van het COSO raamwerk beschreven. De eisen en richtlijnen van de ISO-normen zal ik relateren aan de vijf genoemde componenten van COSO (zie paragraaf 2.2.2). Het doel is om hiermee een gefundeerd antwoord op de gestelde deelvraag te kunnen geven. Die onderdelen waar een “X” in staat vermeld komen zowel voor in de componenten van het COSO raamwerk als in de inhoud van het ISO normalisatie instituut. Hierbij is gekeken of in de ISO handboeken de essentie van de COSO componenten zijn terug te vinden.
Componenten ISO / COSO
COSO
ISO
Controleomgeving
X
X
Risicoanalyse
X
X
Informatie en communicatie
X
X
Interne controle maatregelen
X
X
Monitoren
X
X
Directieverantwoordelijkheid
X
Tabel 1 Analyse ISO ten opzichte van COSO
De constatering dat ISO op alle onderdelen voldoet aan de door COSO gestelde eisen, is terug te vinden in hoofdstuk 3 van dit onderzoek. De controleomgeving is uitvoerig besproken op pagina 17. De risicoanalyse is aan bod gekomen op pagina 16 en de informatie en communicatie is terug te lezen op pagina 19. De interne controle maatregelen zijn besproken op pagina 17 en het monitoren is aan bod gekomen op pagina 18. De bevindingen in tabel 1 zijn reeds eerder geconstateerd en gepubliceerd in het jaar 2003. In dit onderzoek is een tabel opgenomen met daarin de COSO componenten en de ISO items onderverdeeld in planning, transactie controles en monitoring (McAllister M.; Leveraging your ISO 9001 System for Sarbanes-Oxley Compliance; p. 2).
01-11-06
Pagina 21 van 97
De conclusie die we uit het bovenstaande kunnen trekken is dat indien we kijken naar de gestelde eisen door ISO en COSO beide kwaliteitssystemen aan elkaar gewaagd zijn. Het antwoord op de deelvraag is derhalve dat er aantoonbare overeenkomsten zijn tussen de eisen die ISO stelt en de eisen zoa ls deze door COSO worden gesteld aan het interne controle systeem. Voor de beantwoording van de hoofdvraag zal er echter verder op detail niveau (aanwezige processen) moeten worden gekeken en onderzocht. Hier kom ik in hoofdstuk 4 verder op terug. Ik zal dan identificeren welke hoofdprocessen er zijn te onderkennen in een handelsonderneming. De risico’s die door derden kunnen worden onderkend (dus geen onderzoek op gestelde doelen t.o.v. de ingevoerde maatregelen) zullen nader worden uitgewerkt in hoofdstuk 4.
01-11-06
Pagina 22 van 97
Hoofdstuk 4 Confrontatie ISO met SOX ISO is mede ontstaan uit de behoefte aan een kwaliteitscertificaat voor ondernemingen. De stakeholders van die ondernemingen die in het bezit zijn van een ISO certificaat hebben hierdoor een waarborg voor de continuïteit van het kwaliteitsbeleid binnen de onderneming zelf. SOX is erop gericht om de stakeholders een waarborg te verstrekken met het oog op de correctheid van financiële publicaties. Zowel ISO als SOX willen een waarborg bieden aan de stakeholders. ISO redeneert vanuit de operationele processen, SOX redeneert vanuit de naar buiten te brengen publicaties omtrent de resultaten. Vanuit SOX geredeneerd is het operationele proces niet primair van belang, maar zijn alleen de financiële publicaties die hieruit voortvloeien van belang. Dit is ook terug te vinden in een onderzoek uitgevoerd in maart 2005. Hierin zijn de verschillende titels van SOX naast de ISO richtlijnen geplaatst (Stimson W.A.; www.asq.org; Sarbanes-Oxley And ISO 9000; maart 2005; p. 27).
Het bovenstaande zal ik verduidelijken met een voorbeeld dat bij handelsondernemingen van toepassing is. De post voorraden is een van de belangrijkste activa op de balans bij een handelsonderneming. Om de financiële waarde adequaat vast te kunnen stellen is allereerst de vaststelling van de feitelijke aanwezige voorraad van belang (beheersing van het operationele proces). Het tweede aspect dat van belang is, is de waardering van de vastgestelde feitelijke aanwezige voorraden. Er kan binnen een onderneming zijn gesteld dat de voorraden standaard worden gewaardeerd op inkoopprijs. Indien echter de inkoopprijs hoger is dan de verkoopprijs, is de vastgestelde automatische waardering niet meer correct. Om dit te ondervangen moet binnen het stelsel van interne controlemaatregelen een controle geschieden op zowel de feitelijke aanwezige voorraad alsmede op de specifieke individuele waardering ervan. Dit om een gefundeerde uitspraak te kunnen doen over de balanspost voorraden zoals deze is opgenomen in de financiële publicaties.
01-11-06
Pagina 23 van 97
4.1. Confrontatie verschillende definities interne controle We hebben verschillende definities van interne controle langs zien komen. We hebben de definitie gezien van COSO (paragraaf 2.2.1.), SEC (paragraaf 2.2.1.) en de door mijzelf, op basis van de elementen van het ISO systeem, samengestelde definitie van ISO (paragraaf 3.2.).
In de vergelijking van de diverse definities zien we zowel overeenkomsten als ook verschillen. Een belangrijke overeenkomst in alle interne controle definities is het gegeven dat alle definities uitgaan van een proces. Het geheel aan maatregelen voor interne controle is niet van toepassing op een enkel onderdeel van een organisatie, maar op het geheel van de start van de activiteit tot en met de output van de activiteit. Een belangrijk verschil is dat er binnen de ISO regelgeving alleen over het operationele proces wordt gesproken. De financiële rapportage speelt bij ISO geen rol. Dit is wel het geval bij de definities van zowel COSO als SEC.
Om de onderzoeksvraag verder te kunnen beantwoorden en onderzoeken is het noodzakelijk om de interne controle definitie van ISO uit te breiden. Dit met het doel om vanuit ISO een definitie te formuleren die een waarborg biedt voor een betrouwbare financiële rapportage.
In mijn optiek zal de definitie zoals gedestilleerd uit de ISO regelgeving uitgebreid dienen te worden tot:
ISO Interne controle binnen de ISO regelgeving is het stelsel van maatregelen dat er voor zorgdraagt dat de operationele en financiële processen binnen de onderneming, en daarmee de geformuleerde ondernemingsdoelstellingen, door middel van continue verbetering consequent worden beheerst en worden bijgestuurd ten einde te komen tot een betrouwbare financiële rapportage.
01-11-06
Pagina 24 van 97
De uitbreiding is noodzakelijk om een relatie te leggen tussen de operationele processen en de uiteindelijke financiële rapportage. Binnen de procesbeschrijvingen van ISO zal deze relatie duidelijk naar voren dienen te komen.
In de hoofdstukken 2 en 3 zijn de richtlijnen en eisen beschreven waaraan moet worden voldaan volgens ISO, SOX en COSO.
Samenvattend kunnen we tot de conclusie komen dat: Door de nieuwe definitie van ISO te vergelijken met die van COSO en SEC kunnen we stellen dat de diverse de finities met betrekking tot interne controle nu met elkaar in overeenstemming zijn. Op iedere onderneming is zowel de ISO certificering alsmede ook de SOX wetgeving toepasbaar. Dit ongeacht het type onderneming of de grootte van de onderneming. Het voldoen aan het gedachtegoed van de inhoud van de SOX wetgeving is voor ieder type onderneming een wens of indien er sprake is van een beursgenoteerde onderneming een eis.
Het praktijkonderzoek zal een antwoord geven op de stelling:
Het in het bezit hebben van een ISO-9000 certificaat is afdoende om te voldoen aan de SOX wetgeving. Het praktijkonderzoek wordt uitgevoerd met de door mij geformuleerde interne controle definitie van ISO als uitgangspunt. Hiervoor wordt in de volgende paragraaf aan de hand van bestaande literatuur aandachtspunten geformuleerd welke in de praktijk worden onderzocht.
4.2. Eisen gesteld aan ISO om te voldoen aan COSO / SOX raamwerk In deze paragraaf zullen meer in detail eisen worden geformuleerd op het gebied van financiële rapportages met als leidraad de afzonderlijke operationele processen. Deze eisen worden toegespitst op de financiële risico’s die met deze processen samenhangen. Er zal worden onderzocht of er in de ISO handboeken van de onderzochte ondernemingen procedures zijn vastgelegd die betrekking hebben op de financiële risico’s.
01-11-06
Pagina 25 van 97
Dit wordt onderzocht aan de hand van literatuur op het gebied van Bestuurlijke informatievoorziening. De geraadpleegde literatuur zijn de werken van Starreveld (Bestuurlijke informatieverzorging deel 2a, 4e druk) en van Romney en Steinbart (Accounting Information systems, 8e druk).
Binnen de Nederlandse literatuur wordt er onderscheid gemaakt tussen verschillende bedrijfstypologieën. Voor ieder soort bedrijf zijn er specifieke aandachtsgebieden geformuleerd met betrekking tot het accent van de interne controle. De typering van de bedrijven is gedefinieerd door Starreveld (Bestuurlijke informatieverzorging deel 2a, 4e druk, Starreveld e.a.). Er wordt onderscheid gemaakt tussen bedrijfssoorten als handelsbedrijven, industriële bedrijven, agrarische bedrijven, dienstverleningsbedrijven etc. Voor dit onderzoek voert het te ver om alle verschillende typologieën onder de loep te nemen. Derhalve zal met name het handelsbedrijf worden geanalyseerd. Het primaire proces binnen een handelsbedrijf bestaat uit inkopen, bewaren van voorraden en het verkopen van deze voorraden (Bestuurlijke informatieverzorging deel 2b, 4e druk, p. 24, Starreveld e.a.).
Inkopen
Voorraden
Verkopen
Figuur 4: Deel waardekringloop handelsbedrijf
In bovenstaande figuur is dit nader uitgebeeld. Als gevolg van het inkopen van goederen ontstaan er voorraden. Om verkopen te kunnen realiseren, zal er eerst een voorraad goederen aanwezig dienen te zijn.
Binnen de typologie handelsbedrijven kan een tweetal categorieën worden onderscheiden: 1. Handelsbedrijven met in hoofdzaak verkopen op rekening 2. Handelsbedrijven met in hoofdzaak verkopen à contant Bij beide categorieën staat de goederenbeweging centraal. Indien er sprake is van een handelsbedrijf met in hoofdzaak verkopen à contant, dan komt hier als belangrijk centraal 01-11-06
Pagina 26 van 97
element ook de geldbeweging bij (Starreveld e.a., Bestuurlijke informatieverzorging deel 2b, 4e druk, p. 31). Een andere benadering van de typologie van een handelsbedrijf is dat we deze gaan opsplitsen in functionele gebieden. De verschillende functionele gebieden die hierin onderscheiden kunnen worden zijn: -
Opbrengsten (Revenue cycle)
-
Kosten (Expenditure cycle)
-
Financieel (Financial cycle)
-
P&O (Human Resources cycle)
(Romney en Steinbart, Accounting Information systems, 8e druk, p. 30).
De functionele gebieden zijn op een zodanige manier bepaald dat de activiteiten die uit een gebied voortvloeien een geheel proces bestrijken. Zo zijn in de Revenue Cycle begrepen de activiteiten als de ontvangst van order van de klant, het picken van de order / uitlevering, ontvangst van de verkoop opbrengsten, verkoopkortingen, retour goederen en hieruit voortvloeiende vergoedingen, voorziening dubieuze debiteuren (Romney en Steinbart, Accounting Information systems, 8e druk, p. 30). Het geheel van het eerste klantcontact tot en met het innen van de uitstaande vorderingen zit derhalve binnen de Revenue Cycle. In de Expenditure cycle zit het geheel van het eerste leverancierscontact tot en met de betaling van de leveranciersfacturen. Onder de Human Resources cycle wordt alles vervat wat op het personeel betrekking heeft (aannemen/ontslaan van medewerkers, uitbetalen van salarissen etc.). De Financial cycle tenslotte heeft alle zaken in zich die met het be sturen van de organisatie te maken heeft (investeringen, leningen, uitbetaling dividenden etc.).
Vanuit control oogpunt dient de opzet binnen alle cycles zodanig te zijn dat de volgende punten in de onderneming zijn geborgd: 1. alle uitgevoerde transacties door de juiste personen zijn geautoriseerd 2. alle transacties geldig zijn 3. alle transacties die én geldig én geautoriseerd zijn, ook daadwerkelijk zijn vastgelegd en correct zijn vastgelegd 4. de activa posten (kas, voorraad en data) zijn beschermd voor diefstal en verlies 5. alle bedrijfsactiviteiten efficiënt en effectief zijn uitgevoerd (Romney en Steinbart, Accounting Information systems, 8e druk, p. 439). 01-11-06
Pagina 27 van 97
Om het bovenstaande te kunnen bereiken is het noodzakelijk dat er binnen de onderneming een bepaalde mate van functiescheiding aanwezig is. De functiescheiding wordt opgesplitst in de deelgebieden autorisatie, vastlegging en bewaren (Romney en Steinbart, Accounting Information systems, 8e druk, p. 263). Hierbij verwijst het deelgebied autorisatie naar punten 1 en 2 in de onderverdeling vanuit control oogpunt, het deelgebied vastlegging verwijst naar de punten 2, 3 en 5 en tenslotte verwijst het deelgebied bewaren naar punt 4 in de onderverdeling van de punten waaraan een onderneming volgens Romney moet voldoen om in control te zijn.
Voor de verdere uitwerking zal er worden ingegaan op de specifieke eisen uitgaande van de functionele gebieden zoals deze door Romney en Steinbart (Accounting Information systems, 8e druk) zijn benoemd. 4.2.1. Revenue cycle; eisen gesteld aan ISO om te voldoen aan COSO / SOX raamwerk
Binnen een handelsbedrijf is de revenue cycle het belangrijkste onderdeel van een onderneming. Als er niets wordt verkocht of onder de verkeerde omstandigheden zal er uiteindelijk niets aan worden verdiend en is de onderneming niet levensvatbaar. De revenue cycle omvat alle activiteiten van het eerste klantcontact tot en met het uiteindelijk innen van de uitstaande vorderingen. Als we dit onderverdelen in afzonderlijke stappen dan komen we tot de volg ende hoofdonderdelen: 1. verkooporder vastlegging 2. uitleveren van de goederen aan de klant 3. factureren van de geleverde goederen 4. verwerken van de ontvangen bedragen ten behoeve van de uitstaande facturen (Romney en Steinbart, Accounting Information systems, 8e druk, p. 417).
De eisen die gesteld worden aan de interne controle zullen we aan de hand van de vier hoofdonderdelen doorlopen.
Verkooporder vastlegging
01-11-06
Pagina 28 van 97
Voordat we een verkooporder vastleggen zullen we allereerst een beoordeling moeten maken van de klant. Hierbij maken we een onderscheid tussen bestaande klanten en nieuwe klanten. Indien er sprake is van een nieuwe klant moet er worden bekeken of de onderneming met deze potentiële afnemer zaken wil doen. Hieruit vloeien de acties voort zoals: kredietbeoordeling, bij akkoord zal de klant moeten worden vastgelegd in de gebruikte informatiesystemen. Wordt er door de onderneming een maximaal te accepteren uitstaande post bij deze klant bepaald? Deze zal moeten worden gemonitored bij iedere nieuw te plaatsen order. Indien er sprake is van een bestaande klant zal er bij iedere nieuw geplaatste order een kredietbeoordeling dienen plaats te vinden. Deze beoordeling bepaalt of het maximaal geoorloofde openstaande bedrag van de klant bij de onderneming al dan niet wordt overschreden. Indien het vastgestelde maximale openstaande bedrag nog niet is bereikt, vindt er een beoordeling op de ouderdom van de nog openstaande bedragen plaats. Hierdoor is het mogelijk om te beoordelen of er een risico bestaat op het ontstaan van of reeds aanwezig zijn van een op langere termijn blijkende oninbare vordering (Romney en Steinbart, Accounting Information systems, 8e druk, p. 418).
Binnen een handelsbedrijf is het bepalen van de leveringscondities, hiermee wordt met name bedoeld de betalingstermijn, de hoogte van de verkoopprijs etc., van zeer groot belang. Wie is geautoriseerd voor deze handelingen? Zijn er hiervoor bevoegdheden gedelegeerd binnen de onderneming? Hoe worden deze bevoegdheden gecontroleerd? Bestaat er een mogelijkheid tussen werknemers van de onderneming om samen te spannen om hierdoor de onderneming schade toe te brengen? (Romney en Steinbart, Accounting Information systems, 8e druk, p. 419).
Uitleveren van de goederen aan de klant Nadat de verkooporder in het systeem is ingevoerd, zullen de goederen uit het magazijn moeten worden gehaald teneinde ervoor zorg te kunnen dragen dat de goederen bij de klant zullen worden afgeleverd. De verkooporder met hierop vermeld de hoeveelheden per soort artikel is het startpunt voor de werkzaamheden in het magazijn. Belangrijk hierbij is dat en het juiste artikel wordt klaargezet en in de juiste hoeveelheden. Hoe is hier de interne controle op ingericht? Hoe is de informatie van de orderstatus bekend bij zowel de afdeling die de verkooporder initieel heeft vastgelegd en hoe komt de informatie 01-11-06
Pagina 29 van 97
voor het gereed melding bij de afdeling die zorg draagt voor de facturering van de geleverde goederen? (Romney en Steinbart, Accounting Information systems, 8e druk, p. 425). Factureren van de geleverde goederen Binnen de visie van Romney is dit hoofdonderdeel verder onder te verdelen in enerzijds het daadwerkelijk factureren van de verkopen aan de klant en anderzijds het onderhouden en beoordelen van de totale openstaande vorderingen. Het grootste risico bij het eerste onderdeel, het factureren van de verkopen aan de klant, is dat de registreerde hoeveelheden, de verkoopprijs, de leveringsvoorwaarden en betalingscondities niet juist zijn. Indien hier onjuistheden in voorkomen is de waarborg voor een juiste weergave van de gerealiseerde opbrengsten niet te verstrekken. Tevens is een belangrijk onderdeel van de facturering het tijdig uitvoeren van het facturatie proces zelf. Tegelijkertijd is het tijdig crediteren van een klant indien ofwel omdat de geregistreerde prijs alsnog foutief is gebleken en / of indien er door de klant goederen zijn geretourneerd van groot belang. Indien een onderneming de geretourneerde goederen niet of niet tijdig geregistreerd, zullen de gerapporteerde opbrengsten te gunstig naar voren gekomen. Hetgeen resulteert in een foutieve financiële rapportage. De te beantwoorden vraag is derhalve: Hoe is dit risico ondervangen? (Romney en Steinbart, Accounting Information systems, 8e druk, p. 429). Verwerken van de ontvangen bedragen ten behoeve van de uitstaande facturen De verwerking van ontvangen gelden ten behoeve van uitstaande facturen gebeurt in principe op een tweetal manieren. Ofwel door middel van contant geld (of cheques) ofwel door middel van ontvangsten op een bankrekening. Bij contant geld transacties dient er gewaarborgd te worden dat de ontvangen gelden tijdig worden verantwoord. Het risico hierbij is dat de kassier de kasgelden kan “slepen” waarbij de kassier de kasgelden tijdelijk voor privé doeleinden worden benut. Bij ontvangsten via de bankrekening bestaat het risico van samenspanning tussen de klant en een medewerker van de onderneming. Er kan onderling afgesproken zijn dat de klant enkele procenten of tienden van procenten minder betaalt dan hetgeen de klant is verschuldigd. Indien de medewerker die de banktransacties verwerkt in dit complot zit, zal deze de verschillen accepteren. De vraag is derhalve: Welke maatregelen zijn er getroffen om deze praktijken te voorkomen? (Romney en Steinbart, Accounting Information systems, 8e druk, p. 436). 01-11-06
Pagina 30 van 97
4.2.2. Expenditure cycle; eisen gesteld aan ISO om te voldoen aan COSO / SOX raamwerk
De expenditure (kosten) cycle omvat alle activiteiten die samenhangen met de activiteiten die betrekking hebben op krediteuren. Als we dit onderverdelen in afzonderlijke stappen dan komen we tot de volgende hoofdonderdelen: 1. het doen van een aanvraag tot aankoop van goederen 2. het daadwerkelijk overgaan tot aankoop van het goed 3. de fysieke goederenontvangst 4. het goedkeuren van de krediteurenfactuur 5. het daadwerkelijk overgaan tot betaling van de factuur (Romney en Steinbart, Accounting Information systems, 8e druk, p. 466). Ook bij de expenditure cycle zullen we de eisen gesteld aan de interne controle aan de hand van de vijf hoofdonderdelen doorlopen.
