Op naar een excellente controle Welke controlewerkzaamheden kunnen verder geoptimaliseerd worden om kosten te besparen of om meer toegevoegde waarde te kunnen bieden aan cliënten? Hoe kunnen deze werkzaamheden zo efficiënt en effectief mogelijk verlopen? Erwin de Horde, Assurance Friso van Wieringen, Assurance
1. Inleiding Zeker in tijden van economische recessie doen ondernemingen er verstandig aan om kritisch naar de interne processen te kijken. Dit om te bepalen waar deze processen verder kunnen worden verbeterd om kosten te besparen of om meer toegevoegde waarde te kunnen bieden. Dit is niet anders voor accountantsorganisaties, waarbij de interne processen voornamelijk bestaan uit controlewerkzaamheden die worden uitgevoerd. Aandacht voor het optimaliseren van deze controlewerkzaamheden staat hoog op de agenda van veel accountantsorganisaties waarbij gestreefd wordt naar een ‘excellente controle’. Maar wat is nu een ‘excellente controle’ en welke elementen kunnen hierin worden onderscheiden? Volgens het Groot woordenboek van de Nederlandse taal kan ‘excellent’ worden vertaald naar ‘voortreffelijk, bijzonder goed en/of iets op uitstekende wijze doen’. Voor de controle, komt dit neer op onder andere de volgende elementen:
• Kwaliteit De controle voldoet aan zowel interne als externe kwaliteitseisen.
• Toegevoegde waarde De controle is onderscheidend en biedt toegevoegde waarde aan de cliënt.
10
• Efficiëntie De controlewerkzaamheden worden op een efficiënte wijze uitgevoerd.
• Kennisdeling De controle faciliteert samenwerking en kennisdeling waardoor controleteams leren en groeien. Ervaring leert dat er zowel interne als externe factoren zijn die invloed hebben op de bovengenoemde elementen. Om als accountantsorganisatie pro-actief aandacht te kunnen schenken aan het optimaliseren van de controlewerkzaamheden is het van essentieel belang om inzicht te hebben in deze factoren. Deze factoren bepalen namelijk de mate waarin accountantsorganisaties kunnen komen tot een excellente controle. In de volgende hoofdstukken worden de belangrijkste factoren behandeld. Tevens zal worden ingegaan op de vraag in hoeverre de IT-auditor ondersteuning kan bieden bij het actief vertalen van deze factoren naar een excellente controle aanpak.
2. Mate van interne beheersing De specifieke klantsituatie en vooral de mate van interne beheersing zal altijd het belangrijkste uitgangspunt zijn
PricewaterhouseCoopers
Systeemgerichte aanpak
Gegevensgerichte aanpak
Laag
Efficiency van de controleaanpak
Hoog
voor de controle. Bij een robuuste interne beheersing kan de accountant namelijk (deels) steunen op de werkzaamheden die door de cliënt worden verricht. Niet voor niets zal de accountant dan ook als eerste stap bij het bepalen van de controlewerkzaamheden, inzicht willen verkrijgen in het volwassenheidsniveau van de beheersorganisatie van de cliënt. Dat doet zij onder meer door kennis te nemen van de organisatiestructuur, de processen, de IT-systemen met daarbij de samenhang en de beheersing van deze zaken. Met de komst van de Sarbanes-Oxley-wetgeving in Amerika en de daaropvolgende lokale varianten, is de interne beheersing en de beheersing van IT-systemen voor moderne organisaties steeds belangrijker geworden. Daarbij zien we dat het volwassenheidsniveau van cliënten de laatste jaren op een steeds hoger niveau is komen te liggen.
