Continuous auditing en continuous monitoring: continuous solutions?
Teamnummer 612
“Continuous monitoring en continuous auditing: continuous solutions?”
Studenten: Studentnummers: Teamnummer: Afstudeerbegeleider: Bedrijfscoach: Examencommissie:
J. Jacobs en M. Hoetjes 9981121 en 9981122 612 Drs. B.J. van Staveren RE Drs. W.G.M.J. van Haelst RE RA Prof. dr. ir. R.Paans RE en P. Harmzen RE RA
Amsterdam, 30 juli 2007
Continuous auditing en continuous monitoring: continuous solutions?
Teamnummer 612
Voorwoord Ter afsluiting van onze studie EDP-auditing aan de vrije Universiteit amsterdam hebben wij een scriptie geschreven over de onderzoeksvraag “continuous auditing en continuous monitoring: continuous solutions?”. Gezien de actualiteit van het onderwerp en de toenemende vraag binnen organisaties om aantoonbaar “in control” te zijn, vinden wij continuous auditing en continuous monitoring erg interessante ontwikkelingen. Vanuit de Vrije Universiteit is de heer Bart van Staveren aangewezen als onze afstudeerbegeleider. Wij willen hem bedanken voor de goede inhoudelijke ideeën, uitleg en het doorlezen van onze stukken. Zijn enthousiasme heeft ons enorm gemotiveerd. Wij willen onze bedrijfsbegeleider Werner van Haelst bedanken voor de uitleg en het lezen van onze stukken. Verder willen we de geïnterviewde personen bedanken voor hun tijd en zienswijze op het onderwerp. Tenslotte willen we alle (gast)docenten bedanken voor de leerzame colleges die tijdens de postdoctorale opleiding zijn gegeven. Dit heeft vaak geleid tot interessante en vruchtbare discussies.
Meta Hoetjes Jacco Jacobs Amsterdam, mei 2006
Continuous auditing en continuous monitoring: continuous solutions?
Teamnummer 612
Management samenvatting Algemeen De noodzaak voor organisaties om zorg te dragen voor een tijdige en continue verantwoording dat beheersingsmaatregelen effectief werken en waardoor de risico’s binnen bedrijfs- en financiële processen door deze beheersingsmaatregelen worden gemitigeerd, is niet nieuw. Organisaties staan in de dagelijkse praktijk bloot aan (significante) fouten, frauderisico’s en inefficiënties binnen de bedrijfsprocessen. De aangescherpte wet- en regelgeving heeft vaak grote impact op de interne controle van organisaties. Het systeem voor interne controle moet onder meer fouten en fraude kunnen detecteren en kunnen garanderen dat de juiste informatie op tijd bij de juiste (daartoe geautoriseerde) personen terechtkomt. Het is voor organisaties van belang dat de interne controle zo effectief mogelijk werkt. De toetsing hiervan dient zowel door het management (door monitoring) als door de interne en externe auditor (door audit) te worden verricht. De laatste jaren neemt de noodzaak toe om de beheersingsmaatregelen op continue basis te toetsen. Dit is mede het gevolg van: • de aangescherpte (externe) wet- en regelgeving (zoals de Sarbanes-Oxley act, hierna te noemen SOx); • de nieuwe ontwikkelingen op het gebied van corporate governance; • de globalisering van de bedrijfsactiviteiten en bedrijfsvoering; • sterkere behoefte aan transparantie en zekerheid en actuele financiële informatie; • de marktdruk om efficiënter te kunnen opereren om zo de kosten te kunnen beheersen en te kunnen blijven concurreren hierbij speelt ook de vraag naar het reduceren van de kosten voor interne controle . Continuous auditing Terwijl een (interne en/of externe) auditor nu periodiek een audit uitvoert op de systemen en de transacties, voorziet continuous auditing in een methode om deze audits meerdere keren per periode (bijvoorbeeld per dag) geautomatiseerd uit te voeren. Continuous auditing is een set van methoden die auditors gebruiken om op een continue en geautomatiseerde basis te auditen. Dit betekent bijvoorbeeld het testen van transacties gebaseerd op vooraf gedefinieerde criteria, waardoor het mogelijk is om tijdens de transactieverwerking geautomatiseerd waarnemingen te doen. Hierbij worden de verschillende verwerkingsstappen en daarbij uitgevoerde interne controlemaatregelen zichtbaar gemaakt en kunnen vervolgens aan controle door de auditor worden onderworpen. Eventuele deficiënties kunnen hierdoor bij de bron worden geïdentificeerd. De resultaten dienen geëvalueerd te worden door een auditor en te worden gerapporteerd aan bijvoorbeeld het management of Raad van Commissarissen. Continuous monitoring Het management van de organisatie voert periodiek (handmatige) monitoringswerkzaamheden uit op de systemen en de transacties. Continuous monitoring voorziet in een methode om deze
1
Continuous auditing en continuous monitoring: continuous solutions?
Teamnummer 612
werkzaamheden meerdere keren per periode geautomatiseerd uit te voeren. Continuous monitoring kan worden geïmplementeerd als: a) de controle activiteit (controleregel). Wanneer een continuous monitoring test controleert op dubbele betalingen, dan is er sprake van een detectieve controle activiteit en dan is het continuous monitoring onderdeel van de COSO component “control activities”. b) het testen van de controle. Als continuous monitoring wordt ingezet voor het testen van bijvoorbeeld geautoriseerde limieten, dan test het de controle zelf en is het een detectieve controle op de effectiviteit en efficiëntie van het interne controle systeem zelf. Deze manier van testen is onderdeel van de COSO component “monitoring”. Verschil continuous monitoring en continuous auditing Continuous auditing wordt door interne en externe auditors gebruikt als een methode voor het uitvoeren van audits op een meer continue basis, terwijl continuous monitoring door het management wordt gebruikt om de controledoelstellingen te behalen. Zowel continuous auditing als continuous monitoring is een proces dat transacties vergelijkt met voorgeschreven criteria (normen), afwijkingen constateert en rapporteert. Bij continuous auditing gebeurt dit onder verantwoordelijkheid van de auditor, bij continuous monitoring ligt de verantwoordelijkheid bij het management. Continuous monitoring kan daarnaast ook worden gebruikt als de COSO component “monitoring” waarbij continuous monitoring wordt gebruikt als een proces om het interne controle systeem zo effectief mogelijk te laten verlopen (het toetsen van de controles zelf). Relatie continuous monitoring en continuous auditing Het continuous monitoringsproces kan zowel de organisaties zelf (het management) als de auditors helpen om hun doelstellingen met betrekking tot interne controle te realiseren. Het management is verantwoordelijk voor het implementeren en onderhouden van een effectief interne controle systeem. Continuous monitoring geeft het management zekerheid dat het interne controle systeem effectief werkt en onmiddellijk actie kan worden ondernomen om fouten (in bijvoorbeeld de invoer of verwerking van transacties) te verhelpen, voordat het problemen worden. Interne en externe auditors zijn verantwoordelijk voor het auditen of het management op een verantwoorde wijze haar controle uitvoert. Omdat continuous monitoring onderdeel uitmaakt van het interne controle systeem, dienen auditors zich ervan te verzekeren dat het interne controle proces effectief is en dat erop kan worden gesteund. Wanneer op het continuous monitoringsproces kan worden gesteund, kunnen auditors het resultaat van continuous monitoring gebruiken om de effectiviteit van het interne controle proces te toetsen. Implementatie van continuous monitoring Voordat een organisatie begint met het implementeren van continuous monitoring dient allereerst een helder en effectief interne controle systeem (op basis van risico analyse) binnen de organisatie aanwezig te zijn. Voor het opstellen van een dergelijk interne controlesysteem kunnen standaard raamwerken zoals COSO worden gebruikt. Wanneer het interne controlesysteem eenmaal is opgezet en juist (effectief) werkt, wil dit nog niet zeggen dat het efficiënt is. Door de marktdruk om kosten te beheersen en te kunnen blijven concurreren, zal binnen organisaties de vraag ontstaan of het interne controle systeem wel efficiënt is ingericht. Door het uitvoeren van
Continuous auditing en continuous monitoring: continuous solutions?
Teamnummer 612
een efficiëntie analyse kan worden bepaald dat continuous monitoring moet worden geïmplementeerd. Deze implementatie vindt allereerst als een zogenaamde pilot plaats in een bepaald segment (onderdeel) van de organisatie. Na een succesvolle pilot implementatie kan vervolgens per segment het continuous monitoringsproces verder worden geïmplementeerd binnen de gehele organisatie. Visie op de toekomst De term continuous monitoring is wel bekend binnen organisaties, maar de implementatie hiervan blijft veelal achterwege. De laatste jaren hebben organisaties veel tijd en geld gestoken in het “in control zijn” voor de aangescherpte wet- en regelgeving (zoals SOx). Nu dit eenmaal is opgezet, zal het interne controle systeem continue onderhevig zijn aan veranderingen. Bij de eerste opzet van het “in control” zijn hebben organisaties er voor gekozen om de volledigheid van de controles als belangrijkste eis te stellen. Dit heeft geresulteerd in een intern controle systeem met veel (handmatige) controles die periodiek dienen worden doorlopen, wat veel tijd (en geld) kost. Nu is de vraag ontstaan of de organisaties niet “over control” zijn (of er niet irrelevante controlemaatregelen zijn geïmplementeerd om “in control” te zijn) en bestaat de wens om het aantal controles te verminderen en het interne controle systeem zo in te richten dat alleen de strikt noodzakelijke controles worden uitgevoerd. Tijdens de analyse van de beperking van de controleregels wordt ook bekeken of de uit te voeren controles niet automatisch kunnen worden uitgevoerd, om zo de foutgevoeligheid en de kosten van de handmatige controles op te lossen. Dit heeft tot gevolg dat steeds meer organisatie projecten op zetten om continuous monitoring te implementeren. Wij verwachten dat deze trend zich nog de komende jaren zal voortzetten. Niet alleen voor de primaire bedrijfsprocessen, maar ook voor de secundaire bedrijfsprocessen zullen organisaties kiezen voor het implementeren van continuous monitoring. Zeker wanneer blijkt dat tijdens het pilotproject onopgemerkte problemen en/of fouten naar boven komen die tijdens de oude handmatige controles niet opgemerkt waren waarbij grote bedragen zijn gemoeid. Door het management op de hoogte te stellen van deze positieve resultaten zullen zij de voordelen van continuous monitoring inzien en hun support leveren bij verdere implementatie in de andere segmenten van de organisatie.
Continuous auditing en continuous monitoring: continuous solutions?
Teamnummer 612
INHOUDSOPGAVE 1 1.1 1.2 1.3 1.4 1.5
Inleiding De aanleiding en de doelstelling van het afstudeeronderzoek De afbakening De onderzoeksvragen Het theoretische kader Leeswijzer
1 1 2 2 2 3
2 2.1 2.1.1 2.1.2 2.2 2.2.1 2.2.2 2.3 2.3.1 2.3.2 2.3.3 2.4
Definitiestudie continuous auditing en continuous monitoring Uiteenzetting definitie continuous auditing Achtergrond continuous auditing Ontwikkelingen in continuous auditing Uiteenzetting definitie continuous monitoring Achtergrond continuous monitoring Ontwikkelingen in continuous monitoring Onderscheid continuous auditing versus continuous monitoring Vergelijking definities Relatie tussen continuous auditing en continuous monitoring Praktijkvoorbeeld toepassing continuous auditing en continuous monitoring Conclusie definitiestudie
4 4 6 8 10 12 14 16 16 17 18 20
3 3.1 3.2 3.2.1 3.2.2 3.3 3.4 3.5 3.5.1 3.5.2 3.6
Toepassing van continuous monitoring Inleiding Implementatie continuous monitoring Tools Implementatiestrategie Knelpunten/randvoorwaarden toepassing continuous monitoring Voorbeeld implementatie continuous monitoring Visie op de toekomst Niveaus van continuous monitoring Ontwikkeling in de tijd Samenvatting
21 21 22 22 24 26 29 31 31 33 35
4 4.1 4.2
Conclusies en aanbevelingen Conclusies Aanbeveling
37 37 38
Continuous auditing en continuous monitoring: continuous solutions?
Bijlagen 1 2 3 4 5
Bijlage I: In control en ERP-systemen Bijlage II: Achtergronden algemeen beheersingskader Bijlage III: Vastlegging interviews Bijlage IV: Geschiedenis CA en CM Bijlage V: Wet- en regelgeving
Teamnummer 612
Continuous auditing en continuous monitoring: continuous solutions?
1
Teamnummer 612
Inleiding
De scriptie die voor u ligt, vormt het sluitstuk van de postdoctorale EDP-audit opleiding die wij hebben gevolgd aan de Vrije Universiteit te Amsterdam. Op 13 december heeft het curatorium een pilot goedgekeurd om het casusgedeelte van het schriftelijke slotexamen te vervangen door een scriptie. De inhoud en het niveau van de afstudeerscriptie komt overeen met de Post Graduate graad die wordt verleend en bestaat uit: • een afbakening en analyse van een praktisch relevant probleem uit de werkpraktijk van IT auditing; • een methodische uitwerking van de oplossing met behulp van actuele “state of the art” wetenschap. Deze scriptie geeft een uitwerking hoe continuous monitoring bij bedrijven met een ERPomgeving kan worden toegepast (zie ook hoofdstuk 1.2). Daarnaast geven wij in deze scriptie onze visie van continuous monitoring op de toekomst weer. Mede gezien continuous monitoring vaak in relatie wordt gezien met continuous auditing, hebben wij dit onderwerp eveneens in deze scriptie uiteengezet. Dit eerste hoofdstuk zal de context van het afstudeeronderzoek verduidelijken. Als eerste zijn de aanleiding en doelstelling van het afstudeeronderzoek beschreven (zie paragraaf 1.1). Daarna is de afbakening van het afstudeeronderzoek beschreven (zie paragraaf 1.2). Vervolgens is ingegaan op de centrale onderzoeksvraag en de hieruit volgende deelvragen (zie paragraaf 1.3). Het theoretische kader van het afstudeeronderzoek is beschreven in paragraaf 1.4. Tenslotte is een leeswijzer opgenomen voor de volgende hoofdstukken van de scriptie (zie paragraaf 1.5).
1.1
De aanleiding en de doelstelling van het afstudeeronderzoek
De striktere en aangescherpte wet- en regelgeving heeft een duidelijke impuls gegeven aan het belang van een effectief systeem voor interne controle binnen organisaties. Een strategie om een effectief interne controle systeem te implementeren is continuous monitoring, al dan niet aangevuld met continuous auditing. Over deze onderwerpen wordt al jarenlang gesproken maar, door recente veranderingen in de wet- en regelgeving, de ontwikkelingen in de IT en de vraag naar het reduceren van de kosten voor interne controle, gaan organisaties nu over tot daadwerkelijke implementatie. Diverse softwareleveranciers spelen hier op in door ondersteunende software voor continuous monitoring en/of auditing op de markt te brengen. Door de actualiteit van het onderwerp, is besloten om in onze afstudeerscriptie nader in te gaan op continuous monitoring.
1
Continuous auditing en continuous monitoring: continuous solutions?
1.2
Teamnummer 612
De afbakening
Om het afstudeeronderzoek wetenschappelijk uit te kunnen voeren hebben wij ons beperkt tot de definitiestudie van continuous monitoring en continuous auditing. Vervolgens is het onderwerp continuous monitoring nader onderzocht; hoe kan dit concept op een concrete en structurele wijze worden toegepast bij bedrijven met een ERP-omgeving en hoe zal continuous monitoring zich in de toekomst ontwikkelen. Wij hebben ons hierbij gebaseerd op de toepassing van continuous monitoring met betrekking tot een interne controle systeem.
1.3
De onderzoeksvragen
De afstudeerscriptie heeft als doel om een antwoord te geven op de onderzoeksvraag: "Continuous monitoring en continuous auditing: continuous solutions?” Hierbij wordt een antwoord gegeven op de vraag of het begrip continuous monitoring ook daadwerkelijk als een structurele oplossing kan worden gezien. Om antwoord te geven op de genoemde onderzoeksvraag worden de volgende deelvragen beantwoord: 1 Wat is continuous auditing en continuous monitoring? (definitiestelling) 2 Wat is het onderscheid tussen continuous auditing en continuous monitoring? 3 Hoe kan het concept van continuous monitoring bij bedrijven met een ERP-omgeving op een concrete en structurele wijze worden toegepast? Tot slot hebben wij als reflectie beschreven hoe wij denken dat continuous monitoring zich in de toekomst zal ontwikkelen.
1.4
Het theoretische kader
Het theoretische kader van het afstudeeronderzoek is opgebouwd uit een aantal gebruikte methoden en technieken: • literatuurstudie; • het houden van interviews; • brainstormsessies. Voor de onderzoeksvragen hebben wij de volgende methoden en technieken gebruikt: 1 Wat is continuous auditing en continuous monitoring? (definitiestelling) Voor deze definitiestelling hebben wij allereerst een literatuurstudie verricht. Tijdens deze literatuurstudie hebben wij diverse vakbladen geraadpleegd zoals “de EDP-Auditor”, “Information Systems and Controls Journal” et cetera. Daarnaast zijn diverse audit vakgebied gerelateerde internetsites bezocht en wetenschappelijke onderzoeken geraadpleegd. Een overzicht
2
Continuous auditing en continuous monitoring: continuous solutions?
