FAQ GRC-‐model 1. FEDERGO a. Waarom is FEDERGO een VZW ? Enkel een VZW was de geschikte wettelijke keuze. Een certificatie-‐organisme moet onafhankelijk en objectief zijn. Een certificatie-‐proces kan niet gepaard gaan met winstoogmerk. b. Zijn FEDERGO en de auditors van het GRC-‐model onafhankelijk ? Het GRC-‐model behoort de VZW-‐ FEDERGO toe. Zij is de exclusieve eigenaar van het model. Het certificatie-‐proces is grotendeels gebaseerd op een audit die bij de klant wordt uitgevoerd. FEDERGO besteedt de audit uit aan totaal onafhankelijke GRC-‐auditors die m.b.t. het GRC-‐model werden opgeleid. FEDERGO heeft alle controlemiddelen voorzien om de stipte naleving volgens woord en geest van de vooropgestelde procedure te garanderen. c. Hoe is de VZW gestructureerd ? De VZW bestaat uit drie delen : • Een beheerraad die verantwoordelijk is voor het bestuur van de VZW. De leden zijn afkomstig uit de akademische wereld, de 3 economische regio’s en de zakenwereld. • Een volledig onafhankelijk certificatie-‐comité dat minstens 1 x per maand vergadert. Het bestaat uit economische en financiële experten die het audit-‐verslag aan een grondige analyse onderwerpen. • Een academie die instaat voor de opleiding in het GRC-‐model. Deze opleiding is verplicht voor de auditors en de consultanten die een actieve rol spelen tijens het certificatie-‐proces dat de kandidaat-‐firma doorloopt. d. Hoe functioneert het certificatie-‐comité ? Het comité komt één maal per maand samen. Het verslag van de GRC-‐audit alsook de commentaren van de kandidaat-‐firma worden geanalyseerd. De meerderheid beslist om al dan niet het GRC-‐label toe te kennen. Het formuleert ook de bijsturingen die de kandidaat moet uitvoeren om het GRC-‐certificaat tenslotte te bekomen.
1
e. Hoe moet ik tewerk gaan om lid te worden van de VZW ? Firma’s die hun kandidatuur stellen voor het GRC-‐certificaat kunnen geen lid worden van de VZW. Wanneer een firma een GRC-‐certificaat beoogt of het certificatie-‐proces doorloopt kan van een financiële band met de VZW geen sprake zijn. Zijn daarentegen lid alle organisaties die, al dan niet nauw betrokken, deelnemen aan het bestuur, de verpreiding, de promotie van het GRC-‐model. f. Aan welke eisen beantwoordt het certifierend organisme ? Is er een handvest ? Het certificierend organisme volgt de richtlijnen van de Europese norm EN ISO/IEC 17021. Het handvest van de VZW vindt u op de website www.federgo.be g. Beschikt de VZW over een deontologische code ? De deontologische verplichtingen vindt u terug in het handvest van de VZW. h. Handelen de VZW en haar mandatoren in het kader van een privacybeleid ? Dits is een conditio sine qua non. Privacy is de ruggegraat in een certificatieproces. De VZW respecteert 100% haar privacy-‐engagement. 2. Auditoren van FEDERGO a. Wie zijn de GRC-‐auditoren van FEDERGO ? Alle GRC-‐auditoren zijn erkende en markgeïnformeerde bedrijfsrevisoren. b. Waarom doet FEDERGO beroep op bedrijfsrevisoren ? In deze phase van het proces willen we de kandidaat-‐firma’s die een certificatie beogen een hoog competentie-‐niveau garanderen alsook een waterdichte neutraliteit. Daarenboven zijn de GRC-‐auditoren opgeleid in het gebruik van het GRC-‐model. c. Hebben de GRC-‐auditoren een onafhankelijk statuut jegens de VZW FEDERGO ? Volldige. De GRC-‐auditoren voeren hun onderzoek uit en stellen nadien, in totale onafhankelijkheid, hun verslag op, zonder inmenging van de VZW. d. Zijn de GRC-‐auditoren onafhankelijk jegens de doorgelichte onderneming ? De auditoren moeten volledig onafhankelijk zijn jegens de doorgelichte onderneming. Voor de opdracht mogen er geen contacten bestaan tussen de kandidaat-‐firma en de auditor. De auditor mag evenmin vriendschappelijke of professionele relaties hebben opgebouwd met de bedrijfsleiders.