Laag
Volwassenheidsniveau van de beheersorganisatie van de cliënt
Hoog
Figuur 1 – Volwassenheidsniveau interne-beheersmaatregelen
Zie figuur 1: hoe hoger het volwassenheidsniveau van een organisatie op het gebied van interne-beheersmaatregelen, hoe systeemgerichter de controleaanpak van de accountant kan zijn. Bij een laag volwassenheidsniveau zal een meer gegevensgerichte controle noodzakelijk zijn, en die is in de meeste gevallen minder efficiënt. De toegevoegde waarde die als onderdeel van de controlewerkzaamheden wordt geboden, zal in beide gevallen ook duidelijk verschillen. Bij een laag volwassenheidsniveau blijkt de toegevoegde waarde vooral uit de wijze waarop de accountant de cliënt kan adviseren rondom de wijze waarop internebeheersmaatregelen effectief kunnen worden opgezet en
Spotlight Jaargang 16 - 2009 | Uitgave 3
Samenvatting Dit artikel geeft antwoord op de vragen wat een excellente controle is en welke factoren een rol spelen om tot deze excellente controle te komen. Tevens wordt behandeld hoe de IT-auditor de realisatie van een excellente controle kan ondersteunen. ingericht. Op die manier kan de cliënt ‘in control’ komen, zodat de accountant daar in toekomstige jaren gebruik van kan maken in de controleaanpak. Wanneer er al een hoog volwassenheidsniveau is, zal de toegevoegde waarde veel meer gericht zijn op het optimaal gebruik maken van de reeds aanwezige interne-beheersmaatregelen en het helpen om de interne-beheersorganisatie efficiënter te maken. Bij een hoog volwassenheidsniveau is namelijk de effectiviteit van de beheersmaatregelen geen aandachtspunt meer en zal de toegevoegde waarde veel meer gericht zijn op het kostenefficiënt inrichten hiervan. Moderne organisaties gebruiken steeds vaker complexe IT-systemen ter ondersteuning van de processen en de beheersmaatregelen hierbinnen. Hiermee wordt de rol van de IT-auditor ook steeds belangrijker. De kennis die de IT-auditor heeft van de beheersmaatregelen die zijn geprogrammeerd in de systemen, biedt een uitgelezen mogelijkheid om de cliënt te adviseren om hier optimaal gebruik van te maken. Veelal wordt nog niet volledig gebruik gemaakt van alle beschikbare functionaliteit die de huidige IT-systemen bieden. Wordt hier optimaal gebruik van gemaakt, dan verloopt de controle efficiënter wanneer de accountant hier, op termijn, gebruik van maakt. Een belangrijk uitgangspunt hierbij is dat preventieve geautomatiseerde beheersmaatregelen veel sterker zijn dan detectieve handmatige beheersmaatregelen en minder kosten met zich meebrengen. De IT-auditor kan belangrijke toegevoegde waarde bieden bij het automatiseren van handmatige beheersmaatregelen door middel van bestaande functionaliteit in de IT-systemen. Dit zal enerzijds kostenbesparingen opleveren voor de cliënt en het volwassenheidsniveau van interne beheersing verbeteren. Anderzijds zal de IT-auditor ondersteuning kunnen bieden om de controle (op termijn) efficiënter te maken. Twee belangrijke elementen voor een excellente controle, namelijk toegevoegde waarde en efficiëntie, worden hierdoor geraakt.
11
3. Toepassen van auditsoftware De laatste jaren zijn er veel ontwikkelingen geweest op het gebied van auditsoftware. Deze software is steeds gebruikersvriendelijker geworden en biedt meer mogelijkheden om snel inzicht te krijgen in zowel controlerisico’s en beheersmaatregelen. De technieken en tools voor auditsoftware zijn in vier groepen onder te verdelen: • het analyseren en toetsen van geautomatiseerde beheersmaatregelen binnen IT-systemen; • het uitvoeren van data-analyse op transacties; • het analyseren en toetsen van netwerkbeveiliging; • het analyseren en toetsen van beveiligingsmaatregelen rondom besturingssystemen en databases. De bovengenoemde verschillende typen Data auditsoftware kunnen Analyse worden ingezet tijdens de verschillende fasen van de controle. De software voor de analyse van geautomatiseerde OS- en Netwerkbeheersmaatregelen Databasebeveiliging beveiliging kan bijvoorbeeld worden ingezet tijdens de interimwerkzaamheden. Hiermee kan snel en effectief de adequate werking van geautomatiseerde beheersmaatregelen binnen een logische toegangsbeveiliging rondom IT-systemen worden vastgesteld. Geautomatiseerde beheersmaatregelen
Data-analysesoftware kan tijdens het gehele controleproces worden ingezet. Hierbij kan worden gedacht aan het efficiënt uitvoeren van cijferbeoordelingen als onderdeel van de planningswerkzaamheden of als onderdeel van de afsluitende jaarrekeningcontrole werkzaamheden. Ook kunnen accountants deze vorm van auditsoftware gebruiken om achteraf vast te kunnen stellen of een beheersmaatregel adequaat heeft gewerkt. Zo kan bijvoorbeeld met een analyse op transactiedata worden vastgesteld of voor alle facturen in het systeem een goedgekeurde inkooporder aanwezig is en of de juiste btw-tarieven gehanteerd zijn. Tools voor netwerkbeveiliging en beveiliging rondom operating systemen (OS) en databases, kunnen ten slotte worden ingezet om geautomatiseerd vast te stellen of de algemene IT-beheersmaatregelen (‘IT General Controls’) rondom informatiesystemen op onderdelen adequaat functioneren.