Teamnummer 612
van de geraadpleegde literatuur en websites is terug te vinden in de literatuurlijst. Tevens is gebruik gemaakt van collegemateriaal, dat tijdens onze studie is verstrekt. Vervolgens is een aantal interviews gehouden met medewerkers van (inter)nationale organisaties die, ten tijde van het schrijven van deze scriptie, bezig zijn met het implementeren van continuous monitoring/auditing en met collega EDP-auditors (zowel intern als extern) met als doel informatie te vergaren die niet door de literatuurstudie verkregen kon worden, maar wel van belang zijn voor de beeldvorming van de huidige situatie. 2 Wat is het onderscheid tussen continuous auditing en continuous monitoring? Voor het beantwoorden van deze deelvraag is deskresearch verricht door het bestuderen van relevante literatuur en collegemateriaal. Tevens is aan diverse personen die zijn geïnterviewd hun visie gevraagd. 3
Hoe kan het concept van continuous monitoring bij bedrijven met een ERP-omgeving op een concrete en structurele wijze worden toegepast? Voor het beantwoorden van deze deelvraag is tevens deskresearch verricht door het bestuderen van relevante literatuur en collegemateriaal. Daarnaast zijn interviews gehouden met medewerkers van (inter)nationale organisaties die bezig zijn met het implementeren van continuous monitoring/auditing en met collega EDP-auditors (zowel intern als extern).
1.5
Leeswijzer
Deze scriptie is verder als volgt opgebouwd; in hoofdstuk 2 worden de definities van continuous auditing en continuous monitoring uitgewerkt, in hoofdstuk 3 is beschreven hoe continuous monitoring kan worden geïmplementeerd en is onze visie op de toekomst beschreven. Tenslotte is in hoofdstuk 4 de conclusie opgenomen.
3
Continuous auditing en continuous monitoring: continuous solutions?
2
Teamnummer 612
Definitiestudie continuous auditing en continuous monitoring
Dit hoofdstuk gaat in op de definities van continuous auditing en continuous monitoring. In paragraaf 2.1 is een uiteenzetting van de definitie van continuous auditing opgenomen, waaronder de achtergrond van continuous auditing (paragraaf 2.1.1) en de ontwikkelingen in continuous auditing (paragraaf 2.1.2). Paragraaf 2.2 gaat in op de definitie van continuous monitoring waarbij eveneens de achtergrond van continuous monitoring (paragraaf 2.2.1) en ontwikkelingen in continuous monitoring (paragraaf 2.2.2) zijn beschreven. Vervolgens is in paragraaf 2.3 het onderscheid tussen continuous auditing versus continuous monitoring beschreven. Tenslotte is in paragraaf 2.4 de conclusie van de definitiestudie opgenomen. 2.1
Uiteenzetting definitie continuous auditing
Binnen de accountancy, consultancy en het bedrijfsleven worden diverse definities van continuous auditing gehanteerd. In deze paragraaf is een aantal gehanteerde definities nader uiteengezet. Achtereenvolgens zijn de gehanteerde definities van de volgende organisaties uiteengezet: • consultantsbureau (Tryllian); • Instituut voor Interne Auditors (IIA); • overkoepelende organisatie voor gecertificeerde information system auditors (ISACA); • overkoepelende organisatie voor gecertificeerde public accountants (AICPA); • een grote multinationale (financiële instelling); • een groot accountantskantoor. Definitie consultantsbureau “Continuous auditing is een functionele implementatie van business process monitoring (bpm) en business activity monitoring (bam). Continuous auditing is een set van methodieken en hulpmiddelen waarbij continu audits worden uitgevoerd op transacties en processen. De verantwoordelijkheid voor het uitvoeren van continuous auditing ligt bij een interne auditor en de externe auditor.” Bron: www.tryllian.com
Definitie Instituut voor interne auditors “Continuous auditing is a method used to perform control and risk assessments automatically on a more frequent basis. Continuous auditing changes the audit paradigm from periodic reviews of a sample of transactions to ongoing audit testing of 100 percent of transactions. It becomes an integral part of modern auditing at many levels.” “Continuous monitoring of controls has to be performed by management of an organization whereas continuous auditing has to be performed under the responsibility of CAE (Chief audit executive) of an internal audit department.” Bron: the institute of internal auditors: www.theiia.org
4
Continuous auditing en continuous monitoring: continuous solutions?
Teamnummer 612
Definitie ISACA “Continuous auditing has been defined as a methodology or framework that enables auditors (external and internal) to provide written results on the subject matter using one or a series of reports issued simultaneously. The ability to report on events in a real-time or near real-time environment can provide significant benefits to the users of audit reports. Continuous auditing is therefore designed to enable auditors to report on subject matter within a much shorter timeframe than under the traditional model. Theoretically, in some environments it should be possible to decrease the reporting timeframe to provide almost instantaneous auditing.” Bron: www.isaca.org
Definitie AICPA “Continuous auditing is a methodology that enables independent auditors to provide written assurance on a subject matter using a series of auditors’ reports issued simultaneously with, or a short period of time after, the occurrence of events underlying the subject matter.” A continuous auditing relies heavily on information technology. While the continuous auditing concept is over a decade old, rapid advancements in technology have now made continuous auditing more feasible. Examples of this technology include broad bandwidth, web application server technology, web scripting solutions, and ubiquitous database management systems with standard connectivity. “ Bron: AICPA research report
Definitie grote multinational “Continuous auditing is een methode die in een korte periode op een geautomatiseerde manier de processen en gegevens uit de processen beoordelen aan vastgestelde voorwaarden. Deze werkzaamheden worden uitgevoerd door een interne auditor of de externe accountant die onafhankelijk is, niet direct betrokken is bij het bedrijfsproces en een directe rapportagelijn heeft richting het managementboard ” Bron: Directeur application management, gehouden interview
Definitie groot accountantskantoor (big-four) “Continuous auditing is een methodologie waarmee (onafhankelijke) auditors een schriftelijke verklaring over een bedrijfsactiviteit kunnen afgeven, op basis van een reeks controlerapporten die (bijna) gelijktijdig met het plaatsvinden van de bedrijfsactiviteit beschikbaar zijn. Bron: Partner accountant, gehouden interview
5
Continuous auditing en continuous monitoring: continuous solutions?
Teamnummer 612
Conclusie Uit de diverse definities die door toezichthoudende organisaties, interne audit afdelingen, accountantskantoren, het bedrijfsleven, et cetera worden gehanteerd blijkt het volgende: • de verantwoordelijkheid van continuous auditing ligt bij de auditor. Deze verantwoordelijkheid kan zowel zijn belegd bij de interne auditor (indien de organisatie beschikt over een eigen onafhankelijk opererende interne audit afdeling) als bij een externe auditor (bijvoorbeeld een accountantskantoor); • terwijl een interne en externe auditor nu periodiek een audit uitvoert op de systemen en de transacties, voorziet continuous auditing in een methode om deze audits meerdere keren per periode (bijvoorbeeld per dag) geautomatiseerd uit te voeren. De audits die kunnen worden uitgevoerd zijn divers (afhankelijk van het object van onderzoek en de betrouwbaarheidsaspecten); • continuous auditing is een methodologie waarbij de resultaten van de audit op een bedrijfactiviteit gelijktijdig, of op een korte periode na het plaatsvinden van de bedrijfsactiviteit, beschikbaar zijn; • het toepassen van continuous auditing kan de betrouwbaarheid van de informatie verhogen, gezien bij het uitvoeren van geautomatiseerde controles een dekking van 100% van de transacties kan worden gerealiseerd; • continuous auditing kan zowel parallel als simultaan worden uitgevoerd met continuous monitoring, waarbij dezelfde transacties en resultaten kunnen worden gebruikt. Continuous auditing is een set methoden die auditors (zowel intern als extern) gebruiken om op continue basis te auditen. Dit betekent het detectief testen van transacties gebaseerd op vooraf gedefinieerde criteria. Het identificeren van afwijkingen en het rapporteren hiervan aan het management, Raad van Bestuur (RvB) en/of Raad van Commissarissen (RvC) is de verantwoordelijkheid van de auditor. Hierbij is van belang dat de auditor zich conformeert aan haar beroepsregels bij het uitvoeren van continuous audits en de interpretatie van de resultaten. De auditor kan onder meer als financial auditor (accountant), EDP-auditor en operational auditor optreden. Dit is afhankelijk van het object en de doelstelling van het onderzoek en de kwaliteitsaspecten waarop de continuous audits worden uitgevoerd.
2.1.1
Achtergrond continuous auditing
In de dagelijkse praktijk dienen organisaties zorg te dragen voor een transparante verantwoording van hun activiteiten en financiën. De externe wet- en regelgeving versterkt deze noodzaak. De interne controlemaatregelen die een organisatie heeft getroffen om haar bedrijfsprocessen te beheersen dienen bij een accountantscontrole en onder meer door de wet- en regelgeving op een periodieke basis te worden getoetst.
6
Continuous auditing en continuous monitoring: continuous solutions?
Teamnummer 612
Organisaties hebben in haar controlesysteem vaak relatief veel interne controlemaatregelen geïmplementeerd in informatiesystemen. Van deze specifieke geprogrammeerde controlemaatregelen dient de werking te worden aangetoond. Randvoorwaardelijk voor het steunen op geprogrammeerde controlemaatregelen zijn effectieve IT general controls (als change management en logische toegangsbeveiliging, zie ook bijlage II). Het testen van de geprogrammeerde controlemaatregelen (“application controls”) kan op verschillende manieren plaatsvinden (zie bijlage II voor een beschrijving). De “traditionele” manier van het testen van de beheersingsmaatregelen (controls) vindt plaats op een cyclische basis, vaak een aantal maanden later dan de business activiteiten hebben plaatsgevonden. De testprocedures zijn vaak gebaseerd op een zogenaamde “sampling approach”. Voor EDP-auditors omvat dit vaak het toetsen van de general IT controls, application controls en eventueel zogenaamde IT dependent manual controls (zie ook bijlage II). De laatste jaren neemt de noodzaak echter toe voor een hoger niveau van assurance en is de vraag ontstaan om de controles op continue basis te toetsen. Deze vraag is mede het gevolg van: • de aangescherpte (externe) wet- en regelgeving (zoals Sarbanes-Oxley, hierna te noemen SOx, zie ook bijlage V); • de nieuwe ontwikkelingen op het gebied van corporate governance; • de globalisering van de bedrijfsactiviteiten en bedrijfsvoering; • sterkere behoefte aan transparantie en zekerheid en actuele financiële informatie; • de marktdruk om efficiënter te kunnen opereren om zo de kosten te kunnen beheersen en te kunnen blijven concurreren hierbij speelt ook de vraag naar het reduceren van de kosten voor interne controle . De toenemende vraag naar een hoger niveau van assurance door zowel het management van de organisatie, de controlerende accountant als toezichthoudende instanties (DNB, AFM, overheid, et cetera) kan leiden tot een hoger kostenniveau voor de organisatie. Afhankelijk van het type controlemaatregel (handmatig, automatisch, zie bijlage II), neemt de frequentie van de toetsing van deze controlemaatregel, die jaarlijks dient te worden uitgevoerd, toe. Daarnaast dienen auditors deze controles op een groot aantal locaties uit te voeren omdat grote multinationals decentraal zijn georganiseerd en beschikken over een grote diversiteit van verschillende soorten informatiesystemen. Organisaties kunnen een ERP-oplossing hebben geïmplementeerd, maar kunnen tevens beschikken over “legacy”/mainframesystemen die reeds tientallen jaren operationeel zijn, hierdoor kunnen de uit te voeren auditwerkzaamheden worden bemoeilijkt. Om aan de toenemende vraag aan assurance en interne beheersing op een effectieve en efficiënte (kostenbeheersende) wijze te kunnen voldoen, is het wenselijk om de controles uitgevoerd door auditors op een continue (geautomatiseerde) basis in plaats van op een periodieke (vaak handmatige) basis uit te laten voeren. Bij het uitvoeren van controles op continue basis kan, door het tijdig signaleren van fouten extra aanvullende audit werkzaamheden te verrichten en/of compenserende controlemaatregelen te identificeren, worden vastgesteld of de risico’s daadwerkelijk zijn opgetreden. Daarnaast zal de auditee (de organisatie) sneller en wellicht meer
7
Continuous auditing en continuous monitoring: continuous solutions?
Teamnummer 612
nauwkeurig over eventuele geconstateerde deficiënties worden geïnformeerd om zo tijdig een remediation plan op te kunnen stellen.
2.1.2
Ontwikkelingen in continuous auditing
In deze paragraaf is een analyse van de ontwikkelingen in continuous auditing opgenomen vanaf een aantal jaren geleden tot heden. De noodzaak voor organisaties om zorg te dragen voor een tijdige en continue verantwoording dat controles effectief werken en risico’s binnen bedrijfs- en financiële processen door deze controles worden gemitigeerd is niet nieuw (zie bijlage IV voor de ontwikkeling van continuous auditing en continuous monitoring in de loop der jaren). In praktijk blijkt dat de interne auditor van grote organisaties (bijvoorbeeld grote multinationals) de beheersingsmaatregelen binnen en rondom de informatiesystemen niet op een jaarlijkse basis testen maar hiervoor een twee- of driejaar cyclus hanteren. Daarnaast blijkt dat een aantal informatiesystemen nog nooit zijn getest (bijvoorbeeld door het uitvoeren van een system audit). Dit redenen hiervoor zijn divers; vaak zijn capaciteit-, kennis en kosten kwesties de oorzaak van het hanteren van een dergelijke cyclus. Een hulpmiddel bij bijvoorbeeld het toetsen van beheersingsmaatregelen is het inzetten van audit tools. Audit tools en/of Computer Assistant Audit Techniques (CAAT’s) worden binnen accountantskantoren ook vaak gebruikt voor het uitvoeren van gegevensgerichte werkzaamheden. Deze werkzaamheden kunnen geautomatiseerd worden uitgevoerd, zodat op een efficiënte manier controles kunnen worden verricht. Hierbij kan worden gedacht aan geautomatiseerde selectie van te controleren transacties door middel van steekproeven of selectie van transacties met bijzondere kenmerken. Tevens kunnen CAAT’s worden ingezet voor bijvoorbeeld het toetsen van de werking van interne controlemaatregelen. Hierbij kan gedacht worden aan het narekenen van complexe berekeningen (met diverse uitzonderingssituaties), excepties, het testen van interfaces, etc. In praktijk blijkt dat de inzet van audit tools en/of CAAT’s eveneens kan worden toegepast voor continuous auditing en continuous monitoring. Immers, deze tools kunnen worden gebruikt om invulling te geven aan een permanente monitoring van het goed functioneren van significante controlemaatregelen. Auditors zijn dan ook bezig om CAAT’s nu zodanig in te richten, zodat het voor continuous auditing doeleinden kan worden gebruikt. In onderstaand kader is een praktijkvoorbeeld van het toepassen van CAAT’s opgenomen. Een veelgebruikte preventieve interne controle is het toekennen van belangrijke bevoegdheden in geautomatiseerde systemen aan een specifieke groep personen. In de praktijk blijkt dat vooral het bewaken dat de instelling van deze bevoegdheden correct blijft, lastig is uit te voeren, zeker wanneer het aantal gebruikers groot is. Bijvoorbeeld bij interne jobrotaties binnen (grote) organisaties blijkt dat de “oude” bevoegdheden niet worden verwijderd maar uitsluitend extra autorisaties worden toegekend die nodig zijn voor het uitoefenen van de nieuwe functie. Ook bij
8
Continuous auditing en continuous monitoring: continuous solutions?
Teamnummer 612
het (tijdelijk) toekennen van extra hoge bevoegdheden voor bijvoorbeeld het plegen van onderhoud of het corrigeren van inconsistenties in het bedrijfsproces, blijkt in praktijk vaak dat deze bevoegdheden achteraf niet (tijdig) worden ontnomen. In de praktijk heeft de externe auditor met behulp van CAAT’s (in dit geval ACL) een controle uitgevoerd of de gewenste functiescheiding door middel van deze toegangscontrole is gerealiseerd in een omgeving met vele duizenden transacties per dag en een groot aantal gebruikers. Dit heeft de externe auditor gedaan door de transacties van een aantal dagen op te vragen, te analyseren om vervolgens vast te stellen dat invoer en autorisatie van transacties door verschillende gebruikers heeft plaatsgevonden. Ook bij bijvoorbeeld een inkoopproces zijn CAAT’s bij een organisatie door de externe auditor ingezet door de transactiegegevens te analyseren en excepties in het perspectief te plaatsen van het totale transactievolume. Los van het feit om bijvoorbeeld nadruk te leggen op de tabellen waarin de vaste gegevens (static data) zijn opgeslagen.
Bron: interview partner accountant groot accountantskantoor.
