SAMENVATTING
ACCOUNTING
INFORMATIESYSTEMEN EN
INTERNE CONTROLE
2021 – 2022
Interne controle
Inhoud
1. Controle ........................................................................................................................................... 4
1.1. Soorten controle...................................................................................................................... 4
1.2. Interne controle....................................................................................................................... 4
2. COSO ................................................................................................................................................ 5
2.1. Componenten .......................................................................................................................... 6
2.1.1. Controle-omgeving .......................................................................................................... 6
2.1.2. Risicobeoordeling ............................................................................................................ 6
2.1.3. Controlemaatregelen en controleactiviteiten ................................................................. 7
2.1.4. Controlebewaking of monitoring .................................................................................... 8
2.1.5. Informatie en communicatie ........................................................................................... 8
2.2. Beperkingen van het interne controlesysteem ....................................................................... 8
3. COSO – ERM .................................................................................................................................... 9
3.1. Componenten .......................................................................................................................... 9
3.1.1. Interne omgeving ............................................................................................................ 9
3.1.2. Bepaling van de doelstellingen ...................................................................................... 10
3.1.3. Identificatie van gebeurtenissen ................................................................................... 10
3.1.4. Risicobeoordeling .......................................................................................................... 10
3.1.5. Risicorespons ................................................................................................................. 10
3.2. Herzien ERM (2017)............................................................................................................... 11
4. Interne audit proces ...................................................................................................................... 11
4.1. Risicoanalyse ......................................................................................................................... 11
4.2. Planning ................................................................................................................................. 11
, 4.3. Uitvoering .............................................................................................................................. 12
4.4. Afsluiting ................................................................................................................................ 12
4.5. Opvolging............................................................................................................................... 13
5. Risicofactoren ................................................................................................................................ 13
6. Beschrijving en evaluatie van het interne controlesysteem ......................................................... 14
6.1. Vormen van procedurebeschrijvingen .................................................................................. 14
6.1.1. Beschrijvend .................................................................................................................. 14
6.1.2. Systematisch .................................................................................................................. 15
6.2. Beschrijving van interne controleprocessen ......................................................................... 16
7. Sterke-zwakteonderzoek ............................................................................................................... 17
7.1. Identificatie van zwakke punten in het ICS ........................................................................... 17
7.2. Conclusie ............................................................................................................................... 18
8. Testen van de operationele effectiviteit van het interne controlesysteem ................................. 18
8.1. Overeenstemmingstransactietesten ..................................................................................... 18
8.2. Substantieve transactietesten ............................................................................................... 19
9. Steekproeven/sampling ................................................................................................................ 19
9.1. Probabilistische methodes .................................................................................................... 20
9.2. Niet-probabilistische methoden............................................................................................ 21
10. Interne controlesysteem: cycli .................................................................................................. 22