12
Een belangrijk voordeel van auditsoftware is dat het in veel gevallen tools zijn die eenmalig voor een bepaalde cliënt dienen te worden ingericht, waarna in de daaropvolgende jaren dezelfde analyse of beoordeling efficiënt opnieuw kan worden uitgevoerd. Ondanks het feit dat auditsoftware steeds gebruikersvriendelijker wordt, heeft de IT-auditor vooral kennis over de mogelijkheden die de huidige software biedt ter ondersteuning van de jaarrekeningcontrole. De uitdaging voor de IT-auditor is daarbij om op een heldere en transparante wijze aan te geven welke auditsoftware het meest geschikt is op welk moment om de controle efficiënter en effectiever te kunnen uitvoeren. Er zijn drie belangrijke succesfactoren die een rol spelen bij het inzetten van auditsoftware: • de te verwachte uitkomsten; • de te verwachte inspanning en kosten; • de mate van veranderingsgezindheid en innovatiekracht.
Belangrijk uitgangspunt is dat in een vroeg stadium, als onderdeel van de planning, proactief wordt nagedacht over de inzet van auditsoftware. Daarbij zullen de verwachte uitkomsten, inspanningen en kosten, en de mate van veranderingsgezindheid en innovatiekracht meewegen in de beslissing. En dat is belangrijk, want alleen wanneer auditsoftware als geïntegreerd onderdeel in de totale controlewerkzaamheden wordt ingezet, biedt deze toegevoegde waarde voor de jaarrekeningcontrole. In alle andere gevallen zal het kostenverhogend werken en niet de verwachte resultaten bieden die op voorhand werden verwacht.
Naast de vertaling van de mogelijkheden die auditsoftware zou kunnen bieden, is er ook een duidelijke rol weggelegd voor de IT-auditor in de uitvoering van de werkzaamheden. Vooral de technische aspecten, zoals het downloaden van (financiële) data uit de systemen van de cliënt, maar ook het ondersteunen bij het analyseren van de uitkomsten en het trekken van conclusies, zijn onderdelen waarbij de IT-auditor ondersteuning kan bieden. Het inzetten van auditsoftware en het gebruik maken van de kennis van de IT-auditor op dit gebied versterkt vooral de elementen ‘kwaliteit’ en ‘efficiëntie’ die ten grondslag liggen aan een excellente controle. Auditsoftware kan daarom gezien worden als een zeer invloedrijke factor die snel tot waardevolle resultaten leidt.