Door de vergaande automatisering van de transactieverwerking en door de integratie van de verschillende verwerkingsstappen is het niet altijd meer mogelijk om met de tot dusverre gebruikelijke controlemiddelen achteraf een goed inzicht te krijgen in de verschillende verwerkingsstappen, inclusief de daarbij uitgevoerde interne controles, die hebben plaats gevonden. Met behulp van continuous auditing is het echter wel mogelijk om tijdens de transactieverwerking waarnemingen te doen, zodat alsnog de verschillende verwerkingsstappen en daarbij uitgevoerde interne controles zichtbaar worden gemaakt en kunnen worden onderworpen aan controle door de auditor. Hierdoor kan de transparantie en zekerheid worden vergroot en zijn de resultaten van de effectiviteit van controlemaatregelen bijna direct zichtbaar, waardoor hier ook op kan worden geanticipeerd. Door de toenemende behoefte aan actuele financiële informatie, transparantie en zekerheid en het reduceren van de kosten van de auditwerkzaamheden, zal de vraag naar het toepassen van continuous auditing toenemen. Daarnaast neemt de noodzaak toe om aan te kunnen tonen dat organisaties “in control” (zie ook bijlage I) zijn. Toezichthoudende instanties en organisaties die continuous auditing willen toepassen zullen onder meer eisen dat een deskundige en onafhankelijke auditor de gegevens (over transacties): • vertrouwelijk behandeld; • zo efficiënt mogelijk conform onder meer de geldende wet- en regelgeving worden getoetst; • de integriteit van de gegevens waarborgt.
9
Continuous auditing en continuous monitoring: continuous solutions?
2.2
Teamnummer 612
Uiteenzetting definitie continuous monitoring
Voor het begrip continuous monitoring worden diverse definities gehanteerd. Achtereenvolgens zijn de gehanteerde definities van de volgende organisaties uiteengezet: • consultantsbureau en softwareleverancier(ACL); • Instituut voor interne auditors (IIA); • overkoepelende organisatie voor gecertificeerde information system auditors (ISACA); • een multinational (grote financiële instelling); • een groot accountantskantoor. Daarnaast zijn voor het begrip monitoring de gehanteerde definities uiteengezet van de volgende organisaties: • COSO; • Federale overheidsdienst financiën België; Definitie ACL “Continuous monitoring of controls is a process that management puts in place to ensure that its policies and procedures are adhered to, and that business processes are operating effectively. Continuous monitoring typically involves automated continuous testing of all transactions within a given business process area against a suite of controls rules.” Bron: www.acl.org
Definitie IIA “Continuous monitoring refers to the process that management puts in place to ensure that the policies, procedures and business processes are operating effectively”. Bron: the institute of internal auditors: www.theiia.org
Definitie ISACA “Continuous monitoring is an automated process that regularly validates the accuracy and/or validity of transactions to provide ongoing feedback/assurance to management as to the effectiveness of internal controls. The end result of continuous monitoring is to obtain information about the performance of a process, system or data, not the issuance of an audit report. As a result, there are key differences.” Bron: www.isaca.org
Definitie grote multinational “Continuous monitoring is een methode die in een korte periode op een geautomatiseerde manier de processen en gegevens uit de processen kan beoordelen aan vastgestelde voorwaarden, waarbij deze werkzaamheden worden uitgevoerd door het management al dan niet direct betrokken bij of verantwoordelijk voor het onderhavige bedrijfsproces. Deze methode verhoogt de betrouwbaarheid van de informatie die wordt verstrekt aan diverse
10
Continuous auditing en continuous monitoring: continuous solutions?
Teamnummer 612
partijen (bijvoorbeeld rapportages aan het management) gezien de controles worden uitgevoerd op alle ruwe data (transactieniveau).” Bron: Directeur application management,. gehouden interview
Definitie groot accountantskantoor (big-four) “Continuous monitoring is niets anders dan continuous auditing, met het verschil dat de verantwoordelijkheid is belegd bij het management en de uitvoering ook plaatsvindt door functionarissen betrokken binnen de bedrijfsprocessen van de organisatie. Bij continuous auditing wordt een (geautomatiseerde) audit uitgevoerd door de auditor.” Bron: Partner accountant, gehouden interview
Definities monitoring: Definitie COSO “Monitoring is a process that assesses the quality of the internal control process over time. This is accomplished through ongoing monitoring activities, separate evaluations or a combination of the two.” Bron: www.coso.org
Definitie Federale overheidsdienst financiën België “Monitoring is het continue proces van overzicht van de consequente en juiste werking van de interne controlemaatregelen. Deze monitoring kan door het management zelf gebeuren of uitbesteed worden aan een onafhankelijk orgaan (bijv. audit). monitoring maakt integraal deel uit van het interne controlesysteem . Bovendien kan het management en het personeel zelf de werking van het intern controle systeem evalueren via een bepaalde methodiek, Control Self Assessment genaamd (CSA).” Bron: http://minfin.fgov.be
Conclusie In deze verschillende definities zien we een aantal aspecten terugkomen: • het is een geautomatiseerd proces (verzameling van gerelateerde activiteiten met hetzelfde doel); • de verantwoordelijkheid van continuous monitoring ligt bij het management van de betreffende organisatie; • de uitvoering kan bij het management liggen, maar kan ook elders in de organisatie zijn ondergebracht of zelfs zijn uitbesteed; • het toepassen van continuous monitoring kan, net als bij het toepassen van continuous auditing, de betrouwbaarheid van de informatie verhogen, gezien bij het uitvoeren van geautomatiseerde controles een dekking van 100% van de transacties kan worden gerealiseerd; • het wordt gezien als proces met als doel de bedrijfsprocessen, procedures en policies zo efficiënt mogelijk op te stellen. Hierbij kan gebruik worden gemaakt van geautomatiseerde controles;
11
Continuous auditing en continuous monitoring: continuous solutions?
•
•
Teamnummer 612
het verschil tussen continuous monitoring en (standaard) monitoring is dat continuous monitoring een geautomatiseerd proces is waarbij monitoring zelf als een handmatig proces kan worden gezien. Traditioneel wordt periodiek door het management handmatig en achteraf getoetst of haar controlemaatregelen toereikend zijn. In grote organisaties kan dit zijn uitbesteed aan een operational risk management afdeling. De toetsing wordt direct gerapporteerd aan het management. Continuous monitoring vindt weliswaar plaats nadat bijvoorbeeld transacties hebben plaatsgevonden (detectief), maar kunnen gedurende het proces plaatsvinden; continuous monitoring wordt in relatie gebracht met interne controle. Interne controle wordt uitgevoerd om te voorkomen dat binnen organisaties door onvolledige of incorrecte gegevens een verkeerd beeld ontstaat, waardoor verkeerde beslissingen kunnen worden genomen. Interne controle heeft als doel om redelijke mate van zekerheid te geven aan het behalen van de bedrijfsdoelstellingen: • effectieve en efficiënte bedrijfsprocessen; • betrouwbare en actuele financiële rapportages; • voldoen aan de geldende wet- en regelgeving.
Naast de terugkomende aspecten, is het opmerkelijk dat continuous monitoring op twee verschillende manieren kan worden geïmplementeerd: 1 als controleactiviteit (controleregel). In dit geval is continuous monitoring onderdeel van de interne controle en wordt gebruikt als een detectieve controle. Een voorbeeld hiervan is een controleregel dat automatisch controleert op dubbele betalingen. 2 als doel om inzicht te verkrijgen in de juiste werking van de interne controle. In dit geval wordt continuous monitoring gebruikt als toetsingsmechanismen van het (gehele) interne controle systeem. Hierbij is continuous monitoring een detectieve controle op de effectiviteit en efficiëntie van het interne controle systeem zelf. Een voorbeeld hiervan is als continuous monitoring wordt ingezet voor het testen van geautoriseerde limieten.
2.2.1 Achtergrond continuous monitoring Zoals in de vorige paragraaf is aangegeven is continuous monitoring onderdeel van het interne controle systeem. Interne controle dient binnen organisaties altijd aanwezig te zijn, in eerste instantie is het er op gericht om te zorgen dat de interne informatie correct is, zodat het management op basis van juiste gegevens beslissingen neemt. In tweede instantie wordt door interne controle ook de gegevens gecontroleerd die een bedrijf naar buiten brengt. De aangescherpte wet- en regelgeving (zie bijlage V) heeft vaak grote impact op de interne controle van organisaties. Het systeem voor interne controle moet onder meer fouten en fraude kunnen detecteren en kunnen garanderen dat de juiste informatie op tijd bij de juiste (daartoe geautoriseerde) personen terechtkomt. Het is voor organisaties van belang dat de interne controle zo effectief mogelijk is ingericht en wordt uitgevoerd. Voor het opzetten van effectieve interne controle systemen maken organisaties vaak gebruik van standaard raamwerken. Voorbeelden
12
Continuous auditing en continuous monitoring: continuous solutions?
Teamnummer 612
hiervan zijn COSO, COBIT, SAC en SAS90. Deze raamwerken hebben hetzelfde doel, maar de toepassing en de doelgroep verschilt per raamwerk. Zo zijn COSO en COBIT vooral raamwerken die gebruikt worden door het management, terwijl SAC en SAS90 meer gebruikt worden door de (interne en externe) auditors. In alle gevallen geldt dat het management verantwoordelijk blijft voor de interne controle. Voor ons onderzoek hebben wij als voorbeeld het COSO raamwerk verder uitgewerkt. Veel organisaties kiezen ervoor om het COSO raamwerk voor interne beheersing te implementeren. Dit raamwerk biedt een gestructureerde aanpak van interne controle door het proces onder te verdelen in vijf onderling afhankelijke componenten: • “Control environment”, deze eerste component kan worden gezien als de basis van het COSO raamwerk. Het omvat de controlecultuur in een organisatie, waaronder de integriteit en de competenties van de leidinggevenden, de managementfilosofie en stijl en de manier waarop verantwoordelijkheden en bevoegdheden toegekend worden. • “Risk assessment”, de tweede component. Risk assessment begint met het identificeren van risico’s die een rol spelen bij het behalen van de bedrijfsdoelstellingen. Het vereist het evalueren van interne- en externe factoren, en de impact hiervan op de operationele processen, de financiële rapportages en compliance. • “Control activities”, de derde component. Deze component bestaat uit alle procedures en beleidsmaatregelen die ervoor zorg dragen dat de bedrijfsdoelstellingen worden gehaald. Deze controle activiteiten dienen door de gehele organisatie te zijn opgenomen en te worden uitgevoerd voor het beheersen en/of mitigeren van de risico’s. • “Information & communication”, deze vierde component zorgt ervoor dat binnen de organisaties alle personen over de benodigde informatie beschikken om effectief hun verantwoordelijkheden uit te kunnen dragen. • “Monitoring”, de laatste component waarin ervoor wordt gezorgd dat de interne controls periodiek worden geanalyseerd om te zorgen voor een effectief en efficiënt interne controle systeem. Bij de COSO componenten “control activities” en “monitoring” kan continuous monitoring een belangrijke rol spelen. Continuous monitoring kan worden geïmplementeerd als: a) de controle activiteit (controleregel). Wanneer een continuous monitoring test controleert op dubbele betalingen, dan is er sprake van een detectieve controle activiteit en dan is het continuous monitoring onderdeel van de COSO component “control activities”. b) het testen van de controle. Als continuous monitoring wordt ingezet voor het testen van bijvoorbeeld geautoriseerde limieten, dan test het de controle zelf en is het een detectieve controle op de effectiviteit en efficiëntie van het interne controle systeem zelf. Deze manier van testen is onderdeel van de COSO component “monitoring”.
13
Continuous auditing en continuous monitoring: continuous solutions?
2.2.2
Teamnummer 612
Ontwikkelingen in continuous monitoring
Diverse organisaties zijn al jaren bezig om continuous monitoring (zowel als controle activiteit als het testen van de controles) uit te voeren. De eerste vorm van continuous monitoring was het implementeren van code aan bestaande software met als doel dat de software zichzelf periodiek controleerde en analyseerde of er problemen waren. Deze vorm wordt “embedded audit modules” genoemd, maar het concept is nooit echt aangeslagen omdat het implementeren en het onderhoud teveel kosten met zich mee bracht en het te veel programmeertijd kostte (zie bijlage IV voor de ontwikkeling van continuous auditing en continuous monitoring in de loop der jaren). Terwijl de technologische ontwikkeling van de technologie en de technologische infrastructuur van bedrijven steeds sneller en beter werd, namen ook de pogingen voor het opzetten van een effectief interne controle systeem toe. Bij grote organisaties werden steeds meer Enterprise Resource Planning (ERP) systemen ingevoerd voor de ondersteuning van haar (primaire) bedrijfsprocessen. Deze ERP-systemen hebben controlemechanismen ingebouwd en kunnen, in de ideale situatie, zo worden ingericht dat deze controlemechanismen een effectief stelsel van geprogrammeerde controlemaatregelen bevat. In de praktijk bleek echter dat tijdens implementaties van ERP-systemen onvoldoende aandacht werd gegeven aan de inrichting van dergelijke controlemechanismen. Zelfs wanneer deze controlemechanismen adequaat waren ingericht, vonden gebruikers na verloop van tijd manieren om deze controlemechanismen te omzeilen of aan te passen. Hierdoor bleef de wens naar een effectief controlemechanisme bestaan. In de loop der jaren stellen organisaties steeds meer eisen aan de interne controle voor wat betreft juistheid en tijdigheid van informatie. De huidige handmatige monitoringsactiviteiten nemen veel tijd in beslag nemen en, omdat het een manueel proces is, bestaat de kans dat de monitoring fouten bevat of dat fraude niet opgemerkt wordt tijdens het monitoringsproces. Al deze ontwikkelingen hebben ertoe geleid dat organisaties het nut en de noodzaak van continuous monitoring inzien en deze ook willen implementeren of zelfs al aan het implementeren zijn. Een beschrijving van de manier waarop continuous monitoring kan worden geïmplementeerd is terug te vinden in hoofdstuk 3. Hieronder volgt een voorbeeld ter illustratie van het toepassen van continuous monitoring binnen een organisatie: In de “klassieke” manier van “monitoren” zijn de verantwoordelijke functionarissen binnen een organisatie gericht op het periodiek uitvoeren van bepaalde controleactiviteiten. De frequentie van deze controle is afhankelijk van het type bedrijfsproces. In onderstaand figuur is voor de controleomgeving van de voorraadpositie van een organisatie weergegeven, waarbij op een periodieke basis controleactiviteiten worden uitgevoerd.
14
Continuous auditing en continuous monitoring: continuous solutions?
Teamnummer 612
Gedurende een bepaalde periode (t1 – t2) wordt gecontroleerd of de voorraadpositie niet kleiner is dan het geldende acceptatieniveau. Bij de eerste monitoringscontrole (audit 1) is de voorraad toereikend. Bij de tweede monitoringscontrole (audit 2) blijkt echter dat de huidige voorraad beneden het geldende acceptatieniveau ligt. Zoals in het figuur is te zien is het op het moment van controleren de voorraad al enige tijd beneden het acceptatieniveau. Bij het toepassen van continuous monitoring ziet de figuur er als volgt uit:
In bovenstaande figuur is weergegeven dat de controlewerkzaamheden nu op continue basis (geautomatiseerd) worden uitgevoerd. Op continue basis wordt nu gecontroleerd of de voorraad niet onder het daartoe geldende acceptatieniveau ligt. Mocht blijken dat de positie onder het acceptatieniveau dreigt te komen, wordt dit gesignaleerd en wordt het management tijdig gewaarschuwd.
15
Continuous auditing en continuous monitoring: continuous solutions?
2.3
Teamnummer 612
Onderscheid continuous auditing versus continuous monitoring
In de definitiestudie en gehouden interviews is gebleken dat de termen continuous auditing en continuous monitoring veel door elkaar worden gebruikt, maar dat vaak hetzelfde wordt bedoeld. Toch is wel degelijk een onderscheid tussen de twee termen te maken.
2.3.1
Vergelijking definities
De IIA maakt het volgende onderscheid: “Continuous monitoring is management-driven and continuous audit is audit-driven. Continuous monitoring is a process used as part of the control structure part of the COSO monitoring role. Continuous auditing is part of the assurance process — an aspect of audit.” Bron: the institute of internal auditors: www.theiia.org
Binnen de accountancy is het volgende onderscheid gemaakt tussen continuous auditing en continuous monitoring: “Continuous auditing is een set methoden die accountants gebruiken om op continue basis te auditen. Dit betekent het testen van transacties gebaseerd op een vooraf gedefinieerde criteria. Het identificeren van afwijkingen en het rapporteren hiervan aan het management en RVC is de verantwoordelijkheid van de accountant.” “Continuous monitoring is een methode die het management gebruikt om bij te dragen aan zijn vertrouwen in de bedrijfsvoering. Hierbij wordt gefocussed op de controleomgeving als geheel en niet uitsluitend op transacties. Het management is verantwoordelijk voor de beheersing van haar interne controleomgeving.” Bron: koninklijk Nederlands instituut van Registeraccountants: www.nivra.nl
Voor onze afstudeerscriptie zullen wij de volgende inhoud geven aan deze begrippen: “Continuous auditing wordt door auditors gebruikt als een methode voor het uitvoeren van audits op een meer continue basis, terwijl continuous monitoring door het management wordt gebruikt om de controledoelstellingen te behalen. Zowel continuous auditing en continuous monitoring zijn processen die transacties vergelijken aan voorgeschreven criteria (normen), afwijkingen constateert en rapporteert. Bij continuous auditing gebeurt dit onder verantwoordelijkheid van de auditor, bij continuous monitoring ligt de verantwoordelijkheid bij het management. Continuous monitoring kan daarnaast ook worden gebruikt als onderdeel van de COSO component “monitoring”, waarbij continuous monitoring wordt gebruikt als een proces om het interne controle systeem zo effectief mogelijk te laten verlopen (hierbij worden de controles zelf getoetst op effectiviteit).”