Doen van een aanvraag tot aankoop van goederen Het initiatief tot het overgaan tot aankoop van goederen komt voort vanuit de gehele organisatie. Een belangrijke initiatiefnemer is de informatie die voortvloeit uit de revenue cycle (geconfirmeerde verkooporders). Het initiatief kan ook voortvloeien uit de signalering met betrekking tot de hoogte van de voorraad en het verzoek tot de aankoop van goederen kan ook voortvloeien uit alle overige afdelingen binnen een onderneming (Romney en Steinbart, Accounting Information systems, 8e druk, p. 465). De vragen die hierbij op interne controle vlak gesteld zouden kunnen worden zijn: Is de aanvraag tot aankoop van goederen afkomstig van een geautoriseerde persoon? Indien een aanvraag binnenkomt vanuit de voorraadpositie, zijn alle transacties juist en volledig verwerkt?
Inkooporder vastlegging en plaatsing van de order Zodra er een aanvraag tot aankoop van goederen binnenkomt zijn de vragen wat, wanneer en hoeveel er ingekocht moet worden van belang. De keuze van een leverancier is van belang met het oog op de hoogte van de prijs, de kwaliteit van de gewenste grondstoffen en de leveringsbetrouwbaarheid van de leverancier. 01-11-06
Pagina 31 van 97
De selectie van de gekozen leverancier dient conform de vastgestelde richtlijnen te geschieden. Hierdoor wordt het risico vermeden van een partijdig gemaakte keuze. Het is van belang dat de leverancierskeuze onafhankelijk van de aanvraag voor de goederen plaatsvindt. Na de leverancierskeuze te hebben gemaakt, dient zowel de inkoopor der te worden vastgelegd, alsmede de leverancier te worden vastgelegd met zijn leveringscondities. Er moet duidelijkheid worden verschaft welk artikel wordt ingekocht, de hoeveelheden en tegen welke prijs. De verwachte leveringsdatum wordt gelijktijdig vastgelegd. Interne controle vragen zouden kunnen zijn: Is er vastgelegd waaraan een leverancier moet voldoen om in aanmerking te komen voor het leveren van goederen? Hoe is er gewaarborgd dat er geen concessies aan kwaliteit van de produkten worden gedaan in ruil voor premies voor de inkoper van de eigen organisatie? (Romney en Steinbart, Accounting Information systems, 8e druk, p. 471). Fysieke goederenontvangst Zodra er een inkooporder is geplaatst moet het magazijn hierover worden geïnformeerd. Procesmatig, denk hierbij o.a. aan het logistieke proces, dient er met de planning van de fysieke stroom inkomende goederen rekening te worden gehouden. Controle technisch wordt bij goederenontvangst gecontroleerd of datgene dat wordt geleverd ook is besteld (soort artikel) en / of de hoeveelheden overeenstemmen met de inkooporder. Tevens moet worden vastgesteld of de kwaliteit van de goederen conform de afspraken is. De fysieke ontvangst moet worden vastgelegd. Hierdoor wordt het voorraadniveau geüpdate. Het is noodzakelijk om dit real- time uit te voeren, omdat anders de beschikbare informatie omtrent het voorraadniveau niet correct is. Dit is per slot van rekening informatie die van belang is voor de processen binnen de revenue cycle. De eisen gesteld aan de contr ole over de fysieke voorraad zullen aan het eind van deze paragraaf verder worden besproken. De risico’s die voortvloeien uit dit onderdeel van de expenditure cycle zijn: Zijn de ontvangen goederen ook besteld en is de levering compleet? Hebben de goederen de gewenste kwaliteit? (Romney en Steinbart, Accounting Information systems, 8e druk, p. 477).
Goedkeuren krediteurenfactuur De financiële afdeling van een onderneming zal van de leverancier een factuur ontvangen. Een krediteurenfactuur mag pas worden goedgekeurd zodra er is vastgesteld dat en de goederen daadwerkelijk zijn ontvangen én dat de vooraf afgesproken prijs correct op de 01-11-06
Pagina 32 van 97
factuur staat vermeld. De facturen die akkoord zijn voor betaling dienen te worden gekenmerkt. Vragen die bij controle van de krediteurenfactuur verder van belang zijn, zijn o.a. Indien er afwijkingen worden geconstateerd, is er dan een procedure aanwezig hoe er met de afwijking moet worden omgegaan. Hoe worden de afwijkingen geregistreerd? Wie is verantwoordelijk voor het oplossen van afwijkingen? Wordt de factuur wel of niet gedeeltelijk goedgekeurd en hoe is hierop de controle? Een krediteurenfactuur kan in de praktijk door de onderneming worden ontvangen voordat de goederen zijn geregistreerd in de voorraadadministratie. Vaak worden uit praktische overwegingen de krediteurenfacturen pas vastgelegd nadat de goederen daadwerkelijk zijn ontvangen (Romney en Steinbart, Accounting Information systems, 8e druk, p. 481). Vanuit de financiële rapportage geredeneerd geeft dit een foutieve weergave van de werkelijkheid. De reeds aangegane verplichtingen zijn hierdoor voor derden niet zichtbaar. Tevens is het noodzaak om vanuit de financiële rapportage geredeneerd, de aangegane verplichtingen vast te leggen. De risico’s die hieruit voort kunnen vloeien moeten zichtbaar zijn. Een voorbeeld is het inkopen van een goed en / of dienst op langere termijn (huur expositieruimte voor over een half jaar). Indien hiervan niets wordt vastgelegd dan is het voor een buitenstaander niet duidelijk of de onderneming aan zijn aangegane verplichtingen zal kunnen voldoen. Betaling goedgekeurde krediteurenfacturen Alleen die facturen die zijn goedgekeurd mogen worden betaald. Er dient tevens een controle te zijn op het feit dat geen enkele factuur tweemaal betaalbaar wordt gesteld. Wordt er met de betaling rekening gehouden met eventuele kortingen voor snelle betaling? Worden er alleen betalingen uitgevoerd naar bestaande leveranciers? Hoe wordt er voorkomen dat een factuur dubbel wordt betaald? (Romney en Steinbart, Accounting Information systems, 8e druk, p. 484). Fysieke voorraadcontrole De eisen die gesteld moeten worden aan de controle op de fysieke voorraad zal ik zoals reeds vermeld hier verder bespreken. Vragen die met betrekking tot interne controle kunnen worden gesteld zijn: Is de fysiek aanwezige voorraad gelijk aan de administratieve voorraad? Is de waarde van de geregistreerde voorraad nog steeds courant? Is er voorraad aanwezig waarop er in de nabije 01-11-06
Pagina 33 van 97
toekomst een risico ligt (bijv. voorraden m et een Europese Unie uiterste verkoopdatum)?. Is hierop een controle mechanisme aanwezig? Er is reeds uitgesproken dat de goederenbeweging het allerhoogste belang heeft binnen een handelsbedrijf. De geregistreerde verkopen in hoeveelheden hebben een rechtstreeks verband met de toestand van de voorraden op de startdatum en einddatum en op de inkopen gedurende de verstreken periode. De formule waarmee deze samenhang tot uitdrukking komt is de BETA formule (Starreveld e.a., Bestuurlijke informatieverzorging deel 1, 4e druk, p. 182). Hiervoor staan de afzonderlijke letters voor: B = beginvoorraad E = eindvoorraad T = toevoegingen A = afgiften Om onregelmatigheden op te sporen is deze controle een aanbeveling voor het opmaken van de financiële rapportage. De interne controle zal erop gericht zijn vanuit de verschillende grootheden een grootheid onafhankelijk vast te stellen om van daaruit de soll positie te kunnen vergelijken met de ist positie. Bijvoorbeeld: B = E – T + A, A = B – E + T etc.
4.2.3. Human Resources cycle; eisen gesteld aan ISO om te voldoen aan COSO / SOX raamwerk De Human Resources (P&O) cycle bevat alle activiteiten die samenhangen met het managen van het personeelsbestand van een onderneming. In deze cycle zit ook begrepen het zorgdragen voor de uitbetaling van de salarissen en de hiermee samenhangende wettelijke regelgeving in het land van vestiging. De componenten van de Human Resource cycle zijn het werving en inhuren van nieuwe werknemers, de training van het personeel, het zorgdragen voor de juiste persoon op de juiste plek, het zorgen voor de uitbetaling van de salarissen, het beoordelen van de uitvoering van de functie door de diverse werknemers en als laatste het ontslaan van werknemers (Romney en Steinbart, Accounting Information systems, 8e druk, p. 551). Als we de werkzaamheden bekijken die in deze cycle thuis horen dan komen we tot de conclusie dat het proces dat noodzakelijk is om te komen tot de betalingen van de salarissen aan de medewerkers (salarisadministratie) en de daarbij behorende wettelijke verplichtingen 01-11-06
Pagina 34 van 97
met name van belang zijn voor het komen tot een afdoende financiële rapportage. Dit specifieke onderdeel van de Human Resource cycle zal derhalve hier worden besproken. Binnen de Human Resource cycle zit een duidelijke functiescheiding tussen het onderdeel salarisadministratie (Controllers verantwoordelijkheid) en de overige onderdelen van de cycle (Manager HRM verantwoordelijkheid) (Romney en Steinbart, Accounting Information systems, 8e druk, p. 552). De salarisadministratie omvat de componenten juistheid van de stamgegevens van de werknemers in dienst van de onderneming, zorgen voor de juiste belastingtarieven, vaststellen gewerkte uren / dagen, uitvoeren van de salarisadministratie en het betaalbaar stellen van de netto salarissen en afdrachten aan instanties zoals belastingdienst (Romney en Steinbart, Accounting Information systems, 8e druk, p. 555).
Salarisadministratie stamgegevens In de loop van een periode zullen stamgegevens wijzigen. Er kunnen nieuwe medewerkers zijn aangetrokken en andere zijn afgevloeid, de hoogte van de salarissen kan zijn gewijzigd, de belastingtarieven kunnen zijn gewijzigd etc. Bij iedere doorgevoerde wijziging zal er een validatie check moeten plaatsvinden, waarbij tevens wordt beoordeeld of de doorgevoerde wijzigingen objectief bekeken juist zijn (Romney en Steinbart, Accounting Information systems, 8e druk, p. 555). In de praktijk zullen de gebruikte automatiseringssystemen voor HRM en payroll aan elkaar gekoppeld zijn. Dit vereenvoudigt de controlemogelijkheden. Vragen die hieruit voort kunnen vloeien zijn: Hoe wordt er gewaarborgd dat er geen pseudowerknemers zijn opgevoerd in de stamgegevens? Hoe wordt er gewaarborgd dat er geen ongeoorloofde wijzigingen in de stamgegevens zijn doorge voerd? Etc.
Registratie werktijden medewerkers De mogelijkheid is aanwezig dat binnen een onderneming medewerkers op de loonlijst staan die per uur worden betaald en dat er medewerkers in dienst zijn die een vast salaris krijgen uitbetaald. Voor de eerste groep is het noodzaak dat er een tijdregistratie wordt bijgehouden die controleerbaar is. Voor de tweede groep is deze noodzaak in mindere mate aanwezig. Hier is het zaak om een goede registratie binnen de onderneming te hebben voor het al dan niet aanwezig zijn van de medewerker met de daarbij behorende redenen. Indien een genoten vrije dag niet wordt geregistreerd, zorgt dit voor een extra financiële last voor de onderneming (Romney en Steinbart, Accounting Information systems, 8e druk, p. 556).
01-11-06
Pagina 35 van 97
Uitvoeren van de salarisadministratie / betaalbaar stellen salarissen en afdrachten Hier worden de berekeningen uitgevoerd om te komen van een bruto salaris naar een netto salaris. Alle inhoudingen moeten apart worden geregistreerd om te kunnen voldoen aan alle benodigde afdrachten aan de officiële instanties zoals belastingdienst, UWV, verzekeringsinstanties etc. Van alle mutaties in de maand en cumulatief tot en met de maand dienen er lijsten te worden samengesteld. De betaling van het netto salaris aan de mede werker wordt gelijktijdig opgemaakt. De betalingen aan de diverse instanties worden in de praktijk in de grootboeken verwerkt door middel van tussenrekeningen (balansrekeningen). Deze tussenrekeningen moeten per maandeinde altijd op nul lopen. Zodra dit niet het geval is, zal hiervoor maandelijks een verklaring voor moeten worden opgesteld met de verwachte afloop van de verschillen (Romney en Steinbart, Accounting Information systems, 8e druk, p. 560).
4.2.4. Grootboekregistratie en rapportagesysteem; eisen gesteld aan ISO om te voldoen aan COSO / SOX raamwerk
In het begin van dit hoofdstuk heb ik gesteld dat ik de onderzoeksvraag aan de hand van de cycles zoals genoemd door Romney en Steinbart, zal beantwoorden. Om te komen tot een betrouwbare financiële rapportage zal echter alle informatie die voorvloeit uit de afzonderlijke cycles samengebracht dienen te worden in een grootboek en / of rapportagesysteem. De automatisering is inmiddels dusdanig ver doorontwikkeld dat er weinig tot geen bedrijven meer zullen zijn die een apart grootboeksysteem zullen gebruiken. De zogenaamde ERP (Enterprise Resource Planning) systemen hebben hun intrede gedaan. Om te komen tot een juiste financiële rapportage vanuit een ERP pakket of ieder ander gebruikt geautomatiseerd systeem zijn de volgende acties van belang: indien nog van toepassing het samenvoegen van de boekingen uit de diverse cycles, het doen van aanvullende boekingen vanuit de treasury optiek en het opstellen van voorafgaande journaalpostboekingen (Romney en Steinbart, Accounting Information systems, 8e druk, p. 590). Zonder deze aanvullingen en beoordelingen is het onmogelijk om tot de financiële rapportage over te gaan.
Boekingen voortkomende uit de diverse cycles Veelal worden er ERP systemen gebruikt bij gr otere ondernemingen. Bij deze ondernemingen zullen de boekingen uit de verschillende cycles echter veelal niet real-time worden geüpdate. Dit heeft in de praktijk te veel gevolgen voor de performance (snelheid etc.) van het grootboeksysteem. Deze boekingen vinden eenmaal per dag, week of maand plaats. In de 01-11-06
Pagina 36 van 97
praktijk zal er gekozen worden voor een dagelijkse boeking. Deze zogenaamde batchboekingen met hierin begrepen de mutaties gedurende de hele dag vormen een belangrijk onderdeel van de interne controle. D e onderliggende details dienen opgeteld gelijk te zijn aan het geboekte batchtotaal (Romney en Steinbart, Accounting Information systems, 8e druk, p. 595). Welke controle is hierop ingericht bij deze ondernemingen?
Bepalen van voorafgaande journaalposten De voorafgaande journaalposten houden verschillende soorten boekingen in. Onder meer de boekingen die betrekking hebben op het verschil in tijd tussen gebeurtenis en moment van ontstaan van een journaalboeking, boekingen met betrekking tot vooruitbetaalde kosten, boekingen met betrekking tot nog te ontvangen kosten, herwaarderingsboekingen en als laatste boekingen die voortvloeien uit initieel foutieve boekingen uit de afzonderlijke cycles. Voor alle voorafgaande journaalposten geldt dat hiervoor richtlijne n opgesteld dienen te zijn, waar controle op is of dit wel of niet geschiedt. De laatst genoemde voorafgaande journaalpost is van nog zwaarder gewicht omdat hier de correcties worden genoemd vanuit de afzonderlijke cycles. Als alleen de correcties worden uitgevoerd en verder wordt geen actie ondernomen dan kan men grote vraagtekens zetten bij a) de Deming-cirkel behorende bij ISO b) bij de effectiviteit van het geheel aan interne controlemaatregelen onder SOX (Romney en Steinbart, Accounting Information systems, 8e druk, p. 591). Financiële rapportage Dit is het eindresultaat van de initiële boekingen uit de verschillende cycles en van de aanvullende boekingen zoals hierboven beschreven (Romney en Steinbart, Accounting Information systems, 8e druk, p. 592). Hoe wordt de opgestelde rapportage beoordeeld? Wordt dit door middel van cijferbeoordeling uitgevoerd? Door wie gebeurt dit? Wat is de input vanuit het management hierop? Normen en waarden organisatie De controleomgeving van de organisatie is van belang voor SOX. In het onderzoek zal de vraag aan de orde komen of een document beschikbaar is binnen de onderneming dat bepaald wat de normen en waarden zijn in de organisatie. Dit type document wordt vaak ofwel “Code of Conduct” ofwel “Charter of Behaviour” genoemd.
01-11-06
Pagina 37 van 97
Samenvattend heb ik in dit hoofdstuk de verschillende definities van interne controle met elkaar vergeleken. Ik heb de definitie van interne controle van ISO verder aangescherpt. Daarna zijn aan de hand van Romney en Steinbart een viertal hoof donderdelen van de processen die in een handelsbedrijf aan de orde komen nader onder de loep genomen. Hierin komen zaken aan de orde die voor de interne controle binnen een organisatie belangrijk zijn. Aan de hand van dit hoofdstuk zijn voor het praktijkonderzoek onderzoeksvragen opgesteld die zullen worden beantwoord door de beoordeling van de inhoud van een ISO handboek. Dit zal worden herhaald bij meerdere bedrijven.
01-11-06
Pagina 38 van 97
Hoofdstuk 5 Opzet praktijkonderzoek 5.1. Algemeen Het onderzoek wordt uitgevoerd bij ISO gecertificeerde ondernemingen door middel van een mondelinge enquête en het uitvoeren van een boekenonderzoek. Hiervoor zijn onderzoeksvragen opgesteld aan de hand van de literatuur van Romney en Steinbart zoals beschreven in hoofdstuk 4. Ter aanvulling op deze literatuur zijn er specifieke vragen opgesteld waaruit de betrouwbaarheid van de financiële publicaties zal moeten blijken. 5.1.1. Bedrijven in het bezit van ISO 9000 certificaat
Als eerste is er een onderzoek gestart naar bedrijven die in het bezit zijn van een ISO 9000 certificering. De organisatie die ISO heeft opgericht (zie hoofdstuk 3 p. 13) houdt geen gegevens bij van die bedrijven die in bezit zijn van het ISO certificaat.
Om tot een representatieve steekproef van onderzochte bedrijven te komen, hebben de volgende acties plaats gevonden. Binnen Nederland bestaat er een instituut met de naam van Stichting Raad voor Accreditatie (RvA) (www.rva.nl). De RvA heeft tot doel het vertrouwen van een afnemer in de kwaliteit van een product of dienst te ondersteunen. Een accreditatie instelling beoordeelt zowel het managementsysteem als de technische competentie van de conformiteitverklarende instelling. De accreditatie instelling houdt tevens toezicht op de conformiteitverklarende instellingen om hiermee de onpartijdigheid en deskundigheid van deze instellingen te garanderen (www.rva.nl ; 24 januari 2006) Op de website van de RvA staat een totaal overzicht van geaccrediteerde en beoordeelde instellingen. Door middel van het gebruik maken van de op de site aanwezige zoekmachine op instellingen niveau, worden alle geldige geaccrediteerde en beoordeelde instellingen getoond. Het resultaat van deze zoekactie (www.rva.nl ; 24 januari 2006) met de verfijnde zoekopdracht “Soort instelling”: C – Certificerende instelling, “Land instelling”: Nederland en “zoeken op inhoud van scopes”: ISO 9000, was het resultaat een totaal aantal geaccrediteerde instellingen van 133 (zie bijlage met de resultatenlijst).