10.1. Aankoopcyclus ................................................................................................................... 22
10.1.1. Ondernemingsdoelstellingen ........................................................................................ 22
10.1.2. Procedures..................................................................................................................... 22
10.1.3. Inherente risico’s ........................................................................................................... 24
10.1.4. Inherente controlemaatregelen .................................................................................... 25
10.2. Verkoopcyclus ................................................................................................................... 25
10.2.1. Ondernemingsdoelstellingen ........................................................................................ 25
10.2.2. Procedures..................................................................................................................... 25
10.2.3. Interne controlemaatregelen ........................................................................................ 26
10.3. Productie- en voorraadcyclus ............................................................................................ 27
10.3.1. Procedures..................................................................................................................... 27
10.4. Personeelscyclus................................................................................................................ 28
10.4.1. Ondernemingsdoelstellingen ........................................................................................ 28
10.4.2. Procedures..................................................................................................................... 28
10.4.3. Inherente risico’s ........................................................................................................... 29
10.4.4. Interne controlemaatregelen ........................................................................................ 29
10.5. Investeringscyclus.............................................................................................................. 30
10.5.1. Ondernemingsdoelstellingen ........................................................................................ 30
10.6. Financiële cyclus ................................................................................................................ 30
2
,10.7. Accounting- en rapporteringscyclus .................................................................................. 30
10.7.1. Ondernemingsdoelstellingen ........................................................................................ 30
10.7.2. Procedures..................................................................................................................... 31
10.7.3. Inherente risico’s ........................................................................................................... 31
10.7.4. Interne controlemaatregelen ........................................................................................ 31
3
,1. Controle
Controle
• Systematisch proces
• Verzamelen en analyseren van bewijskrachtig materiaal op objectieve wijze m.b.t. beweringen
en gebeurtenissen
• Nagaan van overeenstemming tussen geobserveerde realiteit en vastgelegde criteria en
normen
• Mededeling van de resultaten van de controle aan de belanghebbende
1.1. Soorten controle
• Financiële audit: controle jaarrekening
• Operationele audit: controle van de werking van je operationele processen = productie,
financiële rapportering, aankoop, verkoop, marketing…
• Compliance audit: naleving van wetgeving, voorschriften, regels…
• Management audit: kwaliteit management beoordelen
• IT audit: actuele problematiek van cybersecurity, hacking, operationele werking van IT-
systemen…
• Due Diligence: controle naar bedrijf dat men wenst over te nemen of over te laten
• Overname-audit: verschillende aspecten van de onderneming bekijken om te kijken of er
bepaalde risico’s aanwezig zijn op vlak van financiële rapportering, financieringsstructuur,
naleving fiscale en sociale wetgeving… in het licht van een overname
• Juridische audit: alle contracten met personeel, klanten, leveranciers…, juridische afspraken…
aanwezig?
• Fiscale audit: worden fiscale regels nageleefd, zijn er potentiële belastingverplichtingen, is er
belastingfraude, zijn de aangiftes correct ingediend…?
• Sociale audit: wordt de arbeidswetgeving nageleefd, worden de werkuren nageleefd…?
• Milieu audit: leeft de onderneming alle voorschriften omtrent milieuwetgeving na?
• Energie-audit: in welke mate maakt de onderneming op een efficiënte manier gebruik van
energie, milieuvriendelijke energieoplossingen…?
• …
➔ Onze focus ligt op operationele audit!
1.2. Interne controle
Interne controle = een proces aangestuurd door het management, de Raad van Bestuur en andere
personeelsleden, opgezet met als doel een redelijke zekerheid te verschaffen dat de hiernavolgende
doelstellingen bereikt worden:
• Effectiviteit en efficiëntie van de gevoerde activiteiten = beperkt aantal economische
middelen (24 uren in een dag, kapitaal en kredieten van de onderneming, energiebronnen,
grondstoffen…) zo efficiënt en effectief mogelijk benutten om de ondernemingsdoelstellingen
te behalen
• Betrouwbaarheid van de financiële en andere rapportering: rapportering is maar zinvol als ze
op tijd en voldoende betrouwbaar is; het heeft geen zin om jaarrekening gepresenteerd te
krijgen pas een jaar na afsluitingsdatum of reeds 1 week na afsluitingsdatum (wanneer je
achteraf vaststelt dat rapportering foutief is) → foute beslissingen!
