Inhoud Voorwoord 5 Leeswijzer 6 Inhoud 7 Hoofdstuk 1 Historiek en de Belgische context 19 1 Historiek 21 2 De Belgische context 23 2.1 Corporate Governance Code 2020 23 2.2 De Corporate governance-principes 25 2.3 Code Buysse III 29 2.3.1 Deugdelijk ondernemen 31 2.3.2 Maatschappelijk verantwoord ondernemen (MVO) 31 2.3.3 De raad van advies 32 2.3.4 Een actieve raad van bestuur 33 2.3.5 Een performant (senior) management 33 2.3.6 Betrokken aandeelhouders 33 2.3.7 Controle en risicobeheer 35 2.3.8 Specifieke aanbevelingen voor familiale ondernemingen – Familiale governance 36 2.3.9 Bekendmaking van de corporate governance-regels 36 7
Hoofdstuk 2 Wat is interne organisatiebeheersing? 39 1 De formele bouwstenen van een organisatie 41 2 Het belang van interne organisatiebeheersing 45 2.1 Informatie en organisatie 45 2.2 Interne organisatiebeheersing: definitie 49 2.3 Frameworks voor interne beheersing 53 2.3.1 Het COSO-framework 53 2.3.1.1 Historiek 53 2.3.1.2 De COSO-kubus 54 2.3.2 Andere modellen/frameworks 59 2.3.2.1 ERM (COSOII) 59 2.3.2.2 CAS 60 2.3.2.3 Cadbury 61 2.3.2.4 COBIT 61 3 Interne beheersing en soorten van organisaties 63 3.1 Typologieën 63 3.1.1 Handelsbedrijven 64 3.1.2 Industriële bedrijven 65 3.1.3 Agrarische en extractieve bedrijven 66 3.1.4 Dienstverlenende bedrijven 66 3.1.5 Financiële instellingen 68 3.1.6 De publieke sector: overheid/lokale besturen en non-profit 68 3.2 De waardenkringloop 69 Hoofdstuk 3 Risicomanagement 73 1 Inleiding 75 2 Wat is een risico? 78 3 Het risicomanagementproces 81 3.1 De identificatie en inventarisatie van de risico’s 82 8
3.1.2 Stakeholderanalyse 83 3.1.3 SWOT-analyse 84 3.1.4 PESTLE-analyse 85 3.1.5 MUOPO-methode 87 3.1.6 Methodes voor risico-identificatie 87 3.1.6.1 De raadpleging van documenten in verband met de onderneming 88 3.1.6.2 Scenario-analyse 89 3.1.6.3 Flowcharts 89 3.1.6.4 Informatie door experten 89 3.1.6.5 Het plaatsbezoek 90 3.1.6.6 Technische methodes 90 3.2 De evaluatie van risico’s 90 3.3 Hoe kunnen we risico’s behandelen? 97 3.3.1 De risicorespons 97 3.3.2 Wat zijn beheersingsmaatregelen? 98 3.3.3 Soorten beheersingsmaatregelen 100 3.3.3.1 Controletechnische functiescheiding 100 3.3.3.2 Correcte autorisaties en delegaties 105 3.3.3.3 Het gebruik van geschikte documenten/formulieren 107 3.3.3.4 Reconciliatie/afstemming 108 3.3.3.5 De beveiliging van activa en informatie: de toegang beperken 109 3.3.3.6 Nazicht van rapportering – managementreview 112 3.3.3.7 Budgettering als controlemaatregel 112 3.4 Het risicobeheersplan 113 4 Risicomanagement als bedrijfsproces 116 4.1 Raamwerk voor het risicomanagement 116 4.1.1 Het ontwerp van het ERM 118 4.1.2 De implementatie van het ERM 118 4.1.3 De evaluatie van het ERM 119 4.1.4 De verbetering van het ERM 119 4.2 Principes van risicomanagement 119 9
