Inhoud Voorwoord 3 Leeswijzer 4 Inhoud 5 Hoofdstuk 1 Historiek en de Belgische context 17 1 Historiek 19 2 De Belgische context 21 2.1 Corporate Governance Code 2020 21 2.2 De Corporate governance-principes 23 2.3 Code Buysse III 27 2.3.1 Deugdelijk ondernemen 29 2.3.2 Maatschappelijk verantwoord ondernemen (MVO) 29 2.3.3 De raad van advies 30 2.3.4 Een actieve raad van bestuur 31 2.3.5 Een performant (senior) management 31 2.3.6 Betrokken aandeelhouders 31 2.3.7 Controle en risicobeheersing 33 2.3.8 Specifieke aanbevelingen voor familiale ondernemingen – Familiale governance 34 2.3.9 Bekendmaking van de corporate governance-regels 34 5
Hoofdstuk 2 Wat is interne organisatiebeheersing? 37 1 De formele bouwstenen van een organisatie 39 2 Belang van interne organisatiebeheersing 43 2.1 Informatie en organisatie 43 2.2 Interne organisatiebeheersing: definitie 47 2.3 Frameworks voor interne beheersing 51 2.3.1 Het COSO-framework 51 2.3.1.1 Historiek 51 2.3.1.2 De COSO-kubus 52 2.3.2 Andere modellen/frameworks 57 2.3.2.1 ERM (COSOII) 57 2.3.2.2 CAS 58 2.3.2.3 Cadbury 59 2.3.2.4 COBIT 59 3 Interne beheersing en soorten van organisaties 61 3.1 Typologieën 61 Hoofdstuk 3 Risicomanagement 67 1 Inleiding 69 2 Wat is een risico? 73 3 Het risicomanagementproces 75 3.1 De identificatie en inventarisatie van de risico’s 76 3.1.1 Risicobeoordelingstechnieken 76 3.1.2 Stakeholderanalyse 77 3.1.3 SWOT-analyse 78 3.1.4 PESTLE-analyse 80 3.1.5 MUOPO-methode 82 3.1.6 Methodes voor risico-identificatie 82 6
3.1.6.1 De raadpleging van documenten in verband met de onderneming 83 3.1.6.2 Scenario-analyse 83 3.1.6.3 Flowcharts 84 3.1.6.4 Informatie door experten 84 3.1.6.5 Het plaatsbezoek 85 3.1.6.6 Technische methodes 85 3.2 De evaluatie van risico’s 85 3.3 Hoe kunnen we risico’s behandelen? 92 3.3.1 De risicorespons 92 3.3.2 Wat zijn beheersingsmaatregelen? 93 3.3.3 Soorten beheersingsmaatregelen 95 3.3.3.1 Controletechnische functiescheiding 95 3.3.3.2 Correcte autorisaties en delegaties 99 3.3.3.3 Het gebruik van geschikte documenten/formulieren 102 3.3.3.4 Reconciliatie/afstemming 103 3.3.3.5 De beveiliging van activa en informatie: de toegang beperken 103 3.3.3.6 Nazicht van rapportering – managementreview 106 3.3.3.7 Budgettering als controlemaatregel 106 3.4 Het risicobeheersingsplan 107 4 Risicomanagement als bedrijfsproces 109 4.1 Raamwerk voor het risicomanagement 109 4.1.1 Het ontwerp van het ERM 111 4.1.2 De implementatie van het ERM 112 4.1.3 De evaluatie van het ERM 112 4.1.4 De verbetering van het ERM 112 4.2 Principes van risicomanagement 113 4.3 Voordelen van risicomanagement 115 4.4 Hindernissen bij het risicomanagement 116 4.5 Risicomanagementfuncties binnen een onderneming 117 4.5.1 Grote versus kleinere ondernemingen 117 7