01-11-06
Pagina 39 van 97
5.1.2. Selectie onderzoeksbedrijven Een accreditatie bedrijf kan zich bezig houden met verschillende werkgebieden. Hieronder vallen o.a. de gebieden certificering, testen, kalibreren etc. Van bovengenoemde 133 accreditatie bedrijven zijn er een achttal certificerende instellingen door mij aangeschreven met het verzoek tot medewerking aan mijn afstudeeropdracht. De door mij benaderde instellingen met de hieruit voortvloeiende resultaten zijn: Certificerende instelling
Verzoek d.d.
Reactie
Soort Reactie
SGS Nederland BV
September 2005
Ja
Overzicht bedrijven ontvangen
Kema Quality BV
24-01-2006
Ja
Overzicht bedrijven ontvangen
Lloyd’s Register Nederland BV
24-01-2006
Nee
Tuv Nederland QA BV
24-01-2006
Nee
TNO Certification BV
24-01-2006
Nee
BSI Management Systems BV
24-01-2006
Ja
Geen medewerking
Vianorm BV
24-01-2006
Ja
Geen handelsbedrijven
MKB-certificatie
24-01-2006
Nee
Tabel 2 Aangeschreven certificerende instellingen
Tevens heb ik van de certificerende instelling BVQI BV in Rotterdam een aantal namen van handelsbedrijven die zij hebben ge -audit ontvangen.
In de door mij ontvangen overzichten met de hierin vermelde ISO 9000 gecertificeerde bedrijven, bleken er een 100-tal bedrijven zijn te kwalificeren als handelsbedrijven. Van deze 100 bedrijven zijn er door middel van een steekproef een 15-tal bedrijven geselecteerd. De volgende selectiecriteria zijn gehanteerd: De door mij benaderde bedrijven zijn dus allen handelsbedrijven. Ik heb zorggedragen voor een geografische spreiding over geheel Nederland. Tevens zijn de grootte van de bedrijven geheel verschillend en zijn er een aantal bedrijven aangeschreven die ook aan de beurs van Euronext zijn genoteerd. In verband met de anonimiteit is het helaas niet mogelijk om de namen en toenamen van de bedrijven in dit rapport te vermelden.
01-11-06
Pagina 40 van 97
Van de aangeschreven 15 bedrijven hebben er een 5-tal bedrijven zich bereid getoond mee te werken aan het onderzoek. De vestigingsplaatsen variëren van Tilburg, Rotterdam, Oldenzaal, Haaksbergen tot Apeldoorn. Na een nadere analyse van de beoogde onderzoeksbedrijven, is gebleken dat twee van deze bedrijven in een straal van 20 kilometer van elkaar zijn gevestigd en dat zij tevens felle concurrenten van elkaar zijn. Ondanks de toezegging van beide bedrijven om hun medewerking te verlenen, heb ik ervoor gekozen om het beoogde bedrijf in Haaksbergen niet verder in mijn onderzoek te betrekken. Verder bleek uit de analyse van de bedrijven die hun medewerking hebben toegezegd dat het bedrijf in Apeldoorn slechts 12 medewerkers groot is. Hierdoor is de grootte van het bedrijf niet geschikt om mijn onderzoek uit te voeren. Deze beslissing heb ik genomen op grond van het gegeven dat er in zijn algemeenheid in zeer kleine bedrijven geen tot weinig functiesche iding voorkomt. Bij het beoogde bedrijf is de eigenaar tevens de bedrijfsleider. Hij neemt alle belangrijke zaken voor zijn rekening. Het “in control” zijn van dit bedrijf staat of valt met deze persoon.
Totaal populatie handelsbedrijven ISO certificering
100
Geselecteerde bedrijven in %
15%
Percentage bedrijven met medewerking t.o.v. geselecteerde
33,33%
Bedrijven Bedrijven betrokken in eind onderzoek
3
Tabel 3 Statistische analyse onderzoeksbedrijven
5.2. Typologie van de onderzochte bedrijv en In totaliteit zijn in het onderzoek drie bedrijven betrokken. De bedrijven zal ik hierna benoemen als zijnde bedrijf A, bedrijf B en bedrijf C.
Bedrijf A Bedrijf A is een beursgenoteerde onderneming. De ISO 9001:2000 certificering is van toepassing op zowel het productiegedeelte van de onderneming alsmede op het handelsbedrijf gedeelte van de onderneming. De organisatie opereert op het gebied van totaal
01-11-06
Pagina 41 van 97
kantoorinrichting. De afnemers zijn over het algemeen niet de gebruikers, maar de groothandelsbedrijven in kantoorartikelen, kantoormeubilair etc. De organisatie heeft meerdere vestigingen in Nederland. Door mij is de vestiging in Tilburg bezocht. Hier heeft de kwaliteitscoördinator van dit bedrijf zijn vaste standplaats. Mijn gesprekspartner in deze was de heer F. Steggerda de kwaliteitscoördinator Bedrijf B Bedrijf B is een lokaal opererende organisatie op het gebied van kantoorinrichting in de meest brede zin van het woord. De organisatie heeft één vestiging in Nederland. De organisatie heeft ca. 50 medewerkers werkzaam zowel in de buitendienst als in de binnendienst. Mijn gesprekspartner in deze was de heer J. Harperink (Financieel Directeur).
Bedrijf C Bedrijf C is een landelijk opererende organisatie op het gebied van voeding en maaltijdcomponenten. De organisatie heeft meerdere vestigingen in Nederland. Het hoofdkantoor, waar ook de kwaliteitsafdeling is gesitueerd, is gevestigd in Rotterdam. In totaliteit zijn er ca. 600 personen werkzaam bij deze organisatie. Mijn gesprekspartners in deze waren mevrouw L. van Seventer, de kwaliteitscoördinator van dit bedrijf en mevrouw C. Kool de manager Kwaliteit en HR.
5.3. Uitvoering onderzoek
Er bestaan diverse soorten van onderzoek in de wetenschap. Voor dit onderzoek is er gekozen voor het concept van zowel gevalstudie alsmede van het gebruik maken van het principe van een enquête. De onderzoeksmethode van gevalstudie is gekozen om reden dat door deze methode te hanteren er meer in de diepte op de problematiek kan worden ingegaan. Het onderzoeken van meerdere bedrijven is noodzakelijk om verschillen tussen bedrijven in kaart te brengen. Het gebruik van enquêtevragen is noodzakelijk omdat op deze manier alle bedrijven met dezelfde vragen worden geconfronteerd. Het onderzoek is uitgevoerd door middel van het bezoeken van de verschillende bedrijven. Bij alle bedrijven is het onderzoek gestart door middel van een interview met de kwaliteitsmanager en / of de kwaliteitscoördinator. In deze interviews zijn zaken aan de orde 01-11-06
Pagina 42 van 97
gebracht zoals hoe groot is de organisatie, welk instituut heeft de certificering uitgevoerd, hoe groot is de onderneming, reikwijdte van het ISO 9001:2000 certificaat. Tevens is in dit interview de onderzoeksvraag uitdrukkelijk aan de orde gekomen. Alle geïnterviewden gaven hierbij aan dat in hun organisatie er in het ISO handboek geen aandacht wordt geschonken aan de door mij opgestelde onderzoeksvragen. Hun beleving was dat het ISO handboek enkel en alleen een beeld zou geven van de operationele processen binnen hun organisatie. Om tot ee n helder en objectief oordeel te komen voor het onderzoek op de te beantwoorden onderzoeksvragen, zijn de onderzoeksvragen niet beantwoord vanuit de gehouden interviews. De onderzoeksvragen zijn beantwoord door het uitvoeren van een boekenonderzoek van de verschillende ISO handboeken. Dit houdt in dat ik de ISO handboeken tot mijn beschikking heb gekregen en ik door middel van het doorlezen van de gehele inhoud van het handboek de onderzoeksvragen heb beantwoord. De resultaten van het onderzoek bij de verschillende bedrijven zijn samengevoegd in een tabel. Deze tabel is terug te vinden als bijlage A. De afzonderlijke resultaten, met daarin ook een nadere toelichting op de antwoorden bij de verschillende vragen, zijn terug te vinden in de bijlagen B, C en D behorende bij dit onderzoeksrapport.
De onderzoeksvragen zijn onderverdeeld in een aantal hoofdonderdelen. De eerste drie onderdelen zijn afkomstig van Romney & Steinbart. Het laatste onderdeel zijn vragen die opgesteld zijn voor het beoordelen of de betrouwbaarheid van de financiële cijfers ook in de verschillende ISO handboeken zijn beschreven. De resultaten zoals ze in bijlage A staan vermeld, zal ik meer in detail bespreken. Deze detailbespreking zal in paragraaf 5.3.1. volgen. Binnen de verschillende bedrijven zitten er ook belangrijke nuanceverschillen. Deze zullen in paragraaf 5.3.2. verder worden besproken.
01-11-06
Pagina 43 van 97
5.3.1. Resultaat analyse verrichte onderzoeken In deze paragraaf zijn de resultaten van de verschillende hoofdonderdelen samengevat. De resultaten van de drie onderzochte bedrijven zijn terug te vinden in bijlage A. De individuele vragenlijsten van de onderzochte bedrijven staan vermeld in de bijlagen B, C en D. In de afzonderlijke tabellen staan percentages vermeld van positieve antwoorden. Een antwoord is als positief aangemerkt indien het betreffende proces / risico in het ISO handboek is beschreven. Revenue Cycle
De aspecten van de Revenue cycle die rechtstreeks te maken hebben met de operationele processen, zijn over het algemeen beschreven in de verschillende ISO handboeken. Er wordt binnen het ISO handboek geleund op aanwezige ERP softwaresystemen. Binnen de handboeken wordt er naar het ERP pakket verwezen, maar aan het ERP pakket zelf wordt verder geen aandacht geschonken. Hierdoor is het niet duidelijk of de functiescheidingen zoals deze uit het ISO handboek naar voren komen ook op dezelfde wijze in het automatiseringssysteem zijn verwerkt
Totaal gestelde
% antwoorden
% antwoorden
vragen
positief
negatief
Verkooporder vastlegging
14
83%
17%
Uitleveren goederen aan klant
6
100%
0%
Factureren geleverde goederen
5
93%
7%
Verwerken
6
11%
89%
debiteurenontvangsten Tabel 4 Recapitulatie antwoorden Revenue cycle (drie bedrijven tezamen)
Verkoopordervastlegging In totaal zijn dit sub onderdeel 83% van de antwoorden positief. Bij alle onderzochte bedrijven wordt een nieuwe klant beoordeeld voordat deze wordt geaccepteerd. Niet in alle gevallen staat er specifiek vermeld dat er een kredietbeoordeling plaats vindt. Bij bedrijf C staat er in zijn geheel niets vermeld over een continue beoordeling
01-11-06
Pagina 44 van 97
van reeds bestaande klanten. De criteria waarop een klant wordt beoordeeld staan in zijn geheel niet vermeld in de onderzochte handboeken. Uitleveren goederen aan de klant Bij alle bedrijven is dit uitvoerig beschreven (score is dan ook 100%). Tijdens de gevoerde interviews is dit ook naar voren gekomen. Bedrijven zien dit als een van de hoofdprocessen binnen hun organisatie.
Facturering geleverde goederen De bedrijven zien dit proces als vitaal voor het voortbestaan van hun onderneming. Bij alle bedrijven is dit dan ook uitvoerig beschreven in het ISO handboek. De score haalt echter niet de 100%. Bij bedrijf B staat de controle op de prijzen van retour goederen niet beschreven. Verwerken van de ontvangen bedragen t.b.v. de uitstaande facturen Bij geen van de onderzochte bedrijven staat het verwerken van de debiteurenontvangst, de confirmaties tussen debiteur en onderneming etc. genoemd in het ISO handboek. Dit resulteert in een positieve score van 11%. Binnen een van de onderzochte bedrijven (bedrijf A) is er een apart financieel handboek aanwezig. De kwaliteitscoördinator heeft hier echter geen inzage in. Bij de overige onderzochte bedrijven is er ook nagevraagd of er een financieel handboek aanwezig is, maar dat is niet het geval. Expenditure cycle
Totaal gestelde % antwoorden
% antwoorden
vragen
negatief
positief
Aanvraag aankoop goederen
7
90%
10%
Vastlegging / plaatsing
7
100%
0%
Fysieke goederenontvangst
3
100%
0%
Goedkeuren krediteurenfactuur
3
78%
22%
Betaling krediteurenfactuur
5
80%
20%
Controle fysieke voorraad
7
81%
19%
inkooporder
Tabel 5 Recapitulatie antwoorden Expenditure cycle (drie bedrijven tezamen)
01-11-06
Pagina 45 van 97
De laagst behaalde score bij het hoofdonderdeel expenditure cycle is 78%. Uit deze score blijkt dat aan de expenditure cycle bij de onderzochte bedrijven veel aandacht is besteed.. Alle drie de onderzochte bedrijven hebben de fysieke goederenontvangst en de controle op de inkoop zeer uitgebreid beschreven. Leveranciers worden periodiek geanalyseerd. De kwaliteit van de ontvangen producten worden frequent en / of continue gecontroleerd. Het hele proces van goederen aankoop tot en met de goederenontvangst is bij alle drie de bedrijven duidelijk en helder beschreven. Dit is ook de reden waarom ik dit onderdeel niet in detail per sub titel zal doornemen. Ik zal die onderdelen waar er niets ofwel onvoldoende over is beschreven er nader uitlichten.
Bij de onderdelen goedkeuren van krediteurenfacturen (score 78%) en betaling van goedgekeurde krediteurenfacturen(score 80%), kunnen we constateren dat er een aantal vragen ontkennend zijn beantwoord.
De vraag “Wordt er een controle uitgevoerd op de afloop van de geconstateerde afwijkingen?” is zowel bij bedrijf A als bij bedrijf B ontkennend beantwoord. Bij bedrijf C is deze vraag bevestigend beantwoord, omdat er beschreven is dat de originele facturen bij geconstateerde afwijkingen worden geblokkeerd voor betaling. Met de blokkering van de facturen is geborgd dat er ook een afloop plaatsvindt van de nog openstaande afwijkingen. Bij zowel bedrijf A en B is er wel beschreven dat de er een procedure bestaat voor afwijkingen. Hetgeen is beschreven is dat er ofwel een autorisatietabel aanwezig is voor het goedkeuren van afwijkingen ofwel dat de verantwoordelijke inkoopmedewerker deze afwijkingen signaleert. Er is echter niet beschreven waar en hoe deze vastleggingen plaats vinden. Hierdoor is de conclusie dat er een afloop controle wordt uitgevoerd niet mogelijk.
De vraag “Is er periodiek een analyse van de nog niet goedgekeurde leveranciersfacturen?” is net als bovenstaande vraag zowel bij bedrijf A als B ontkennend beantwoord. Beide vragen zijn aan elkaar gerelateerd. Deze uitkomst is derhalve niet verrassend te noemen. Als er al niet beschreven is dat er een controle wordt uitgeoefend op de geconstateerde afwijkingen, dan is het ook al duidelijk dat het proces of er periodiek een analyse hierop wordt uitgevoerd ook niet is beschreven. De laatste vraag is een vervolgstap op de eerste vr aag.
01-11-06
Pagina 46 van 97
Bij het onderdeel controle fysieke voorraad is de score positieve antwoorden 81%. Slechts een bedrijf (bedrijf B) heeft niet beschreven of de afwijkingen geconstateerd uit de tellingen van de voorraden worden geanalyseerd. Van een handelsbedrijf zou je verwachten dat dit een standaard procedure is. Op de door mij gestelde vraag waarom dit niet gebeurt, was het antwoord dat er geen of zeer weinig afwijkingen worden geconstateerd. Dit hangt samen met de aard van producten die binnen dit bedrijf worden verhandeld. Voor 80 tot 90% zijn de verhandelde goederen, goederen die een aanzienlijke fysieke omvang hebben. De afwijkingen die wel voorkomen worden beschouwd als zijnde niet materieel. Als ik deze verklaring afzet tegen de aard van de goederen in de andere onderzochte bedrijven, blijkt deze verklaring relevant. De bedrijven A en C hebben meer goederen in hun magazijn die fysiek een kleinere omvang hebben. De verhouding ligt bij bedrijf A op circa 50/50 en bij bedrijf C ligt deze verhouding op 90/10 (eerste getal geeft het percentage weer van goederen met een fysiek kleine omvang). Bij geen enkel onderzocht bedrijf is er een procedure aanwezig voor het fysiek verplaatsen van voorraden. Met name deze vraag zorgt ervoor dat het percentage positieve antwoorden op 81% ligt.
Human Resources cycle
Totaal gestelde % antwoorden
% antwoorden
vragen
negatief
positief
3
67%
33%
Registratie werktijden
2
50%
50%
Uitvoeren salarisadministratie
4
17%
83%
Stamgegevens salarisadministratie
Tabel 6 Recapitulatie antwoorden Human Resources cycle (drie bedrijven tezamen)
De vragen die gesteld zijn met betrekking tot Human Resources blijken in zijn algemeenheid niet of nauwelijks voor te komen in de ISO handboeken (hoogste positieve score is 67%; laagste score is 17%). Van de onderzochte bedrijven is het met name bedrijf C dat hierin het meest heeft beschreven in het ISO handboek. De oorzaak ligt waarschijnlijk met name in het feit dat dit bedrijf de HR en salarisadministratie software en de tijdsbesteding registratie software hebben benoemd in het ISO handboek. Beide softwaresystemen zijn bovendien met elkaar gekoppeld hetgeen resulteert in een goede interne controle.
01-11-06
Pagina 47 van 97
Bedrijf C heeft in het ISO handboek geen beschrijving opgenomen van de financiële handelingen die voortvloeien uit een salarisadministratie zoals controle op uitbetaling van nettosalarissen en of deze wel of niet via een tussenrekening worden uitbetaald.
Bedrijf B beschrijft alleen de registratie van de mutaties van het personeelsbestand in een standenregister. Bedrijf A heeft als enige aanvulling op bedrijf B dat zij ook nog melding maakt van de scheiding tussen HR en salarisadministratie in het ISO handboek.
Grootboekregistratie en rapportagesysteem
Totaal gestelde % antwoorden
% antwoorden
vragen
negatief
Boekingen uit afzonderlijke
positief
5
20%
80%
4
0%
100%
15
4%
96%
cycles Bepalen voorafgaande journaalposten Financiële rapportage
Tabel 7 Recapitulatie antwoorden Grootboekregistratie en rapportagesysteem (drie bedrijven tezamen)
Het onderdeel grootboekregistratie en rapportagesysteem richt zich met name op de betrouwbaarheid van de financiële gegevens en de rapportage hiervan. De score positieve antwoorden is zeer laag. De score van de sub onderdelen variëren tussen de 0% positieve antwoorden en 20% positieve antwoorden. De vragen hebben verschillende inhoudelijke strekkingen. Er is bijvoorbeeld een vraag gesteld over de regelkring van Deming, maar dan gerelateerd aan de financiële gevolgen van de operationele processen. Van de drie onderzochte bedrijven heeft alleen bedrijf B hier iets over opgenomen in het ISO handboek. In het ISO handboek van bedrijf B zijn de KPI’s (Kritische Proces Indicatoren) opgenomen. Deze KPI’s zijn afgeleiden van de meet- en verbeterpunten van de operationele processen. Alle vragen met betrekking tot balanswaarderingen, vaststellen van volledigheid en tijdigheid van kosten en opbrengsten, bepalen van aanwezige risico’s in zowel debiteuren als crediteuren worden ontkennend beantwoord.
