Moduleopdracht “Internal auditing, governance en compliance”
HBO Bachelor Bedrijfseconomie specialisatie Business controlling
Naam: XXXX
Studentennummer: XXXX
Datum: 25 april 2020
Opleider: NCOI
Opleiding: HBO Bachelor Bedrijfseconomie specialisatie Business controlling
Module: Internal auditing, governance en compliance
, Samenvatting
Beursgenoteerde bedrijven in Nederland zijn verplicht om te werken volgens de Corporate
Governance code. Zij moeten in hun jaarverslag aangeven wat zij doen om hieraan te voldoen, of
waarom zij juist niet voldoen aan bepaalde richtlijnen.
XXXX is een besloten vennootschap en heeft daardoor niet de verplichting om te werken volgens de
Corporate Governance code. Wel is het voor XXXX van belang dat zij werkt volgens bepaalde wet- en
regelgeving.
XXXX past interne beheersing toe om te voldoen aan wet- en regelgeving vanuit de overheid, maar
ook om te voldoen aan specifieke eisen die gesteld worden voor het ISO 9001 en het NEN 4400
certificaat. Jaarlijks worden middels audits diverse processen binnen de organisatie getoetst, dit door
zowel interne als externe audits. De kwaliteitsmanager is verantwoordelijk voor de interne audits,
waarbij de directie jaarlijks aangeeft welke onderdelen moeten worden getoetst. De externe audits
worden jaarlijks uitgevoerd voor het verlengen van de certificaten, maar ook om een
accountantsverklaring te ontvangen voor bij de jaarrekening.
Door de interne beheersing en de externe audits weet XXXX aan veel wet- en regelgeving te voldoen.
De accountant controleert bijvoorbeeld of de onderneming voldoet aan al zijn fiscale verplichtingen,
zodat de onderneming hiermee niet kan frauderen. Ondanks de huidige beheersingsmaatregelen
voldoet de onderneming niet aan alle geldende wet- en regelgeving.
In 2018 is de Autoriteit Persoonsgegevens begonnen met het toezichthouden op de Algemene
verordening gegevensbescherming. In 2018 heeft XXXX dan ook diverse maatregelen genomen die
ertoe moesten lijden dat de onderneming aan deze richtlijnen zou voldoen. Na het nemen van deze
eerste maatregelen is XXXX helaas gestopt met het nemen van maatregelen om te voldoen aan de
Algemene verordening gegevensbescherming, wat er toe heeft geleid dat de organisatie nu niet
geheel aan de richtlijnen voldoet.
De Autoriteit Persoonsgegevens heeft in Nederland het recht gekregen om boetes te vergeven
wanneer blijkt dat organisaties niet aan de richtlijnen voldoen. De boetes die de Autoriteit
Persoonsgegevens mogen geven kunnen, afhankelijk van de overtreding, oplopen wel tot 20 miljoen
euro. Hoewel een boete van 20 miljoen niet zomaar gegeven zal worden, loopt XXXX zolang zij niet
voldoet aan de richtlijnen wel een risico op een behoorlijke boete.
XXXX zal om in de toekomst te kunnen voldoen aan de richtlijnen van de Algemene verordening
gegevensbescherming actie moeten ondernemen. De organisatie zal een compliance audit moeten
opstellen waarin kan worden getoetst in welke mate de organisatie voldoet aan de wet- en regelgeving
en het door de directie opgestelde beleid.
De audit wordt opgesteld volgens het zes stappenmodel, waarin achtereenvolgens de volgende
stappen worden doorlopen:
1. Planning
2. Vooronderzoek
3. Veldwerk
4. Rapportage
5. Evaluatie
6. Follow-up
Mocht de audit worden uitgevoerd, is de verwachting dat hieruit zal blijken dat XXXX op veel punten
niet geheel voldoet aan de AVG richtlijnen en daarmee ook niet aan het beleid van de onderneming.
Na een eerste audit zullen veel verbeteracties moeten worden uitgevoerd, die er voor moeten zorgen
dat de onderneming geen risico zal lopen op door de Autoriteit Persoonsgegevens opgelegde boetes.
Naarmate de audit vaker zal worden uitgevoerd zullen de auditors minder afwijkingen vinden en is het
vooral van belang om te blijven kijken naar de veranderde regelgeving.