4.5.2 Wie speelt welke rol? 119 4.5.2.1 De algemeen directeur 119 4.5.2.2 Afdelingshoofden/kader en middenkader 119 4.5.2.3 De risicomanager (risk manager) 120 4.5.2.4 De risico-eigenaar (risk owner) 121 Hoofdstuk 4 IT-risicobeheersing en IT-controls 123 1 De IT-omgeving 125 2 Risico’s en opportuniteiten van een geautomatiseerde omgeving 126 2.1 Risico’s van een geautomatiseerd informatiesysteem 126 2.2 Opportuniteiten verbonden aan een geautomatiseerd informatiesysteem 127 3 IT-beheersingsmaatregelen of IT-controls 128 3.1 General IT Controls 128 3.1.1 Organisatie van de IT-functie 129 3.1.2 Toegangsbeveiliging 129 3.1.3 Systeemmanagement 131 3.2 Application Controls 133 3.3 User Controls 134 4 CAAT’s 134 4.1 Wat zijn CAAT’s? 134 4.2 Voorbeelden 135 Hoofdstuk 5 Interne audit 139 1 Wat is een interne audit? 141 1.1 De operationele audit 141 1.2 De compliance audit 142 2 Het wettelijk en reglementair kader van de interne audit 143 2.1 Het IIA 143 2.2 Het auditcharter en het auditplan 144 2.3 Voorwaarden waaraan een interne auditafdeling moet voldoen 144 2.4 Het auditcomité 145 8
3 Het praktische verloop van een interne audit(opdracht) 147 3.1 De bepaling van de doelstelling en de reikwijdte van de audit 147 3.2 De verificatiefase 149 3.3 De afsluiting van de audit 149 Hoofdstuk 6 Het verband met de externe audit 151 Hoofdstuk 7 Interne organisatiebeheersing per bedrijfscyclus 157 1 De aankoopcyclus 159 1.1 Algemeen 159 1.2 Omschrijving van de aankoopcyclus 160 1.2.1 De initiatie van de bestelopdracht 160 1.2.2 De uitvoering van de bestelopdracht 162 1.2.2.1 Welke leveranciers komen in aanmerking om de goederen en diensten te leveren? 162 1.2.2.2 De verzending van offerteaanvragen 163 1.2.2.3 Het onderzoek van de leverancierscondities 163 1.2.2.4 De leverancierskeuze 164 1.2.2.5 De opmaak van een bestelorder 164 1.2.3 De ontvangst van de goederen en diensten 166 1.2.4 De controle van de aankoopfactuur 169 1.2.5 De crediteurenadministratie 172 1.2.6 De betaalbaarstelling van de aankoopfacturen 173 1.3 Stroomschema aankoopcyclus 173 1.4 Risicoanalyse en maatregelen 175 1.4.1 Algemene analyse en functiescheidingen 175 1.4.2 Checklist 177 1.4.2.1 De plaatsing van bestellingen 178 1.4.2.2 De crediteurenadministratie 180 1.4.2.3 Uitvoering van betalingen 186 1.4.2.4 Beheren van leveranciersdata 188 1.5 Case 191 9
2 De voorraadcyclus 194 2.1 Algemeen 194 2.2 Omschrijving van het voorraadproces 196 2.2.1 De aflevering van goederen 196 2.2.2 De ontvangstname van goederen 196 2.2.3 De bewaring van mutaties 197 2.2.4 De voorraadadministratie 197 2.3 Inventarisatie 198 2.4 Risicoanalyse en maatregelen 200 2.4.1 Algemene analyse en functiescheidingen 200 2.4.2 Checklist 203 2.4.2.1 Voorraadbeheer 203 2.4.2.2 Ontvangst en stockage van grondstoffen/ handelsgoederen 206 2.4.2.3 Aanvraag van materialen voor de productie 210 2.4.2.4 Productie en kostprijs van de voorraad 210 2.4.2.5 Opvolging afgewerkte producten 211 2.4.2.6 Verzending van afgewerkte producten/handelsgoederen 213 2.4.2.7 Beheer van het voorraaddatabestand (Inventory master file) 216 2.5 Case 218 3 De verkoopcyclus 222 3.1 Algemeen 222 3.2 Omschrijving van het verkoopproces 223 3.2.1 De opstelling van de offertes 223 3.2.2 De orderverwerking 225 3.2.3 De bepaling van kredietlimieten 226 3.2.4 Levering en facturatie 227 3.2.5 De opmaak van creditnota’s 229 3.2.6 De debiteurenadministratie 229 3.2.7 Verkopen in vreemde valuta 231 3.2.8 Aanmaningen 232 3.3 Stroomschema verkoopcyclus 235 10