• Naleving van wetten en regelgeving: fiscaal, sociaal, boekhoudkundig, arbeidswetgeving,
veiligheid…
4
, • Vrijwaren van activa van fraude en misbruik: activa die onderneming gebruikt mogen niet
gestolen worden, knowhow van bepaalde productieprocessen mag niet voorwerp zijn van
fraude, activa mogen niet voor andere doeleinden dan de ondernemingsdoeleinden gebruikt
worden (bv. personeel die bedrijfslaptops gebruiken voor privéhandeltje)…
• Realisatie van de ondernemingsdoelstellingen: financiële aard (bv. bepaalde omzet, bepaald
marktaandeel, bepaalde winstmarge), sociale aard (bv. optimale tewerkstelling van
minderbegaafden…)…
Hoe interne controle opzetten? → interne controle kaderwerk: COSO en later uitgebreid naar COSO –
ERM
1) COSO: nadruk op het controleren van verschillende grote transactiestromen binnen de
onderneming in het licht van de controledoelstellingen) = risicobeheer op niveau van de
transactiestromen van de onderneming
• Aankoop
• Verkoop
Transactiestromen → controles hieromtrent worden
• Personeel
gedefinieerd in het kaderwerk
• Betalingscyclus
• Financiële rapportering
Bv. aankooptransactiestroom: kijken naar bestelbon, leveringsnota, factuur…
2) COSO – ERM: het verschil met COSO is dat er hier niet vertrokken wordt vanuit de
transactiestromen, maar wel vanuit de strategische keuzes die genomen worden door de Raad van
Bestuur en vervolgens vertaald worden in bepaalde doelstellingen en bepaalde transacties (de
transactie volgt eigenlijk uit de strategische beslissing) = risicobeheer op niveau van de
strategische keuzes van de onderneming
Bv. aankoop grondstoffen: welke risico’s zijn verbonden aan de aankoop van grondstoffen bij
leverancier X?
2. COSO
COSO kaderwerk biedt
• richtlijnen voor het opzetten van een interne controlesysteem dat aangepast is aan de aard en
omvang van de onderneming en
• een uniform en gemeenschappelijk referentiekader en begrippen bieden rond interne controle
voor diegenen die interesse (lees: belang, stakeholders) hebben in interne controle
Het Interne Controlesysteem (ICS) bestaat uit een aantal
componenten die onlosmakelijk met elkaar verbonden zijn =
piramide
1) Controle-omgeving
2) Risicobeoordeling
3) Controlemaatregelen
4) Monitoring/controlebewaking
Informatie en communicatie: zowel top-down als bottom-up →
wanneer ergens in de ondernemingsniveaus een bepaalde
fout/fraude wordt vastgesteld, dan wordt dit gecommuniceerd naar
de andere lagen zodat men bepaalde controlemaatregelen kan nemen
5
,2.1. Componenten
2.1.1. Controle-omgeving
= fundament van het interne controlesysteem → bestaat uit een aantal basiselementen:
• Integriteit en ethische code: elke onderneming moet gedragscode uitwerken waaraan zij
gevolg wil geven (bepaalde dingen worden getolereerd, andere dingen niet) en waarin bepaald
wordt hoe zij gepercipieerd willen worden in maatschappij
Bv. grensoverschrijdend gedrag, bewustzijn milieu…
• Juiste persoon op de juiste plaats: juiste competenties, technische bekwaamheid, vakkennis…
Bv. receptioniste die instaat voor boekhouding, maar zij weet niet wat debet en credit is ≠ juiste
persoon op de juiste plaats
• Raad van bestuur en auditcomité: onafhankelijke bestuurders zijn noodzakelijk
• Managementstijl (agressief vs. conservatief) = bepalend voor hoe de interne controle
georganiseerd wordt
o Agressief: continu aan het streven naar meer omzet, meer winst, harder werken…
o Conservatief: activiteiten op een evenwichtige, verantwoorde manier uitvoeren →
correct bedienen van klanten, welzijn van personeel…
• Organisatiestructuur: duidelijke structuur met een organogram dat voor iedereen
toegankelijk is, horizontale vs. verticale structuur, rapporteringslijnen…
• Bevoegdheidsverdelingen en toewijzing van verantwoordelijkheden: moet duidelijk zijn,
meestal op schriftelijke manier in de vorm van een functieomschrijving