01-11-06
Pagina 48 van 97
Bij navraag bij de onderzochte bedrijven blijkt slechts een bedrijf (bedrijf A) over een apart financieel handboek te beschikken. Bij bedrijf A (beursgenoteerd) is dit een handboek opgesteld in samenwerking met de externe accountant (Price Waterhouse Coopers). Voor het onderzoek zou het van een uitstekende aanvulling zijn geweest om ook inzage in dit handboek te krijgen. Na herhaaldelijke verzoeken ziet de organisatie dit echter als een te concurrentie gevoelig document.
De vragen zijn wel mondeling voorgelegd aan de controller (de heer R. Louwers) van bedrijf A.. Op alle vragen die in het onderzoek zijn opgenomen onder deze sectie werd positief geantwoord. Dit wil zeggen dat alle handelingen die bij deze vraagstelling hoort ook daadwerkelijk worden uitgevoerd. Ik kan geen oordeel uitspreke n of dit ook allemaal is beschreven. Bij twee van de onderzochte bedrijven (de grootste twee) is een “Code of conduct” of een “Charter of Behaviour” een integraal onderdeel van het ISO handboek.
Alle hoofdonderdelen van de onderzoeksvragen zijn in deze paragraaf besproken. Een andere relevante doorsnede in deze onderzoeksvragen is het onderscheid in gegeven antwoorden op de vragen betrekking hebbende op operationele processen en de vragen betrekking hebbende op de financiële impact.
Totaal gestelde % antwoorden
% antwoorden
vragen
negatief
positief
Totaal gestelde vragen
96
59%
41%
Vragen operationele processen
64
81%
19%
Vragen financiële consequenties
32
15%
85%
Tabel 8 Recapitulatie antwoorden uitgesplitst in operationele processen en financiële consequenties (drie bedrijven tezamen)
Vragen die aangemerkt zijn als zijnde vragen met financiële consequenties zijn: Vraag 1.3.4., alle vragen van onderdeel 1.4. met uitzondering van vraag 1.4.2.en de vragen 2.5.1, 2.5.2, 2.5.4. Vanuit het hoofdonderdeel Human Resources zijn de vragen 3.3.2 tot en met 3.3.4 aangemerkt als vragen met financiële consequenties. Binnen het hoofdonderdeel
01-11-06
Pagina 49 van 97
grootboekregistratie zijn dit de vragen 4.1.1 en 4.1.2, alsmede alle vragen van onderdeel 4.2 en 4.3. met uitzondering va n vraag 4.3.11. Tijdens de bespreking van de hoofdonderdelen in het voorgaande gedeelte van deze paragraaf, is ook al naar voren gekomen dat de processen met financiële impact niet of nauwelijks zijn beschreven. In tabel 8 staat dit in cijfers uitgedrukt. Operationele processen scoren 81% positieve antwoorden. Processen met een financiële impact behalen slechts een score van 15%. 5.3.2. Analyse van de indrukken tijdens de uitgevoerde onderzoeken De analyse zoals besproken in paragraaf 5.3.1. is gemaakt aan de hand van de subgroepen in de onderzoeksvragen. De antwoorden op de onderzoeksvragen zijn teruggebracht tot een ja of een nee. Alle antwoorden zijn op de juiste wijze teruggebracht tot een ja of een nee, maar dat wil niet zeggen dat er geen groot grijs gebied aanwezig is. Ik heb geconstateerd dat er vragen met een duidelijke ja moesten worden beantwoord, maar dat de wijze waarop de informatie overgebracht moet worden naar de financiële afdeling op zijn minst dubieus is te noemen.
Voorbeelden hiervan zijn: Onderdeel 2.3. vraag 3 Is er een procedure wat te doen bij afwijkingen in de geleverde goederen ofwel in de kwaliteit of de hoeveelheid? Bij bedrijf A worden alle afwijkingen gesignaleerd en beheerd op de afdeling kwaliteitszorg. Door de afdeling kwaliteitszorg wordt contact opgenomen met de leverancier. Hierbij wordt verzocht om ofwel zending van het juiste product wat betreft kwaliteit etc. ofwel er wordt verzocht om toezending van een creditnota. Volgens het ISO handboek wordt er een claimbrief opgesteld. Hiervan zou een kopie naar de financiële afdeling gaan. Bij navraag blijkt dat er geen claimbrief meer wordt opgesteld. Er wordt een spreadsheet (zgn. klachtenregistratie register) bijgehouden waar de afwijkingen in worden geregistreerd. Hiervan gaat een kopie naar de financiële afdeling. De financiële afdeling kan niet weten of er iets met de klacht is gedaan. Wat is de eventuele afspraak die met de leverancier is gemaakt? De verwijzing naar het ERP softwarepakket beperkt zich in dit voorbeeld tot de orderprocedure.
01-11-06
Pagina 50 van 97
Bij bedrijf C worden in dit soort gevallen de afwijkingen geregistreerd in een klachtenregister. De afdeling kwaliteit is hiervan de eigenaar. Dit systeem staat los van de gebruikte software voor het doen van bestellingen, krediteuren registratie etc. De afdeling kwaliteit legt alle door hun uitgevoerde handelingen vast in dit klachtenregister. Vindt er periodiek een afstemming plaats tussen de registraties door de afdeling kwaliteit en de geblokkeerde openstaande krediteurenfacturen? Het antwoord op deze vragen zijn niet uit de verschillende ISO handboeken te herleiden. Vanuit controle oogpunt zijn deze punten zwakke schakels binnen het geheel aan maatregelen zoals deze wel zijn beschreven in het ISO handboek.
Onderdeel 2.6 vraag 1a Is er sprake van functiescheiding bij de voorraadcontrole? Bij bedrijf A is deze duidelijk aanwezig. De analyse van de verschillen geschiedt in een aantal lagen. Zo is er beschreven hoe de eerste initiële telling moet worden uitgevoerd. Bij een constatering van een afwijking is er beschreven wanneer er nogmaals moet worden geteld. Zodra er bij de tweede telling weer een afwijking wordt geconstateerd, dan zijn de handelingen die er dan moeten worden ondernomen zelfs beschreven. De retourgoederen worden opgeslagen in hetzelfde magazijn en ondergaan dezelfde procedure. Deze goederen worden echter verkocht aan een opkoper. Dit geschiedt tegen contante betaling. Hier constateer ik een probleem met de functiescheiding. Er is 1 persoon die zowel de opkopers benadert, die de veiling organiseert en die contant afrekent met de opkoper. Over de financiële afwikkeling hiervan is niets beschreven. Op een vraag van mijn kant waarom dit het geval is, werd geantwoord dat het niet zo vaak voorkwam, het geen grote bedragen betreft (terwijl er zicht is op de waarde) etc. Samenvattend kan ik concluderen dat de handelingen voortvloeiende uit de operationele processen in de ISO handboeken voor 81% zijn vastgelegd. Relaties met de financiële consequenties zijn niet of nauwelijks beschreven. De behaalde score reikt in deze ook niet verder dan 15%. Indien er iets is beschreven hetgeen relateert aan financiële gegevens, dan is dit over het algemeen op een wijze als “zie administratieve afhandeling”. Hier blijft het dan bij. Bij alle onderzochte bedrijven is er ofwel geen enkel contact met de financiële afdeling ofwel (bedrijf B) is er niets beschreven vanuit de financiële gedachte.
01-11-06
Pagina 51 van 97
Hoofdstuk 6 Conclusie Het doel van het uitgevoerde onderzoek is om een oordeel te kunnen geven over de stelling “Het in het bezit hebben van een ISO -9000 certificaat is afdoende om te voldoen aan de SOX wetgeving” De conclusie is dat dit niet zonder meer als waar kan worden bestempeld. Gedurende het onderzoek is o.a. gebleken dat de invulling aan de ISO handboeken bij de onderzochte bedrijven niet eenduidig is. De operationele hoofdprocessen die binnen een handelsonderneming zijn te onderscheiden, zijn bij alle onderzochte bedrijven terug te vinden in de ISO handboeken.
Om een oordeel uit te kunnen spreken over de houdbaarheid van de stelling, is er onderzocht wat de gestelde eisen zijn vanuit de ISO richtlijnen. De eisen gesteld binnen de SOX wetgeving zijn onderzocht in relatie tot de ISO richtlijnen. Hieruit vloeit een duidelijke overeenkomst voort, maar ook een zeer belangrijk verschil. De overeenkomst (zie paragraaf 2.2.2. en paragraaf 3.1.1.) is dat in beide richtlijnen het startpunt de operationele processen van een onderneming zijn. Zowel bij ISO als bij SOX vormt een risicoanalyse de basis voor het opzetten van de desbetreffende handboeken (zie pag. 12 en pag. 16). Het grote verschil wordt geconstateerd in de non-belangstelling vanuit de ISO richtlijnen voor de financiële betrouwbaarheid van de cijfers. Bij ISO kunnen bedrijven zelf invulling geven aan hetgeen wel of niet wordt beschreven en dus op welke terreinen ze in control willen zijn. Dit resulteert in de praktijk dat bij de onderzochte bedrijven (zie pag. 40) alleen de operationele processen zijn beschreven. De financiële consequenties worden niet of nauwelijks beschreven (zie pag. 48). Uit de interviews is gebleken dat de bedrijven de borging van de betrouwbaarheid van de financiële gegevens gesplitst zien van de operationele processen. Alle bedrijven gaven aan te voldoen aan de eisen vanuit de Raad voor de Jaarverslaggeving met betrekking tot waarderingsgrondslagen. Één onderzocht bedrijf heeft de beschikking over een afzonderlijk financieel handboek (zie pag. 51) voor het borgen van de financiële rapportage. Beide handboeken (ISO en financieel) zijn los van elkaar beheerste documenten. Er vindt geen overleg plaats tussen de verschillende coördinatoren. De ondervraagde kwaliteitscoördinatoren hebben geen enkel idee van de 01-11-06
Pagina 52 van 97
stappen die de financiële afdeling alsnog moet ondernemen om tot betrouwbare rapportage te komen. De stelling houdt echter wel stand zodra beide handboeken worden samengevoegd of indien er een relatie wordt gelegd tussen beide handboeken. De keuze voor integratie van beide handboeken in een totaal handboek is voor de beheersbaarheid van met name het ISO handboek geen gewenste optie. De reden hiervoor is dat de externe auditor vanuit een ISO certificeringinstituut voor het verkrijgen en behouden van het ISO certificaat, over de gehele inhoud van het ISO handboek een oorde el moet uitspreken. Als beiden handboeken in elkaar worden geschoven houdt dit theoretisch in dat de ISO auditor en de externe accountant dezelfde werkzaamheden gaan uitvoeren. Hier komt als aanvullend probleem bij dat de ISO auditor met name erop gericht is om te beoordelen of datgene wat er is opgetekend in de handboeken ook op die wijze wordt uitgevoerd. De ISO auditor beoordeeld de procedure. De externe accountant spreekt een waardeoordeel uit over de beheersbaarheid van de interne controle aan de hand van het handboek.
De theorie van ISO geeft als basis voor de vastlegging van de processen de uitgevoerde risico analyse (pag. 16). Uit dit onderzoek is gebleken dat de onderzochte ISO handboeken hoofdzakelijk zijn georiënteerd op de operationele processen (zie paragraaf 5.3.1. en 5.3.2.). Men zou zich ook de vraag kunnen stellen of de doelstelling van de ISO organisatie, een kwaliteitskenmerk voor externe doeleinden (pag. 14), wel behaald wordt. Bijna alle financieel georiënteerde processen worden niet of nauwelijks beschreven (zie paragraaf 5.3.1. onderdeel debiteurenontvangsten, Human Resources en Grootboekregistratie). Deze onderdelen behalen een positieve score van slechts 15% (zie paragraaf 5.3.1. tabel 8). Wat is de waarde van een ISO certificaat indien er een derde partij aan de hand van het ISO certificaat niet een oordeel kan uitspreken over de betrouwbaarheid van de gepubliceerde jaarcijfers?
Conclusie Met de huidige invulling van de ISO handboeken houdt de stelling geen stand. Indien door middel van een gezamenlijk proces (vanuit kwaliteitszorg en vanuit financieel oogpunt) de
01-11-06
Pagina 53 van 97
risico’s worden geanalyseerd en de opzet van processen aan elkaar worden gerelateerd dan houdt de stelling stand. Verder onderzoek is aan te bevelen uit het oogpunt van het verleende advies. Dit vervolgonderzoek dient in mijn optiek te worden uitgevoerd door binnen een organisatie beide uitgangspunten (ISO en SOX) gezamenlijk in te voeren. Hierna een oordeel te laten uitspreken over de invulling van ISO en SOX door zowel een certificatie instituut alsmede door de externe accountant.
01-11-06
Pagina 54 van 97
Aanbevelingen Dit onderzoek heeft op een aantal andere gebieden meer vraagtekens opgeroepen dan antwoorden gegeven. Deze vraagtekens zijn geen onderdeel van dit onderzoek, maar enkele vragen wil ik hierbij toch graag optekenen. Dit zijn in mijn optiek onderzoeksgebieden die interessant zijn om verder aandacht aan te besteden. De overkoepelende ISO organisatie heeft geen database met daarin alle ISO gecertificeerde bedrijven (zie pag. 37). De kwaliteit wordt geborgd door de RvA (zie pag. 37). Welke kwaliteitseisen worden er aan de certificerende instituten gesteld? Hoe komen deze kwaliteitseisen tot stand? Ondernemingen die ISO 9000 certificaat willen behalen, moeten voldoen aan de eisen gesteld in de ISO richtlijnen. Iedere onderneming is echter vrij om te bepalen wat wel en wat niet wordt beschreven (zie pag. 16). Zijn er bij de certificerende instellingen richtlijnen voor de beoordeling van ondernemingen die gerelateerd zijn bedrijfstypologieën? Kan een handelsbedrijf een ISO 9000 certificaat bezitten zonder de hoofdprocessen te hebben beschreven? Wat is dan de toegevoegde waarde van een ISO certificaat? Is dit dan niet anders dan het verstrekken van schijnzekerheid aan derden?
01-11-06
Pagina 55 van 97
Bibliografie Ahaus C.T.B. e.a. ISO 9000:2000-serie. strategie en aanpak. 4e, geheel herziene druk.
Centrum van normalisatie. Nederlandse norm NEN-EN-ISO 9000. december 2000. Centrum van normalisatie. Nederlandse norm NEN-EN-ISO 9001. december 2000.
Centrum van normalisatie. Nederlandse norm NEN-EN-ISO 9004. december 2000.
Diekman P. 2005. Rapporteren over interne controle. Maanblad voor Accountancy. Pagina 512-521. Edwards Deming W.. The New Economy. 2e druk.
H.R. 3763; http://news.findlaw.com/hdocs/docs/gwbush/sarbanesoxley072302.pdf; 8 december 2004.
ISO. http://www.iso.org/iso/en/abaoutiso/introduction/index.html. 8 december 2004 McAllister M. www.Qualtiydigest.com. Leveraging Your ISO 9001 System For SarbanesOxley Compliance. 2003
Protiviti. Guide to the Sarbanes-Oxley Act: Internal Control Reporting Requ irements. 2003.
Romney en Steinbart. Accounting Information systems. 8th edition.
Starreveld e.a.. Bestuurlijke informatieverzorging . deel 1.
Starreveld e.a.. Bestuurlijke informatieverzorging. deel 2a. Starreveld e.a.. Bestuurlijke informatieverzorging. deel 2b.
Stimson W.A.. www.asq.org. Sarbanes-Oxley And ISO 9000. Maart 2005 01-11-06
Pagina 56 van 97
U.S. Securtities and Exchange Commission;http://www.sec.gov/rules/final/33-8238.htm; 8 maart 2005
Bijlagen A, B, C, D en E
01-11-06
Pagina 57 van 97
Bijlage A Recapitulatie tabel antwoorden onderzochte bedrijven 1. Vragen m.b.t. Revenue cycle (opbrengsten)
Bedrijf A
Bedrijf B
Bedrijf C
Ja
Ja
Ja
1.1 Verkooporder vastlegging 1.
Is er een procedure vastgelegd indien er een nieuwe afnemer een
order plaatst? a.
Vindt er een krediet beoordeling van de afnemer plaats?
Nee
Ja
Ja
b.
Wie autoriseert de acceptatie van een nieuwe klant?
Director
Commercieel
Helpdesk
Sales
Directeur
Ja
Ja
Nee
Ja
Ja
Ja
Ja
Ja
Nee
c.
Wordt de krediet beoordeling vastgelegd in een geautomatiseerd systeem?
d.
Is er vastgelegd hoe de leveringscondities voor deze afnemer
worden bepaald? 2.
Is er vastgelegd wat er met een verkooporder van een bestaande klant dient te gebeuren?
a.
Wordt deze order beoordeeld op kredietwaardigheid?
Ja
Ja
Nee
b.
Wordt de beoordeling vastgelegd?
Ja
Nee
Nee
c.
Is er een mogelijkheid om een negatieve krediet beoordeling te
Nee
Nee
Nee
Ja
Ja
Ja
Ja
Ja
Ja
Nee
Nee
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Is beschreven wat de procedure is bij afwijkingen (bijv. artikel niet Ja
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Ja
omzeilen door afdeling verkoop? d.
Indien ja, zijn hier dan de maatregelen tegen?
3.
Is er een procedure voor de fysieke vastlegging van de verkooporder in het systeem?
a.
Is er een controle op de vastlegging van de juiste verkoopprijzen?
b.
Indien er een manier bestaat om de verkoopprijzen te wijzigen, wat Ja
is dan de interne controle tegen samenspanning? c.
Is er een controle op de juistheid van ingave van het materiaal, het
afleveradres etc? 1.2. Uitleveren goederen aan de klant 1.
Is de communicatie / informatie tussen afdeling verkoop en
magazijn beschreven? 2.
Is beschreven hoe de controle op de uitlevering van soort en
hoeveelheid artikel wordt uitgevoerd? 3.
meer aanwezig; wel op picklijst)? 4.
Is er een procedure voor het retour nemen van goederen van de
klant? a.
Is beschreven hoe goederen die retour komen van een klant
01-11-06
Pagina 58 van 97
worden geregistreerd? b.
Is beschreven hoe retourgoederen worden gecontroleerd op
Ja
Ja
Ja
1.
Is er een procedure voor het factureren van de geleverde goederen? Ja
Ja
Ja
2.
Is er controle op het volledig uitfactureren van de geleverde
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Nee
Ja
kwaliteit? 1.3. Factureren van de geleverde goederen
goederen? 3.
Is er een controle voor het uitfactureren op de juistheid van de
gehanteerde verkoopprijzen? 4.
Wordt er tijdig en correct een credit nota verstuurd voor de retour
genomen goederen? Hoe wordt er geborgd dat de omzet (uitgeleverde en retour genomen goederen) volledig is? 5.
Hoe is de controle geregeld op de te hanteren prijzen m.b.t. retour
genomen goederen? 1.4. Verwerken van de ontvangen bedragen t.b.v. de uitstaande facturen 1.
Is de verwerking van de geldontvangsten via de bank beschreven?
Nee
Nee
Nee
a.
Is er sprake van controle op het ongeoorloofd afboeken van
Nee
Ja
Nee
Nee
Ja
Nee
Nee
Nee
Nee
Nee
Nee
N/A
Nee
Nee
Nee
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Nee
Ja
openstaande bedragen t.b.v. een klant? b.
Is er controle op het juist afboeken van de betaalde bedragen
(tegen juiste factuur en niet op bulk)? c.
Is er regelmatig een confirmatie over openstaande posten tussen
debiteur en de organisatie? 2.
