Op naar ‘continuous assurance’ In het streven naar verbeterde procesbeheersing kunnen continuous monitoring en continuous audit een organisatie helpen meer transparantie en zekerheid te verschaffen over haar procesrisico’s. Dergelijke initiatieven dienen echter in breder perspectief te worden beschouwd om het optimale resultaat te behalen. Een verkenning. Wietse Roozendaal, System & Process Assurance, Assurance
1. Inleiding Een belangrijk onderdeel van goed ondernemingsbestuur of corporate governance blijft het afleggen van verantwoording aan de belanghebbenden van een onderneming. Daarbij is de verantwoording over de betrouwbaarheid van de (financiële) processen een steeds belangrijker component geworden en dit zal naar alle waarschijnlijkheid alleen maar toenemen. De meeste CFO’s en CAE’s (‘Chief Financial Officers’ en ‘Chief Audit Executives’) zijn op de hoogte van de begrippen ‘continuous monitoring’ (CM) en ‘continuous audit’ (CA) en de voordelen van dergelijke programma’s. Echter, relatief weinig ondernemingen hebben al het volledig potentieel hiervan benut. Primaire redenen zijn vaak het ontbreken van een sterke business case, of een onduidelijke visie hoe CM en CA te implementeren. Volgens de definitie in het tekstblok richt CM zich op de rapportage voor het management, en CA op de rapportage voor de internal (en external) audit. Beide hebben tot doel een grotere transparantie te verschaffen over de (proces)risico’s en hier op (meer) continue basis zekerheid
12
Spotlight Jaargang 18- 2011 uitgave 1
Continuous monitoring stelt het management in staat om continu de bedrijfsprocessen te toetsen op het beoogde risicoprofiel en de performance. Continuous audit stelt de internal en external audit in staat om continu procesdata te verzamelen en te analyseren voor controleactiviteiten.
over te verschaffen. Het huidige klimaat van stijgende ondernemingsrisico’s, aangescherpte toezichthoudereisen en compliancekosten maken het een ideaal moment om de potentiële rol van CM en CA te (her)overwegen. Maar op welke gebieden kan CM en CA worden toegepast, hoe werken beide disciplines samen en wat is de toegevoegde waarde? In dit artikel wordt ingegaan op deze vraagstukken.
2. Wat wordt onder CM en CA verstaan? Onder CM en CA wordt het volgende verstaan.
Continuous monitoring Het management voert periodiek (handmatige) monitoringwerkzaamheden uit. Met CM kan het management deze werkzaamheden meerdere keren per periode geautomatiseerd uitvoeren. CM is een feedbackmechanisme dat het management gebruikt om ervoor te zorgen dat de controles werken zoals ze zijn ontworpen, en transacties worden verwerkt zoals ze zijn voorgeschreven. Met andere woorden: het management kan met CM op effectieve wijze toezicht houden op die gebieden die het belangrijkst zijn in relatie tot de financiële, operationele en compliancedoelstellingen. Continuous audit De auditor voert zijn controle op de processen, systemen en transacties over het algemeen periodiek uit. Met CA kan hij of zij meerdere keren per periode, of zelfs op realtime basis, een geautomatiseerde controle uitvoeren: CA richt zich op het op continue basis rapporteren door internal en/of external audit over de risico’s op het gebied van IT en procesmanagement. Wanneer de auditor dan afwijkingen identificeert op de controlemaatregelen, transacties of overige procescomponenten
(zoals IT-beveiliging), kan de organisatie onmiddellijk correctieve maatregelen nemen. Met andere woorden: CA kan een sterke toegevoegde waarde leveren aan de controlefunctie van een organisatie. Continuous assurance Hoewel CA en CM niet naast elkaar binnen een organisatie hoeven te bestaan, vergroot de organisatie het rendement van deze initiatieven door ze tegelijk te implementeren. Er ontstaat dan een integratie van controle-initiatieven tussen de ‘lines of defence’ met een verbeterde samenwerking tussen management en audit. Daarbij wordt eenduidig gerapporteerd over de risico’s ten aanzien van processen en systemen en ontstaat er een helder ‘continuous-assurancebeeld’.
3. Voorbeelden toepassingsgebieden CM en CA Zoals gezegd, vergroot de organisatie met de combinatie van CM en CA primair de zekerheid over haar procesuitvoering.