16
Continuous auditing en continuous monitoring: continuous solutions?
2.3.2
Teamnummer 612
Relatie tussen continuous auditing en continuous monitoring
Het continuous monitoringsproces kan zowel de organisaties zelf (het management) evenals de auditors helpen hun doelstellingen met betrekking tot interne controle te realiseren. Het management is verantwoordelijk voor het implementeren en onderhouden van een effectief interne controle systeem. Continuous monitoring geeft het management zekerheid dat het controle systeem effectief werkt en onmiddellijk actie kan worden ondernomen om fouten (in bijvoorbeeld de invoer of verwerking van transacties) te verhelpen, voordat het problemen worden. Interne en externe auditors zijn verantwoordelijk voor het auditen of het management op een verantwoorde wijze haar controle uitvoert. Omdat continuous monitoring onderdeel uitmaakt van het interne controle systeem, dienen auditors zich ervan te verzekeren dat het interne controle proces effectief is en dat erop kan worden gesteund. Hierdoor kunnen auditors het resultaat van continuous monitoring gebruiken om de effectiviteit van het interne controle proces te toetsen. In onderstaande figuur is de relatie tussen continuous auditing en continuous monitoring weergegeven.
Bron: onderzoeksrapport AICPA
Zelfs wanneer bedrijven continuous monitoring hebben geïmplementeerd, zal er nog periodiek een audit door een auditor moeten worden verricht voor het verkrijgen van assurance. De auditor zal wel deels kunnen steunen op de werking van continuous monitoring. Hierdoor zal de audit effectiever en efficiënt verlopen. Wanneer de auditor zelf gebruik maakt van continuous auditing voor het uitvoeren van de auditing werkzaamheden, wordt ook wel gesproken over “continuous assurance”. Continuous assurance heeft als doel om assurance op een zo effectief, efficiënt en tijdig mogelijke manier te verkrijgen (zie onderstaand figuur).
17
Continuous auditing en continuous monitoring: continuous solutions?
Teamnummer 612
Bron: www.iia.org
2.3.3
Praktijkvoorbeeld toepassing continuous auditing en continuous monitoring
In het onderstaande kader is een praktijkvoorbeeld opgenomen voor het toepassen van continuous monitoring binnen een groot verzekeringskantoor in combinatie van continuous auditing door de interne en externe accountant. Journal entry testing In 2006 zijn de richtlijnen van de accountantscontrole ten opzichte van het detecteren van fraude aangescherpt. ISA240 schrijft voor dat accountants bij controles van jaarrekeningen over periodes beginnend op of na 15 december 2004 specifieke controlewerkzaamheden opzet om in te kunnen spelen op het risico van doorbreking van interne beheersingsmaatregelen door de leiding van de organisatie. De achtergrond van deze bepaling is dat leidinggevenden vaak in een bijzondere positie verkeren om fraude te plegen, omdat zij in staat zijn direct of indirect de financiële administratie te manipuleren en een jaarrekening op te stellen die frauduleus is beïnvloed door interne beheersingsmaatregelen te doorbreken die voor het overige goed blijken te werken. Hoewel de omvang van het risico van het doorbreken van interne beheersingsmaatregelen door de leiding verschilt per organisatie, is het risico in alle organisaties aanwezig en vormt het een belangrijk risico voor een afwijking van materieel belang als gevolg van fraude. Hierdoor zijn de controlewerkzaamheden gericht op journaalposten (‘journal entry testing’) verder uitgebreid. De controlerende accountant is verantwoordelijk voor het uitvoeren van een aantal gedetailleerde analyses op alle journaalposten die zijn geboekt in het controlejaar. Hiertoe is het noodzakelijk een extractie te ontvangen van alle journaalposten uit het grootboek van de organisatie. Bij grote organisaties zal vaak sprake zijn van complexe omgevingen (zoals SAP). Eveneens zal de omvang van de op te vragen bestanden (vaak uit diverse tabellen) en het feit dat vaak gebruik wordt gemaakt van real-time verwerking van transacties en boekingen (in de financiële wereld ook wel gekenmerkt als ‘straight-through-processing’) de complexiteit van de uit te voeren analyses toenemen.
18
Continuous auditing en continuous monitoring: continuous solutions?
Teamnummer 612
Frauduleuze journaalposten of frauduleuze correctieboekingen hebben vaak bijzondere, typerende kenmerken. Dergelijke kenmerken kunnen zijn dat de posten bijvoorbeeld (a) betrekking hebben op daarmee geen verband houdende, ongebruikelijke of zelden gebruikte rekeningen, (b) zijn vervaardigd door personen die gewoonlijk geen journaalposten boeken, (c) zijn geboekt aan het einde van het jaar of als nagekomen posten met nauwelijks of geen toelichting of omschrijving, (d) zijn vervaardigd voor of gedurende het opstellen van de jaarrekening zonder dat rekeningnummers zijn vermeld, of (e) ronde getallen of consistente eindcijfers bevatten. Binnen een groot verzekeringskantoor is een toepassing geïmplementeerd waarbij automatisch (via de avond batchverwerking) alle journaalposten die een bepaalde dag zijn geboekt in het grootboek worden verzonden naar een separate omgeving op het netwerk. Binnen deze omgeving wordt direct een aantal analyses uitgevoerd op deze journaalposten. De analyses zijn scripts die geautomatiseerd worden toegepast. De analyses hebben onder andere tot doelstelling frauduleuze journaalposten of correctieboekingen te detecteren en zijn gericht op de hierboven genoemde typerende kenmerken. De uitkomsten van de analyses worden vervolgens geautomatiseerd verwerkt in een rapportage, waarin de afwijkingen per analyse op transactie (journaalpost)-niveau zijn opgenomen. Daarnaast bevat de rapportage een overzicht van het totale aantal geleverde boekingen uit het grootboek en de corresponderende bedragen in relatie tot het aantal die zijn geanalyseerd. Hierdoor is de integriteit van de data vast te stellen. De rapportage wordt dagelijks opgevolgd door een speciaal ingerichte afdeling binnen het verzekeringskantoor, dat niet primair verantwoordelijk is voor het productieproces en het boeken van journaalposten in het grootboek. Daarnaast wordt de rapportage verstrekt aan de het management van de financiële afdeling van het verzekeringskantoor. Het op continue basis “monitoren” van journaalposten door het management (waarbij uitgevoerd door een afdeling die rapporteert aan dit management) is een toepassing van continuous monitoring. De rapportage die dagelijks wordt uitgevoerd wordt tevens verstrekt aan de interne audit afdeling van het verzekeringskantoor. Deze afdeling voert tevens een aantal controles uit. Ten eerste toetst zij of het management en de specifiek ingerichte afdeling de rapportages (aantoonbaar) heeft opgevolgd. Dit is een zogenaamde ‘formele controle’, waarbij de interne audit afdeling controleert dat eventuele frauduleuze journaalposten door deze afdeling zijn uitgezocht, zijn verklaard en dat bijvoorbeeld de analyses zijn ondertekend. Daarnaast voert de interne audit afdeling een ‘materiele controle’ uit, waarbij zij zelf de eventuele fraudeleuze journaalposten opgenomen op de rapportages controleert aan de hand van bijvoorbeeld brondocumenten of brongegevens uit onderliggende (aanleverende informatiesystemen). Het op continue basis controleren (auditen) van journaalposten door de interne of externe auditor is een voorbeeld van continuous auditing. Aandachtspunten voor de interne en externe (EDP)-auditor bij het uitvoeren van de hierboven genoemde controles zijn: • IT-beheersingsmaatregelen rondom de separaat ingerichte omgeving en de automatisch
19
Continuous auditing en continuous monitoring: continuous solutions?
• •
2.4
Teamnummer 612
uitgevoerde scripts. De omgeving waarnaar de journaalposten in de batchverwerking automatisch worden overgezet dient bijvoorbeeld niet toegankelijk te zijn voor functionarissen die verantwoordelijk zijn voor het boeken van journaalposten. Daarnaast dient te worden vastgesteld dat de uitgevoerde scripts daadwerkelijk alle (volledigheid) en de correcte journaalposten en bedragen (juistheid) dezelfde dag verwerkt (tijdigheid) en wordt opgenomen op de rapportage. de hierboven genoemde controle is een voorbeeld van een IT dependent manual control (zie ook bijlage II). Hierbij dient te worden vastgesteld dat de gegevens opgenomen op de rapportage die aan de diverse partijen wordt verstrekt, integer zijn. daarnaast dient uiteraard een effectief stelsel van controlemaatregelen te zijn geïmplementeerd met betrekking tot (a) de informatiesystemen die (geautomatiseerd) boekingen aanleveren aan het grootboek (b) rondom het uitvoeren van handmatige boekingen en correctieboekingen (c) het grootboek (bijvoorbeeld logische toegangsbeveiliging, autorisaties en functiescheiding rondom en binnen het grootboeksysteem).
Conclusie definitiestudie
Nadat in de voorgaande paragrafen de gehanteerde definities van beide begrippen uiteengezet zijn, kunnen wij concluderen dat door onder meer (1) de toenemende vraag naar assurance en betrouwbaarheid van informatie met (2) zo laag mogelijke kosten en (3) de steeds strenger wordende wet- en regelgeving het voor organisaties van groot belang is te beschikken over een kwalitatief goed en toereikend intern controle systeem. Het systeem voor interne controle moet onder meer fouten en fraude kunnen voorkomen (preventief) en/of achteraf detecteren en kunnen garanderen dat de juiste informatie op tijd bij de juiste, de daartoe geautoriseerde, personen terechtkomt. Zowel continuous auditing als continuous monitoring kan worden gebruikt als controle activiteit onderdeel van het interne controle systeem. Beide worden ingezet als methode voor het vergelijken van transacties aan vastgestelde criteria (normen/controleregels), constateren afwijkingen en rapporteren deze aan dan wel het management, dan wel de (interne of externe) auditor. Daarnaast kan continuous monitoring ook worden gebruikt om de controles te toetsen met als doel het gehele proces van interne controle zo effectief mogelijk in te richten en wordt het als de COSO component “monitoring” gebruikt. Een auditor kan tijdens een audit steunen op een effectief ingerichte continuous monitoring, wat een vermindering in te besteden tijd en kosten met zich mee kan brengen tijdens reguliere audits.
20
Continuous auditing en continuous monitoring: continuous solutions?
3
Toepassing van continuous monitoring
3.1
Inleiding
Teamnummer 612
Zoals beschreven in het vorige hoofdstuk is het voor het management van groot belang dat in haar organisatie een effectief interne controle systeem is geïmplementeerd. Binnen dit interne controlesysteem dienen voldoende en juiste controlemaatregelen te worden toegepast, om ervoor te zorgen dat aanwezige risico’s (zoals financiële, operationele en bedrijfsrisico’s) binnen de bedrijfsprocessen worden gemitigeerd. Deze controlemaatregelen worden, onafhankelijk van het type controle (handmatig of geautomatiseerd), periodiek uitgevoerd. Hierbij is het zelfs mogelijk dat een aantal (handmatige) controles meerdere keren per dag moeten plaatsvinden. (denk hierbij bijvoorbeeld aan het uitvoeren van een tweede controle op de invoer van een polis bij een verzekeringsmaatschappij). In de praktijk blijkt dat de controlemaatregelen veelal manueel van aard zijn en daardoor tijdrovend en foutgevoelig zijn. In termen van een optimaal effectief audit- en controle proces, heeft deze traditionele werkwijze zeker beperkingen. Om deze beperkingen tegen te gaan en het controlesysteem meer effectief in te richten, kan worden gekozen voor het continue monitoren van de transacties. Hierdoor kan tijdens, of onmiddellijk nadat een transactie heeft plaatsgevonden, de controle worden uitgevoerd waardoor afwijkingen direct worden geconstateerd en gerapporteerd. Voor grote en middelgrote organisaties worden regelmatig geïntegreerde ERP-systemen regelmatig voor het ondersteunen van de bedrijfsprocessen. Hierbij is het van belang dat het ERP-systeem betrouwbaar, effectief en efficiënt is om “in control” te zijn (zie bijlage I voor een uiteenzetting van de term “in control” gericht op het gebruik van ERP-systemen). Wanneer continuous monitoring wordt ingezet bij organisaties met een ERP-systeem lijkt het dat sprake is van redundantie, immers een ERP-systeem zelf bevat veelal interne controlemechanismen met diverse (geprogrammeerde) controlemaatregelen. In de praktijk blijkt echter dat deze interne controlemechanismen veelal niet (juist) zijn geïmplementeerd of dat de gebruikers manieren hebben gevonden om deze interne controlemechanismen te omzeilen of aan te passen. Door continuous monitoring binnen ERP-systemen te implementeren worden bovenstaande problemen opgelost waardoor het interne controle systeem betrouwbaarder wordt. Als voorbeeld is in de volgende figuur weergegeven hoe continuous monitoring binnen een ERP-systeem is geïmplementeerd. In deze figuur is weergegeven dat na het uitvoeren van een transactie deze direct wordt getoetst aan de vooraf opgestelde controleregels (normen). Bij een kritische overschrijding van deze controleregels, zal er direct een melding van deze issue naar het management plaatsvinden waarna het management direct actie op de overtreding zal ondernemen. Wanneer niet een kritische overschrijding, maar bijvoorbeeld een verdachte transactie wordt uitgevoerd wordt door het continuous monitoringssysteem een analyse gedaan van deze transactie met de historische data. Op basis van de uitgevoerde analyse stelt het monitoringssysteem een
21
Continuous auditing en continuous monitoring: continuous solutions?
Teamnummer 612
bevinding op. Deze bevinding zal aan het management worden gemeld waarna het management de juiste actie onderneemt.
Bron: onderzoeksrapport ACL
3.2
Implementatie continuous monitoring
Het implementeren van continuous monitoring zal verlopen door middel van een implementatie van een continuous monitoring tool (paragraaf 3.2.1). Het implementatieproces dient te verlopen volgens de standaard implementatieproces stappen verlopen (project voorbereiding, opstellen blueprint, implementatie/bouw, voorbereiden voor go-live, go-live en nazorg). Voor ons onderzoek zijn wij niet concreet op het implementatieproces zelf ingegaan, maar hebben wij de implementatiestrategie met de benodigde mijlpalen (paragraaf 3.2.2) beschreven. 3.2.1
Tools
Voor ondersteuning van het continuous monitoringsproces wordt gebruik gemaakt van continuous monitoring tool(s). Het lijkt een logische stap om voor het continuous monitoringsproces gebruik te maken van de query tools die beschikbaar zijn in het ERP-systeem zelf. Deze query tools kunnen ook gebruikt worden voor het analyseren en monitoren van transacties en data uit het ERP-systeem zelf, maar zal niet data uit andere informatiesystemen (bijvoorbeeld legacy) kunnen analyseren en monitoren. Hierdoor dienen organisaties met
22
Continuous auditing en continuous monitoring: continuous solutions?
Teamnummer 612
meerdere (verschillende) informatiesystemen tot aanschaf van een specifieke continuous monitoring tool over te gaan. Voordat begonnen wordt met de implementatie van het continuous monitoringsproces dient duidelijk te zijn aan welke eisen de tool zal moeten voldoen. Hierbij moet onder meer gedacht worden aan de mogelijkheid van de tool om: • relaties aan te brengen tussen data uit verschillende bronnen; • zeer grote data populaties te kunnen verwerken; • “dataopschoning” te doen zoals het aanpassen van veldlengtes en dergelijke (hierbij dient de data niet verwijderd te worden); • geautomatiseerd data te kunnen selecteren en testen; • verschillende rapportage mogelijkheden te kunnen genereren voor het rapporteren van geconstateerde afwijkingen/fouten; • compatible te zijn met de verschillende soorten data en informatiesystemen (inlezen en analyseren van data uit alle mogelijke informatiesystemen die aanwezig zijn binnen de organisatie). Voor het kiezen van de ondersteunende tool kan worden gekozen voor een bestaand pakket of het ontwikkelen van maatwerk. De keuze voor standaard tools wordt steeds groter en deze tools beschikken over steeds meer functionaliteiten als: • evaluatie van het interne controle systeem; • documenteren van de interne controlemaatregelen; • flowcharting; • fraude detectie/preventie (door middel van controleregels); • real time reporting; • web based reporting. Bij het selecteren van een bestaand pakket wordt op basis van de door de organisatie opgestelde eisen en wensen aan de functionaliteit, een pakketselectie traject doorlopen. Naast deze bestaande standaard pakketten kunnen bedrijven ook kiezen om zelf maatwerk software te ontwikkelen. Uit de gehouden interviews is gebleken dat voor het implementeren van de tools allereerst het interne controle systeem zelf (met alle controlehandelingen en -processen) wordt vastgelegd in de tool. Dit gebeurt in de vorm van het vastleggen van de processtappen en de controleregels. Vervolgens wordt, door middel van automatische koppelingen met het (ERP-) systeem, de analyses gedaan, afwijkingen gerapporteerd en meldingen verstuurd naar het management. Het opzetten van de tool is een eenmalig proces. Wanneer wijzigingen in de tool (bijvoorbeeld wijzigingen van de controleregels) moeten worden uitgevoerd, dan dient hiervoor door geautoriseerde personen het change managementproces te worden doorlopen. Tevens is de logische toegangsbeveiliging in de tools een aandachtspunt (welke personen zijn geautoriseerd tot het aanpassen van de normen).