Is de verwerking van de geldontvangsten indien deze via de kas
lopen beschreven? 3.
Is er periodieke controle op de aansluiting van het grootboek bank
ten opzichte van het bankafschrift zelf? 2. Vragen m.b.t. Expenditure cycle (kosten) 2.1. Doen van een aanvraag tot aankoop van goederen 1.
Is er een controleprocedure voor het doen tot een aanvraag tot
aankoop van goederen? a.
Is er controle op het tijdig plaatsen van een aanvraag tot aankoop
goederen? b.
Is er een automatisch systeem voor het doen van aankopen van
goederen? c.
Wordt geanalyseerd of de inkoophoeveelheden in het automatisch
systeem nog steeds correct zijn? Is er beschreven hoe hier invulling aan Nee dient te worden gegeven?
01-11-06
Pagina 59 van 97
2.
Is er functiescheiding tussen aanvraag goederen en goedkeuring
Ja
Ja
Ja
Ja
Ja
Ja
voor de aanvraag van goederen? 3.
Is er een controle op de volledigheid van aanvragen tot aankoop
van goederen? 2.2. Inkooporder vastlegging en plaatsing van de order 1.
Is er een procedure voor de selectie van een leverancier?
Ja
Ja
Ja
a.
Wordt de leverancier periodiek geanalyseerd?
Ja
Ja
Ja
b.
Is er controle op de kwaliteit en de prijzen van de leverancier?
Ja
Ja
Ja
c.
Is de mogelijkheid voor het bevoordelen van bepaalde lever anciers Ja
Ja
Ja
Ja
Ja
uitgesloten? d.
Worden de prijzen die zijn afgesproken vastgelegd en door iemand Ja
anders goedgekeurd? 2.
Worden de vastgelegde inkooporders doorlopend genummerd?
Ja
Ja
Ja
3.
Is er controle op de volledigheid van vastlegging van de
Ja
Ja
Ja
Ja
Ja
Ja
inkooporders t.o.v. de aanvragen tot het doen van inkopen? 2.3. Fysieke goederenontvangst 1.
Wordt er gecontroleerd of de goederen die worden ontvangen zijn
besteld? 2.
Wordt de kwaliteit van de goederen gecontroleerd?
Ja
Ja
Ja
3.
Is er een procedure wat te doen bij afwijkingen in de geleverde
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Nee
Nee
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Nee
Nee
Ja
goederen ofwel kwaliteit ofwel hoeveelheid? 2.4. Goedkeuren krediteurenfactuur 1.
Is er een controle op de vermelde hoeveelheden en prijzen op de
leveranciersfactuur? 2.
Bij afwijkingen is hiervoor een procedure die dient te worden
gevolgd? 3.
Wordt er een controle uitgevoerd op de afloop van de
geconstateerde afwijkingen? 2.5. Betaling goedgekeurde krediteurenfacturen 1.
Is er een controle op het niet dubbel betaalbaar stellen van
facturen? 2.
Is er een controle op de betaaltermijnen van de
leveranciersfacturen? 3.
Is er sprake van functiescheiding tussen het goedkeuren van de
factuur en het hiervan betaalbaar stellen? 4.
Is er periodiek een analyse van de nog niet goedgekeurde
leveranciersfacturen?
01-11-06
Pagina 60 van 97
5.
Is er beschreven welke acties dienen te worden genomen n.a.v. de
Nee
Nee
Nee
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Nee
Ja
Nee
Nee
Ja
Ja
Ja
analyse uit punt 4 en worden deze opgevolgd en gemonitored? 2.6. Controle op de fysieke voorraad 1.
Is er een controle procedure beschreven met betrekking tot de
fysieke voorraad? a.
Is er sprake van functiescheiding bij de voorraadcontrole (teller,
administratief verwerker, controleur zijn verschillende personen)? b.
Ligt er een procedure vast met de richtlijnen m.b.t. voorraad
telling? Welk systeem wordt gehanteerd? Hoe vaak wordt er geteld? c.
Is er beschreven wat er met de geconstateerde afwijkingen wordt
gedaan? d.
Worden de afwijkingen geanalyseerd?
2.
Bij verplaatsing van goederen van locatie A naar locatie B; is dit in Nee
een procedure beschreven? 3.
Is de fysieke bereikbaarheid van de voorraden afgesloten voor
onbevoegden? 3. Vragen m.b.t. Human Resources (P&O) 3.1. Stamgegevens salarisadministratie 1.
Wordt er een standenregister bijgehouden en is dit beschreven?
Ja
Ja
Ja
2.
Is er sprake van functiescheiding tussen HR en Payroll
Ja
Nee
Ja
Nee
Nee
Ja
Nee
Ja
Ja
Nee
Nee
Ja
administratie? 3.
Is er geborgd dat de onderneming op de hoogte blijft van de
veranderingen in wet- en regelgeving op belastinggebied? 3.2. Registratie werktijden medewerkers 1.
Is er een procedure voor het registreren van de werktijden van de
medewerkers? 2. Is hier een controle op ingevoerd? Wat is de procedure bij geconstateerde afwijkingen? 3.3. Uitvoeren salarisadministratie / betaalbaar stellen salarissen en afdrachten 1.
Is er controle op handmatige invoer in het payroll systeem?
Nee
Nee
Ja
2.
Is er een track record aanwezig op de doorgevoerde wijzigingen in
Nee
Nee
Ja
Nee
Nee
Nee
Nee
Nee
Nee
het payroll systeem? 3.
Is er een controle op de uitbetaling van de nettosalarissen? Geen
mogelijkheid tot dubbelgangers? 4.
Wordt er gebruik gemaakt van een tussenrekening salarissen?
4. Vragen m.b.t. Grootboekregistratie (rapportage)
01-11-06
Pagina 61 van 97
4.1. Boekingen voortkomende uit de diverse bovenstaande cycles 1.
Is er een controle op volledigheid van de boekingen voortkomende Nee
Ja
Nee
Nee
Nee
Nee
Nee
Ja
Nee
Nee
Ja
Nee
Nee
Nee
Nee
Nee
Nee
uit de bovenstaande cycles? 2.
Wordt er controle uitgeoefend dat alle “klaar” staande boekingen
ook daadwerkelijk zijn uitge voerd? 3.
Zijn er procedures hoe om te gaan met constateringen van fouten
komende vanuit het proces van bijv. verkopen om dit in de basis te corrigeren? Hoe is hier de afloopcontrole op geregeld? 4.
Zijn er procedures voor het maken van back-ups van data en
programmatuur? 5.
Zijn er wachtwoorden / inlognamen van toepassing voor de diverse Nee
programmatuur? Is er een autorisatietabel aanwezig en is dit geautomatiseerd? 4.2. Bepalen van voorafgaande journaalposten 1.
Zijn er regels opgesteld voor het bepalen van voorafgaande
journaalposten? 2.
Hoe wordt gecontroleerd of men volledig is?
Nee
Nee
Nee
3.
Wordt er gebruik gemaakt van analyse tools? Is hierbij
Nee
Nee
Nee
Nee
Nee
Nee
Nee
Nee
Nee
Nee
Nee
Nee
Nee
Nee
Nee
Nee
Nee
Nee
Nee
Nee
Nee
Nee
Nee
Nee
Nee
Nee
Nee
functiescheiding aanwezig? 4.
Is er een accounting manual aanwezig? Is dit vastgelegd als
onderdeel van het ISO handboek? 4.3. Financiële rapportage 1.
Is er een procedure aanwezig hoe men komt tot de uiteindelijke
financiële rapportage? 2.
Staat er in het ISO handboek iets genoemd over de
waarderingsgrondslagen van verschillende balansposten? a.
Is er een beschrijving hoe de post voorraden moet worden
gewaardeerd per einde van een periode? b.
Is er een beschrijving hoe de post debiteuren moet worden
gewaardeerd per einde van een periode? c.
Hoe wordt bepaald of er een risico in bijv. de post krediteuren
administratie zit? 3.
Hoe is de controle geregeld op de juistheid van de cijfers zoals
deze aan derden worden gepresenteerd? (hoe wordt er geborgd dat er geen typefouten e.d. voor kunnen komen) 4.
Zijn alle vaste activa posten nog aanwezig in de organisatie? Hoe
wordt dit gecontroleerd? Hoe bepaald de organisatie of er extra afschrijvingen op plaats dienen te vinden?
01-11-06
Pagina 62 van 97
5.
Indien er sprake is van deelnemingen in andere ondernemingen,
Nee
Nee
Nee
Nee
Nee
Nee
Nee
Nee
Nee
Nee
Nee
Nee
Nee
Nee
Nee
Nee
Nee
Nee
Ja
Nee
Ja
Nee
Nee
Nee
hoe wordt de waarde van deze ondernemingen bepaald? Hoe is deze controle ingeregeld? 6.
Is er een controle op de afloop van de te vorderen balansposten?
Hoe bepaald de onderneming of een vordering nog inbaar is? 7.
Zijn de schulden van de onderneming juist en volledig
verantwoord in de administratie? 8.
Zijn de opgenomen voorzieningen correct beoordeeld? Geven zij
een waarheidsgetrouw beeld op de financiële verplichtingen van de onderneming? 9.
Is er een systeemcontrole uitgevoerd (automatiseringscontrole)?
Dit via een trail-audit 10. Wordt er in zijn algemeenheid gebruik gemaakt van interne audit trails? 11. Wordt er in het ISO handboek verwezen naar een “Code of conduct” of een “Charter of Behaviour”? Is dit een integraal onderdeel van het ISO handboek? 12. Wordt er een trend analyse gemaakt van de belangrijkste balansposten (is dit beschreven in het ISO handboek)?
01-11-06
Pagina 63 van 97
Bijlage B Bedrijf A Enquêtevragen afstudeeropdracht UvA studentennummer 9880631 Datum bezoek bedrijf:
21 maart 2006
Interne controle gerelateerde vragen; de vragen zullen worden beantwoord aan de hand van de inhoud van het ISO handboek zoals gehanteerd bij de betreffende onderneming 1. Vragen m.b.t. Revenue cycle (opbrengsten) 1.1 Verkooporder vastlegging 1. Is er een procedure vastgelegd indien er een nieuwe afnemer een
Ja
order plaatst? a.
Vindt er een krediet beoordeling van de afnemer plaats?
Nee
Staat niet beschreven
b.
Wie autoriseert de acceptatie van een nieuwe klant?
Ja
Director sales
c.
Wordt de krediet beoordeling vastgelegd in een geautomatiseerd
Ja
ERP systeem BaaN
Ja
Via autorisatietabel in handboek
systeem? d.
Is er vastgelegd hoe de leveringscondities voor deze afnemer
worden bepaald? 2.
Is er vastgelegd wat er met een verkooporder van een bestaande
Ja
klant dient te gebeuren? a.
Wordt deze order beoordeeld op kredietwaardigheid?
Ja
Op het moment van vastlegging order in BaaN
b.
Wordt de beoordeling vastgelegd?
Ja
Historiegegevens BaaN
c.
Is er een mogelijkheid om een negatieve krediet beoordeling te
Nee
Staat niet beschreven in ISO
omzeilen door afdeling verkoop? d.
Indien ja, zijn hier dan de maatregelen tegen?
3.
Is er een procedure voor de fysieke vastlegging van de
01-11-06
Ja
Pagina 64 van 97
verkooporder in het systeem? a.
Is er een controle op de vastlegging van de juiste
Ja
Via Order inputcontrole lijst
Ja
Via BaaN nieuwe goedkeuringsprocedure
Ja
Via Order inputcontrolelijst
Ja
Via workflow BaaN
Ja
Controle op picklijst
Ja
Indien goederen fysiek niet meer aanwezig dan wordt er afgeboekt in het systeem BaaN
Ja
Vooraf een check of goederen retour gehaald mogen worden
Ja
Via BaaN; meteen na ontvangst goederen
Ja
Bij ontvangst van goederen
Ja
order inputcontrole lijst; controle op ingave order met opdracht klant
Ja
order inputcontrole lijst; controle op ingave order met opdracht klant
verkoopprijzen? b.
Indien er een manier bestaat om de verkoopprijzen te wijzigen, wat is dan de interne controle tegen samenspanning?
c.
Is er een controle op de juistheid van ingave van het materiaal,
het afleveradres etc? 1.2. Uitleveren goederen aan de klant 1. Is de communicatie / informatie tussen afdeling verkoop en magazijn beschreven? 2.
Is beschreven hoe de controle op de uitlevering van soort en hoeveelheid artikel wordt uitgevoerd?
3.
Is beschreven wat de procedure is bij afwijkingen (bijv. artikel
niet meer aanwezig; wel op picklijst)? 4.
Is er een procedure voor het retour nemen van goederen van de
klant? a.
Is beschreven hoe goederen die retour komen van een klant worden geregistreerd?
b.
Is beschreven hoe retourgoederen worden gecontroleerd op kwaliteit?
1.3. Factureren van de geleverde goederen 1. Is er een procedure voor het factureren van de geleverde goederen? 2.
Is er controle op het volledig uitfactureren van de geleverde
01-11-06
Pagina 65 van 97
goederen? 3.
Is er een controle voor het uitfactureren op de juistheid van de
Ja
Zijn vastgelegd in BaaN systeem
Ja
Meteen na ontvangst van de retourgoederen. Goederen zijn onderverdeeld in 4 soorten goederen.
Ja
Wordt beoordeeld op het moment van retour ontvangen goederen.
Nee
Onderwerp komt niet ter sprake in handboek
Nee
Onderwerp komt niet ter sprake in handboek
Nee
Onderwerp komt niet ter sprake in handboek
Nee
Onderwerp komt niet ter sprake in handboek
Nee
Er wordt alleen op rekening verkocht. Een van de retourgoederen procedure is per opbod
gehanteerde verkoopprijzen? 4.
Wordt er tijdig en correct een credit nota verstuurd voor de
retour genomen goederen? Hoe wordt er geborgd dat de omzet (uitgeleverde en retour genomen goederen) volledig is? 5.
Hoe is de controle geregeld op de te hanteren prijzen m.b.t.
retour genomen goederen? 1.4. Verwerken van de ontvangen bedragen t.b.v. de uitstaande facturen 1. Is de verwerking van de geldontvangsten via de bank beschreven? a.
Is er sprake van controle op het ongeoorloofd afboeken van openstaande bedragen t.b.v. een klant?
b.
Is er controle op het juist afboeken van de betaalde bedragen (tegen juiste factuur en niet op bulk) ?
c.
Is er regelmatig een confirmatie over openstaande posten tussen
debiteur en de organisatie? 2.
Is de verwerking van de geldontvangsten indien deze via de kas lopen beschreven?
verkoop en daarna contante afrekening. Dit is beschreven; de afwikkeling van ontvangst geld is niet beschreven.
3.
Is er periodieke controle op de aansluiting van het grootboek
Nee
Onderwerp komt niet ter sprake in handboek
bank ten opzichte van het bankafschrift zelf?
01-11-06
Pagina 66 van 97
2. Vragen m.b.t. Expenditure cycle (kosten) 2.1. Doen van een aanvraag tot aankoop van goederen 1. Is er een controleprocedure voor het doen tot een aanvraag tot
Ja
aankoop van goederen? a.
Is er controle op het tijdig plaatsen van een aanvraag tot aankoop
Ja
Via BaaN – een aanbevelingsinkooporder
Ja
Via BaaN
Ja
Op het moment van aanmaken van een artikel in BaaN wordt er een signaleringscode
Nee
meegegeven. 3-maandelijks analyse over omloopsnelheid artikelen. Hierna overleg over de te
goederen? b.
Is er een automatisch systeem voor het doen van aankopen van goederen?
c.
Wordt geanalyseerd of de inkoophoeveelheden in het
automatisch systeem nog steeds correct zijn? Is er beschreven hoe hier invulling aan dient te worden gegeven? 2.
Is er functiescheiding tussen aanvraag goederen en goedkeuring
nemen maatregelen. Ja
voor de aanvraag van goederen? 3.
Is er een controle op de volledigheid van aanvragen tot aankoop
Ja
van goederen?
Via order input formulier; geeft de status van de verkooporder weer. Ook of de producten inmiddels in order bij de leverancier staan.
2.2. Inkooporder vastlegging en plaatsing van de order 1. Is er een procedure voor de selectie van een leverancier?
Ja
a.
Wordt de leverancier periodiek geanalyseerd?
Ja
b.
Is er controle op de kwaliteit en de prijzen van de leverancier?
Ja
Bij ontvangst van de goederen wordt de kwaliteit gecontroleerd. Prijzen zijn vastgelegd in BaaN.
c.
Is de mogelijkheid voor het bevoordelen van bepaalde
Ja
Alleen geselecteerde leveranciers mogen worden benaderd. Indien dit niet mogelijk is dan een
leveranciers uitgesloten? d.
Worden de prijzen die zijn afgesproken vastgelegd en door
autorisatie door de Manager noodzakelijk. Ja
iemand anders goedgekeurd? 2.
Worden de vastgelegde inkooporders doorlopend genummerd?
01-11-06
Bij afwijkingen binnen bepaalde ranges zijn er andere autorisatie aangewezen. Is een rangorde opgesteld wie, wanneer, wat mag goedkeuren.
Ja
Via BaaN
Pagina 67 van 97
3.
Is er controle op de volledigheid van vastlegging van de
Ja
Via order input formulier; BaaN ondersteuning
inkooporders t.o.v. de aanvragen tot het doen van inkopen? 2.3. Fysieke goederenontvangst 1. Wordt er gecontroleerd of de goederen die worden ontvangen
Ja
zijn besteld? 2.
Wordt de kwaliteit van de goederen gecontroleerd?
Ja
3.
Is er een procedure wat te doen bij afwijkingen in de geleverde
Ja
goederen ofwel kwaliteit ofwel hoeveelheid? 2.4. Goedkeuren krediteurenfactuur 1. Is er een controle op de vermelde hoeveelheden en prijzen op de
Er wordt gecheckt op moment van ontvangst goederen; bij afwijking wordt afdeling inkoop geïnformeerd en wordt er daar beslist welke handeling wordt ingezet.
Ja
Via BaaN
Ja
Autorisatietabel voor prijsverschillen; Hoeveelheden afdeling inkoop
Nee
Staat niet beschreven
Ja
Via BaaN
Ja
Stambestand van de leverancier
leveranciersfactuur? 2.
Bij afwijkingen is hiervoor een procedure die dient te worden gevolgd?
3.
Wordt er een controle uitgevoerd op de afloop van de
geconstateerde afwijkingen? 2.5. Betaling goedgekeurde krediteurenfacturen 1. Is er een controle op het niet dubbel betaalbaar stellen van facturen? 2.
Is er een controle op de betaaltermijnen van de leveranciersfacturen?
3.
Is er sprake van functiescheiding tussen het goedkeuren van de
Ja
factuur en het hiervan betaalbaar stellen? 4.
Is er periodiek een analyse van de nog niet goedgekeurde
Nee
Staat niet beschreven
leveranciersfacturen?
01-11-06
Pagina 68 van 97
5.
Is er beschreven welke acties dienen te worden genomen n.a.v.
Nee
de analyse uit punt 4 en worden deze opgevolgd en gemonitored? 2.6. Controle op de fysieke voorraad 1. Is er een controle procedure beschreven met betrekking tot de
Ja
fysieke voorraad? a.
Is er sprake van functiescheiding bij de voorraadcontrole (teller,
Ja
administratief verwerker, controleur zijn verschillende personen)? b.
c.
Ligt er een procedure vast met de richtlijnen m.b.t. voorraad
Ja
Tweemaal per jaar worden alle artikelen geteld. Na telling worden er controlelijsten gedraaid;
telling? Welk systeem wordt gehanteerd? Hoe vaak wordt er
Afwijking te groot (>5% of > EUR 2500) dan extra telling; Indien afwijking tussen 1e en 2 e
geteld?
telling verdere analyse.