2
e. Respecteren de GRC-‐auditoren een deontologische code ? Ja, vooral wat de commissaris betreft die verantwoordelijk is voor het certificatie-‐mandaat bij de kandidaat-‐firma. In het kader van de certificatie zal de commissaris natuurlijk worden ingelicht aangaande de opstarting van het proces maar hij zal in geen geval deelnemen aan het certificatieproces. De neutraliteits-‐ en onafhankelijksheidseis die duidelijk verwoord is door de europese richtlijn EN ISO 17021 m.b.t. de evaluatienormen van conformiteit en de evaluatie van management-‐systemen verbiedt elke vorm van relatie tussen klant en leverancier in het kader van een certificatie-‐proces. f. Hoe gaat FEDERGO te werk om haar GRC-‐auditoren te kiezen en te evalueren ? De GRC-‐auditoren die één voor één geëxperimenteerde revisoren zijn worden op verscheidene tijdstippen en in diverse contexten geëvalueerd. • Tijdens de opleiding m.b.t. het GRC-‐model. • Via de analyse van het doorlichtingsverslag door het certificatie-‐comité. • Via begeleiding tijdens hun klantenbezoeken. g. Welke opleiding hebben de GRC-‐auditoren gevolgd ? De auditoren volgen een opleiding die hen toelaat om het GRC-‐model toe te passen, dit volledig in lijn met de richtlijnen van de VZW, eigenaar van het model. Deze opleiding omvat : • de vraagstellings-‐methodologie. • de analyse, het begrip en de beheersing van alle criteria. • de eis van de concrete meetbaarheid van de beantwoording aan de GRC-‐criteria. h. Is de GRC-‐auditor thuis in het marktsegment van de doorgelichte onderneming? Ja, de auditor die instaat voor het certificatie-‐proces beschikt over de onontbeerlijke kennis om de opdracht te volbrengen. i. Kan men, tijdens een doorlichting, een andere GRC-‐auditor vragen ? Indien zo, hoe ? Indien het een grondig gemotiveerd verzoek betreft wordt dit onderzocht. We garanderen echter niet dat hierop wordt ingegaan. Het lijkt ons logisch dat u ons uw verzoek richt bij het begin van de opdracht en niet op het einde. De GRC-‐ auditoren die verantwoordelijk zijn voor de doorlichting van een onderneming moeten volledig onpartijdig en onafhankelijk zijn. Ze hebben geen voorafgaand contact met de betrokken onderneming en hebben geen band met de bestuursleden.
3
j.
Is het mogelijk, vermits hij mijn firma goed kent, dat ik met mijn huidige auditor-‐revisor werk ? Wanneer de overeenkomst voor de toekenning van het GRC-‐certificaat tussen de VZW en de kandidaat-‐firma ondertekend is, wordt deze laatste een voorbereidende gids overhandigd die de GRC-‐doorlichting voorbereidt en het onderzoeksdomein definieert. De kandidaat-‐firma kan, indien hij dit wenst, de GRC-‐audit voorbereiden met de persoon die hij wenst, hetzij een gecertifieerde consultant, hetzij een ander door hem gekozen persoon.