4.3 Voordelen van risicomanagement 121 4.4 Hindernissen bij het risicomanagement 122 4.5 Risicomanagementfuncties binnen een onderneming 123 4.5.1 Grote versus kleinere ondernemingen 123 4.5.2 Wie speelt welke rol? 126 4.5.2.1 De algemeen directeur 126 4.5.2.2 Afdelingshoofden/kader en middenkader 126 4.5.2.3 De risicomanager (risk manager) 126 4.5.2.4 De risico-eigenaar (risk owner) 128 Hoofdstuk 4 IT-risicobeheersing en IT-controles 131 1 De IT-omgeving 133 2 Risico’s en opportuniteiten van een geautomatiseerde omgeving 134 2.1 Risico’s van een geautomatiseerd informatiesysteem 134 2.2 Opportuniteiten verbonden aan een geautomatiseerd informatiesysteem 135 3 IT-controles 136 3.1 General IT Controls 136 3.1.1 Organisatie van de IT-functie 137 3.1.2 Toegangsbeveiliging 137 3.1.3 Systeemmanagement 139 3.2 Application Controls 141 3.3 User Controls 142 4 CAAT’s 142 4.1 Wat zijn CAAT’s? 142 4.2 Voorbeelden 143 Hoofdstuk 5 Interne audit 147 1 Wat is een interne audit? 149 1.1 De operationele audit 149 1.2 De compliance audit 150 10
2 Het wettelijk en reglementair kader van de interne audit 151 2.1 Het IIA 151 2.2 Het auditcharter en het auditplan 152 2.3 Voorwaarden waaraan een interne auditafdeling moet voldoen 153 2.4 Het auditcomité 154 3 Het praktische verloop van een interne audit(opdracht) 155 3.1 De bepaling van de doelstelling en de reikwijdte van de audit 156 3.2 De verificatiefase 157 3.3 De afsluiting van de audit 158 Hoofdstuk 6 Het verband met de externe audit 161 Hoofdstuk 7 Interne organisatiebeheersing per bedrijfscyclus 167 1 De aankoopcyclus 169 1.1 Algemeen 169 1.2 Omschrijving van de aankoopcyclus 170 1.2.1 De initiatie van de bestelopdracht 170 1.2.2 De uitvoering van de bestelopdracht 172 1.2.2.1 Welke leveranciers komen in aanmerking om de goederen en diensten te leveren? 172 1.2.2.2 De verzending van offerteaanvragen 173 1.2.2.3 Het onderzoek van de leverancierscondities 173 1.2.2.4 De leverancierskeuze 174 1.2.2.5 De opmaak van een bestelorder 174 1.2.3 De ontvangst van de goederen en diensten 176 1.2.4 De controle van de aankoopfactuur 179 1.2.5 De crediteurenadministratie 182 1.2.6 De betaalbaarstelling van de aankoopfacturen 183 1.3 Stroomschema 183 1.4 Risicoanalyse en maatregelen 185 1.4.1 Algemene analyse en functiescheidingen 185 11
1.4.2 Checklist 187 1.4.2.1 De plaatsing van bestellingen 188 1.4.2.2 De crediteurenadministratie 190 1.4.2.3 Uitvoering van betalingen 196 1.4.2.4 Beheren van leveranciersdata 198 1.5 Besluit voor de aankoopcyclus 201 1.6 Case 202 2 De voorraadcyclus 205 2.1 Algemeen 205 2.2 Omschrijving van het voorraadproces 207 2.2.1 De aflevering van goederen 207 2.2.2 De ontvangstname van goederen 207 2.2.3 De bewaring van mutaties 208 2.2.4 De voorraadadministratie 208 2.3 Inventarisatie 209 2.4 Risicoanalyse en maatregelen 211 2.4.1 Algemene analyse en functiescheidingen 211 2.4.2 Checklist 214 2.4.2.1 Voorraadbeheer 214 2.4.2.2 Ontvangst en stockage van grondstoffen/handelsgoederen 217 2.4.2.3 Aanvraag van materialen voor de productie 221 2.4.2.4 Productie en kostprijs van de voorraad 221 2.4.2.5 Opvolging afgewerkte producten 222 2.4.2.6 Verzending van afgewerkte producten/handelsgoederen 224 2.4.2.7 Beheer van het voorraaddatabestand (Inventory master file) 227 2.5 Case 229 3 De verkoopcyclus 233 3.1 Algemeen 233 3.2 Omschrijving van het verkoopproces 234 3.2.1 De opstelling van de offertes 234 3.2.2 De orderverwerking 236 12