23
Continuous auditing en continuous monitoring: continuous solutions?
3.2.2
Teamnummer 612
Implementatiestrategie
Voor een succesvolle implementatie van het continuous monitoringsproces (voor zowel “control activity” als “control monitoring”) dient een implementatiestrategie te worden opgesteld. De implementatie zelf zal worden uitgevoerd in de vorm van een implementatieproject en door een projectorganisatie worden uitgevoerd. Tijdens het implementatietraject is het van groot belang om vooraf de randvoorwaarden van het project duidelijk te hebben gedefinieerd om zoveel mogelijk knelpunten die tijdens het project kunnen gaan spelen (zie paragraaf 3.3) af te dekken. Bij de implementatiestrategie zijn een zestal mijlpalen op te stellen: 1. Identificeer de projectsponsor en de projecteigenaar Het is van groot belang duidelijk te hebben wie de projectsponsor en projecteigenaar (zowel tijdens als na de implementatie) zullen zijn. In de praktijk blijkt dat veel onenigheid is over wie verantwoordelijk is voor monitoring, is dit alleen het management of is deels ook de interne auditor verantwoordelijk? Afhankelijk van het antwoord op deze vraag zal de sponsor van het project de financiële afdeling, of de interne auditor zijn. Om hulp en medewerking van het management te krijgen is het van groot belang om het management van de financiële afdeling te informeren over de voordelen van continuous monitoring en een overzicht te hebben van zowel de kosten in geld, tijd en de benodigde kennis/personen. 2. Afbakening van het project door middel van het definiëren van een scope Wanneer bedrijven ERP-systemen hebben geïmplementeerd lijkt het logisch om als scope voor het continuous monitoringsproces het gehele bedrijfsproces mee te nemen (het is immers geïntegreerd in één systeem). In de praktijk blijkt echter dat een grote hoeveelheid werk met zich mee brengt bij het in kaart brengen van de aanwezige en benodigde data elementen . Wanneer bij de eerste implementatie van continuous monitoring de organisatie in wordt gedeeld in segmenten en per segment vervolgens continuous monitoring wordt geïmplementeerd, levert dit de volgende voordelen op: • na implementatie in een bepaald segment kan een evaluatie plaatsvinden of de implementatie voldoet aan de gestelde eisen. • de hoeveelheid benodigde (technische) kennis wordt beperkt omdat per segment wordt geanalyseerd van welke gegevensbron de data afkomstig is. • voor de eerste implementatie van continuous monitoring kan een segment worden gekozen waarvan het waarschijnlijk is dat door de implementatie een groot aantal onopgemerkte controle problemen/fouten aan het licht komen waarbij grote bedragen een rol spelen. • de implementatie- en personeelskosten zijn beperkt. 3. Implementatie van het project in een eerste pilot In een bepaald segment van de organisatie zal het proces als eerste worden opgezet in de vorm van een pilot. Deze pilot zal als best practice dienen voor de implementatie bij de overige segmenten van de organisatie. Bij het selecteren van het pilot segment, spelen een aantal criteria:
24
Continuous auditing en continuous monitoring: continuous solutions?
• •
• •
Teamnummer 612
bekendheid met het segment. Doordat de projectleden bekend zijn met het segment en weten wat hierbinnen speelt en welke informatiesystemen er aanwezig zijn, zal het project sneller worden doorlopen. mogelijkheid voor het ontdekken van issues. Wanneer door implementatie van continuous monitoring blijkt dat grote geldstromen ten onrechte “verdwijnen” zal het project grote belangstelling binnen de organisatie krijgen. Een voorbeeld van een proces waar veel issues uit voort kunnen komen is bijvoorbeeld het “Purchase to Payment” proces binnen het ERP systeem. overeenstemming met organisatiedoelstellingen. Wanneer het Raad van Bestuur in haar strategie besloten heeft de focus te leggen op een bepaald proces, is het verstandig om dit proces als pilot mee te nemen voor het continuous monitoringsproces. mogelijkheid voor data analyse. Sommige aspecten bieden betere mogelijkheden voor data analyse dan anderen. Voor de pilot dient men een segment te kiezen waar goede mogelijkheden voor data analyse aanwezig is.
4. Compatibiliteit met de technologie Tijdens het implementatietraject dienen organisaties te beslissen of er eigen maatwerksoftware zal worden ontwikkeld of dat men een standaard tool zal gaan gebruiken. In beide gevallen wordt een analyse van de aan de tool gestelde eisen en wensen verricht. Daarnaast wordt een inventarisatie van de huidige hard- en software verricht en wordt, indien noodzakelijk, additionele technologie aangeschaft. 5. Analyseer hoe de toegang tot de data kan worden verkregen Tijdens het implementatieproject worden de koppelingen van de tool met de informatiesystemen gelegd. Het proces van het verkrijgen van toegang tot bepaalde data kan moeilijk en tijdrovend zijn. Door gebrek aan (technische) kennis en mogelijke technische beperkingen kan deze fase van het traject een grote uitdaging zijn. Nadat de tool juist is opgezet en de koppelingen met de informatiesystemen zijn gemaakt, wordt de data extractie en data conversie uit de (verschillende) systemen getest op juistheid en volledigheid. 6. Stel de criteria op voor de rapportage van fouten/afwijkingen Om continuous monitoring zo effectief mogelijk te maken dient het tijdige en juiste meldingen te geven indien afwijkingen van de controleregels worden opgemerkt. Het is hierbij van groot belang dat duidelijk wordt gedefinieerd wanneer afwijkingen worden gerapporteerd en aan wie, dit om te voorkomen dat het management wordt overladen met allerlei rapportages. Het opstellen van deze rapportageregels dient uitvoerig te worden getest, waarbij de testcriteria zo realistisch mogelijk worden ingesteld en alleen, op basis van prioriteit, kritische overtredingen/afwijkingen direct worden gerapporteerd. Ook dient hierbij rekening te worden gehouden met de tijdigheid van de rapportages. De meest effectieve manier van rapportage (die door de technologie kan worden ondersteund) dient te worden gekozen. Een voorbeeld van een effectieve manier van het rapporteren van afwijkingen is door middel van email notificatie. Bij het definiëren van de manier waarop de afwijkingen worden vermeld, dient ook te worden bepaald wanneer de rapportages aan wie worden gerapporteerd. De SOx kritische overtredingen
25
Continuous auditing en continuous monitoring: continuous solutions?
Teamnummer 612
dienen bijvoorbeeld direct aan het management te worden gerapporteerd, terwijl de minder kritische overtredingen tijdens periodieke rapportages aan het management kunnen worden gerapporteerd. 3.3
Knelpunten/randvoorwaarden toepassing continuous monitoring
Om de implementatie en werking van het continuous monitoringsproces zo effectief mogelijk te maken, moet er tijdens de implementatie al rekening worden gehouden met de knelpunten die kunnen spelen bij het proces. Om deze knelpunten te voorkomen worden randvoorwaarden opgesteld. De knelpunten zijn onder te verdelen in de OPAFIT aspecten (Organisatie, Personeel, Administratieve Organisatie, Financiën, Informatie en technologie). Organisatie Het grootste knelpunt is de complexiteit van de organisaties zelf. Bij het implementeren van continuous monitoring is het voor organisaties moeilijk om de organisatie onder te verdelen in losse segmenten. Het is vooral de loskoppeling van de organisatie in segmenten wat de meeste tijd en kennis gaat kosten. Daarom dient vooraf in het implementatieproject allereerst als randvoorwaarde te zijn opgesteld dat de organisatie in segmenten is onderverdeeld. Na onderverdeling in de segmenten kan de stapsgewijze implementatie (per segment) uitgevoerd worden. Ook kunnen onduidelijkheden over de verantwoordelijke van het interne controle systeem een knelpunt zijn. Wanneer het niet duidelijk is wie verantwoordelijk is voor de interne controle, zal er geen projecteigenaar- en sponsor worden gevonden. Als randvoorwaarde voor het project dient dan ook te worden gesteld dat de verantwoordelijke voor de interne controle van de organisatie bekend is. Personeel Het ontbreken van kennis en ervaring op het gebied van het implementeren van continuous monitoring, maar ook van de interne bedrijfsprocessen en van de verschillende informatiesystemen is een knelpunt tijdens het implementatietraject. Hoewel het niet waarschijnlijk is dat alle benodigde kennis van de implementatie, de bedrijfsprocessen en de informatiesystemen in huis is, dient deze wel als randvoorwaarde in het implementatietraject terug te komen. Voor het verkrijgen van personeel met kennis en ervaring op het gebied van continuous monitoring kunnen (gespecialiseerde) externe consultants worden ingehuurd. De mensen met kennis van de bedrijfsprocessen zijn bijvoorbeeld de afdelingshoofden van de verschillende afdelingen, deze dienen bij het implementatieproject te worden betrokken. Voor kennis van de aanwezige informatiesystemen kan personeel van de IT afdeling worden ingeschakeld. Indien de IT afdeling geen tijd vrij kan maken om deel te nemen in het project, dan dienen externe consultants met kennis en ervaring van de informatiesystemen te worden ingehuurd. Tevens kan een interne audit dienst ondersteuning bieden in dergelijke trajecten. Zij hebben vaak zowel proces als projectkennis en kunnen eveneens als quality-assurance rol in het project worden betrokken.
26
Continuous auditing en continuous monitoring: continuous solutions?
Teamnummer 612
Administratieve Organisatie Tijdens het implementatietraject wordt de tool ingericht met de processtappen en de controleregels. Omdat het interne controle systeem van de organisatie hierbij als basis dient, is het van groot belang dat het interne controle systeem aanwezig is. Dit zal dan ook als randvoorwaarde moeten terugkomen. Op basis van de in het interne controle systeem aanwezige controleregels worden de controleregels in de tool gedefinieerd. Bij het ontbreken van bepaalde controleregels zal het interne controle systeem door middel van een risicoanalyse moeten worden geanalyseerd, vastgelegd worden in de tool en de additionele controleregels worden opgezet. Omdat het interne controle systeem zo effectief mogelijk dient te zijn ingericht wordt deze periodiek geanalyseerd. Uit deze analyse kan blijken dat bepaalde controleregels niet (juist) zijn ingesteld. Wijzigingen in de tool (bijvoorbeeld wijzigingen in de controleregels) worden door middel van change management uitgevoerd. Hierbij is het van groot belang dat de controleregels dynamisch zijn ingesteld en dit dient dan ook in een randvoorwaarde en als aan de tool gestelde eis, terug te komen. Een ander knelpunt dat kan spelen bij zowel de implementatie als het tijdens het continuous monitoringsproces zelf is de rapportage. Indien te veel rapportages naar het management wordt opgeleverd bestaat de kans dat het management niet naar deze rapportages zal kijken. Daarnaast dient een prioriteit aan de melding te worden gekoppeld. Meldingen met een zeer hoge prioriteit dienen onmiddellijk aan het management te worden doorgespeeld zodat het management direct actie kan ondernemen(zoals kritische SOx gerelateerde issues). Dit dient dan ook als randvoorwaarde terug te komen. Zowel de verantwoordelijkheden voor het inrichten en onderhouden van controleregels als het opvolgen van rapportages n.a.v. continuous monitoringproces dienen in de organisatie te zijn belegd. Hierbij moet duidelijk zijn welke functionarissen zowel eindverantwoordelijk zijn alsmede operationeel verantwoordelijk zijn voor de uitvoering. Financiën De kosten voor het “in control” zijn voor de wet- en regelgeving zijn de laatste jaren enorm gestegen. Organisaties hebben grote investeringen gedaan.. Als randvoorwaarde dient dan ook te zijn opgesteld dat voldoende budget vrijgemaakt wordt voor het implementatietraject. Hiervoor dient het management overtuigt te worden van het nut een noodzaak voor continuous monitoring. Na de eenmalige investeringen in continuous monitoring blijven kosten bestaan voor het onderhoud. Wanneer echter duidelijk aan de organisaties kan worden gemaakt dat de totale kosten voor de interne controle minder worden door bijvoorbeeld het ontdekken van problemen/fouten (bijvoorbeeld tijdens de pilot), dan zal het management de voordelen voor onder andere de Return On Investment (ROI) zien en enthousiast worden voor (verdere) implementatie van het traject. Het volgende figuur laat het verloop van de kosten zien wanneer het standaard (handmatige) controle systeem wordt gebruikt. Hierbij ziet men dat wanneer er weinig controles zijn, het de organisatie ook niet veel kost. Maar wanneer het aantal controles toeneemt, lopen de kosten al
27
Continuous auditing en continuous monitoring: continuous solutions?
Teamnummer 612
snel op (hierbij is de effectiviteit van het interne controle systeem niet meegerekend). Organisaties hebben de laatste jaren alleen nog maar een toename van de controlemaatregelen gehad, waarbij ook de totale kosten zijn toegenomen.
Bron: onderzoeksrapport ACL
Onderstaand figuur laat vervolgens zien hoe de ROI eruit zal zien bij de implementatie van continuous monitoring. Uit de figuur blijkt dat continuous monitoring een positieve bijdrage levert aan de zekerheid, immers (grote) fouten worden (eerder) ontdekt, waarbij eerder actie kan worden ondernomen om de fout te herstellen. Daarnaast valt uit onderstaand figuur af te lezen dat ook bij implementatie van veel geautomatiseerde controles, de kosten hiervoor niet zeer snel zullen toenemen. Deze voordelen dienen zeker voordat met het implementatietraject wordt gestart aan het management te worden gecommuniceerd zodat zij ook hun volledige medewerking zullen geven aan het traject.
Bron: onderzoeksrapport ACL
28
Continuous auditing en continuous monitoring: continuous solutions?
Teamnummer 612
Informatie Een knelpunt wat tijdens de implementatie kan spelen is de toegang tot de data. Zo mogen de bedrijfsprocessen geen hinder ondervinden van de extractie van de data uit de systemen, de data dient vertrouwelijk te worden behandeld en niet gemuteerd te worden. Daarom dienen ook aan de data(extractie) randvoorwaarden te worden gesteld. Ook kan de gegenereerde informatie (rapportages) als een knelpunt worden gezien, immers een overkill aan te gedetailleerde informatie kan ervoor zorgen dat er niets met de continuous monitoringsrapportage zal worden gedaan. Bij de eerste implementatie van het proces dient men ervoor te zorgen dat de op te leveren rapportages niet te ambitieus worden opgesteld en dat er niet op te veel dataniveaus wordt gerapporteerd. Technologie Het is mogelijk dat voor de implementatie van continuous monitoring nog niet alle benodigde technologie in huis is. Omdat de bedrijfsprocessen geen hinder mogen ondervinden van het continuous monitoringsproces, is het van groot belang dat vooraf wordt geanalyseerd of de huidige ICT voldoet aan de aan continuous monitoring gestelde eisen. Dit dient als randvoorwaarde terug te komen. Indien blijkt dat de huidige ICT onvoldoende is, dienen additionele investeringen in de ICT te worden gedaan voordat met tot de daadwerkelijke implementatie over gaat.
3.4
Voorbeeld implementatie continuous monitoring
Organisaties richten zich binnen haar in te richten “monitoringsproces” vaak op uitzonderingslijsten. Deze lijsten bevatten bijvoorbeeld overzichten van afwijkingen in voorraadposities en worden periodiek ter controle verstrekt aan een verantwoordelijke lijnmanager. Er bestaat een risico dat de posten opgenomen op dergelijke lijsten niet inhoudelijk worden beoordeeld door bijvoorbeeld gebrek aan tijd of prioriteit door de verantwoordelijke functionaris. Een toereikend monitoringsmechanisme richt zich op het gehele proces, waarbij uitzonderingen binnen dit proces worden gesignaleerd. Hierbij dienen de uitzonderingen te worden gepositioneerd en te worden gerelateerd aan de totale volume/doorstroom. Vooral voor een financiële afdeling is een geringe afwijking in relatie tot het totale volume wellicht niet materieel. Een voorbeeld van de implementatie van continuous monitoring, waarbij procesbeheersing centraal staat is de volgende: De introductie van nieuwe verwerkingskanalen binnen het betalingsverkeer (Target en EBA) heeft binnen een aantal banken in Nederland tijdelijk geleid tot een toename van niet goed verwerkte betalingsopdrachten. Deze betalingsopdrachten moesten vaak handmatig alsnog worden verwerkt. Door de inzet van extra personeel zijn deze achterstanden vervolgens weggewerkt.
29
Continuous auditing en continuous monitoring: continuous solutions?