k. Hoe wordt men auditor voor de VZW FEDERGO ? U bezorgt de VZW FEDERGO een geschreven kandidatuurstelling. Een aantal criteria dienen hoe dan ook te worden vervuld. U moet o.a. sinds minimum 10 jaar bedrijfsrevisor zijn. 3. De externe consultanten van FEDERGO a. Hoe wordt men externe consultant bij FEDERGO ? U bezorgt uw geschreven kandidatuurstelling aan de VZW FEDERGO. Op de website vindt u het formulier alsook de voorwaarden waaran u moet voldoen om te solliciteren. b. Welk type consultant zoekt u ? • Consultants die een ruime ervaring hebben m.b.t. het algemeen beleid van een firma. De kandidaten moeten vertrouwd zijn met de moeilijkheden waarmee de beleids-‐ en controle-‐organen van een onderneming geconfronteerd worden. Zij begeleiden de directie van de kandidaat-‐firma tijdens het GRC-‐certificatie-‐proces. • Consultants gespecialiseerd in diverse domeinen : verkoopsbeleid, informatica-‐beheer, human ressources, juridisch luik, kwaliteitsbeheer, ... Zij steunen en helpen de consultant die de kandidaat-‐firma begeleidt of helpen rechtstreeks de algemene directie van de kandidaat-‐firma. 4. De kandidaat-‐firma a. Houdt het GRC-‐model rekening met de grootte van de onderneming en haar activiteitsector ? Jazeker. De criteria die het GRC-‐model hanteert houden van meet af aan rekening met de grootte van de firma. Ook wanneer het certificatie-‐comité het doorlichtingsverslag analyseert wordt er rekening gehouden met de grootte en de activiteit van de firma. b. Kan men subsidies bekomen voor de certificatie van de firma ? Nog niet. Maar we zijn ervan overtuigd dat dit mogelijk is. In de nabije toekomst zullen we dit onderzoeken en de informatie dienaangaande publiceren.
4
c. Beïnvloedt de financiële gezondheid van de firma de certificatie ? Tijdens de risico-‐analyse wordt ook het discontinuiteitsrisisoca van naderbij bekeken. Dit kan de certificatie in het gedrang brengen. De GRC-‐doorlichting controleert echter niet of de firma in staat is om toegevoegde waarde te creëeren. d. We zijn een familiale onderneming. Houdt dit model rekening met de specificiteiten van een dergelijke situatie ? Een deel van de certificatie richt zich specifiek tot de familiale ondernemingen. e. We wensen het bedrijf te verkopen. Is het nuttig om nog het certificaat te bekomen ? Geen twijfel hieromtrent. De aspecten die het GRC-‐certificaat in beeld brengt, worden, na de strategische fundering van de eventuele aankoop, als eerste belangrijke informatie door de kandidaat-‐koper geanalyseerd. f.
Ons bedrijf is opgesplitst in meerder filialen. Hoe verloopt de certificatie in deze kontekst ? De persoon die verantwoordelijk is voor de doorlichting beslist, in het kader van zijn aanpak, hoe hij het analyse-‐terrein afbakent. g. Wie kan, binnen het bedrijf, in haar naam, eveneens een bindende relatie aangaan? Dit is afhankelijk van de firma. Deze beslissing dient te worden genomen op het niveau van de raad van bestuur. h. Wie heeft, binnen het bedrijf, er belang bij om het bedrijf te laten certifieren ? Eenieder. Elke partij binnen de firma heeft er belang bij om dit certificaat te behalen. De afgelegde weg is trouwens even belangrijk als de eindbestemming. i. Wie, binnen het bedrijf, moet men betrekken, wil men de slaagkansen vergroten, bij de stappen die men moet ondernemen om het certificaat te behalen,? Het is absoluut noodzakelijk om de raad van bestuur en de leden van het directie-‐comité erbij te betrekken. Ook de persoon die verantwoordelijk is voor de human ressources en de verantwoordelijke voor de interne controle zijn belangrijk. j. Privacy-‐beleid Het handvest van de VZW FEDERGO dat u vindt op de website garandeert totale privacy.