3.2.3 De bepaling van kredietlimieten 237 3.2.4 Levering en facturatie 239 3.2.5 De opmaak van creditnota’s 240 3.2.6 De debiteurenadministratie 241 3.2.7 Verkopen in vreemde valuta 242 3.2.8 Aanmaningen 244 3.3 Stroomschema verkoopcyclus 246 3.4 Risicoanalyse en -maatregelen 247 3.4.1 Algemene analyse en functiescheidingen 247 3.4.2 Checklist 250 3.4.2.1 Orderverwerking 250 3.4.2.2 Facturatie, retours en eventuele aanpassingen 253 3.4.2.3 Betalingen 259 3.4.2.4 Beheer van het klantendatabestand (masterfile) 261 3.5 Besluit voor de aankoopcyclus 264 3.6 Case 265 4 De personeelscyclus 269 4.1 Algemeen 269 4.2 Taken van de afdeling personeelszaken 269 4.2.1 Personeelsplanning en personeelsinformatiesysteem 269 4.2.2 Werving en selectie 270 4.2.3 Loopbaanbeleid 271 4.2.4 De loonadministratie 271 4.2.5 De vaststelling van de geleverde prestaties 272 4.3 Risicobeoordeling en -maatregelen 274 4.3.1 Algemene risico’s en functiescheidingen 274 4.3.2 Checklist 276 4.3.2.1 werven en aanstellen van nieuwe personeelsleden 276 4.3.2.2 Ontslag of vertrek van personeelsleden 277 4.3.2.3 De vaststelling van de geleverde prestaties 279 4.3.2.4 De loon- en salarisberekening 280 4.3.2.5 Uitbetaling van lonen en salarissen 281 13
4.3.2.6 Het beheer van de personeelsmasterfile 282 4.3 Case 285 5 De geld- en financieringscyclus 289 5.1 Algemeen 289 5.2 De organisatie van de ontvangsten en uitgaven 289 5.2.1 De ontvangsten 289 5.2.2 De uitgaven 290 5.2.3 De mutaties in de liquide middelen 291 5.3 Het beheer van de liquiditeiten 291 5.4 De preventie van betalingsfraude en betalingsoplichting door cybercriminaliteit 292 5.5 Risico-analyse en maatregelen 294 5.5.1 Algemene risico’s en functiescheidingen 294 5.5.2 Checklist 297 5.5.2.1 Ontlenen 297 5.5.2.2 Het beheer van liquiditeiten en beleggingen 303 5.5.2.3 Het beheer van derivaten 307 5.6 Case 312 6 De productiecyclus 315 6.1 Algemeen 315 6.2 Soorten van productiebedrijven 316 6.3 De fasen van het productieproces 317 6.3.1 Planning op lange termijn 317 6.3.2 Het productontwerp 317 6.3.3 De voorcalculatie 318 6.3.4 De planning op korte termijn 318 6.3.5 De eigenlijke productie 319 6.3.6 Voortgangscontrole en kwaliteitscontrole 319 6.3.7 Nacalculatie 320 6.3.8 De productieverantwoording 321 6.4 Checklist 321 14
7 De investeringscyclus 321 7.1 Algemeen 321 7.2 Beschrijving van de investeringscyclus 322 7.2.1 De aanschaffing van activa 322 7.2.2 Het beheer van de activa 323 7.2.3 De verkoop of de buitengebruikstelling van activa 324 7.3 Risicoanalyse en doelstellingen 324 7.3.1 Algemene risico’s en functiescheidingen 324 7.3.2 Checklist 326 7.3.2.1 De verwerving van vaste activa 326 7.3.2.2 De afschrijving van vaste activa 329 7.3.2.3 De realisatie van vaste activa 331 7.3.2.4 Het beheer van vaste activa 333 7.3.2.5 Het beheer van het vaste activaregister en/of de vaste activamasterfile 335 Hoofdstuk 8 Fraude 341 1 Wat is Fraude? 343 1.2 Waarom plegen mensen fraude? 344 1.3 Soorten fraude 344 2 Hoe kan fraude worden ontdekt? 346 2.1 Wie ontdekt fraude? 347 2.2 Knipperlichten voor fraude 347 3 Forensische audit 348 4 Antiwitwas en voorkomen van financiering terrorisme en beperking gebruik van contanten. 349 15
Hoofdstuk 9 Capita Selecta 353 1 Continuïteit en discontinuïteit 355 2 Deontologie ITAA 358 2.1 Onafhankelijkheid 359 2.2 Organisatie van de beroepsactiviteiten 360 2.3 Bekwaamheid 360 2.4 Aansprakelijkheid 362 2.5 Erelonen 362 2.6 Onverenigbaarheden en belangenconflicten 362 2.7 Geheimhouding 363 2.8 Relatie met het Instituut 363 2.9 Bijdragen 364 2.10 Beroep uitoefenen via een rechtspersoon 364 16