PricewaterhouseCoopers
4. Cultuur van de accountantsorganisatie Een factor die mogelijk iets minder tot de verbeelding spreekt maar zeker ook grote invloed heeft op het komen tot een excellente controle, is de cultuur binnen de accountantsorganisatie. In de praktijk blijkt namelijk dat accountantsorganisaties die veel aandacht schenken aan innovatie en veranderingsgezindheid, sneller aanpassingen realiseren die tot een excellente controle leiden. In veel traditionele organisaties speelt daarentegen de gedachte: ’De controleaanpak heeft in het verleden toch altijd goed gewerkt dus waarom zou ik hier verandering in aanbrengen?’. Aandachtsgebieden die hierbij kunnen worden onderkend, zijn:
• Onvoldoende kennis rondom innovatieve oplossingen In de eerste plaats is vaak nog onvoldoende kennis rondom innovatieve oplossingen aanwezig die de controleaanpak efficiënter kan maken. Het is daarom van groot belang dat de accountantsorganisatie voldoende aandacht aan dit onderwerp besteedt.
• Budgetdruk Daarnaast is budgetdruk een onderdeel dat in bepaalde situaties negatief uitwerkt op innovatie. Innovatie brengt namelijk in veel gevallen in het eerste jaar een investering met zich mee die zich in de daaropvolgende jaren pas terugbetaalt. Wanneer een organisatie een budget opstelt voor een langere periode, bijvoorbeeld drie jaar, staan controleteams veel meer open voor innovatieve oplossingen.
ook heel duidelijk aandacht moeten worden besteed aan de wijze waarop dit kan worden geïntegreerd in de controle. Alleen in die gevallen waarbij er écht sprake is van een geïntegreerde controleaanpak, die wordt uitgevoerd door een gezamenlijk team van IT- en financiële-controlespecialisten, zal dit leiden tot toegevoegde waarde. In deze samenwerking is het vooral belangrijk dat de betrokkenen onderkennen dat een team met een diversiteit aan specialisten veel meer waarde kan toevoegen aan de cliënt en tevens efficiënter kan functioneren. Daarbij zal de IT-auditor niet alleen moeten worden gezien als een pure IT-specialist, maar veel meer als een persoon die in brede zin ondersteuning kan bieden aan een innovatieve controleaanpak. Innovatie zal daarbij ook vooral gericht moeten zijn op het effectief en efficiënt controleren van de procesgang zoals die bij de cliënt plaatsvindt. Op dit onderdeel zal het gehele controleteam namelijk optimaal moeten samenwerken. Dit omdat de werkzaamheden op de interne-controlemaatregelen in de processen van de onderneming snel kunnen leiden tot een overlap en/of lacunes. Tevens stimuleert het samenwerken als een team kennisdeling wat tot gevolg heeft dat mensen uitdagendere werkzaamheden uitvoeren en veel sneller leren en zichzelf kunnen ontwikkelen.
De elementen van een excellente audit ‘kwaliteit’, ‘toegevoegde waarde’ en ‘efficiency’ zijn belangrijke criteria die duidelijk worden beïnvloed door de cultuur van de accountantsorganisatie. De betrokkenheid van de IT-auditor zal in aanvulling hierop voornamelijk van invloed zijn op het element ‘kennisdeling’ om daarbij innovatie te stimuleren en verandering te promoten.
• Prikkels oppakken Ten slotte blijkt dat accountantsorganisaties prikkels om te veranderen verschillend oppakken. Deze prikkels zijn vaak afhankelijk van externe factoren, zoals een cliënt die verwacht dat de controle innovatiever wordt ingericht. Een voorbeeld hiervan is een cliënt die bezig is met een implementatie van een nieuw IT-systeem en daarbij verwacht dat de accountant hier optimaal gebruik van maakt in de controle. Anderzijds kan de prikkel tot stand komen uit de verslechterende economische omstandigheden. Juist in dit soort situaties is het cruciaal om open te staan voor een nieuwe controleaanpak. Uitgaande van de specifieke kennis en kunde zal de IT-auditor bij uitstek moeten kunnen adviseren en ondersteunen bij het slimmer controleren. Daarbij zal naast het besteden van aandacht aan de technische IT-componenten,
Spotlight Jaargang 16 - 2009 | Uitgave 3