5
5. Het GRC-‐model a. Waar staat GRC voor ? De G staat voor Governance, de R voor Risico en Risicobeheer. De C staat voor interne Controle. b. Hoe en door wie werd dit model ontworpen ? Diverse personen, overtuigd dat de codes voor deugelijk bestuur onvoldoende tastbaar zijn, hebben dit model geïnspireerd en ontworpen. De ruime ondernemerservaring van de ontwerpers is de sokkel van de GRC-‐ certificatie. c. Erkennen de openbare instellingen het model ? Ja. Meerdere openbare instellingen steunen het project. Het is echter nog te vroeg om een officiële erkenning aan te vragen. Na het eerste jaar zal de VZW FEDERGO beslissen of ze hiervoor de stappen zet. De GRC-‐certificatie respecteert alvast in de ruime zin van het woord de richtlijnen van de Europese norm EN ISO 17021 aangaande de normen die men moet hanteren bij de evaluatie van de beleidsstructuren en bij conformiteitsevaluatie. d. Welke criteria hanteert het model m.b.t. deugdelijk bestuur ? Het GRC-‐model integreert in de ruime zin van het woord de criteria voor deugdelijk bestuur die de Buysse-‐Code vermeldt maar heeft hierbij talrijke andere essentiële criteria gevoegd. Deze omvatten: de beleidsvisie en de wijze waarop deze gedeeld en gecommuniceerd wordt, de mechanismen die betrekking hebben op de aandeelhouders, de werking van de raad van bestuur en de wijze waarop het bedrijf inspeelt op de behoeften van de betrokken partijen. e. Welke criteria hanteert het GRC-‐model op het vlak van het risico-‐beheer ? Het GRC-‐model checkt de mogelijke risico’s in de volgende domeinen : de methoden waarmee de risico’s worden geïdentifieerd, de risico’s die gepaard gaan met het niet respecteren van de waarden, de risico’s die verbonden zijn met de kwaliteit en de ervaring van de bestuurders, de afvaardigingen en de machtsbeperkingen, de financiering van het bedrijf en het discontinuiteitsrisico, het beheer van de human ressources, de controle-‐mechanismen, het informatica-‐luik en de onontbeerlijke beschermingen dienaangaande, ... f. Welke criteria hanteert het GRC-‐model voor de interne controle ? De interne controle screent de processen die de belangrijkste bedrijfscycli ondersteunen : de verkoop, de aankoop, de voorraad, de fianciering, de investeringen, de aanwerving, de cash-‐flow, de productie, ... g. Welke ponderatiesleutels werden in de vragenlijsten gehanteerd ? Er wordt rekening gehouden met de grootte, de activiteitssector en de maturiteit van het bedrijf. 6
h. Wat moet men begrijpen onder “Minors” en “Majors” ? In functie van het bedrijfsprofiel, onderscheidt het GRC-‐model “minors” and “ majors”. Wanneer, m.b.t. het niet conform zijn met de GRC-‐parameters, een “major” wordt aangestipt dan heeft dit het niet toekennen van het certificaat tot gevolg. De “minors” worden daarentegen opgenomen in de aanbevelingen die de VZW formuleert. i. Zijn er uitsluitingscriteria ? Ja, het niet naleven van de wettelijke richtlijnen. j. Welke voordelen biedt het GRC-‐model wanneer men dit vergelijkt met de reeds bestaande modellen ? Het GRC-‐model kan men niet vergelijken met andere certificatie-‐modellen. Het biedt volledig andere voordelen. Het GRC-‐model heeft als doel het bedrijf te steunen in haar basisroeping, nl. vertrouwen creëren en uitdragen naar haar economische hoofdrolspelers : haar klanten, haar investeerders, haar banken, haar personeelsleden en in bepaalde gevallen, een potentiële koper. k. Is er een verschil tussen een due diligence en de GRC-‐certificatie ? Beiden hebben het bedrijf als onderzoeksterein maar de objectieven zijn totaal uiteenlopend. De due diligence steunt op het Romeins “ caveat emptor”. Dit betekent dat wie de firma koopt voorzichtigheid aan de dag moet leggen en niet dat de verkoper de waarheid moet verkondigen. Voor de due diligence wordt elke onderdeel van de balans nauwgezet gecheckt. Elke balans-‐bijsturing impacteert de verkoopsprijs van de firma. De due diligence beperkt zich vaak tot een cijferanalyse van het bedrijf. De due intelligence beinvloedt de strategische keuze van de koper niet. Het GRC-‐certificaat gaat merkelijk dieper in op essentiële aspecten van het bedrijf die echter niet onmiddelijk cijfervatbaar zijn. We spreken dan over de beleidsorganen, de belissingsmechanismen, de geldigheid en de toegankeljkheid van de data, de transparantie, de kwaliteit van de communicatie, het risico-‐ beleid, de wijze waarop de behoeften en verwachtingen van de verschillende betrokken partijen worden gehoord en vervuld. l. Is er geen overlapping tussen het GRC-‐model en het verslag van de commissaris ? De commissaris is er vooral om te certifiëren dat de jaarrekeningen die afgesloten werden op een bepaalde datum wel degelijk een trouw, oprecht en compleet beeld geven van het bedrijf. Het GRC-‐certificaat screent geenszins de jaarrekeningen.