Teamnummer 612
Dit probleem laat zien dat de procesbeheersing van het betalingsverkeer niet optimaal was. Er werd een signaal gegeven op het moment dat iets mis dreigde te gaan in het verwerkingsproces, als gevolg van een onverwachte situatie of verandering. Pas op het moment dat escalatie had plaatsgevonden werd actie ondernomen om de problemen op te lossen (een detectieve aanpak). Een grootbank heeft mede naar aanleiding van het hierboven geschetste probleem een nieuw managementinformatie- en besturingssysteem (hierna: MIS) voor de afdeling betalingsverkeer geïmplementeerd. Dit systeem koppelt verschillende betalingsverkeerprocessen aan elkaar en draagt hierdoor bij tot procesbeheersing. Goede procesbeheersing is een belangrijke voorwaarde om te werken aan bijvoorbeeld efficiencyverbetering. Het MIS genereert diverse overzichten, waarbij met stoplichten (groen, geel en rood) is aangegeven of de ingestelde normen worden overschreden. Indien betalingsopdrachten in negatieve zin afwijken van de norm, wordt dit in het systeem aangegeven met rood. Voldoen de betalingsopdrachten aan de gestelde norm, dan wordt het in groen weergegeven. De veiligheidsmarge daartussen wordt aangegeven met geel. Voorbeelden van deze overzichten die op dagbasis kunnen worden gegenereerd zijn: • doorlooptijd: het aantal verwerkte betalingsverkeertransacties binnen de gestelde tijd; • efficiency: het volledig geautomatiseerd verwerken van de betalingsopdrachten (het zogenaamde ‘straight-through-processing’) in relatie tot het aantal menselijke handelingen; • foutloosheid: het aantal, dat niet efficiënt zijn aangeleverd en hoeveel niet verwerkbaar zijn (bijvoorbeeld storneringen of niet-herkende transacties). Dit systeem registreert de registraties van de dag ervoor. De feitelijke gebeurtenissen van de vorige werkdag worden ’s nachts automatisch verzameld. De transactiegegevens worden in een database opgeslagen. Vervolgens worden de gebeurtenissen geconfronteerd met de ingestelde normen. Deze normen zijn gebaseerd op de gemeten resultaten per verwerkingsproces in het betalingsverkeer. Het MIS van deze bank bevat functionaliteit waardoor de gebruiker kan inzoomen op dat deel van het proces waarbij de resultaten niet aan de norm voldeden. Vervolgens kunnen gerichte maatregelen worden getroffen. In het hierboven genoemde voorbeeld brengt het MIS het geautomatiseerde verwerkingsproces van begin tot eind in beeld en geeft daarmee de MIS-gebruiker de mogelijkheid het proces te sturen. De bank heeft dus een continuous monitoringsmethode geïmplementeerd voor het betalingsverkeer, waarbij verschillende processen met elkaar zijn gekoppeld en hierdoor meer inzichtelijk werden. Daarnaast fungeert deze methode als vangnet voor een aantal mogelijke fouten die tijdens de procesgang kunnen optreden. Mogelijke handicaps ten aanzien van bijvoorbeeld IT (een veelfout aan gekoppelde informatiesystemen en interfaces), menselijk handelen (handmatig ingrijpen), “afdelingsdenken” en traditioneel werken afdelingen (organisaties denken in verantwoordelijkheden en in afdelingen, terwijl de gehele procesgang vaak afdelingoverstijgend is), kunnen hierdoor beter worden afgevangen. Hierbij wordt dus niet gedacht in afdelingen, maar op de levenscyclus van transacties. Tevens is direct inzichtelijk welke inconsistenties binnen het proces optreden waardoor sneller (proactief) kan worden geanticipeerd op situaties die de verwerking nadelig zouden kunnen beïnvloeden. Concreet kan
30
Continuous auditing en continuous monitoring: continuous solutions?
Teamnummer 612
de MIS-gebruiker tijdig nagaan of in een bepaald proces structureel iets niet goed gaat en kan hij daarin op een gerichte wijze verbeteringen aanbrengen.
3.5
Visie op de toekomst
Bij het geven van onze visie op de toekomst hebben wij allereerst een volwassenheidsmodel opgesteld en aangegeven in welke stadia de organisaties zich nu bevinden en wat onze toekomstvisie hiervan is. Vervolgens hebben wij beschreven welke verdere ontwikkelingen wij in de tijd verwachten. 3.5.1 Niveaus van continuous monitoring Het is gebleken dat er verschillende niveaus bestaan van continuous monitoring. Deze verschillende stadia waar organisaties zich in kunnen bevinden is te vertalen naar een volwassenheidsmodel (zie onderstaande figuur).
Op dit moment worden de controle activiteiten nog vaak handmatig uitgevoerd. Hierbij wordt handmatig getoetst of de uitkomsten van een proces (object van onderzoek) voldoen aan de door het management gehanteerd norm. Het signaleren van de afwijkingen gebeurt hierbij vaak nog handmatig door de uitvoerende functionaris. De organisatie bevindt zich dan in het eerste niveau (handmatig). In het volgende niveau (basis) wordt een deel van de controle activiteiten automatisch doorgevoerd. Hierbij wordt automatisch getoetst of de uitkomsten voldoen aan de gekozen norm. Bij het constateren van een afwijking wordt een bijbehorend foutsignaal verzonden naar de daartoe verantwoordelijke functionaris, die vervolgens (handmatig) actie dient te ondernemen.
31
Continuous auditing en continuous monitoring: continuous solutions?
Teamnummer 612
In het derde niveau (analyse) worden de uitkomsten automatisch vergeleken met eerdere uitkomsten (de historie van gegevens met betrekking tot de getoetste controlemaatregel). Hierdoor kan een schifting worden gemaakt tussen bijvoorbeeld afwijkingen die regelmatig voorkomen en uitzonderingen. Op het vierde niveau (intelligentie) worden patronen gelegd op historische gegevens van bedrijfsinformatie. Hierbij kan gebruik worden gemaakt van bijvoorbeeld datamining. Voordat ruwe data te transformeren is naar Management Informatie is het noodzakelijk de bruikbaarheid hiervan te onderzoeken. Om tot een relevante set van data te komen is het gebruik van datamining een constructieve manier van selectie. Datamining is een manier om de inhoud van een database te analyseren. Daarbij wordt gebruik gemaakt van een combinatie van technieken waarbij kan worden geput uit de kunstmatige intelligentie en de statistiek. Met datamining worden snel verbanden ontdekt, gelegd en toonbaar gemaakt. De gegevens worden automatisch geïnterpreteerd en vertaald naar de juiste actie (afhankelijk van de voorspelbaarheid van de gehanteerde normen). Tot slot zal in het laatste niveau (actie) sprake zijn van neurale netwerken, waarbij automatisch (nog voordat de transactie is voltooid) actie wordt ondernomen indien constatering van kritische afwijkingen. Bij het binnen krijgen van een foutsignaal zal het besturende orgaan zo nodig de koers van het systeem bijstellen. In onderstaande tabel is opgenomen welke toepassingen en implementaties van continuous monitoring beschikbaar zijn of we verwachten, zoals ook hierboven beschreven. Eveneens zijn bij elke toepassing voorbeelden gegeven van mogelijke signaleringsvormen. Basis Niveau Omschrijving Zijn controles die ontwikkeld zijn om eenvoudige processen te kunnen controleren. Voorbeeld: .
Geprogrammeerde controle die controleert of de voorraad niet hoger of lager dan 100 is.
Analyse intelligentie Zijn controles die Zijn controles die in staat zijn om patronen kunnen gegevens leggen op het (uitkomsten) te proces en de analyseren. gegevens of de natuurlijke taal van het systeem kennen. Een index van een Expertsystemen. tabel of een relatie met verschillende tabellen.
Actie Zijn controles die het fysieke denkproces van het biologische brein (“Artificial Intelligence”) simuleren. Neurale netwerken.
32
Continuous auditing en continuous monitoring: continuous solutions?
Niveau Te ondernemen actie
Basis Trigger rapport Alarm Monitor (stoplichtmethode)
Analyse Trigger rapport Alarm Monitor (stoplichtmethode)
intelligentie Trigger rapport Alarm Monitor (stoplichtmethode)
Teamnummer 612
Actie Deze controle kan zelf handelen en acties ondernemen op het informatiesysteem.
Wij hebben geconstateerd dat de meeste organisaties zich in de eerste of tweede fase bevinden. Veel controleactiviteiten worden nu handmatig uitgevoerd; er is sprake van geringe automatisering van de enkele controle activiteiten voor bepaalde ERP-systemen. Toch ontstaat er meer en meer de vraag naar het behalen van het basis niveau binnen organisaties en zien wij dat veel bedrijven bezig zijn om tot dit niveau te komen. Voor het laatste niveau in het volwassenheidsmodel; “actie”, is het de vraag of organisaties zover willen gaan. Hierbij worden door het systeem niet alleen voorstellen voor acties gedaan (zoals in de fase “intelligentie”), maar wordt tevens actie ondernomen. Het menselijk handelen en daardoor ook de menselijke intelligentie wordt hierbij uitgeschakeld. Het overgaan naar het geautomatiseerd overgaan van de interpretatie van verschillen en/of inconsistenties waarbij vervolgens geautomatiseerd actie wordt ondernomen, is in veel gevallen niet wenselijk. 3.5.2
Ontwikkeling in de tijd
De term continuous monitoring is wel bekend binnen organisaties, maar de implementatie hiervan blijft veelal achterwege. De laatste jaren hebben organisaties veel tijd en geld gestoken in het “in control zijn” voor de aangescherpte wet- en regelgeving (zoals SOx). Nu dit eenmaal is opgezet, zal het interne controle systeem continue onderhevig zijn aan veranderingen. Bij de eerste opzet van het “in control” zijn hebben organisaties ervoor gekozen om de volledigheid van de controles als belangrijkste eis te stellen. Dit heeft geresulteerd in een intern controle systeem met zeer veel (handmatige) controles die periodiek dienen worden doorlopen. Nu is de vraag ontstaan of de organisaties niet “over control” zijn (of er niet irrelevante controlemaatregelen zijn geïmplementeerd om “in control” te zijn) en bestaat de wens om het aantal controles te verminderen en het interne controle systeem zo in te richten dat alleen de strikt noodzakelijke controles worden uitgevoerd. Tijdens de analyse van de restrictie van de controleregels wordt ook bekeken of de handmatige controles niet automatisch kunnen worden uitgevoerd, om zo de foutgevoeligheid en de kosten te verminderen. Dit heeft tot gevolg dat steeds meer organisaties projecten op zetten om continuous monitoring te implementeren. Wij verwachten dat deze trend zich nog de komende jaren zal voortzetten. Niet alleen voor de primaire bedrijfsprocessen, maar ook voor de secundaire bedrijfsprocessen zullen organisaties kiezen voor het implementeren van continuous monitoring, zeker wanneer blijkt dat tijdens het pilotproject onopgemerkte problemen en/of fouten naar boven komen waarbij grote bedragen zijn
33
Continuous auditing en continuous monitoring: continuous solutions?
Teamnummer 612
gemoeid. Door het management op de hoogte te stellen van deze positieve resultaten zullen zij de voordelen van continuous monitoring inzien en hun support leveren bij verdere implementatie in de andere segmenten van de organisatie. Daarnaast zien we de trend ontstaan dat steeds meer software pakketten op de markt komen om het continuous monitoringsproces te ondersteunen. Ook de ERP-systeem leveranciers zelf zullen met “add ons” komen voor het ERP-systeem om aan de vraag van de klant te voldoen. Door deze add-on zal en het continuous monitoring onderdeel zijn van het ERP-systeem in een bepaalde module. Bij deze laatste ontwikkeling hebben wij zelf nog wel wat vraagtekens voor wat betreft de compatibiliteit met de niet standaard ERP-systemen. Het is nu nog onduidelijk of de data uit andere aanwezige (legacy) systemen ook in deze continuous monitoringsmodule van het ERPsysteem kan worden gebruikt, of dat alleen de data uit het ERP-systeem zelf kan worden gebruikt, zonder de mogelijkheid van koppelingen naar externe systemen. In dit laatste geval zal het voor organisaties dan niet mogelijk zijn om continuous monitoring binnen de gehele organisatie en voor alle segmenten en systemen te implementeren. Een belangrijk discussiepunt binnen organisaties is de betrouwbaarheid en integriteit van de data. Toezichthoudende instanties en organisaties eisen dat de gegevens (over transacties): • vertrouwelijk worden behandeld; • zo efficiënt mogelijk conform onder meer de geldende wet- en regelgeving worden getoetst; • de integriteit van de gegevens is gewaarborgd. Om aan deze eisen tegemoet te komen zullen voldoende maatregelen moeten worden genomen om de data en software alleen toegankelijk te maken voor geautoriseerde personen. Zo dient de toegang tot de ondersteunende software afgeschermd te zijn en dienen alleen geautoriseerde personen door middel van de change managementprocedure toegang te krijgen tot het bijstellen van de gedefinieerde controleregels. De huidige software die op de markt is, bevat nog niet alle functionaliteiten voor een effectief continuous monitoring systeem, of is nog niet geschikt voor alle verschillende informatiesystemen. Hierdoor zal na implementatie van het continuous monitoringsproces met bijbehorende software nog een deel van de interne controlewerkzaamheden handmatig moeten worden verricht. Ondanks dit zal het gedeelte wat wel geautomatiseerd kan worden een grote effectiviteit en efficiency slag voor de organisaties betekenen. Organisaties die continuous monitoring willen implementeren of hebben geïmplementeerd zullen steeds hogere eisen stellen. Er zullen veelal wensen en eisen zijn ter verbetering van: • de tijdigheid van de data (in de ultieme situatie zal het management al van fouten op de hoogte zijn voordat de transactie is voltooid); • de impact op de performance van de gehele IT dient gereduceerd te worden; • door steeds veranderende wet- en regelgeving dienen de controleregels goed onderhoudbaar en aanpasbaar te zijn (via een change management proces);
34
Continuous auditing en continuous monitoring: continuous solutions?
• •
3.6
Teamnummer 612
de inzet in de organisatie. Veelal is continuous monitoring allereerst in het primaire proces ingevoerd, maar na verloop van tijd dient het door de gehele organisatie te worden ingevoerd; het interne controle systeem dient zo efficiënt mogelijk te zijn ingericht, dit betekent dat de kosten zo laag mogelijk moeten zijn.
Samenvatting
Organisaties dienen zorg te dragen voor een tijdige en continue verantwoording dat beheersingsmaatregelen effectief werken en risico’s binnen bedrijfs- en financiële processen door deze beheersingsmaatregelen worden gemitigeerd. De laatste jaren neemt deze noodzaak echter toe om de beheersingsmaatregelen op continue basis te toetsen. Een toereikend (continuous) monitoringsmechanisme richt zich op het gehele proces, waarbij uitzonderingen binnen dit proces worden gesignaleerd. Door het toepassen van continuous monitoring is het mogelijk om tijdens de transactieverwerking geautomatiseerd waarnemingen te doen. Hierbij worden de verschillende verwerkingsstappen en daarbij uitgevoerde interne controlemaatregelen zichtbaar gemaakt. Eventuele deficiënties worden kunnen hierdoor bij de bron worden geïdentificeerd. Hierdoor is vrijwel direct inzichtelijk welke inconsistenties binnen het proces optreden waardoor sneller (proactief) kan worden geanticipeerd op situaties, die de geautomatiseerde gegevensverwerking nadelig kunnen beïnvloeden. De term continuous monitoring is wel bekend binnen organisaties, maar de implementatie hiervan blijft veelal achterwege. De laatste jaren hebben organisaties veel tijd en geld gestoken in het “in control zijn” voor de aangescherpte wet- en regelgeving (zoals SOx). Nu dit eenmaal is opgezet, zal het interne controle systeem continue onderhevig zijn aan veranderingen. Bij de eerste opzet van het “in control” zijn voor de aangescherpte wet- en regelgeving hebben organisaties er voor gekozen om de volledigheid van de controles als belangrijkste eis te stellen. Dit heeft geresulteerd in een intern controle systeem met veel (vaak handmatige) controles die periodiek dienen te worden doorlopen, wat veel tijd (en geld) kost. Nu is de vraag ontstaan of de organisaties niet “over control” zijn (of er niet irrelevante controlemaatregelen zijn geïmplementeerd om “in control” te zijn) en bestaat de wens om het aantal controles te verminderen en het interne controle systeem zo in te richten dat alleen de strikt noodzakelijke controles worden uitgevoerd. Tijdens de analyse van de restrictie van de controleregels wordt ook bekeken of de uit te voeren controles niet automatisch kunnen worden uitgevoerd, om zo de foutgevoeligheid en de kosten van de handmatige controles op te lossen. Dit heeft tot gevolg dat steeds meer organisatie projecten op zetten om continuous monitoring te implementeren. Verschillende technieken en ondersteunende applicaties (tools) kunnen worden gebruikt bij de implementatie van continuous monitoring. Tevens kan gebruik worden gemaakt van reeds bestaande functionaliteit die ERP-pakketten bieden op dit vlak. De implementatie van continuous monitoring is van invloed op gehele interne controleraamwerk van de organisatie, dat vaak meerdere processen raakt. Hierdoor dient de implementatie projectmatig en gefaseerd te worden
35
Continuous auditing en continuous monitoring: continuous solutions?