3.4 Risicoanalyse en -maatregelen 236 3.4.1 Algemene analyse en functiescheidingen 236 3.4.2 Checklist 239 3.4.2.1 Orderverwerking 239 3.4.2.2 Facturatie, retours en eventuele aanpassingen 242 3.4.2.3 Betalingen 248 3.4.2.4 Beheer van het klantendatabestand (masterfile) 250 3.5 Case 253 4 De personeelscyclus 257 4.1 Algemeen 257 4.2 Taken van de afdeling personeelszaken 257 4.2.1 Personeelsplanning en personeelsinformatiesysteem 257 4.2.2 Werving en selectie 258 4.2.3 Loopbaanbeleid 259 4.2.4 De loonadministratie 259 4.2.5 De vaststelling van de geleverde prestaties 260 4.3 Risicobeoordeling en -maatregelen 262 4.3.1 Algemene risico’s en functiescheidingen 262 4.3.2 Checklist 264 4.3.2.1 Werven en aanstellen van nieuwe personeelsleden 264 4.3.2.2 Ontslag of vertrek van personeelsleden 265 4.3.2.3 De vaststelling van de geleverde prestaties 267 4.3.2.4 De loon- en salarisberekening 268 4.3.2.5 Uitbetaling van lonen en salarissen 269 4.3.2.6 Het beheer van de personeelsmasterfile 270 4.4 Case 273 5 De geld- en financieringscyclus 276 5.1 Algemeen 276 5.2 De organisatie van de ontvangsten en uitgaven 277 5.2.1 De ontvangsten 277 5.2.2 De uitgaven 278 5.2.3 De mutaties in de liquide middelen 278 11
5.3 Het beheer van de liquiditeiten 279 5.4 De preventie van betalingsfraude en betalingsoplichting door cybercriminaliteit 280 5.5 Risicoanalyse en maatregelen 282 5.5.1 Algemene risico’s en functiescheidingen 282 5.5.2 Checklist 285 5.5.2.1 Ontlenen 285 5.5.2.2 Het beheer van liquiditeiten en beleggingen 291 5.5.2.3 Het beheer van derivaten 295 5.6 Case 300 6 De productiecyclus 302 6.1 Algemeen 302 6.2 Soorten van productiebedrijven 304 6.3 De fasen van het productieproces 304 6.3.1 Planning op lange termijn 304 6.3.2 Het productontwerp 305 6.3.3 De voorcalculatie 305 6.3.4 De planning op korte termijn 305 6.3.5 De eigenlijke productie 306 6.3.6 Voortgangscontrole en kwaliteitscontrole 306 6.3.7 Nacalculatie 307 6.3.8 De productieverantwoording 308 6.4 Checklist 308 6.5 Case 308 7 De investeringscyclus 309 7.1 Algemeen 309 7.2 Beschrijving van de investeringscyclus 310 7.2.1 De aanschaffing van activa 310 7.2.2 Het beheer van de activa 311 7.2.3 De verkoop of de buitengebruikstelling van activa 312 7.3 Risicoanalyse en doelstellingen 312 7.3.1 Algemene risico’s en functiescheidingen 312 12
7.3.2 Checklist 314 7.3.2.1 De verwerving van vaste activa 314 7.3.2.2 De afschrijving van vaste activa 317 7.3.2.3 De realisatie van vaste activa 319 7.3.2.4 Het beheer van vaste activa 321 7.3.2.5 Het beheer van het vaste activaregister en/of de vaste activamasterfile 323 7.4 Case 326 Hoofdstuk 8 Fraude 329 1 Wat is Fraude? 331 1.1 Waarom plegen mensen fraude? 332 1.2 Soorten fraude 332 2 Hoe kan fraude worden ontdekt? 334 2.1 Wie ontdekt fraude? 335 2.2 Knipperlichten voor fraude 335 3 Forensische audit 336 4 Antiwitwas en voorkomen van financiering terrorisme en beperking gebruik van contanten 337 Hoofdstuk 9 Capita Selecta 341 1 Continuïteit en discontinuïteit 343 2 Deontologie ITAA 346 2.1 Onafhankelijkheid 347 2.2 Organisatie van de beroepsactiviteiten 348 2.3 Bekwaamheid 348 2.4 Aansprakelijkheid 349 2.5 Erelonen 350 2.6 Onverenigbaarheden en belangenconflicten 350 2.7 Geheimhouding 350 2.8 Relatie met het Instituut 351 13
2.9 Bijdragen 351 2.10 Beroep uitoefenen via een rechtspersoon 351 14