7
m. Waarom mag de commissaris die door het bedrijf gemandateerd is de GRC-‐ screening niet uitvoeren ? In het kader van de certificatie zal de commissaris die door het bedrijf gemandeerd werd natuurlijk geïnformeerd worden m.b.t. de opgestartte screening. Hij mag echter in geen geval deelnemen aan het certificatieproces. De neutraliteits-‐ en onafhanklijkheidseis, geformuleerd in de europese richtlijn EN ISO 17021 aangaande de normen die men moet hanteren bij de evaluatie van de beleidsstructuren en bij conformiteitsevaluatie, verbiedt expliciet elke relatie tussen klant en leverancier in het kader van een certificatieproces. n. Mijn bedrijf is reeds ISO 9000 gecertifieerd. Waar is de GRC-‐certificatie dan nog goed voor ? Elke certificatie heeft zijn nut maar we spreken hier over twee totaal verschillende perspectieven. De ISO-‐certificatie screent het onderste deel van de onderneming, nl. de processen, de wijze waarop ze functioneren en hoe ze gedocumenteerd zijn. De ISO 9000 certificatie biedt de klant de zekerheid dat de onderneming zonder probleem haar verwachtingen kan beantwoorden. De GRC-‐certificatie screent de hogere lagen van de onderneming, nl. het correct functioneren van de beleids-‐ en controleorganen. o. Welke stappen doorloopt het GRC-‐certificatieproces ? Vooreerst de certificatieaanvraag, de voorbereiding van de screening, de audit, het doorlichtingsverslag van de VZW, indien nodig de bijsturing van de “majors”, een gedeeltelijke her-‐screening, de toekenning van het certificaat. p. Waar vind ik een gedetailleerde uitleg van het GRC-‐model ? Op de website www.federgo.be vindt u een gedetailleerde grafiek van het GRC-‐ model. 6. Pré-‐audit – Post-‐audit a. Wat is een pré-‐audit ? De pré-‐audit slaat op de voorbereidingsperiode van de audit. Een gids is hiervoor beschikbaar. b. Wie mag het bedrijf helpen tijdens de post-‐audit fase ? U vindt een lijst van GRC-‐opgeleidde consultants op de website www.federgo.be. 7. Audit a. In hoeveel etapes kan men de audit opsplitsen ? De audit doorloopt twee fases : de begin-‐audit en de afsluitings-‐audit. b. Wat dekt het begrip “ begin-‐audit” ? De begin-‐audit is de integere toetsing van het GRC-‐model aan de kandidaat-‐ firma. Een GRC-‐auditor is verantwoordelijk voor dit essentiële deel van de 8
screening. Het doorlichtingsverslag wordt vervolgens aan de VZW bezorgd zodat het certificatie-‐comité dit kan analyseren. c. Wat houdt de “aflsuitings-‐audit” in ? De afsluitings-‐audit controleert of het bedrijf de aanbevelingen die voort vloeiden uit de begin-‐audit wel degelijk en correct heeft geïmplementeerd. d. Wat is de startvergadering ? Tijdens deze vergadering wordt zo minitieus en compleet mogelijk de methodologie en de inhoud van de screening uitgelegd. Ook de maatregelen die moeten worden getroffen om deze sereen te volbrengen worden besproken. Deze vergadering wordt bijgewoond door de beheerders die het wensen, door het directie-‐comité, de verantwoordelijken van de human ressources, de fianciële verantwoordelijke, de verantwoordelijke voor de interne controle en de persoon die de auditors zal begeleiden. e. Hoe bereidt men een audit voor ? Gelieve de aanbevelingen te volgend die vermeld worden in de voorbereidende handleiding die u vindt op de website www.federgo.be van de VZW. f. Is er een