1
HBO Bachelor Bedrijfseconomie specialisatie Business controlling
Naam: XXXX
Studentennummer: XXXX
Datum: 25 april 2020
Opleider: NCOI
Opleiding: HBO Bachelor Bedrijfseconomie specialisatie Business controlling
Module: Internal auditing, governance en compliance
, Samenvatting
Beursgenoteerde bedrijven in Nederland zijn verplicht om te werken volgens de Corporate
Governance code. Zij moeten in hun jaarverslag aangeven wat zij doen om hieraan te voldoen, of
waarom zij juist niet voldoen aan bepaalde richtlijnen.
XXXX is een besloten vennootschap en heeft daardoor niet de verplichting om te werken volgens de
Corporate Governance code. Wel is het voor XXXX van belang dat zij werkt volgens bepaalde wet- en
regelgeving.
XXXX past interne beheersing toe om te voldoen aan wet- en regelgeving vanuit de overheid, maar
ook om te voldoen aan specifieke eisen die gesteld worden voor het ISO 9001 en het NEN 4400
certificaat. Jaarlijks worden middels audits diverse processen binnen de organisatie getoetst, dit door
zowel interne als externe audits. De kwaliteitsmanager is verantwoordelijk voor de interne audits,
waarbij de directie jaarlijks aangeeft welke onderdelen moeten worden getoetst. De externe audits
worden jaarlijks uitgevoerd voor het verlengen van de certificaten, maar ook om een
accountantsverklaring te ontvangen voor bij de jaarrekening.
Door de interne beheersing en de externe audits weet XXXX aan veel wet- en regelgeving te voldoen.
De accountant controleert bijvoorbeeld of de onderneming voldoet aan al zijn fiscale verplichtingen,
zodat de onderneming hiermee niet kan frauderen. Ondanks de huidige beheersingsmaatregelen
voldoet de onderneming niet aan alle geldende wet- en regelgeving.
In 2018 is de Autoriteit Persoonsgegevens begonnen met het toezichthouden op de Algemene
verordening gegevensbescherming. In 2018 heeft XXXX dan ook diverse maatregelen genomen die
ertoe moesten lijden dat de onderneming aan deze richtlijnen zou voldoen. Na het nemen van deze
eerste maatregelen is XXXX helaas gestopt met het nemen van maatregelen om te voldoen aan de
Algemene verordening gegevensbescherming, wat er toe heeft geleid dat de organisatie nu niet
geheel aan de richtlijnen voldoet.
De Autoriteit Persoonsgegevens heeft in Nederland het recht gekregen om boetes te vergeven
wanneer blijkt dat organisaties niet aan de richtlijnen voldoen. De boetes die de Autoriteit
Persoonsgegevens mogen geven kunnen, afhankelijk van de overtreding, oplopen wel tot 20 miljoen
euro. Hoewel een boete van 20 miljoen niet zomaar gegeven zal worden, loopt XXXX zolang zij niet
voldoet aan de richtlijnen wel een risico op een behoorlijke boete.
XXXX zal om in de toekomst te kunnen voldoen aan de richtlijnen van de Algemene verordening
gegevensbescherming actie moeten ondernemen. De organisatie zal een compliance audit moeten
opstellen waarin kan worden getoetst in welke mate de organisatie voldoet aan de wet- en regelgeving
en het door de directie opgestelde beleid.
De audit wordt opgesteld volgens het zes stappenmodel, waarin achtereenvolgens de volgende
stappen worden doorlopen:
1. Planning
2. Vooronderzoek
3. Veldwerk
4. Rapportage
5. Evaluatie
6. Follow-up
Mocht de audit worden uitgevoerd, is de verwachting dat hieruit zal blijken dat XXXX op veel punten
niet geheel voldoet aan de AVG richtlijnen en daarmee ook niet aan het beleid van de onderneming.
Na een eerste audit zullen veel verbeteracties moeten worden uitgevoerd, die er voor moeten zorgen
dat de onderneming geen risico zal lopen op door de Autoriteit Persoonsgegevens opgelegde boetes.
Naarmate de audit vaker zal worden uitgevoerd zullen de auditors minder afwijkingen vinden en is het
vooral van belang om te blijven kijken naar de veranderde regelgeving.
1