CM en CA richten zich daarbij op een of een combinatie van de volgende vier hoofdgebieden:
•
Transactieverwerking De transactieverwerking binnen systemen kan met geïntegreerde of externe tools zó worden ingericht, dat de transactiestroom wordt getoetst en gemonitord. Daarbij is signalering aan de hand van controleregels mogelijk. De organisatie kan de resultaten hiervan gebruiken voor haar management- en controleprocessen.
•
Functiescheiding Binnen financiële, transactieverwerkende of ERP-systemen zijn normaliter verschillende rollen gedefinieerd die de rechten en de functiescheiding binnen de organisatie waarborgen. CM en CA kunnen zo worden ingericht dat het doorbreken van deze functiescheiding wordt gemonitord en direct wordt gerapporteerd.
Samenvatting ‘Continuous monitoring’ (CM) en ‘continuous audit’ (CA) bieden een organisatie kansen in haar streven naar verbeterde procesbeheersing. Met CM kan het management continu de bedrijfsprocessen toetsen op het beoogde risicoprofiel en de performance, en met CA kan de internal en external audit continu procesdata verzamelen en analyseren. CM en CA richten veelal op monitoring van de transactieverwerking, functiescheiding in systemen, eventueel aangevuld met monitoring van stamdata en de werking van applicatiecontrole. Hoe noodzakelijk CM en CA zijn, moet blijken uit de geïdentificeerde ondernemingsrisico’s. CM- en CA-initiatieven komen het beste tot hun recht als de organisatie ze in het perspectief plaatst van de ontwikkelingen op het gebied van procesbeheersing. De methodes hoeven niet tegelijk toegepast te worden, maar een combinatie van deze twee heeft wel een aanzienlijk beter effect.
Figuur 1: CM, CA en continuous assurance
•
Stamdata Ook de integriteit van de stamdata die in systemen zijn opgeslagen, kan worden gemonitord. Hierbij is de monitoring voornamelijk gericht op het doorvoeren van wijzigingen in de stamdata. De datakwaliteit verbetert hierdoor sterk.
•
Applicatiecontroles De organisatie kan met CM en CA de aanwezigheid, de configuratie en aanpassingen van de ingebouwde applicatiecontroles binnen een applicatie toetsen. Vaak vindt dit plaats in combinatie met de andere drie gebieden.
Continuous Assurance
Audit
Resultaten van CA en CM
Audit van CM
Continuous Audit
Management
Continuous Monitoring
Activiteiten en transacties Processen en systemen
Spotlight Jaargang 18- 2011 uitgave 1 13
Voorbeeld van CM in transactieverwerking Een verkooporganisatie verwerkt dagelijks grote hoeveelheden (periodieke) betalingen waaronder een hoog percentage excassos. Vanwege de servicegedachte (‘one-stopprincipe’) naar de cliënt kunnen de front-officemedewerkers een aanvraag tot excasso indienen. Omdat de medewerkers wijzigingen in de account van de cliënt konden aanbrengen, zoals het wijzigen van een bankrekeningnummer - met frauderisico tot gevolg - heeft de organisatie CM ingevoerd. Zij maakt nu dagelijks een volledige extractie van alle excassos en koppelt deze aan recent gewijzigde bankrekeningnummers. Alle resultaten worden gecontroleerd en waar nodig vinden correctieve acties plaats.
Voorbeeld van CM ten aanzien van de functiescheiding Dezelfde verkooporganisatie factureert batchgewijs een groot aantal klanten voor een relatief beperkt aantal producten. Een wijziging van de prijzen in de masterdata heeft daarbij direct veel impact op de juistheid van de facturatie. Om het risico van ongeautoriseerde prijswijzigingen te beperken wordt maandelijks gemonitord welke medewerkers in staat zijn prijswijzigingen en batchfacturaties te verrichten en welke wijzigingen hebben opgetreden ten opzichte van de vorige periode. Daarnaast worden alle prijswijzigingen in het systeem opgeslagen en worden opmerkelijke wijzigingen (buiten de verwachte periode) gesignaleerd.
4. De voordelen van CM en CA De organisatie kan een aantal voordelen realiseren met de implementatie van CM en CA. Wanneer zij de procesrisico’s gericht vaststelt, kan zij de uitgevoerde controles en de restrisico’s beter interpreteren. Doordat zij bovendien vaker rapporteert over de procesrisico’s, wordt over een langere periode een hoger niveau van beheersing bereikt.