Is er beschreven wat er met de geconstateerde afwijkingen wordt
Ja
Ofwel afboeken; ofwel tijdsverschil in inslag en uitslag van goederen; dan geen actie
gedaan? d.
Worden de afwijkingen geanalyseerd?
Ja
2.
Bij verplaatsing van goederen van locatie A naar locatie B; is dit
Nee
in een procedure beschreven? 3.
Is de fysieke bereikbaarheid van de voorraden afgesloten voor
Ja
Apart magazijn
3.1. Stamgegevens salarisadministratie 1. Wordt er een standenregister bijgehouden en is dit beschreven?
Ja
In personeelsregistratiesysteem
2.
Ja
onbevoegden? 3. Vragen m.b.t. Human Resources (P&O)
Is er sprake van functiescheiding tussen HR en Payroll administratie?
3.
Is er geborgd dat de onderneming op de hoogte blijft van de
01-11-06
Nee
Staat niet beschreven
Pagina 69 van 97
veranderingen in wet - en regelgeving op belastinggebied? 3.2. Registratie werktijden medewerkers 1. Is er een procedure voor het registreren van d e werktijden van de
Nee
Staat niet beschreven
medewerkers? 2. Is hier een controle op ingevoerd? Wat is de procedure bij
Nee
geconstateerde afwijkingen? 3.3. Uitvoeren salarisadministratie / betaalbaar stellen salarissen en afdrachten 1. Is er controle op handmatige invoer in het payroll systeem? Nee
Onderwerp komt niet ter sprake in handboek
2.
Nee
Onderwerp komt niet ter sprake in handboek
Nee
Onderwerp komt niet ter sprake in handboek
Nee
Onderwerp komt niet ter sprake in handboek
Nee
Onderwerp komt niet ter sprake in handboek
Nee
Onderwerp komt niet ter sprake in handboek
Nee
Onderwerp komt niet ter sprake in handboek
Nee
Onderwerp komt niet ter sprake in handboek
Is er een track record aanwezig op de doorgevoerde wijzigingen in het payroll systeem?
3.
Is er een controle op de uit betaling van de nettosalarissen? Geen mogelijkheid tot dubbelgangers?
4.
Wordt er gebruik gemaakt van een tussenrekening salarissen?
4. Vragen m.b.t. Grootboekregistratie (rapportage) 4.1. Boekingen voortkomende uit de diverse bovenstaande cycles 1. Is er een controle op volledigheid van de boekingen voortkomende uit de bovenstaande cycles? 2.
Wordt er controle uitgeo efend dat alle “klaar” staande boekingen ook daadwerkelijk zijn uitgevoerd?
3.
Zijn er procedures hoe om te gaan met constateringen van fouten komende vanuit het proces van bijv. verkopen om dit in de basis te corrigeren? Hoe is hier de afloopcontrole op geregeld?
4.
Zijn er procedures voor het maken van back-ups van data en
01-11-06
Pagina 70 van 97
programmatuur? 5.
Zijn er wachtwoorden / inlognamen van toepassing voor de
Nee
Onderwerp komt niet ter sprake in handboek
Nee
Onderwerp komt niet ter sprake in handboek
diverse programmatuur? Is er een autorisatietabel aanwezig en is dit geautomatiseerd? 4.2. Bepalen van voorafgaande journaalposten 1. Zijn er regels opgesteld voor het bepalen van voorafgaande journaalposten? 5.
Hoe wordt gecontroleerd of men volledig is?
Nee
Onderwerp komt niet ter sprake in handboek
6.
Wordt er gebruik gemaakt van analyse tools? Is hierbij
Nee
Ond erwerp komt niet ter sprake in handboek
Nee
Onderwerp komt niet ter sprake in handboek
Nee
Onderwerp komt niet ter sprake in handboek
functiescheiding aanwezig? 7.
Is er een accounting manual aanwezig? Is dit vastgelegd als onderdeel van het ISO handboek?
4.3. Financiële rapportage 1. Is er een procedure aanwezig hoe men komt tot de uiteindelijke financiële rapportage? 2.
Staat er in het ISO handboek iets genoemd over de
Nee
waarderingsgrondslagen van verschillende balansposten? a.
Is er een beschrijving hoe de post voorraden moet worden
Nee
Onderwerp komt niet ter sprake in handboek
Nee
Onderwerp komt niet ter sprake in handboek
Nee
Onderwerp komt niet ter sprake in handboek
Nee
Onderwerp komt niet ter sprake in handboek
gewaardeerd per einde van een periode? b.
Is er een beschrijving hoe de post debiteuren moet worden gewaardeerd per einde van een periode?
c.
Hoe wordt bepaald of er een risico in bijv. de post krediteuren administratie zit?
3.
Hoe is de controle geregeld op de juistheid van de cijfers zoals
01-11-06
Pagina 71 van 97
deze aan derden worden gepresenteerd? (hoe wordt er geborgd dat er geen typefouten e.d. voor kunnen komen) 4.
Zijn alle vaste activa posten nog aanwezig in de organisatie? Hoe
Nee
Onderwerp komt niet ter sprake in handboek
Nee
Onderwerp komt niet ter sprake in handboek
Nee
Onderwerp komt niet ter sprake in handboek
Nee
Onderwerp komt niet ter sprake in handboek
Nee
Onderwerp komt niet ter sprake in handboek
Nee
Onderwerp komt niet ter sprake in handboek
Nee
Onderwerp komt niet ter sprake in handboek
Ja
Er is een “Code of Conduct” document aanwezig. Tevens is er een bevoegdheidsgrenzen
wordt dit gecontroleerd? Hoe bepaald de organisatie of er extra afschrijvingen op plaats dienen te vinden? 5.
Indien er sprake is van deelnemingen in andere ondernemingen, hoe wordt de waarde van deze ondernemingen bepaald? Hoe is deze controle ingeregeld?
6.
Is er een controle op de afloop van de te vorderen balansposten? Hoe bepaald de onderneming of een vordering nog inbaar is?
7.
Zijn de schulden van de onderneming juist en volledig verantwoord in de administratie?
8.
Zijn de opgenomen voorzieningen correct beoordeeld? Geven zij een waarheidsgetrouw beeld op de financiële verplichtingen van de onderneming?
9.
Is er een systeemcontrole uitgevoerd (automatiseringscontrole)? Dit via een trail-audit
10. Wordt er in zijn algemeenheid gebruik gemaakt van interne audit trails? 11. Wordt er in het ISO handboek verwezen naar een “Code of conduct” of een “Charter of Behaviour”? Is dit een integraal
document opgesteld. Dit document prevaleert boven de vastgelegde autorisatie in het ISO
onderdeel van het ISO handboek?
handboek.
12. Wordt er een trend analyse gemaakt van de belangrijkste
Nee
Onderwerp komt niet ter sprake in handboek
balansposten (is dit beschreven in het ISO handboek)?
01-11-06
Pagina 72 van 97
Bijlage C Bedrijf B Enquêtevragen afstudeeropdracht UvA studentennummer 9880631 Datum bezoek bedrijf:
24 maart 2006
Interne controle gerelateerde vragen; de vragen zullen worden beantwoord aan de hand van de inhoud van het ISO handboek zoals gehanteerd bij de betreffende onderneming 1. Vragen m.b.t. Revenue cycle (opbrengsten) 1.1. Verkooporder vastlegging 1. Is er een procedure vastgelegd indien er een nieuwe afnemer een
Ja
order plaatst? a.
Vindt er een krediet beoordeling van de afnemer plaats?
b.
Wie autoriseert de acceptatie van een nieuwe klant?
c.
Wordt de krediet beoordeling vastgelegd in een geautomatiseerd
Ja
Op het moment van registratie van de nieuwe klant in het ERP software systeem In eerste instantie de Commercieel Directeur
Ja
systeem? d.
Is er vastgelegd hoe de leveringscondities voor deze afnemer
Ja
worden bepaald? 2.
Is er vastgelegd wat er met een verkooporder van een bestaande
Door middel van het aanmaken van een klantenkaart met de van toepassing zijnde prijscondities en betalingscondities.
Ja
klant dient te gebeuren? a.
Wordt deze order beoordeeld op kredietwaardigheid?
Ja
Deze wordt beoordeeld aan de hand van de betalingservaring van de klant en de nog aanwezige openstaande posten in het ERP systeem
b.
Wordt de beoordeling vastgelegd?
Nee
c.
Is er een mogelijkheid om een negatieve krediet beoordeling te
Nee
Er wordt geen historie van bijgehouden.
omzeilen door afdeling verkoop?
01-11-06
Pagina 73 van 97
d.
Indien ja, zijn hier dan de maatregelen tegen?
3.
Is er een procedure voor de fysieke vastlegging van de
Ja
Aan de hand van offerte / bestelling
Ja
Door middel van de klantenkaart in het ERP systeem + prijzen zoals vermeld op de offerte /
verkooporder in het systeem? a.
Is er een controle op de vastlegging van de juiste verkoopprijzen?
b.
Indien er een manier bestaat om de verkoopprijzen te wijzigen,
bestelling Nee
Staat niet beschreven in ISO handboek
Ja
Handmatig door controle met de verkooporder; tevens bij uitlevering wordt de inhoud
wat is dan de interne controle tegen samenspanning? c.
Is er een controle op de juistheid van ingave van het materiaal, het afleveradres etc?
1.2. Uitleveren goederen aan de klant 1. Is de communicatie / informatie tussen afdeling verkoop en
vergeleken met de offerte dan wel de bestelling
Ja
D.m.v. gebruikmaking van de verkooporder
Ja
Aan de hand van verkooporder, afleverbon controle voordat machine wordt ingeladen in de
magazijn beschreven? 2.
Is beschreven hoe de controle op de uitlevering van soort en hoeveelheid artikel wordt uitgevoerd?
3.
Is beschreven wat de procedure is bij afwijkingen (bijv. artikel
vrachtwagen voor aflevering, controle op artikelcode en aantallen Ja
Logistiek medewerker wordt ingeschakeld
niet meer aanwezig; wel op picklijst)? 4.
Is er een procedure voor het retour nemen van goederen van de
Ja
klant? a.
Is beschreven hoe goederen die retour komen van een klant
Ja
worden geregistreerd?
Er wordt onderscheid gemaakt in retouren als fout van klant of van onderneming zelf. Alleen retouren bij fout van organisatie worden retourgenomen. Dit op moment van aflevering. Kwaliteitscontrole is op hetzelfde moment. Gelijktijdig ingeboekt op voorraad.
b.
Is beschreven hoe retourgoederen worden gecontroleerd op kwaliteit?
01-11-06
Ja
Zie onder a. Andere goederen worden niet retour genomen. Jaarlijks worden de retouren geanalyseerd.
Pagina 74 van 97
1.3. Factureren van de geleverde goederen 1. Is er een procedure voor het factureren van de geleverde
Ja
Aan de hand van afleverbon
Ja
Aan de hand van afleverbon. Op afleverbon staan aantallen, opmerkingen etc. vermeld.
Ja
Condities zijn vastgelegd in het ERP systeem
Ja
Er worden geen goederen retour genomen. Dit alleen bij aflevering. Dus er wordt al niet
goederen? 2.
Is er controle op het volledig uitfactureren van de geleverde goederen?
3.
Is er een controle voor het uitfactureren op de juistheid van de gehanteerde verkoopprijzen?
4.
Wordt er tijdig en correct een credit nota verstuurd voor de retour genomen goederen? Hoe wordt er geborgd dat de omzet
gefactureerd. Dan dient er ook niet te worden gecrediteerd.
(uitgeleverde en retour genomen goederen) volledig is? 5.
Hoe is de controle geregeld op de te hanteren prijzen m.b.t.
Nee
retour genomen goederen? 1.4. Verwerken van de ontvangen bedragen t.b.v. de uitstaande facturen 1. Is de verwerking van de geldontvangsten via de bank
Nee
Staat niet in het ISO handboek beschreven
Ja
Assistent controller controleert de financiële boekingen
Ja
Door assistent controller (functieprofielen)
Nee
Staat niet beschreven in het ISO handboek
Nee
Is niet beschreven
Nee
Is niet beschreven
beschreven? a.
Is er sprake van controle op het ongeoorloofd afboeken van openstaande bedragen t.b.v. een klant?
b.
Is er controle op het juist afboeken van de betaalde bedragen (tegen juiste factuur en niet op bulk)?
c.
Is er regelmatig een confirmatie over openstaande posten tussen debiteur en de organisatie?
2.
Is de verwerking van de geldontvangsten indien deze via de kas lopen beschreven?
3.
Is er periodieke controle op de aansluiting van het grootboek
01-11-06
Pagina 75 van 97
bank ten opzichte van het bankafschrift zelf? 2. Vragen m.b.t. Expenditure cycle (kosten) 2.1. Doen van een aanvraag tot aankoop van goederen 1. Is er een controleprocedure voor het doen tot een aanvraag tot
Ja
aankoop van goederen? a.
Is er controle op het tijdig plaatsen van een aanvraag tot aankoop
Ja
Op het moment van aanname van de bestelling / project
Ja
Via ERP systeem
Wordt geanalyseerd of de inkoophoeveelheden in het
Ja
Eens per 3 maanden, min-max niveaus en evaluatie van courantheid van artikelen.
automatisch systeem nog steeds correct zijn? Is er beschreven
Nee
goederen? b.
Is er een automatisch systeem voor het doen van aankopen van goederen?
c.
hoe hier invulling aan dient te worden gegeven? 2.
Is er functiescheiding tussen aanvraag goederen en goedkeuring
Ja
Vindt plaats door de inkoopmedewerker
Ja
Dmv backorder lijsten 1x per twee weken
Ja
Er is een lijst opgenomen van geselecteerde leveranciers. Hoe een nieuwe leverancier wordt
voor de aanvraag van goederen? 3.
Is er een controle op de volledigheid van aanvragen tot aankoop van goederen?
2.2. Inkooporder vastlegging en plaatsing van de order 1. Is er een procedure voor de selectie van een leverancier?
geselecteerd is niet opgenomen in ISO handboek. a.
Wordt de leverancier periodiek geanalyseerd?
Ja
Zowel de geselecteerde als de overige leveranciers. De geselecteerde uitgebreid, de overigen op belangrijke aspecten. Waarop wordt geanalyseerd staat niet in het ISO handboek.
b.
Is er controle op de kwaliteit en de prijzen van de leverancier?
Ja
c.
Is de mogelijkheid voor het bevoordelen van bepaalde
Ja
Bij aflevering goederen op kwaliteit; prijs aan de hand van factuur leverancier.
leveranciers uitgesloten?
01-11-06
Pagina 76 van 97
d.
Worden de prijzen die zijn afgesproken vastgelegd en door
Ja
Vastlegging inkoopmedewerker; goedkeuring teamleider inkoop (functieprofiel)
iemand anders goedgekeurd? 2.
Worden de vastgelegde inkooporders doorlopend genummerd?
Ja
Via ERP systeem
3.
Is er controle op de volledigheid van vastlegging van de
Ja
Zie backorder lijst
inkooporders t.o.v. de aanvragen tot het doen van inkopen? 2.3. Fysieke goederenontvangst 1. Wordt er gecontroleerd of de goederen die worden ontvangen
Ja
zijn besteld? 2.
Wordt de kwaliteit van de goederen gecontroleerd?
Ja
3.
Is er een procedure wat te doen bij afwijkingen in de geleverde
Ja
goederen ofwel kwaliteit ofwel hoeveelheid? 2.4. Goedkeuren krediteurenfactuur 1. Is er een controle op de vermelde hoeveelheden en prijzen op de
Ja
Aan de hand van pakbon en inkoopopdracht
Ja
Afwijkingen worden geregistreerd door inkoopmedewerker. Niet beschreven is of zij ook een
leveranciersfactuur? 2.
Bij afwijkingen is hiervoor een procedure die dient te worden gevolgd?
3.
Wordt er een controle uitgevoerd op de afloop van de
afloopcontrole uitvoert. Behandelt ook de garant ie en service items. Nee
Is niet beschreven
geconstateerde afwijkingen? 2.5. Betaling goedgekeurde krediteurenfacturen 1. Is er een controle op het niet dubbel betaalbaar stellen van
Ja
facturen? 2.
Is er een controle op de betaaltermijnen van de
Ja
Via ERP systeem
Ja
Inkoopmedewerker keurt goed, assistent controller accordeert de betaling
leveranciersfacturen? 3.
Is er sprake van functiescheiding tussen het goedkeuren van de
01-11-06
Pagina 77 van 97
factuur en het hiervan betaalbaar stellen? 4.
Is er periodiek een analyse van de nog niet goedgekeurde
Nee
Is niet beschreven
leveranciersfacturen? 5.
Is er beschreven welke acties dienen te worden genomen n.a.v.
Nee
de analyse uit punt 4 en worden deze opgevolgd en gemonitored? 2.6. Con trole op de fysieke voorraad 1. Is er een controle procedure beschreven met betrekking tot de
Ja
fysieke voorraad? a.
Is er sprake van functiescheiding bij de voorraadcontrole (teller,
Ja
administratief verwerker, controleur zijn verschillende personen)? b.
Ligt er een procedure vast met de richtlijnen m.b.t. voorraad
Ja
telling? Welk systeem wordt gehanteerd? Hoe vaak wordt er
Cyclisch roulerend tellen. 1x per jaar worden alle artikelen geteld. De telling is per steekproef; wekelijks worden 25 artikelen geteld.
geteld? c.
Is er beschreven wat er met de geconstateerde afwijkingen wordt
Ja
Worden verwerkt in ERP systeem
Staat niet beschreven
gedaan? d.
Worden de afwijkingen geanalyseerd?
Nee
2.
Bij verplaatsing van goederen van locatie A naar locatie B; is dit
Nee
in een procedure beschreven? 3.
Is de fysieke bereikbaarheid van de voorraden afgesloten voor
Ja
Apart pand met daarin de voorraden
onbevoegden?
01-11-06
Pagina 78 van 97
3. Vragen m.b.t. Human Resources (P&O) 3.1. Stamgegevens salarisadministratie 1. Wordt er een standenregister bijgehouden en is dit beschreven?
Ja
Via checklijst introductie nieuw personeel
2.
Nee
Staat niet beschreven
Nee
Staat niet beschreven
Ja
Zie procedure checklijst introductie nieuw personeel
Nee
Staat niet beschreven
3.3. Uitvoeren salarisadministratie / betaalbaar stellen salarissen en afdrachten 1. Is er controle op handmatige invoer in het payroll systeem? Nee
Staat niet beschreven
2.
Nee
Staat niet beschreven
Nee
Staat niet beschreven
Nee
Staat niet beschreven
Ja
Dmv gekoppeld ERP systeem
Is er sprake van functiescheiding tussen HR en Payroll administratie?
3.
Is er geborgd dat de onderneming op de hoogte blijft van de veranderingen in wet - en regelgeving op belastinggebied?
3.2. Registratie werktijden medewerkers 1. Is er een procedure voor het registreren van de werktijden van de medewerkers? 2.
Is hier een controle op ingevoerd? Wat is de procedure bij geconstateerde afwijkingen?
Is er een track record aanwezig op de doorgevoerde wijzigingen in het payroll systeem?
3.
Is er een controle op de uitbetaling van de nettosalarissen? Geen mogelijkheid tot dubbelgangers?
4.
Wordt er gebruik gemaakt van een tussenrekening salarissen?
4. Vragen m.b.t. Grootboekregistratie (rapportage) 4.1. Boekingen voortkomende uit de diverse bovenstaande cycles 1. Is er een controle op volledigheid van de boekingen
01-11-06
Pagina 79 van 97
voortkomende uit de bovenstaande cycles? 2.
Wordt er controle uitgeoefend dat alle “klaar” staande boekingen
Nee
ook daadwerkelijk zijn uitgevoerd? 3.