Teamnummer 612
aangepakt, waarbij diverse partijen binnen de organisatie betrokken zijn. Het verdient aanbeveling zowel techneuten, procesanalisten, financiële analisten en eindgebruikers (vaak lijnmanagers) te laten participeren in de projectgroep. Bij het toepassen van continuous monitoring kan onderscheid worden gemaakt in diverse niveaus. In dit volwassenheidsmodel kan een bedrijf van het handmatig monitoren groeien naar een continue geautomatiseerd monitoringsproces, waarbij naast het analyseren van gegevens zelfs automatische interpretatie en vertaling naar de juiste actie mogelijkheden worden. Wij verwachten dat deze trend zich nog de komende jaren zal voortzetten. Niet alleen voor de primaire bedrijfsprocessen, maar ook voor de secundaire bedrijfsprocessen zullen organisaties kiezen voor het implementeren van continuous monitoring. Zeker wanneer blijkt dat tijdens het pilotproject onopgemerkte problemen en/of fouten naar boven komen die tijdens de oude handmatige controles niet opgemerkt waren. Hierbij kunnen grote bedragen zijn gemoeid. Door het management op de hoogte te stellen van deze positieve resultaten zullen zij de voordelen van continuous monitoring inzien en hun support leveren bij verdere implementatie in de andere segmenten van de organisatie. Zij hebben vaak zowel proces- als projectkennis en kunnen eveneens als quality-assurance rol in het project worden betrokken.
36
Continuous auditing en continuous monitoring: continuous solutions?
4
Teamnummer 612
Conclusies en aanbevelingen
In dit hoofdstuk zijn onze conclusies en aanbevelingen opgenomen. 4.1
Conclusies
Uit de gestelde onderzoeksvraag: "continuous monitoring en continuous auditing: continuous solutions?” kan worden geconcludeerd dat de onderwerpen continuous auditing en continuous monitoring zeker niet nieuw zijn. Immers, de noodzaak voor organisaties om zorg te dragen voor een tijdige en continue verantwoording dat beheersingsmaatregelen effectief werken en waardoor de risico’s binnen bedrijfs- en financiële processen door deze beheersingsmaatregelen worden gemitigeerd, is niet nieuw. Organisaties staan in de dagelijkse praktijk bloot aan (significante) fouten, frauderisico’s en inefficiënties binnen de bedrijfsprocessen. Toch hebben de onderwerpen continuous monitoring en continuous auditing een duidelijke impuls gekregen door recente ontwikkelingen zoals de aangescherpte wet- en regelgeving en de ontwikkelingen in de techniek. Het systeem voor interne controle moet onder meer fouten en fraude kunnen detecteren en kunnen garanderen dat de juiste en volledige informatie op tijd bij de daartoe geautoriseerde personen terechtkomt. De laatste jaren neemt de noodzaak toe om de beheersingsmaatregelen op continue basis te toetsen. Met de huidige (traditionele) manier waarbij controleactiviteiten en audits vaak handmatig worden uitgevoerd, verwachten wij dat niet aan deze vraag zal kunnen worden voldaan. Het toepassen van continuous auditing en continuous monitoring kan de betrouwbaarheid van de informatie verhogen, gezien bij het uitvoeren van geautomatiseerde controles een grotere (wellicht volledige) dekking van de transacties kan worden gerealiseerd, die aan de controle worden onderworpen. Daarnaast is het mogelijk is om tijdens de transactieverwerking geautomatiseerd waarnemingen te doen. Hierbij worden de verschillende verwerkingsstappen en daarbij uitgevoerde interne controlemaatregelen zichtbaar gemaakt en kunnen vervolgens aan controle worden onderworpen. We spreken van continuous monitoring als de organisatie deze controles zelf uitvoert. Indien deze controles worden uitgevoerd door een interne of externe auditor wordt gesproken over continuous auditing. De verantwoordelijkheid van continuous auditing ligt bij de auditor, die de controleresultaten vervolgens rapporteert aan de auditee en het management of raad van commissarissen binnen de organisatie. Wij verwachten dat continuous monitoring binnen organisaties, eventueel aangevuld met continuous auditing door de auditor een grote(re) rol zal gaan spelen. Indien wij de controleactiviteiten die door organisaties worden uitgevoerd vertalen naar een volwassenheidsmodel, constateren we dat de meeste organisaties nog in het beginstadium zijn. De meeste monitoring activiteiten worden veelal handmatig uitgevoerd. Wel zijn veel organisaties bezig zijn het tweede groeistadium te bereiken, waarbij een deel van handmatige
37
Continuous auditing en continuous monitoring: continuous solutions?
Teamnummer 612
controles worden vervangen door automatisch uitgevoerde controles. Dit stadium wordt bereikt door het implementeren van continuous monitoring in één of meerdere segmenten binnen de organsatie. Hieruit kan worden geconcludeerd dat het proces continuous monitoring nog steeds in de kinderschoenen staat, maar dat het zeker zal blijven bestaan en dat het steeds meer volwassen wordt. Als controles steeds meer geautomatiseerd worden, is een adequate procesbeheersing zonder het toepassen van continuous monitoring en continuous auditing wellicht in de toekomst niet meer denkbaar.
4.2
Aanbeveling
Wij adviseren organisaties bij het implementeren van continuous monitoring om vooraf goed in kaart te brengen welke knelpunten kunnen gaan spelen tijdens (of na) de implementatie en duidelijke mijlpalen aan het project mee te geven. Dit voorkomt een hoop misverstanden, onduidelijkheden en extra kosten tijdens het implementatieproject. Voordat continuous monitoring kan worden geïmplementeerd is het noodzakelijk om een effectief interne controle systeem (op basis van een risicoanalyse) binnen de organisatie ingericht te hebben, waarvoor onder andere een eigenaar is aangewezen die verantwoordelijk is. Het verdient tevens aanbeveling bij dergelijke projecten een interne of externe auditor toe te voegen aan de projectorganisatie.
38
Continuous auditing en continuous monitoring: continuous solutions?
Teamnummer 612
Bronnen Geraadpleegde literatuur Burton D. Continuous monitoring: taking another look New Perspectives Herfst 2003 Burton D. Linking continuous monitoring to COSO New perspectives Herfst 2004 Burton D. Continuous monitoring Part III: Applicability New Perspectives Lente 2004 Burton D. Continuous monitoring Part II: Implementation New Perspectives Winter 2003 Verver J. Risk management and continuous monitoring Auditnet maart 2003 The Committee of Sponsoring Organizations of the Treadway Commision Internal Control www.coso.org Kneer D. Continuous Assurance: We are way overdue Information Systems Control Journal Volume 1, 2003 Williams P. Continuous auditing and Reporting – The fourth World Symposium Information Systems Control Journal Volume 5, 2002 ISACA Standards Boards Continuous Auditing: Is it Fantasy or Reality? Information Systems Control Journal Volume 5, 2002
1
Continuous auditing en continuous monitoring: continuous solutions?
Teamnummer 612
Coderre D, Continuous Auditing: Implications for Assurance, monitoring and Risk Assessment Global Technology Audit Guide (GTAG) Singleton T, Generalized Audit Software: Effective and Efficient Tool for Today’s audit Information Systems Control Journal Volume 2, 2006 Jamal N. Containing Corporate Governance Costs: The role of technology Information Systems Control Journal Volume 2, 2006 Sarva S. Continuous auditing through Leveraging Technology Information Systems Control Journal Volume 2, 2006 Coe M. Trust services: a better way to evaluate I.T. controls www.aicpa.org Krell E. Continuous auditing is here to stay Business Finance magazine Maart 2006 Gestel van T, Baesen B en VanThienen J. De impact van Basel II op IT Informatie, december 2004 Report from The IIA’s 2005 international conference continuous auditing Roundtable Discussion, July 2005. John Verver, Vice President ACL Building and implementing a continuous Controls monitoring and auditing Framework May 2005 Wikipedia www.wikipedia.org
2
Continuous auditing en continuous monitoring: continuous solutions?
Teamnummer 612
Geïnterviewde personen • Directeur application management groot verzekeringskantoor op 2 mei 2006; • Partner accountant groot accountantskantoor op 8 mei 2006; • Partner EDP-audit groot accountantskantoor op 9 mei 2006.
3
Continuous auditing en continuous monitoring: continuous solutions?
Teamnummer 612
Definitielijst Assurance CAAT
Basel II
Best practice
Code Tabaksblad
EAM
EDP-Audit
Externe Auditor Interne auditor ISA240
Journal Entry Testing SOx
Creëren van zekerheid over interne controle Computer Assisted Auditing Techniques (CAAT’s)) zijn analysetools en worden binnen accountantskantoren vaak gebruikt voor het uitvoeren van gegevensgerichte werkzaamheden. Voorbeelden zijn ACL en IDEA. BASEL II is een update op een ouder akkoord van het internationale bankwezen BASEL I uit 1988. Doel is het verbeteren van de internationale consistentie van de regulering van kapitaal en het promoten van een gedegen risico management binnen grote en internationaal actieve banken. Is a management idea, now out favour, which asserts that there is a technique, method, process, activity, incentive or reward that is more effective at delivering a particular outcome than any other technique, method, process et cetera. De Nederlandse corporate governance code (code Tabaksblat) is op 9 december 2003 officieel gepresenteerd. De Code omvat vijf hoofdstukken, te weten: I Naleving en handhaving van de code, II Het bestuur, III Raad van Commissarissen, IV De aandeelhouders, V Audit van de financiële verslaggeving. Embedded Audit Modules, eerste vorm van continuous monitoring was het implementeren van code aan bestaande software met als doel dat de software zichzelf periodiek controleerde en analyseerde of er problemen waren. het vakgebied dat zich bezighoudt met het beoordelen van de automatisering van de organisatie en de organisatie van de automatisering. EDP-audit is een specialisme binnen het auditvakgebied. het specialisme wordt meer en meer gevraagd bij uitvoering van accountantscontroles. Auditor is een externe instantie zoals accountantskantoor, KEMA, et cetera Auditor is onderdeel van de organisatie zelf International Standard on Auditing 240. ‘The auditors responsibility to consider fraud in an audit of financial’statements’ concentreert zich op het risico van materiële fouten in de jaarrekening door verduistering van activa of door frauduleuze financiële verslaglegging Controlewerkzaamheden gericht op journaalposten. Een Amerikaanse wet op het terrein van het bestuur van ondernemingen
4
Continuous auditing en continuous monitoring: continuous solutions?
Teamnummer 612
Overzicht bijlagen De volgende bijlagen zijn toegevoegd aan de scriptie. • • • • •
Bijlage 1: In control en ERP-systemen; Bijlage 2: Achtergronden algemeen beheersingskader; Bijlage 3: Vastlegging interviews; Bijlage 4: Geschiedenis continuous auditing en continuous monitoring; Bijlage 5: Wet- en regelgeving.
5
Continuous auditing en continuous monitoring: continuous solutions?
Teamnummer 612
Bijlage I In control en ERP-systemen In deze bijlage is een uiteenzetting van het begrip “in control” opgenomen, toegepast op een ERP-systeem. De term 'in control' wordt vaak geassocieerd met betrouwbaarheid. Echter 'in control' is meer dan alleen een juiste, volledige en geautoriseerde gegevensverwerking. Ook de mate van betrokkenheid van proceseigenaren en eindgebruikers in besluitvormingsprocessen, de hoogte van de met het ERP-systeem gepaard gaande kosten, de mate waarin de aangeboden functionaliteit wordt gebruikt, etc. zijn onderwerpen voor het 'in control' zijn van het ERPsysteem. Met andere woorden, het 'in control' zijn van het ERP-systeem betekent dat de processen en IT betrouwbaar, effectief en efficiënt worden uitgevoerd. Vooral de termen effectief en efficiënt spreken erg aan bij het management van organisaties. Concreet kan dat worden vertaald in een aantal voorwaarden waaraan een 'in control'-organisatie dient te voldoen: • beperkte dubbele registraties buiten ERP (efficiënt en effectief gebruik van het ERPsysteem); • een beperkt aantal fouten in de vaste gegevens (betrouwbare uitvoering van processen); • geen grote achterstanden in (dagelijkse) ERP-activiteiten (efficiënte en betrouwbare uitvoering van processen). Dit komt tot uiting onder andere in de aard en omvang van gebruikte tussenrekeningen, het aantal openstaande inkooporders, etc.; • het structureel gebruikmaken van controlerapporten (effectief en betrouwbaar gebruik van het ERP-systeem). Dit komt onder andere tot uiting door verschillende personen verantwoordelijk te stellen voor gebruik en opvolging van controlerapporten, bijvoorbeeld over geparkeerde documenten of afgebroken boekingen; • organisatorische functiescheiding vertaald naar autorisaties in het ERP-systeem (betrouwbare uitvoering van processen); • acceptabele managementinformatie vanuit ERP (effectief gebruik van het ERP-systeem). Managementinformatie dient te voldoen aan de verwachtingen van het management over inhoud, tijdigheid en mate van detail; • organisatie en cultuur gericht op processen (efficiënt en effectief gebruik van het ERPsysteem door de eindgebruikers en het management); • een gelijke hoogte van de IT/ERP-kosten ten opzichte van vergelijkbare organisaties (efficiënt gebruik en beheer van het ERP-systeem); • volwassen afspraken met externe service provider (betrouwbare gegevensverwerking). Dit komt tot uitdrukking in een professionele SLA waarin verantwoordelijkheden eenduidig zijn beschreven en afspraken zijn gemaakt over de manier waarop de service provider zich verantwoordt. Bron: artikel KPMG IRM
6
Continuous auditing en continuous monitoring: continuous solutions?
Teamnummer 612
Bijlage II Achtergronden algemeen beheersingskader In het interne controleraamwerk (algemeen beheersingskader) van organisaties zijn diverse controlemaatregelen geïdentificeerd, die de risico’s waar de bedrijfsvoering aan blootgesteld is dient te mitigeren. Voorbeelden van dergelijke risico’s zijn financiële-, operationele- en compliance risico’s. In dit zogenaamde stelsel van interne controlemaatregelen onderscheiden wij elkaar aanvullende en versterkende maatregelen, die zowel handmatig als geautomatiseerd kunnen worden uitgevoerd. In onderstaande figuur zijn de verschillende typen controlemaatregelen (“controls”) schematisch weergegeven:
Bron: Ernst & Young Geautomatiseerde controlemaatregelen (automated controls) 1 Controles in applicaties (application controls) zijn specifieke geprogrammeerde maatregelen van interne controle die in de toepassingsprogrammatuur en bestanden zijn geïmplementeerd ter ondersteuning van de bedrijfsprocessen, zoals invoer- en verwerkingscontroles, bestandsbeveiliging en de inrichting van de logische toegangsbeveiliging (autorisaties) in de applicaties. 2 General IT-controls zijn algemene maatregelen van interne controle die in de automatiseringsorganisatie zijn getroffen, zoals beveiligingsrichtlijnen, change management en logische toegangsbeveiliging procedures of uitwijkprocedures. Zij staan aan de basis van de (geautomatiseerde) gegevensverwerking en vormen daarmee een belangrijke grondslag voor een betrouwbare en continue gegevensverwerking. IT Dependent manual controls 1 IT Dependent manual controls zijn handmatige beheersingsmaatregelen die afhankelijk zijn van een volledige en juiste gegevensverwerking. Bij het testen van dergelijke controlemaatregelen dient zowel het automatische gedeelte als het handmatige deel te
7
Continuous auditing en continuous monitoring: continuous solutions?
Teamnummer 612
worden getoetst. Voorbeelden van deze controls zijn bijvoorbeeld signaallijsten waarvoor het informatiesysteem een berekening heeft moeten uitvoeren (controlelijsten waarin is opgenomen dat een ingevoerde polis bij een verzekeringsmaatschappij door functionaris A is ingevoerd en door functionaris B is gecontroleerd). Belangrijk is dat binnen een organisatie opvolging wordt gegeven aan deze signaallijst door de daartoe verantwoordelijke persoon. Handmatige controlemaatregelen (manual controls) Bij handmatige controlemaatregelen kan onderscheid worden gemaakt in management controls en user controls. 1 Management controls zijn algemene maatregelen van interne controle die voor de onderneming als geheel worden getroffen, zoals beleidsrichtlijnen, organisatie, verantwoordelijkheidsinstellingen en taken. 2 User controls zijn specifieke maatregelen van interne controle die binnen een bedrijfsproces door mensen (handmatig) worden uitgevoerd, zoals: narekenen, verbanden leggen signaallijst afwerken, controle op handtekeningen, etc. Daarnaast kunnen handmatige controlemaatregelen preventief of detectief van aard zijn. Preventief wil zeggen dat voor de (transactie)verwerking controles worden uitgevoerd. Detectieve controlemaatregelen vinden na de verwerking binnen het proces plaats. In de hierna volgende figuur zijn de onderscheiden aandachtsgebieden schematisch uitgelicht.