Een ander voordeel van CM en CA is dat de organisatie met deze methodes de kwaliteit van de bedrijfsprocessen en systemen efficiënter kan toetsen en dat de kans op fouten lager is. Personeel en overige middelen kunnen hierdoor waardetoevoegende handelingen uitvoeren in plaats van controlerende en correctieve activiteiten. De organisatie kan continu de proceswerking evalueren en op basis
Wanneer de organisatie ‘controleregels’ instelt, rapporteert zij over ‘feiten’ in plaats van over een waarneming die op meerdere wijzen is uit te leggen of waarvan het mogelijke risico niet helder is. Hierdoor blijft het risicomanagement binnen de organisatie op scherp, en is met grotere zekerheid vast te stellen dat de organisatie handelt in lijn met het risicoprofiel en de geldende wet- en regelgeving.
Figuur 2: Verhoogd controleniveau
(periodieke audit)
(continuous audit)
Controleniveau
Gewenste controleniveau
Gewenste controleniveau
Controlepunten
Audit 2 Audit 1
Werkelijke controleniveau
Werkelijke controleniveau t1
14
Tijd
Spotlight Jaargang 18- 2011 uitgave 1
t2
t1
Tijd
hiervan procesverbeteringen initiëren. Natuurlijk zijn bovenstaande voordelen afhankelijk van de omgeving waarin de organisatie opereert, wat haar strategie- en ondernemingsdoelstellingen zijn en wat de aard is van haar processen, systemen en ondernemingscultuur. CM- en CAinitiatieven voegen de meeste waarde toe aan ondernemingen met een hoog transactieverwerkend profiel en/of waarbij sterke noodzaak is tot het afleggen van verantwoordelijkheid voor externe of interne belanghebbenden.
5. CM en CA in het kader van procesbeheersing CM- en CA-initiatieven zullen altijd dienen te passen in de bredere beheersingsambitie van een organisatie. De manier waarop de organisatie haar procesbeheersing heeft ingericht, en de mate waarin zij ‘in control’ is, geeft aan in welk volwassenheidsstadium zij is. Binnen elk stadium zijn aandachtsgebieden aan te wijzen die van invloed zijn op de procesbeheersing. Bijvoorbeeld: • de wijze van sturing op processen; • de invloed van het controlebewustzijn en de menselijke vaardigheden; • de daadwerkelijke controlemaatregelen in de transactieverwerking; en • de systemen en de inzet van tools ter vastlegging en validatie. Volwassenheidsstadia in procesbeheersing Wanneer de organisatie (per proces) de aandachtsgebieden invult, bevindt zij zich op een bepaald volwassenheidsniveau. Kan de organisatie haar ambitie per proces(domein) definiëren, dan is zij in staat gerichte acties te nemen die passen bij haar risicoprofiel en ambitie. Een proces kan zich in een van de volgende vijf fasen bevinden: Fase 1: Onbetrouwbaar In deze fase heeft de organisatie nauwelijks aandacht besteed aan de
Figuur 3: Volwassenheidsstadia in procesbeheersing
Onbetrouwbaar
Informeel
Gestandaardiseerd
internebeheersomgeving. Doordat zij de procescontrole niet of nauwelijks heeft ontwikkeld of ingericht, is het resultaat van processen onvoorspelbaar. Zij heeft geen verantwoordelijkheden binnen de processen benoemd of deze zijn onduidelijk. Fase 2: Informeel Deze fase kenmerkt zich doordat de organisatie de procesbeheersing op deelgebieden heeft ingericht. Zij heeft de maatregelen echter niet voldoende gedocumenteerd en ingebed. Daardoor is het onduidelijk in welke mate de processen betrouwbaar zijn. Fase 3: Gestandaardiseerd In deze fase is de procesbeheersing dusdanig ingericht dat deze effectief kan werken, consistent kan worden toegepast en voldoende is gedocumenteerd. Er is echter geen zekerheid over de mate waarin controlemaatregelen hebben gewerkt en daarmee of het beoogde controleniveau wordt behaald. Fase 4: Gemonitord In deze fase heeft de organisatie de procesbeheersing in hoge mate gestandaardiseerd. Ze valideert de werking van de maatregelen periodiek. De medewerkers rapporteren hierover aan het verantwoordelijke management. Fase 5: Geoptimaliseerd In een geoptimaliseerde situatie is procesbeheersing een geïntegreerd proces waarbij het management continu monitort. Het koppelt de monitoring aan
Gemonitord
Geoptimaliseerd
verbeterinitiatieven om zo de kwaliteit van de processen te verbeteren. Hoger niveau via fase 3 Het zijn vooral de organisaties die minimaal in fase 3 zitten die CM- en CAmethodes op grote schaal toepassen. De organisatie die in fase 3 gericht risicogebieden benoemt, in kaart brengt hoe zij hierover verantwoording aflegt en (continu) monitoringcontroles benoemt, zet hiermee een flinke stap in de versteviging van de procesbeheersing. CM en CA kunnen een katalyserende werking hebben in het bereiken van een hoger niveau van interne procesbeheersing. Strategie bij fase 1 en 2 Andersom valt ook te concluderen dat voor de organisatie die nog sterk onbetrouwbaar of informeel in haar procesbeheersing is, de toepassing van CM- en CA-methoden vaak nog een brug te ver is. Versterking van de interne beheersing zal zich in dergelijke gevallen meer richten op de versterking van het controlebewustzijn of het in kaart brengen van de procesrisico’s.