5. Kwaliteit van projectmanagement Elke controle kan worden gezien als een project waarbij verschillende teamleden met specifieke kennis een dienst leveren voor een duidelijke opdrachtgever binnen vooraf overeengekomen kaders en binnen een bepaald tijdspad. Dit betekent dat elke controle ook als een project zal moeten worden geleid met een duidelijke projectmanager, het definiëren van rollen en verantwoordelijkheden, het inrichten van verschillende fasen en het afspreken van duidelijke opleverdocumenten. Accountantsorganisaties kunnen zich van elkaar onderscheiden door specifiek aandacht te geven aan de kwaliteit van het projectmanagement. Zeggen wat je doet, maar vooral ook doen wat je zegt, is daarbij cruciaal
13
in de communicatie met de cliënt. Tevens zal de controle als een project moeten worden gemanaged. Met andere woorden: het project moet gezamenlijk, dus mét de cliënt, worden opgestart en uitgevoerd. Helderheid en transparantie rondom de werkzaamheden die de accountant zal gaan verrichten zijn daarbij belangrijke uitgangspunten, net als duidelijkheid rondom de verwachtingen die er over en weer zijn. Naast het samenwerken met de cliënt is het ook van belang dat er binnen het controleteam goed wordt samengewerkt. Zoals eerder aangegeven, zijn er namelijk onderdelen in de controleaanpak die mogelijk een overlap en/of lacunes kunnen veroorzaken. Dit wordt onder andere veroorzaakt doordat er een verschuiving plaatsvindt van reguliere jaarrekeningcontrolewerkzaamheden naar IT-controlewerkzaamheden door het gebruik van complexe IT-systemen. Daardoor vinden er steeds meer testwerkzaamheden plaats door de IT-auditor op de zogenoemde geautomatiseerde beheersmaatregelen in de IT-systemen die worden gebruikt ter ondersteuning van de procesgang. Gezien de toenemende afhankelijkheid van complexe systemen zal de IT-auditor een steeds belangrijkere rol gaan vervullen in het bepalen van de controleaanpak. Daarom is het cruciaal om de IT-auditor vroegtijdig in het controleproces te betrekken, in zowel de interne-planningsactiviteiten als de afspraken met de cliënt. Op deze wijze kan namelijk tijdig inzicht worden verkregen in de mogelijkheden die de IT-systemen van de cliënt bieden en kan de accountant in de vervolgfasen efficiënt gebruikmaken van deze systemen. Het gaat uiteindelijk om te komen tot een optimale mix van werkzaamheden door zowel financieel specialisten als IT-auditspecialisten.
6. Conclusie Helaas is er voor de controleaanpak niet zoiets als het ‘ei van Columbus’ waarbij er een excellente controleaanpak is die kan worden toegepast voor elke cliënt. Er zijn namelijk verschillende interne en externe factoren waar rekening mee moet worden gehouden bij het bepalen van de controlewerkzaamheden. Te denken valt aan de specifieke klantsituatie, de ontwikkelingen rondom auditsoftware, de cultuur van de accountantsorganisatie en de kwaliteit van projectmanagement. Bij het vertalen van deze factoren naar een excellente controle aanpak zal de IT-auditor een belangrijke rol kunnen spelen. Vooral met behulp van de specialistische kennis zal de IT-auditor ondersteuning kunnen bieden bij het initiëren en uitwerken van innovatieve mogelijkheden om de controle efficiënter en effectiever te maken. De uitdaging hierbij is gelegen in de wijze waarop wordt samengewerkt tussen de IT-auditor en de controlerend accountant en natuurlijk de cliënt. Het helder kunnen vertalen van de toegevoegde waarde van innovatieve controletechnieken door de IT-auditor en de veranderingsbereidheid van de controlerend accountant zullen hierbij van doorslaggevende betekenis zijn om daadwerkelijk te komen tot een excellente controle.
De kwaliteit van het projectmanagement beïnvloedt alle vier de elementen van een excellente controle. Het zwaartepunt ligt echter op de communicatie met zowel de cliënt als binnen het controleteam. Daarbij zal enerzijds communicatie rondom de planning, status en voortgang van de werkzaamheden van belang zijn, en anderzijds de tijdige interne communicatie tussen IT-auditors en financieel specialisten bij het opstarten van het project, zorg dragen voor een onderscheidende dienstverlening.
14
PricewaterhouseCoopers