Zijn er procedures hoe om te gaan met constateringen van fouten
Ja
komen de vanuit het proces van bijv. verkopen om dit in de basis
Door maandelijks evaluatie van de meet en verbeterpunten. In het handboek zijn KPI ’s vermeld die maandelijks worden gerapporteerd.
te corrigeren? Hoe is hier de afloopcontrole op geregeld? 4.
Zijn er procedures voor het maken van back-ups van data en
Ja
programmatuur? 5.
Zijn er wachtwoorden / inlognamen van toepassing voor de
Dagelijks wordt er een systeem back-up gemaakt. Hiervan wordt er een verslag geprint; bij incorrectheid wordt systeembeheerder ingeschakeld.
Nee
Staat niet beschreven
Nee
Onderwerp komt niet ter sprake in handboek
diverse programmatuur? Is er een autorisatietabel aanwezig en is dit geautomatiseerd? 4.2. Bepalen van voorafgaande journaalposten 1. Zijn er regels opgesteld voor het bepalen van voorafgaande journaalposten? 2.
Hoe wordt gecontroleerd of men volledig is?
Nee
Onderwerp komt niet ter sprake in handboek
3.
Wordt er gebruik gemaakt van analyse tools? Is hierbij
Nee
Onderwerp komt niet ter sprake in handboek
Nee
Onderwerp komt niet ter sprake in handboek
Nee
Onderwerp komt niet ter sprake in handboek
functiescheiding aanwezig? 4.
Is er een accounting manual aanwezig? Is dit vastgelegd als onderdeel van het ISO handboek?
4.3. Financiële rapportage 1. Is er een procedure aanwezig hoe men komt tot de uiteindelijke financiële rapportage? 2.
Staat er in het ISO handboek iets genoemd over de
Nee
waarderingsgrondslagen van verschillende balansposten?
01-11-06
Pagina 80 van 97
a.
Is er een beschrijving hoe de post voorraden moet worden
Nee
De courantheid wordt 1x per 3 maanden beoordeeld; niets vermeld over waardering.
Nee
Onderwerp komt niet ter sprake in handboek
Nee
Onderwerp komt niet ter sprake in handboek
Nee
Onderwerp komt niet ter sprake in handboek
Nee
Onderwerp komt niet ter sprake in handboek
Nee
Onderwerp komt niet ter sprake in handboek
Nee
Onderwerp komt niet ter sprake in handboek
Nee
Onderwerp komt niet ter sprake in handboek
Nee
Onderwerp komt niet ter sprake in handboek
Nee
Onderwerp komt niet ter sprake in handboek
Nee
Onderwerp komt niet ter sprake in handboek
gewaardeerd per einde van een periode? b.
Is er een beschrijving hoe de post debiteuren moet worden gewaardeerd per einde van een periode?
c.
Hoe wordt bepaald of er een risico in bijv. de post krediteuren administratie zit?
3.
Hoe is de controle geregeld op de juistheid van de cijfers zoals deze aan derden worden gepresenteerd? (hoe wordt er geborgd dat er geen typefouten e.d. voor kunnen komen)
4.
Zijn alle vaste activa posten nog aanwezig in de organisatie? Hoe wordt dit gecontroleerd? Hoe bepaald de organisatie of er extra afschrijvingen op plaats dienen te vinden?
5.
Indien er sprake is van deelnemingen in andere ondernemingen, hoe wordt de waarde van deze ondernemingen bepaald? Hoe is deze controle ingeregeld?
6.
Is er een controle op de afloop van de te vorderen balansposten? Hoe bepaald de onderneming of een vordering nog inbaar is?
7.
Zijn de schulden van de onderneming juist en volledig verantwoord in de administratie?
8.
Zijn de opgenomen voorzieningen correct beoordeeld? Geven zij een waarheidsgetrouw beeld op de financiële verplichtingen van de onderneming?
9.
Is er een systeemcontrole uitgevoerd (automatiseringscontrole)? Dit via een trail-audit
10. Wordt er in zijn algemeenheid gebruik gemaakt van interne audit
01-11-06
Pagina 81 van 97
trails? 11. Wordt er in het ISO handboek verwezen naar een “Code of
Nee
Onderwerp komt niet ter sprake in handboek
Nee
Is niet beschreven in het handboek
conduct” of een “Charter of Behaviour”? Is dit een integraal onderdeel van het ISO handboek? 12. Wordt er een trend analyse gemaakt van de belangrijkste balansposten (is dit beschreven in het ISO handboek)?
01-11-06
Pagina 82 van 97
Bijlage D Bedrijf C Enquêtevragen afstudeeropdracht UvA studentennummer 9880631 Datum bezoek bedrijf:
1 april 2006
Interne controle gerelateerde vragen; de vragen zullen worden beantwoord aan de hand van de inhoud van het ISO handboek zoals gehanteerd bij de betreffende onderneming 1. Vragen m.b.t. Revenue cycle (opbrengsten) 1.1. Verkooporder vastlegging 1. Is er een procedure vastgelegd indien er een nieuwe afnemer
Ja
een order plaatst? a.
Vindt er een krediet beoordeling van de afnemer plaats?
Ja
Door het Bedrijfsbureau.
b.
Wie autoriseert de acceptatie van een nieuwe klant?
Helpdesk
De helpdesk; na ontvangst gegevens door het bedrijfsbureau m.b.t. route, volgnummer, etc.
c.
Wordt de krediet beoordeling vastgelegd in een
Nee
Staat niet beschreven
Ja
Via checklist relatiebeheer
Nee
Staat niet beschreven
geautomatiseerd systeem? d.
Is er vastgelegd hoe de leveringscondities voor deze afnemer worden bepaald?
2.
Is er vastgelegd wat er met een verkooporder van een bestaande klant dient te gebeuren?
a.
Wordt deze order beoordeeld op kredietwaardigheid?
Nee
Staat niet beschreven
b.
Wordt de beoordeling vastgelegd?
Nee
Is niet bekend, omdat het niet is beschreven
c.
Is er een mogelijkheid om een negatieve krediet beoordeling te
Nee
Is niet bekend; geen inzicht in
Ja
Kan telefonisch, per fax of geautomatiseerd binnenkomen (KOOS); ofwel komt voort uit SIS
omzeilen door afdeling verkoop? d.
Indien ja, zijn hier dan de maatregelen tegen?
3.
Is er een procedure voor de fysieke vastlegging van de
01-11-06
Pagina 83 van 97
verkooporder in het systeem? a.
b.
c.
Is er een controle op de vastlegging van de juiste
Ja
Dmv checklist relatiebeheer FGN. Hier wordt vastgelegd de prijsstaffel, de betalingsafspraak,
verkoopprijzen?
soort facturering, omzetbonus etc.
Indien er een manier bestaat om de verkoopprijzen te wijzigen, Nee
Afspraken worden vastgelegd via automatiseringssysteem; wijzigingen zijn niet mogelijk
wat is dan de interne controle tegen samenspanning?
behalve met aanvullende goedkeuring
Is er een controle op de juistheid van ingave van het materiaal,
Ja
o.a. via een gekoppeld systeem met de belangrijkste afnemers (KOOS)
Ja
Via afdeling order acceptatie
Ja
Order wordt doorgegeven aan de verschillende medewerkers afhankelijk van het soort goed.
het afleveradres etc? 1.2. Uitleveren goederen aan de klant 1. Is de communicatie / informatie tussen afdeling verkoop en magazijn beschreven? 2.
Is beschreven hoe de controle op de uitlevering van soort en hoeveelheid artikel wordt uitgevoerd?
Totale bestelling wordt pas geladen als alles in de hiervoor bestemde ruimte klaar staat. Hier vindt de finale check plaats.
3.
Is beschreven wat de procedure is bij afwijkingen (bijv. artikel
Ja
Er wordt een alternatief aangeboden. De manco zelf wordt geregistreerd via een Mancomelding
Ja
Alleen toegestaan dmv een goedgekeurde “retour aanvraag”.
Ja
Via een “retour aanvraag”. Dit gebeurt in 3-voud. Een exemplaar blijft bij de goederen; de
niet meer aanwezig; wel op picklijst)? 4.
Is er een procedure voor het retour nemen van goederen van de klant?
a.
Is beschreven hoe goederen die retour komen van een klant worden geregistreerd?
b.
Is beschreven hoe retourgoederen worden gecontroleerd op
overigen gaan naar het hoofdkantoor. Tevens vindt registratie plaats in SIS. Ja
Conform aanname goederen bij inkoop.
Ja
Gebeurt wekelijks; de meeste facturen worden per post verzonden. In een aantal gevallen worden
kwaliteit? 1.3. Factureren van de geleverde goederen 1. Is er een procedure voor het factureren van de geleverde goederen?
01-11-06
de facturen meegegeven aan de klant.
Pagina 84 van 97
2.
Is er controle op het volledig uitfactureren van de geleverde
Ja
Via SAP
Ja
Zie checklist relatiebeheer
Ja
Binnen 2 x 4 uur worden de goederen gecrediteerd. Borging vindt plaats door verwerking in SAP
goederen? 3.
Is er een controle voor het uitfactureren op de juistheid van de gehanteerde verkoopprijzen?
4.
Wordt er tijdig en correct een credit nota verstuurd voor de retour genomen goederen? Hoe wordt er geborgd dat de omzet
als negatieve verkooporder. Tevens opvolgend nummer op “retour aanvraag”.
(uitgeleverde en retour genomen goederen) volledig is? 5.
Hoe is de controle geregeld op de te hanteren prijzen m.b.t.
Ja
retour genomen goederen? 1.4. Verwerken van de ontvangen bedragen t.b.v. de uitstaande facturen 1. Is de verwerking van de geldontvangsten via de bank
De afdeling externe logistiek controleert de aantallen en de prijzen van de retour genomen goederen
Nee
Onderwerp komt niet ter sprake in handboek
Nee
Onderwerp komt niet ter sprake in handboek
Nee
Onderwerp komt niet ter sprake in handboek
Nee
Onderwerp komt niet ter sprake in handboek
beschreven? a.
Is er sprake van controle op het ongeoorloofd afboeken van openstaande bedragen t.b.v. een klant?
b.
Is er controle op het juist afboeken van de betaalde bedragen (tegen juiste factuur en niet op bulk)?
c.
Is er regelmatig een confirmatie over openstaande posten tussen debiteur en de organisatie?
2.
Is de verwerking van de geldontvangsten indien deze via de kas N/A
Alle verkooptransacties gaan op rekening
lopen beschreven? 3.
Is er periodieke controle op de aansluiting van het grootboek
Nee
Onderwerp komt niet ter sprake in handboek
bank ten opzichte van het bankafschrift zelf?
01-11-06
Pagina 85 van 97
2. Vragen m.b.t. Expenditure cycle (kosten) 2.1. Doen van een aanvraag tot aankoop van goederen 1. Is er een controleprocedure voor het doen tot een aanvraag tot
Ja
aankoop van goederen? a.
Is er controle op het tijdig plaatsen van een aanvraag tot
Ja
Dmv bestellijsten, automatisch bestelsysteem
aankoop goederen? b.
Is er een automatisch systeem voor het doen van aankopen van
Ja
goederen? c.
Wordt geanalyseerd of de inkoophoeveelheden in het
Ja
Dagelijks controle op optimalisatie van de voorraad. Op basis van historie, prognose en kennis
automatisch systeem nog steeds correct zijn? Is er beschreven
Ja
op basis van werkervaring.
Ja
Functiescheiding tussen afdelingschef / voorman en verantwoordelijke medewerker
Ja
Via ICT worden ontvangsten van bestellingen gebundeld en gecontroleerd of de goederen op
hoe hier invulling aan dient te worden gegeven? 2.
Is er functiescheiding tussen aanvraag goederen en goedkeuring voor de aanvraag van goederen?
3.
Is er een controle op de volledigheid van aanvragen tot aankoop van goederen?
voorraad zijn. Zo niet, dan volgt een invoer voor nabestellingen; autorisatie vestigingsmanager.
2.2. Inkooporder vastlegging en plaatsing van de order 1. Is er een procedure voor de selectie van een leverancier?
Ja
a.
Ja
Wordt de leverancier periodiek geanalyseerd?
Jaarlijks evaluatiegesprek ; Dit is beslissingsmoment voor het wel of niet voortzetten van de relatie
b.
Is er controle op de kwaliteit en de prijzen van de leverancier?
Ja
Kwaliteit bij ontvangst van de goederen; Prijzen worden gecontroleerd op het moment van ontvangst van de factuur
c.
Is de mogelijkheid voor het bevoordelen van bepaalde
Ja
Er mag alleen worden gewerkt met geselecteerde leveranciers
Ja
Directeur inkoop spreekt de prijzen af; Bedrijfsbureau legt deze vast.
leveranciers uitgesloten? d.
Worden de prijzen die zijn afgesproken vastgelegd en door
01-11-06
Pagina 86 van 97
iemand anders goedgekeurd? 2.
Worden de vas tgelegde inkooporders doorlopend genummerd?
Ja
Via inkoop verwerkingssysteem (geen SAP); orderacceptatie systeem = gelinkt aan leveranciers; dus ook aan voorraadbeheersingssysteem
3.
Is er controle op de volledigheid van vastlegging van de
Ja
Via koppeling met het verkoopsysteem en het inkoopsysteem
inkooporders t.o.v . de aanvragen tot het doen van inkopen? 2.3. Fysieke goederenontvangst 1. Wordt er gecontroleerd of de goederen die worden ontvangen
Ja
zijn besteld? 2.
Wordt de kwaliteit van de goederen gecontroleerd?
Ja
Op versheid, temperatuur, hoeveelheid
3.
Is er een procedure wat te doen bij afwijkingen in de geleverde
Ja
Indien er producten niet worden geleverd dan schriftelijke melding naar leverancier en
goederen ofwel kwaliteit ofwel hoeveelheid?
vastlegging als klacht in klachtenregister (SIS). Kwaliteit – goederen worden fysiek op een andere plaats in het magazijn geplaatst. Wordt ofwel retour gegeven aan leverancier of wel wordt vernietigd. Adhv “retour aanvraag” worden goederen die retour worden gestuurd aan de leverancier gevolgd.
2.4. Goedkeuren krediteurenfactuur 1. Is er een controle op de vermelde hoeveelheden en prijzen op
Ja
de leveranciersfactuur? 2.
Bij afwijkingen is hiervoor een procedure die dient te worden
Ja
Ja, de factuur wordt bij in boeking geblokkeerd (handmatig).
Ja
Nadat correctie nota is binnengekomen; wordt de originele factuur gedeblokkeerd en
gevolgd? 3.
Wordt er een controle uitgevoerd op de afloop van de geconstateerde afwijkingen?
2.5. Betaling goedgekeurde krediteurenfacturen 1. Is er een controle op het niet dubbel betaalbaar stellen van
vrijgegeven voor betaling
Ja
Via SAP
facturen?
01-11-06
Pagina 87 van 97
2.
Is er een controle op de betaaltermijnen van de
Ja
Via SAP
leveranciersfacturen? 3.
Is er sprake van functiescheiding tussen het goedkeuren van de
Ja
factuur en het hiervan betaalbaar stellen? 4.
Is er periodiek een analyse van de nog niet goedgekeurde
Ja
Wordt tevens meegenomen in het evaluatiegesprek met de leverancier
leveranciersfacturen? 5.
Is er beschreven welke acties dienen te worden genomen n.a.v.
Nee
de analyse uit punt 4 en worden deze opgevolgd en gemonitored? 2.6. Controle op de fysieke voorraad 1. Is er een controle procedure beschreven met betrekking tot de
Ja
fysieke voorraad? a.
Is er sprake van functiescheiding bij de voorraadcontrole
Ja
(teller, administratief verwerker, controleur zijn verschillende
Scheiding tussen manager / voorman en KAM coördinator en verantwoordelijke medewerker voor ontvangst goederen; tevens scheiding tussen controleur en teller
personen)? b.
Ligt er een procedure vast met de richtlijnen m.b.t. voorraad
Ja
telling? Welk systeem wordt gehanteerd? Hoe vaak wordt er
Steekproefsgewijs wordt geteld; 1x per kwartaal moet alles worden geteld. Controleur is verantwoordelijk voor het feit dat alles wordt geteld; controleur checkt.
geteld? c.
Is er beschreven wat er met de geconstateerde afwijkingen
Ja
Afwijkingen worden nogmaals geteld. De controleur telt ook nog separaat van de teller. Voor de tellingen van de afwijkingen à richtlijnen hoe en hoeveel artikelen alsnog moeten worden
wordt gedaan?
geteld. d.
Worden de afwijkingen geanalyseerd?
Ja
2.
Bij verplaatsing van goederen van locatie A naar locatie B; is
Nee
Wordt een nieuwe steekproef gehouden
dit in een procedure beschreven? 3.
Is de fysieke bereikbaarheid van de voorraden afgesloten voor
01-11-06
Ja
Is ingeregeld door het programma Captor (tijdsregistratie)
Pagina 88 van 97
onbevoegden? 3. Vragen m.b.t. Human Resources (P&O) 3.1. Stamgegevens salarisadministratie 1. Wordt er een standenregister bijgehouden en is dit beschreven? Ja
Meteen na aanname nieuwe medewerker worden de gegevens in AFAS klaargezet. Na controle op compleetheid gegevens à naar AFAS verloning
2.
Is er sprake van functiescheiding tussen HR en Payroll
Ja
Zijn diverse medewerkers; pakket is gekoppeld HR en Payroll
Ja
Dmv het inkopen van het AFAS pakket. Wordt onderhouden door de software leverancier.
administratie? 3.
Is er geborgd dat de onderneming op de hoogte blijft van de veranderingen in wet - en regelgeving op belastinggebied?
3.2. Registratie werktijden medewerkers 1. Is er een procedure voor het registreren van de werktijden van
Overige zaken vanuit CAO en vanuit Manager P&O
Ja
Via het pakket Captor; deze heeft een link met het AFAS systeem
Ja
De leidinggevende tekent de werktijden registratie af.
3.3. Uitvoeren salarisadministratie / betaalbaar stellen salarissen en afdrachten 1. Is er controle op handmatige invoer in het payroll systeem?
Ja
Toegangsrechten zijn beveiligd.
2.
Ja
Ja, dmv AFAS; tevens worden er wijzigingsformulieren gebruikt voor aanpassingen; met aparte
de medewerkers? 2.
Is hier een controle op ingevoerd? Wat is de procedure bij geconstateerde afwijkingen?
Is er een track record aanwezig op de doorgevoerde wijzigingen in het payroll systeem?
3.
Is er een controle op de uitbetaling van de nettosalaris sen?
autorisatie. Nee
Onderwerp komt niet ter sprake in handboek
Nee
Onderwerp komt niet ter sprake in handboek
Geen mogelijkheid tot dubbelgangers? 4.
Wordt er gebruik gemaakt van een tussenrekening salarissen?
01-11-06
Pagina 89 van 97
4. Vragen m.b.t. Grootboekregistratie (rapportage) 4.1. Boekingen voortkomende uit de diverse bovenstaande cycles 1. Is er een controle op volledigheid van de boekingen
Nee
Onderwerp komt niet ter sprake in handboek
Nee
Onderwerp komt niet ter sprake in handboek
Nee
Onderwerp komt niet ter sprake in handboek
Nee
Onderwerp komt niet ter sprake in handboek
Nee
Onderwerp komt niet ter sprake in handboek
Nee
Onderwerp komt niet ter sprake in handboek
voortkomende uit de bovenstaande cycles? 2.
Wordt er controle uitgeoefend dat alle “klaar” staande boekingen ook daadwerkelijk zijn uitgevoerd?
3.
Zijn er procedures hoe om te gaan met constateringen van fouten komende vanuit het proces van bijv. verkopen om dit in de basis te corrigeren? Hoe is hier de afloopcontrole op geregeld?