6. Tips voor het implementeren van CM en CA Zoals uit bovenstaande blijkt komen CM- en CA-initiatieven het beste tot hun recht als de organisatie ze in het perspectief plaatst van de ontwikkelingen op het gebied van procesbeheersing. Hoe noodzakelijk CM en CA zijn, moet blijken uit de geïdentificeerde ondernemingsrisico’s. Er is geen standaardaanpak om tot CM of CA te komen. In hoofdlijnen zijn echter wel zeven
Spotlight Jaargang 18- 2011 uitgave 1 15
stappen te onderscheiden. Zie de tabel.
7. Conclusie Een organisatie die CM en CA gericht toepast, krijgt grotere transparantie over de (proces)risico’s en kan hier op (meer) continue basis zekerheid over verschaffen. De toegevoegde waarde valt te vinden in het veel gerichter en het zo effectief mogelijk verantwoorden over de procesrisico’s van een onderneming. Door CM en CA altijd in een breder perspectief van procesbeheersing te plaatsen zal het aansluiten bij de ambitie en het huidige beheersingsniveau in een organisatie. Doordat verantwoording in steeds grotere mate plaatsvindt door een (continue) datagerichte waarneming ontstaat er blijvende zekerheid over de interne beheersing. CM of CA kunnen daarbij katalyserend werken en ervoor zorgen dat procesbeheersing op een blijvend hoger niveau komt. Hoewel er geen standaardmethode is om CM of CA te implementeren blijkt een gerichte aanpak waarbij in een eerste fase die processen met een hoog risico en hoge transactieverwerking worden beschouwd, de meest praktische. Kortom, CM en CA zijn aan te wijzen als de volgende logische stap in het streven naar betere procesbeheersing. Een organisatie die open staat voor deze initiatieven, zal de toegevoegde waarde hiervan benutten in haar procesbeheersing.
16
Spotlight Jaargang 18- 2011 uitgave 1
Tabel: Zeven stappen om tot CM en CA te komen Ontwikkel een duidelijke strategische visie.
Ga na wat de ambitie van de organisatie is ten aanzien van procesbeheersing. Kan CM- of CA-breed worden ingezet of richt het zich op specifieke risicovolle processen? Ontwikkel per proces een Stel vast welke processen als eerste in aanmerking komen voor strategie. een CM- of CA-initiatief. Door de processen van een organisatie te classificeren naar volwassenheid kan per proces een verbeterstrategie worden vastgesteld. Valideer met belanghebbenden. Definieer per proces de belanghebbenden en stel vast op welke wijze hieraan verantwoording afgelegd dient te worden. Zorg voor een duidelijke kaderstelling over de doelstellingen en de verwachte resultaten. Stel het huidige niveau vast en Ga na welke controlemaatregelen nu zijn ingericht en benoem benoem verbeteringen. mogelijke testen (controleregels) om dit te verbeteren en/of te automatiseren. Beoordeel de technologie zowel Stel vast welke systemen gebruikt worden binnen de processen intern als extern. en op welke wijze data hieraan ontrokken kunnen worden. Breng in kaart welke tools en oplossingen er zijn om CM of CA op deze platformen mogelijk te maken. Voer een pilot uit. Definieer een pilotproject en stel de resultaten vast. Verfijn en pas testen waar noodzakelijk aan en communiceer over de resultaten. Borg en breid uit. Zorg dat de resultaten van CM of CA in de processen blijvend geborgd zijn. Ga de mogelijkheden na voor uitbreiding naar overige processen of definieer aanvullende controleregels.