contactpersoon ? Een contactpersoon in het bedrijf lijkt ons onontbeerlijk. Hij/zij optimaliseert de dialoog tussen de auditors en de bedrijfsverantwoordelijken. In het beste geval is hij/zij een vertrouwenspersoon wiens aanwezigheid op eventuele interviews gewenst is en die instaat voor het vlotte verloop van de screening. g. Over welke documenten moet men beschikken om de audit te starten ? De lijst van de documenten waarover de auditor moet beschikken voor de start van de audit vindt u in de handleiding op de website www.federgo.be van de VZW. h. Hoe lang duurt een audit ? Verschillende parameters kunnen de duur van een audit beïnvloeden. De grootte van de firma, de complexiteit van haar activiteit, de wijze waarop de firma beheert wordt. De screening duurt doorgaans tussen drie à acht dagen; 8. Het doorlichtingsverslag a. Wat is een doorlichtingsverslag ? Het doorlichtingsverslag is het document dat de GRC-‐auditor aan de VZW bezorgt. Dit is het werkdocument van het certificatie-‐comité en de basis voor de eindevaluatie.
9
b. Wat is de inhoud van het doorlichtingsverslag ? De GRC-‐auditor dient na te gaan in welke mate het bedrijf voldoet aan alle parameters van het GRC-‐model. Elk criterium wordt onderzocht volgens het “comply or explain”-‐principe. De firma kan, m.a.w., voor bepaalde aspecten die niet conform zijn, de reden uitleggen. De GRC-‐auditor noteert de motivatie en communiceert ook deze, via het doorlichtingsverslag, aan het certificatie-‐ comité. c. Aanbevelingen en bijsturingen . Het certificatie-‐comité bezorgt haar geargumenteerde beslissing aan de VZW die op haar beurt een verslag maakt voor de firma die de certificatie beoogt.Dit omvat een gedetailleerde uiteenzetting van de doorlichtingsvaststellingen alsook een lijst “majors” (penaliserende tekortkomingen) en “minors” (aanbevelingen). De major-‐aanbevelingen beletten de toekenning van het certificaat, de minor-‐aanbevelingen zijn informatief. De kandidaat-‐firma en de VZW bepalen vervolgens samen de tijdspanne waarna de VZW een afsluitings-‐ audit kan organiseren om de onontbeerlijke bijsturingen en de implentering van de aanbevelingen vast te stellen. 9. Het GRC-‐certificaat. a. Wat is de geldigheidsduur van het certificaat ? Het certificaat is drie jaar geldig. b. Wat gebeurt er indien FEDERGO de criteria wijzigt die zij in het GRC-‐model hanteert ? Op het einde van de certificatie-‐periode kan de firma een nieuwe audit aanvragen om het toegekende certificaat te behouden. Het model dat de VZW dan gebruikt wordt toegepast. c. Wat te doen indien het bedrijf belangrijke wijzigingen kent ? Indien, binnen de gecertifieerde firma, wijzigingen dermate de parameters treffen die destijds werden gebruikt om de certificatie toe te kennen, moet de desbetreffende firma de VZW hieromtrent informeren. Het certificaat vermeldt uitdrukkelijk deze controle-‐clausule. 10. Woordenlijst a. Deugdelijk bestuur b. Buysse-‐code c. Stakeholders d. Betrokken partijen e. Certifiërend organisme f. Kandidaat-‐firma g. Privacy-‐beleid 10
h. i. j. k. l. m. n. o.
Begin-‐audit Aflsluitings-‐audit Startvergadering Fase 1 van de audit Fase 2 van de audit Major criteria Minor criteria FTE : full time equivalent
11. Nuttige documenten a. Voorbereidende handleiding b. Handvest van de VZW c. Facturatie-‐ en betalingsvoorwaarden.
11