4.
Zijn er procedures voor het maken van back-ups van data en programmatuur?
5.
Zijn er wachtwoorden / inlognamen van toepassing voor de diverse programmatuur? Is er een autorisatietabel aanwezig en is dit geautomatiseerd?
4.2. Bepalen van voorafgaande journaalposten 1. Zijn er regels opgesteld voor het bepalen van voorafgaande journaalposten? 2.
Hoe wordt gecontroleerd of men volledig is?
Nee
Onderwerp komt niet ter sprake in handboek
3.
Wordt er gebruik gemaakt van analyse tools? Is hierbij
Nee
Onderwerp komt niet ter sprake in handboek
Nee
Onderwerp komt niet ter sprake in handboek
functiescheiding aanwezig? 4.
Is er een accounting manual aanwezig? Is dit vastgelegd als onderdeel van het ISO handboek?
01-11-06
Pagina 90 van 97
4.3. Financiële rapportage 1. Is er een procedure aanwezig hoe men komt tot de uiteindelijke Nee
Onderwerp komt niet ter sprake in handboek
financiële rapportage? 2.
Staat er in het ISO handboek iets genoemd over de
Nee
Onderwerp komt niet ter sprake in handboek
Nee
Onderwerp komt niet ter sprake in handboek
Nee
Onderwerp komt niet ter sprake in handboek
Nee
Onderwerp komt niet ter sprake in handboek
Nee
Onderwerp komt niet ter sprake in handboek
Nee
Onderwerp komt niet ter sprake in handboek
Nee
Onderwerp komt niet ter sprake in handboek
Nee
Onderwerp komt niet ter sprake in handboek
Nee
Ond erwerp komt niet ter sprake in handboek
waarderingsgrondslagen van verschillende balansposten? a.
Is er een beschrijving hoe de post voorraden moet worden gewaardeerd per einde van een periode?
b.
Is er een beschrijving hoe de post debiteuren moet worden gewaardeerd per einde van een periode?
c.
Hoe wordt bepaald of er een risico in bijv. de post krediteuren administratie zit?
3.
Hoe is de controle geregeld op de juistheid van de cijfers zoals deze aan derden worden gepresenteerd? (hoe wordt er geborgd dat er geen typefouten e.d. voor kunnen komen)
4.
Zijn alle vaste activa posten nog aanwezig in de organisatie? Hoe wordt dit gecontroleerd? Hoe bepaald de organisatie of er extra afschrijvingen op plaats dienen te vinden?
5.
Indien er sprake is van deelnemingen in andere ondernemingen, hoe wordt de waarde van deze ondernemingen bepaald? Hoe is deze controle ingeregeld?
6.
Is er een controle op de afloop van de te vorderen balansposten? Hoe bepaald de onderneming of een vordering nog inbaar is?
7.
Zijn de schulden van de onderneming juist en volledig verantwoord in de administratie?
01-11-06
Pagina 91 van 97
8.
Zijn de opgenomen voorzieningen correct beoordeeld? Geven
Nee
Onderwerp komt niet ter sprake in handboek
Nee
Onderwerp komt niet ter sprake in handboek
Nee
Onderwerp komt niet ter sprake in handboek
Ja
Is onderdeel van het ISO handboek bijv. omgangsvormen intern en extern etc.
Nee
Onderwerp komt niet ter sprake in handboek
zij een waarheidsgetrouw beeld op de financiële verplichtingen van de onderneming? 9.
Is er een systeemcontrole uitgevoerd (automatiseringscontrole)? Dit via een trail-audit
10. Wordt er in zijn algemeenheid gebruik gemaakt van interne audit trails? 11. Wordt er in het ISO handboek verwezen naar een “Code of conduct” of een “Charter of Behaviour”? Is dit een integraal onderdeel van het ISO handboek? 12. Wordt er een trend analyse gemaakt van de belangrijkste balansposten (is dit beschreven in het ISO handboek)?
01-11-06
Pagina 92 van 97
Bijlage E Certificeringbedrijven volgens Stichting Raad voor Accreditatie
U heeft gezocht op: [Soort instelling] = C - Certificerende instelling, [Land Instelling] = Nederland
Aantal gevonden instellingen: 133
Nr
Naam
Adres
Postcode
Plaats
Telefoon
Scopes NL
EN
C001 C002
KEMA Quality B.V. KIWA Certificatie & Keuringen
Postbus 5185 Postbus 70
6802 ED 2280 AB
Arnhem Rijswijk
026-3562000 070-4144400
Tijdelijk verlengd tot 07 -10-2006 Tijdelijk verlengd tot 01 -07-2006
C003 C004
Stichting Kwaliteit Gevelbouw Certificatie Instelling Stichting BMC
Postbus 362 Postbus 150
6700 AJ 2800 AD
Wageningen Gouda
0317 -421720 0182 -532300
Tijdelijk verlengd tot 01 -06-2006
C008 C009
St. VPGI-Certificaat GASTEC Certification B.V.
Postbus 9051 Postbus 137
1180 MB 7300 AC
Amstelveen Apeldoorn
020-6400748 055-5393232
C010 C013 C015 C018
Lloyd's Register Nederland B.V. KEMA Quality B.V. INTRON Certificatie B.V. IKOB-BKB B.V.
Postbus 701 Postbus 5185 Postbus 267 Postbus 298
3000 AS 6802 ED 4100 AG 3990 GB
Rotterdam Arnhem Culemborg Houten
010-4145088 026-3562000 0345 -585170 030-6358060
Tijdelijk verlengd tot 01 -09-2006
C019 C024 C025
Stichting Keuringsbureau Hout Det Norske Veritas Certification B.V. KIWA Certificatie & Keuringen
Postbus 159 Postbus 9599 Postbus 70
6700 AD 3007 AN 2280 AB
Wageningen Rotterdam Rijswijk
0317 -453425 010-2922700 070-4144400
Tijdelijk verlengd tot 01 -05-2006
C028 C029
GASTEC Certification B.V. TÜV Nederland QA B.V.
Postbus 137 Postbus 120
7300 AC 5680 AC
Apeldoorn Best
055-5393232 0499 -339500
C042 C043
Keurmerkinstituut B.V. St. voor de Certificatie van
Postbus 45 Postbus 190
2700 AA 2700 AD
Zoetermeer Zoetermeer
079-3637000 079-3531384
C058 C060
TNO Certification B.V. Stichting Keuringsbureau Hout
Postbus 541 Postbus 159
7300 AM 6700 AD
Apeldoorn Wageningen
055-5493468 0317 -453425
Tijdelijk verlengd tot 01 -05-2006
C062 C063
FoodCert B.V. IKOB-BKB B.V.
Postbus 8006 Postbus 298
6710 AA 3990 GB
Ede Houten
0318 -658750 030-6358060
Tijdelijk verlengd tot 01 -01-2006
C065 C066
Stichting Controlebureau voor RPS Certificatie B.V.
Postbus 211 Postbus 5094
3770 AE 2600 GB
Barneveld Delft
0342 -425542 015-7501630
Tijdelijk verlengd tot 01 -07-2006
01-11-06
Pagina 93 van 97
Tijdelijk verlengd tot 01 -03-2006
Tijdelijk verlengd tot 01 -07-2006
C067 C078 C079
Liftinstituut b.v. TNO Certification B.V. Stichting Kwaliteit Gevelbouw
Postbus 36027 Postbus 541 Postbus 362
1020 MA 7300 AM 6700 AJ
Amsterdam Apeldoorn Wageningen
020-4350606 055-5493468 0317 -421720
C081 C083 C088 CCvD
NMi Certin B.V. Certificatie Instelling Stichting BMC CCvD-Stichting Milieukeur
Postbus 394 Postbus 150 Postbus 17186
3300 AJ 2800 AD 2502 CD
Dordrecht Gouda Den haag
078-6332332 0182 -532300 070-3586300
C107 C117
Ned. Instituut voor Lastechniek, NIL SKW Certificatie BV
Krimkade 20 Postbus 50231
2251 KA 1305 AE
Voorschoten Almere-haven
071-5601070 036-5402204
C122 C124
BSI Management Systems B.V. Det Norske Veritas Certification B.V.
Postbus 74103 Postbus 9599
1070 BC 3007 AN
Amsterdam Rotterdam
020-3460780 010-2922700
C129 CCvD
CCvD-Veiligheids Checklijst Aannemers
Postbus 443
2260 AK
Leidschendam
070-3378755
C130
Centraal Bureau Fondsenwerving
1059 CM
Amsterdam
020-4170003
C131
Certificatiebureau CGD BV
Anthony Fokkerweg 1 gebouw 'Westhaghe' Postbus 1085
3330 CB
Zwijndrecht
078-6106610
C136 C144
Certiked BV KEMA Quality B.V.
Postbus 85510 Postbus 5185
2508 CE 6802 ED
Den-haag Arnhem
070-3926414 026-3562000
C149 C150
ViaNorm B.V. MKB-Certificatie
Postbus 1476 Barbarastraat 26
3430 BL 6164 HK
Nieuwegein Geleen
030-6087980 046-4759931
C163 C165 C171 C174
Centraal Bureau Drogisterijbedrijven BVQI B.V. ECAS B.V. INTRON Certificatie B.V.
Postbus 1262 Postbus 2705 Postbus 17 Postbus 267
3600 BG 3000 CS 2370 AA 4100 AG
Maarssen Rotterdam Roelofarendsveen Culemborg
0346 -584220 010 2822665 071-3315781 0345 -585170
C179 C184
Stichting Skal CCvD Stichting Coördinatie Certificatie
Postbus 384 Postbus 18505
8000 AJ 2502 EM
Zwolle Den haag
038-4268181 070-3623981
CCvD C195
COKZ St. Centraal Orgaan voor
Postbus 250
3830 AG
Leusden
033-4965696
C202 CCvD C203
CCvD Autoschade
Postbus 299
2170 AG
Sassenheim
0252 -265222
PricewaterhouseCoopers Certification BV
Postbus 85096
3508 AB
Utrecht
030-2191330
C204 C205
MPS CCvD-Asbest
Postbus 533 Biltseweg 33
2675 ZT 3763 LD
Honselersdijk Soest
0174-615700 06-53402100
CCvD C208
Ned. Keuringsinst. v. Pleziervaartuigen
Postbus 65
8500 AB
Joure
0513 -484348
C212 C213
CCvD-Harmonisatie Kwaliteitsbeoordeling CCvD-Stichting Veilig en Milieukundig
Postbus 8146 Postbus 159
3503 RC 4190 CD
Utrecht Geldermalsen
030-2398022 035-5427444
01-11-06
Pagina 94 van 97
Tijdelijk verlengd tot 01 -05-2006 Tijdelijk verlengd tot 01 -06-2006
Tijdelijk verlengd tot 30 -06-2006
Tijdelijk verlengd tot 21 -09-2006
Tijdelijk verlengd tot 01 -04-2006
Tijdelijk verlengd tot 06 -04-2005
CCvD C217 C222
European Certification Bureau Ned. B.V. CCvD-HACCP
Julianaweg 224 A Postbus 693
1131 NW 4200 AR
Volendam Gorinchem
0299 -323123 0183 -645028
CCvD C224 C234 C241
Telefication B.V. Eerland Certification BV FoodCert B.V.
Edisonstraat 12a Postbus 275 Postbus 8006
6902 PK 4190 CG 6710 AA
Zevenaar Geldermalsen Ede
0316 -583180 0345 -585034 0318 -658750
C248 C250
BVQI B.V. Aboma + Keboma Certificering B.V.
Postbus 2705 Postbus 141
3000 CS 6710 BC
Rotterdam Ede
010 2822665 0318 -691920
C253 C254
TÜV Nederland QA B.V. MKB-Certificatie
Postbus 120 Barbarastraat 26
5680 AC 6164 HK
Best Geleen
0499 -339500 046-4759931
C261 C262
SPEN Certificatie B.V. ECAS B.V.
Postbus 502 Postbus 17
6800 AM 2370 AA
Arnhem Roelofarendsveen
026-3895660 071-3315781
C264 C271
COKZ St. Centraal Orgaan voor BSI Management Systems B.V.
Postbus 250 Postbus 74103
3830 AG 1070 BC
Leusden Amsterdam
033-4965696 020-3460780
C274 C277 C278
Eerland Certification BV KIWA Certificatie & Keuringen Lloyd's Register Nederland B.V.
Postbus 275 Postbus 70 Postbus 701
4190 CG 2280 AB 3000 AS
Geldermalsen Rijswijk Rotterdam
0345 -585034 070-4144400 010-4145088
C282 CCvD
CCvD Waarborg Koude Techniek
Postbus 190
2700 AD
Zoetermeer
079-3531259
C283 C302
SKW Certificatie BV Liftinstituut b.v.
Postbus 50231 Postbus 36027
1305 AE 1020 MA
Almere-haven Amsterdam
036-5402204 020-4350606
C303 C304
RWTÜV Qualification Services CCvD-Verticaal Transport
Postbus 120 Postbus 22
5680 AC 6720 AA
Best Bennekom
0499 -339500 0317 -414145
CCvD C307
CCvD-SCA (Schema Cert. Arbodiensten)
Postbus 12
3740 AA
Baarn
035-5427522
CCvD C312
Det Norske Veritas Certification B.V.
Postbus 9599
3007 AN
Rotterdam
010-2922700
C318 C319
SKV Stichting Kwaliteitsgarantie CCvD-St.Cert.Inspectie en Onderhoud aan
Postbus 4045 De Ronde 4
3502 HA 5683 CZ
Utrecht Best
030-2807060 O499-396983
CCvD C320 C322
SGS Nederland B.V. Keurmerkinstituut B.V.
Postbus 200 Postbus 45
3200 AE 2700 AA
Spijkenisse Zoetermeer
0181 -693333 079-3637000
C334 CCvD
CCvD-Continu Verbeteren in het MKB
Valeriussingel 23
3335 CA
Zwijndrecht
078-6299266
C339
NedCert
Postbus 281
1440 AG
Purmerend
0299 -414254
01-11-06
Pagina 95 van 97
Tijdelijk verlengd tot 21 -09-2006
Tijdelijk verlengd tot 24 -03-2006 Tijdelijk verlengd tot 01 -07-2006 Tijdelijk verlengd tot 01 -09-2006
Tijdelijk verlengd tot 01 -05-2006
C344 CCvD C346
CCvD-Electrotechniek,
p/a Schokkerlaan 18
1503 JP
Zaandam
075-6354236
Stichting Keuringsbureau Hout
Postbus 159
6700 AD
Wageningen
0317 -453425
Tijdelijk verlengd tot 01 -05-2006
C349 C352 C355 CCvD
CCvD-Asbest CCvD Stichting Infrastructuur CCvD CKB
Postbus 22 BÜchnerweg 1 Postbus 474
6720 AA 2803 GR 3800 AL
Bennekom Gouda Gouda
0317 -414145 0182 -540675 0182 -567388
Tijdelijk verlengd tot 30 -04-2005 Tijdelijk verlengd tot 26 -04-2006
C361 C362
St. Certificering CCvD-IR
Postbus 393 Postbus 12
2900 AJ 3740 AA
Capelle a/d ijssel Baarn
010-2843400 035-5427531
CCvD C363
INTRON Certificatie B.V.
Postbus 267
4100 AG
Culemborg
0345 -585170
C366 C367
MKB-Certificatie CCvD Arbo -
Barbarastraat 26 p/a Postbus 18505
6164 HK 2502 EM
Geleen Den haag
046-4759931 070-3623981
CCvD C378
SPEN Certificatie B.V.
Postbus 502
6800 AM
Arnhem
026-3895660
C380 C386 C388
Ned. Keuringsinst. v. Pleziervaartuigen KIWA Certificatie & Keuringen CCvD-IB
Postbus 70 Postbus 262
2280 AB 2260 AG
Rijswijk Leidschendam
070-4144400 070-4190309
CCvD C389
St. VPGI-Certificaat
Postbus 9051
1180 MB
Amstelveen
020-6400748
C390 C391
KEMA Quality B.V. TÜV Nederland QA B.V.
Postbus 5185 Postbus 120
6802 ED 5680 AC
Arnhem Best
026-3562000 0499 -339500
C393 C394
BSI Management Systems B.V. ViaNorm B.V.
Postbus 74103 Postbus 1476
1070 BC 3430 BL
Amsterdam Nieuwegein
020-3460780 030-6087980
C395 C396
Certificatie Instelling Stichting BMC CCvD-Installatiesector
Postbus 150 Postbus 1819
2800 AD 3000 BV
Gouda Rotterdam
0182 -532300 010-2065965
CCvD C399
Examenbureau Nederland B.V.
Postbus 14
4926 ZG
Lage zwaluwe
010-4412018
C406 C410
MPS IKOB-BKB B.V.
Postbus 533 Postbus 298
2675 ZT 3990 GB
Honselersdijk Houten
0174 -615700 030-6358060
C412 C422 C424
Control Union Certifications B.V. RPS Certificatie B.V. GASTEC Certification B.V.
Postbus 161 Postbus 5094 Postbus 137
8000 AD 2600 GB 7300 AC
Zwolle Delft Apeldoorn
038-4260100 015-7501630 055-5393232
C425 C426
Det Norske Veritas Certification B.V. BVQI B.V.
Postbus 9599 Postbus 2705
3007 AN 3000 CS
Rotterdam Rotterdam
010-2922700 010 2822665
C428
AJA Registrars B.V.
Postbus 9189
3301 AD
Dordrecht
0180 -469956
01-11-06
Pagina 96 van 97
Tijdelijk verlengd tot 30 -04-2006
Geschorst! Tijdelijk verlengd tot 01 -07-2006
Tijdelijk verlengd tot 01 -05-2006
Tijdelijk verlengd tot 21 -09-2006
C431 CCvD C435
CCvD-Kwaliteitszorg Demontage
Postbus 12043
1100 AA
Amsterdam z-o
020-3010927
Nederlands Certificatie Instituut
Postbus 390
3233 ZH
Oostvoorne
0181 481949
C437 C439 C441 C442
FoodCert B.V. NCP Certificatie B.V. Lloyd's Register Nederland B.V. INTRON Certificatie B.V.
Postbus 8006 Postbus 182 Postbus 701 Postbus 267
6710 AA 3720 AB 3000 AS 4100 AG
Ede Bilthoven Rotterdam Culemborg
0318 -658750 030-2296000 010-4145088 0345 -585170
C446 C461
Verificatie Instituut Certificatiebureau CGD BV
Postbus 4021 Postbus 1085
3502 HA 3330 CB
Utrecht Zwijndrecht
030 2855030 078-6106610
C466 C471
Ernst & Young Certify Point B.V. Liftinstituut b.v.
Postbus 3053 Postbus 36027
3502 GB 1020 MA
Utrecht Amsterdam
030-2592601 020-4350606
C488 C495
Scope System Certification of Org. Stichting SAFEX Certificatie Instelling
Doezastraat 35-37 Glasblazerstraat 20 A
2311 HA 2984 BL
Leiden Ridderkerk
071-5235063 0180 -461040
C496 C498
Qualitatis Certification B.V. PROduCERT B.V.
Postbus 54 Postbus 8
7770 AB 3730 AA
Hardenberg De bilt
0523 -677083 030-6081057
C500 C501 C506
Qualitatis Certification B.V. Nederlands Certificatie Kantoor B.V. Certiforce C.I. B.V.
Postbus 54 Zeestraat 80 Postbus 20
7770 AB 1942 AS 5240 AA
Hardenberg Beverwijk Rosmalen
0523 -677083 0251 -222273 073-5230755
C508 CCvD
CCvD IKB Varkens
Postbus 460
2700 AL
Zoetermeer
079-3687100
C515 CCvD
CCvD - CV
Postbus 93012
2509 AA
Den haag
070-3490660
01-11-06
Pagina 97 van 97
Tijdelijk verlengd tot 01 -09-2006