• Human resources beleid: bestaan er voldoende goede richtlijnen rond het aanwerven van de
juiste persoon op de juiste plaats met de juiste competenties, juiste verloning, juiste
mogelijkheid tot opleiding en vorming, doorgroeimogelijkheden…
2.1.2. Risicobeoordeling
• Ondernemen betekent risico nemen: de vraag is dan hoe men met deze risico’s omgaat
o Vermijden
o Reduceren
o Transfereren (= overdragen door o.a. verzekering af te sluiten)
o Aanvaarden
• Management moet aanvaardbaarheid van risico’s bepalen
• Risicobeoordeling rekening houdend met ondernemingsdoelstellingen
o Operationele
o Financiële Evenwicht zoeken tussen deze doelstellingen
o Wet- en regelgeving
• Risicoanalyse
o Risico-identificatie rekening houdend met interne (bv. processen) en externe factoren
(bv. nieuwe wetgeving wordt gestemd, actie van concurrent, nieuwe technologie
wordt ontwikkeld…)
Bv. Nokia heeft het risico van nieuwe technologie (smartphone) onderschat
o Risicoanalyse: schatting van omvang, impact en waarschijnlijkheid en te nemen
maatregelen
• Management van veranderingsprocessen: ondernemingen evolueren continu qua omvang,
structuren, processen… → telkens kan je geconfronteerd worden met andere risico’s die zich
tot nu toe gemanifesteerd hebben → risicobeoordeling moet hiermee rekening houden
Bv. overgang van overschrijving via papieren formulieren met fysieke handtekening naar
elektronische overschrijvingen met kaartlezer
6
, 2.1.3. Controlemaatregelen en controleactiviteiten
3 types
1) Operationele controlemaatregelen → operationele doelstellingen: loopt de productie
optimaal, is er niet te veel afval, bevindt het verbruik van bepaalde grondstoffen zich binnen
bepaalde normen…?
2) Controlemaatregelen rond financiële verslaggeving → betrouwbaarheid informatie (accuraat
en tijdig?)
3) Controlemaatregelen rond het voldoen aan wet- en regelgeving → wordt er voor elke
werknemer tijdig een DIMONA-aangifte ingediend, is er een contract aanwezig voor elke
werknemer…?
Soorten controleactiviteiten
• Accounting en administratieve controles
o Accounting: betrekking op controles die waken over de juistheid van de financiële
informatie (is de aankoopfactuur juist, klopt deze met de bestelbon, zijn de juiste
prijzen toegepast op de verkoopfactuur?...)
o Administratief: is een stempel op de factuur gezet als bewijs van goedkeuring, heeft
de magazijnverantwoordelijke een handtekening gezet op de leveringsnota als bewijs
dat de levering volledig is…?
• Preventieve en repressieve controles
o Preventief: fout kan zich niet voordoen omdat het vermeden wordt → bv. applicatie
voor aankoopfacturen: applicatie kijkt na of het btw-bedrag klopt met het bedrag dat
u zelf heeft ingegeven als btw. Als dit niet klopt, dan stopt het systeem en verwerkt het
de aankoopfactuur niet.
o Repressief: men keert terug naar de transactie waarin een fout is voorgekomen en dan
tracht men de fout te corrigeren
Bv. je ontvangt goederen + leveringsnota → magazijnier heeft leveringsnota en factuur
naar boekhouding gestuurd → 100 besteld en gefactureerd, maar slechts 90 stuks
ontvangen → kon vermeden worden als magazijnier dit had gemerkt en levering had
geweigerd of corrigerend stuk had opgesteld waarin stond dat er nog 10 stuks achteraf
geleverd dienen te worden ofwel 10 stuks in mindering gebracht worden
Voorbeelden controleactiviteiten
• Vergelijkend of analytisch nazicht
• Functioneel management – beoordelen
• Informatieverwerking controle op juistheid, volledigheid, tijdigheid en autorisatie
• Fysieke controles (o.a. tellen van voorraad)
• Cijferbeoordeling
• Functiescheidingen = activiteiten worden opgesplitst tussen subactiviteiten → voordeel = elke
functie heeft een tegengesteld belang
o Beschikkende functie
o Bewarende functie
o Uitvoerende functie Elke transactie doorloopt deze 5 functies
o Registrerende functie
o Controlerende functie
7