In t ern e c o n t r o l e m a a tr eg el e n
R ea lis a tie in t e rn e c o n tr o l em a a t r eg e l en
H a n d m a tig
G ea u t o m a tis e erd
S p e ci fi ek
H a n d m a tig
gericht op:
A lg em e en
Maatregel
A a n d a ch ts g eb i e d en
H a n d m a tig
G ea u t o m a tis e e rd
A lg em e en
M a n a g em en t c o n tr o ls
G e n e ra l I T c o n tr o ls
S p e c i fi ek
U s er c o n t r o ls
C o n tr o l e s in a p p lica ti es
G ea u t o m a tis e erd
Figuur: stelsel van interne controlemaatregelen Bron: Ernst & Young
8
Continuous auditing en continuous monitoring: continuous solutions?
Teamnummer 612
Bijlage III Vastlegging interviews Op verzoek zijn de interviews niet opgenomen in deze afstudeerscriptie.
9
Continuous auditing en continuous monitoring: continuous solutions?
Teamnummer 612
Bijlage IV Geschiedenis continuous auditing en continuous monitoring In deze bijlage is een samenvatting opgenomen van de ontwikkeling van de methodieken continuous auditing en continuous monitoring in de loop der jaren. In 1955 beschreef Angus Macbeath een vorm van continuous Audit als een methode die bestaande procedures controleren voor het begrotingjaar. Als gevolg van deze methode wordt elke procedure voor de begroting beschouwd als een gesloten compartiment. Macbeath verdeelde het controlewerk in kleinere stukken om het grootste deel van het werk te verlichten en de controle te beschouwen als een voortdurend proces. Hierbij werd gedacht aan een continuous Audit als een frequentere vorm op de traditionele jaarrekeningcontrole. In de jaren ’60 is begonnen met een implementatie van geautomatiseerde controles binnen software. Deze eerste vorm van continuous monitoring was het implementeren van code aan bestaande software met als doel dat de software zichzelf periodiek controleerde en analyseerde of er problemen waren. Deze vorm wordt “embedded audit modules” (EAM) genoemd, maar het concept is nooit echt aangeslagen omdat het implementeren en het onderhoud teveel kosten met zich mee bracht en het te veel programmeertijd kostte. In de jaren ’80 is begonnen gebruik te maken van applicaties die dienden als controlehulpmiddelen voor Ad hoc onderzoek en analyses, als bijvoorbeeld het geautomatiseerd uitvoeren van gegevensgerichte werkzaamheden. Deze controlehulpmiddelen werden computerassisted audit tools and techniques (CAAT's) genoemd. In deze tijd werd het begrip continuous Audit geïntroduceerd in de academische wereld. In het begin werden deze hulpmiddelen nog beperkt toegepast, ondanks dat auditors op eenvoudige wijze de softwarehulpmiddelen en technische middelen tot hun beschikking hadden. Dit had vooral te maken met de beperkte deskundigheid met betrekking tot deze hulpmiddelen. Een aantal grote accountantskantoren heeft in die tijd speciale vakgroepen opgericht om zich nader te verdiepen en te specialiseren in deze applicaties en methodes om op een gecontroleerde manier snel geautomatiseerd analyses uit te kunnen voeren. Samenvallend met deze ontwikkelingen werd ook een aantal artikelen over continuous auditing en monitoring gepubliceerd. John Kearns publiceerde het artikel " Are we ready for continuous process monitoring?" Kearns zette in dit artikel uiteen dat door de stijgende volumes van transacties en gegevens binnen informatiesystemen het belang en complexiteit van IT toeneemt. Hierdoor is het tevens van belang de betrouwbaarheid van de geautomatiseerde gegevensverwerking te garanderen. In het artikel is tevens uiteengezet dat de nadruk moet gaan liggen op tussentijdse financiële verslaglegging, het verbeteren van beheersing openbare voorlichting van interne controle en de ontwikkeling van controlehulpmiddelen die het continue auditen en monitoren van beheersingsmaatregelen haalbaar maken. In 1989 beschreven Groomer en Murthy een prototypesysteem voor continuous auditing en continuous monitoring. Zij stelden een benadering voor om geautomatiseerd een unieke controle uit te voeren op diverse technisch geïmplementeerde controlemaatregelen (onder meer beveiligingsinstellingen) in een databaseomgeving in te richten. Groomer en Murthy beschreven
10
Continuous auditing en continuous monitoring: continuous solutions?
Teamnummer 612
het gebruik van ingebedde controle modules (oftewel EAMs) die doorlopend informatie opvangen uit deze databaseomgeving en deze informatie toetste (tegen een ingestelde norm). Daarnaast definiëren Groomer en Murthy technieken zoals elektronische sensoren, software agenten (digitaal agent, mobile agent) en automatische hulpmiddelen om op geautomatiseerde wijze controles uit te voeren. In de jaren ’90 is door onder meer de American Institute of Certified Public Accountants (AICPA) een studiegroep opgericht die onderzoek doet naar continuous Audit en continuous monitoring. In 1999 heeft zij een onderzoeksrapport uitgebracht waarin onder meer de grondbeginselen, mogelijkheden en verantwoordelijkheden zijn beschreven. Vanaf deze tijd is de methodologie verder uitgewerkt en toegepast binnen en door diverse organisaties, consultants en accountantskantoren. In 2005 publiceerde het IIS (The institute of internal Auditors) een artikel over continuous Auditing. De brochure vertelde de relatie van continuous Audit, continuous Assurance en continuous monitoring.
11
Continuous auditing en continuous monitoring: continuous solutions?
Teamnummer 612
Bijlage V Wet- en regelgeving Binnen bedrijven blijken de interne en externe controles nogal eens te falen en de laatste jaren zijn een aantal schandalen aan het licht gekomen. Voorbeelden hiervan zijn het Enron schandaal, waar zowel de interne en externe controle faalde en het Ahold schandaal waar het vooral schortte aan de interne controle. Om onder meer het vertrouwen in de accountant te herstellen en fraude te voorkomen hebben overheden de wet- en regelgeving aangescherpt. Zo is een aantal nieuwe weten regelgevingen tot stand gekomen. In deze scriptie zullen wij kort ingaan op de SOx wet, code Tabaksblat en BASEL II. Sarbanes-Oxley (SOx) De SOx-wet legt tal van regels op aan bedrijven die aan een Amerikaanse beurs genoteerd zijn (en haar buitenlandse filialen, of een buitenlands bedrijf met een genoteerde vestiging). In 69 artikelen tracht de wet deugdelijk ondernemingsbestuur af te dwingen en nieuwe schandalen te voorkomen. De belangrijkste artikelen, die relevant zijn voor deze scriptie, zijn artikel 302 en 404. • artikel 302 handelt over de controle op de verspreiding van informatie (disclosures). De leiding van een bedrijf dient periodiek te rapporteren over de effectiviteit van de controles op twee niveaus: ontwerp / opzet van controles (design effectiveness) en werking (operating effectiveness). • artikel 404 stelt regels voor de interne controle en de financiële rapportering. Het management wordt verplicht om jaarlijks expliciet een uitspraak te doen over de betrouwbaarheid van de interne controles die in het bedrijf gehanteerd worden. De Chief Executive Officer (CEO, algemeen directeur), en de Chief Financial Officer (CFO, financieel directeur) moeten een formele verklaring afleggen dat alle controles waterdicht zijn (“in control” statement) en de auditor (accountant) moet naast zijn gebruikelijke taak op het gebied van de financiële verslaglegging, een expliciete verklaring toevoegen over het akkoord zijn met de uitspraken van de CFO en de CEO. Het komt er op neer dat naast de in het financiële jaarverslag er ook jaarlijks een hoofdstuk dient te staan dat de interne controle op de correctheid van de aangeboden cijfers evalueert. Bijzonder aan de wetgeving is het feit dat voor de hoofddirecties gevangenisstraffen en geldboetes dreigen wanneer zij niet aan de voorwaarden van deugdelijk ondernemingsbestuur voldoen. Ook nietAmerikaanse bedrijven moeten voldoen aan de SOx-wetgeving wanneer deze een notering hebben aan een Amerikaanse beurs. De Amerikaanse beursautoriteit Security & Exchange Committee (SEC) heeft met de invoering van SOx een speciaal orgaan in het leven geroepen dat is belast met het opstellen van audit standaarden en het zorgdragen voor de naleving van de audit standaarden, te weten de Public Company Acccounting Oversight Board (PCAOB). De PCAOB heeft haar Auditing Standard nummer 2 uitgevaardigd op welke wijze de kwaliteit van Internal Controls over Financial
12
Continuous auditing en continuous monitoring: continuous solutions?
Teamnummer 612
Reporting (ICOFR) dient te worden beoordeeld. Daarnaast is hierin opgenomen dat alle controlewerkzaamheden aantoonbaar dienen te worden vastgelegd; “niet gedocumenteerd is niet gecontroleerd”. Binnen SOx dienen de significante bedrijfsprocessen die leiden tot een financiële transactie te worden beheerst. In onderstaand kader is samengevat opgenomen welke diverse activiteiten bij organisaties, die SOx-compliant dienen te zijn per 31-12-2006, worden uitgevoerd. De scoping vangt aan met een (strategische) analyse van de organisatie als geheel. Dit betreft onder andere de analyse van de mate van homogeniteit van organisatieonderdelen en de mate van (de)centralisatie, kritieke bedrijfsprocessen en externe en interne factoren. Deze analyse resulteert in een overzicht van de relevante entiteiten en processen. Voor de relevante processen worden de key proces controls gedefinieerd, die in samenhang de integriteit van de financiële rapportage waarborgen. De key proces controls zijn een mix van preventieve en detectieve maatregelen, samengesteld op basis van een risicoanalyse. De key proces controls waarborgen met een redelijke mate van zekerheid dat fouten worden voorkomen en/of (tijdig) worden gedetecteerd en gecorrigeerd. De key proces controls vallen uiteen in handmatige controls en applicatie controls (zie ook bijlage II). Via de key applicatie controls worden de key applicaties geïdentificeerd. Hiertoe wordt vastgesteld welke (delen van) applicaties de key applicatie controls bevatten. Vervolgens wordt het samenstel van handmatige en applicatie controls geëvalueerd, rekening houdende met de gewenste mix van preventieve en detectieve maatregelen. De key applicaties kunnen zowel financiële als operationele systemen betreffen. Voor compliance aan SOx 404 is het van belang dat de organisatie aantoonbaar “in control” is. Hierbij dienen de controlemaatregelen (in het kader genoemd als ‘key proces controls’) te worden getoetst. In onderstaande tabel is opgenomen wat de minimale frequentie is van testen van controlemaatregelen conform de SOx wet- en regelgeving (bron www.pcaob.org). Nature of Control and Frequency of operation
Minimum sample size of controls (on annual basis)
Manual control, performed many times per day
30
Manual control, performed daily
25
Manual control, performed weekly
6
Manual control, performed monthly
2
Manual control, performed quarterly
2
Manual control, performed annually
Test annually
Application Control
Test one application of each application control for each type of transaction if supported by effective IT general controls (that have been tested); otherwise test 25
IT general Control
Follow guidance above for manual and automated aspects of IT general controls
13
Continuous auditing en continuous monitoring: continuous solutions?
Teamnummer 612
Het “in-control statement” in SOX 404 is als volgt gedocumenteerd: “The management is required to present a written assessment about the effectiveness of the company’s internal controls over the financial reporting”. Uit bovenstaande uiteenzetting blijkt dat de noodzaak voor organisaties om zorg te dragen voor een tijdige en continue verantwoording dat beheersingsmaatregelen binnen significante bedrijfsprocessen effectief werken door de SOx 404 wet- en regelgeving wordt versterkt en zelfs verplicht is. Het toepassen van continuous auditing door de interne en externe auditors en het toepassen van continuous monitoring door het management draagt bij aan het vergroten van de betrouwbaarheid van de informatie en het reduren van de kosten voor interne controle. Continuous auditing en continuous monitoring heeft hierbij betrekking op het testen van controlemaatregelen binnen de processen of tot het interne controle raamwerk als geheel. Code Tabaksblat De Nederlandse corporate governance code is opgesteld door een commissie onder voorzitterschap van oud Unilever topman Morris Tabaksblat. Deze wet is opgericht mede door het beursschandaal van Ahold in 2003. Kern van de nieuwe regels is dat bestuurders worden verplicht te verklaren dat de jaarrekening klopt en dat zij voortdurend “in control” zijn van de risico’s die de onderneming loopt. De Code Tabaksblat bevat geen harde bepalingen, maar een reeks principes en daaraan gekoppelde best practices. Met ingang van het verslagjaar 2004 moeten beursgenoteerde bedrijven in Nederland in een apart hoofdstuk in hun jaarverslag verantwoorden in hoeverre zij de code hebben toegepast. Het is daarbij toegestaan om van de best practises af te wijken, mits er een voor de aandeelhouders acceptabele verklaring gegeven wordt. Als de aandeelhoudersvergadering uiteindelijk het corporate governance beleid van de onderneming goedkeurt, leeft de onderneming daarmee de code na. Tabaksblat bevat geen nieuwe controlemechanismen of sancties om naleving af te dwingen; in plaats daarvan vertrouwt de code op het bestaande strafrecht en de jurisprudentie rond behoorlijk bestuur. In de best practices van de Code Tabaksblat is de volgende paragraaf opgenomen die betrekking heeft op het “in-control Statement”: “The management board shall declare in the annual report that the internal risk management and control systems are adequate and effective and shall provide clear substantiation of this.” Bron: Code Tabaksblat – Best practice II.1.4.
Ook hier neemt, door de invoering van Code Tabaksblat het belang voor organisaties om aan te tonen dat beheersingsmaatregelen effectief werken toe. Continuous auditing en continuous monitoring kunnen van toegevoegde waarde zijn om de door de organisatie getroffen beheersingsmaatregelen op een continue en geautomatiseerde basis te toetsen.
14
Continuous auditing en continuous monitoring: continuous solutions?
Teamnummer 612
Basel II Basel II is de naam van een samenwerkingsakkoord tussen banken. In 1930 is het samenwerkingsverband 'the Bank for International Settlements' (BIS) opgericht naar aanleiding van de grote problemen die Duitsland had omtrent de hoge schulden waarin zij verkeerde. Sinds het einde van de Tweede Wereldoorlog is BIS een overleg van nagenoeg de meeste Centrale Banken uit de westerse landen. BIS stelt zichzelf tot doel om solvabiliteitsposities van de Centrale Banken in de gaten te houden alswel regels op te stellen om de solvabiliteitsposities gezond te houden. De Baselse akkoorden zijn akkoorden tussen alle centrale banken over de garantie die een bank moet kunnen geven dat zij aan haar verplichtingen kan voldoen. Voor die garanties zijn solvabiliteitseisen opgesteld, eerst vervat in het Basel Kapitaalakkoord uit 1988 (Basel I). Dit eerste akkoord houdt in dat banken standaard kredietregels krijgen voorgeschreven die tot doel hebben hun solvabiliteitsposities te verbeteren. Basel II is een akkoord dat vanaf 2007 moet gelden en dat het vervolg is van het Basel I, een verdere verfijning van de regels en een aanpassing aan de veranderde situatie in de financiële wereld. Binnen de Basel II richtlijn krijgen banken de mogelijkheid om op verschillende manieren de risico's die ze lopen vast te stellen. Risico's moeten vastgesteld worden om op grond daarvan te kunnen bepalen welk percentage van het uitgeleende vermogen als zekerheid aan het aanwezige vermogen toegevoegd moet worden. Hierbij geldt; hoe lager de bijdrage, hoe beter dat de bank uitkomt daar er dan meer ruimt overblijft voor extra transacties, waar weer meer mee verdiend kan worden. De vaststelling van de risico's kent twee hoofdtypen: • op basis van algemene rating (extern); • op basis van een intern rating systeem. De eerste mogelijkheid impliceert dat de kredietnemer in een bepaalde categorie ingedeeld moet worden waarvan op de markt een risicoprofiel bepaald is dat het kredietrisico bepaalt. De tweede mogelijkheid biedt banken de optie zelf de kredietrisico's van kredietnemers te bepalen op grond van hun eigen gegevens. Dit biedt de mogelijkheden tot een verfijndere risicobepaling. De tweede optie is administratief gezien een veel zwaardere optie, het zal veel kosten om een database op te bouwen met alle (historische) gegevens voor de risicobepaling. Het komt er op neer dat een dergelijke optie alleen voor de grote banken rendabel is. Wanneer risico’s worden verminderd door maatregelen kunnen banken meer “in control” te zijn. Het implementeren en uitvoeren van deze maatregelen kan een tijdrovende bezigheid worden, vooral als veel (handmatige) controles periodiek moeten worden uitgevoerd. De implementatie van continuous monitoring en/of continuous auditing zal dan zeker uitkomt bieden. Wetgeving zoals Basel II vereisen een goede risicobeheersing en interne controle. Om te kunnen voldoen aan de wet- en regelgeving zullen organisaties haar interne processen ‘toezichthouder proof’ moeten maken. Continuous auditing en continuous monitoring kunnen van toegevoegde
15
Continuous auditing en continuous monitoring: continuous solutions?
Teamnummer 612
waarde zijn om de door de organisatie getroffen beheersingsmaatregelen op een continue en geautomatiseerde basis te toetsen.
16