Risicobeheersing met Project Implementation Assurance Ondernemen is veranderen en risico’s nemen. Veranderingen die je als ondernemer wilt doorvoeren, maar die wel op een beheerste manier uitgevoerd dienen te worden. Project Implementation Assurance helpt bij het beheersen van risico’s bij het uitvoeren van projecten. Dit is niet alleen voor de ondernemer relevant maar ook voor de accountant. Bij de jaarrekeningcontrole, maar ook om de klant te helpen de succeskans van zijn projecten te vergroten. Paul van Engelen, Assurance Mark Tesselaar, Assurance Ronald Teuthof, Assurance 1. Inleiding ’Verandering is de enige constante’, zo stelde de Griekse filosoof Heraclitus al voordat onze jaartelling begon. Ook nu is deze wijsheid nog steeds van toepassing. Crisis of geen crisis, ondernemingen dienen constant te veranderen om te kunnen blijven bestaan. Veranderingen kunnen bijvoorbeeld bestaan uit de introductie van nieuwe producten, fusies of overnames, veranderende wet- en regelgeving, nieuwe organisatiestructuren en nieuwe systemen. Vaak worden dergelijke veranderingen gerealiseerd door een project uit te voeren. Maar al te vaak leiden projecten tot zorgpunten voor de jaarrekeningcontrole. Bijvoorbeeld omdat bestaande interne-controlemechanismen niet meer werken of omdat nieuwe risico’s ontstaan zonder dat de organisatie adequate
28
maatregelen neemt. Reden voor de accountant om extra aandacht te besteden aan projecten bij de klant. Ook voor de klant kunnen projecten tot onzekerheid leiden, omdat zij de gewenste doelen niet bereiken, terwijl wel forse investeringen zijn gedaan. PricewaterhouseCoopers (PwC) heeft de Project Implementation Assurance (PIA) methode ontwikkeld. Deze methode is een prachtige manier om de klant toegevoegde waarde te leveren. Met PIA kan de kans op succes van een project verhoogd worden en kan de organisatie de risico’s van het project, inclusief de risico’s voor de jaarrekeningcontrole, beter beheersen. Systeemimplementaties hebben een directe impact op de werkzaamheden van de accountant. Daarom wordt in
PricewaterhouseCoopers
dit artikel ingegaan op dit soort projecten. Voor andere projecten is PIA vooral relevant voor het verbeteren van de projectbeheersing zoals beschreven in hoofdstuk 4.
2. Relevantie systeemimplementaties bij de jaarrekeningcontrole De kosten van een systeemimplementatie dienen op een juiste manier in de jaarrekening verwerkt te worden. Deze kosten dienen geactiveerd te worden of direct in de kosten te worden verwerkt. Deze afwegingen en de volledigheid van de kosten hebben een directe relevantie voor de accountant. Echter, deze aspecten zijn niet de belangrijkste reden waarom de accountant bij een systeemimplementatie betrokken dient te zijn. De implementatie van een nieuw systeem heeft namelijk directe gevolgen voor de manier waarop de (financiële) processen worden ondersteund en voor de interne beheersing daarvan. Dit geldt zowel voor een nieuw financieel systeem als voor een systeem dat de primaire processen ondersteunt. Interne beheersing De implementatie van een nieuw systeem leidt vaak tot veranderingen in de manier waarop bedrijfsprocessen worden ingericht. Bij veranderingen in processen zal ook de uitvoering van de interne-beheersmaatregelen veranderen. Daarnaast dienen deze afgestemd te worden op veranderde risico’s. Soms leidt het gebruik van een nieuw systeem tot nieuwe risico’s waarvoor de organisatie nieuwe beheersmaatregelen moet inrichten. Zelfs wanneer processen in beperkte mate heringericht worden, is het van belang vast te stellen dat de bestaande beheersmaatregelen in de nieuwe situatie blijven werken. Dataconversie Als onderdeel van de implementatie van een systeem worden gegevens van een bestaand systeem gemigreerd en
Kans op succes verhogen Interne beheersing en dataconversie hebben minimaal aandacht nodig bij de jaarrekeningcontrole. Ook voor organisaties zelf is de projectbeheersing van groot belang. Wanneer een organisatie een project op een goede manier beheerst, kan de kans op succes aanzienlijk verhoogd worden. Daarbij gelden enkele aandachtsgebieden (zie hoofdstuk 3) die direct van invloed zijn op de jaarrekeningcontrole.
Spotlight Jaargang 16 - 2009 | Uitgave 3
Samenvatting Dit artikel illustreert hoe de accountant een rol kan spelen bij het beheersen van projecten, vooral bij systeemimplementatieprojecten. Deze IT-projecten brengen allerlei risico’s met zich mee die het management van een onderneming met het oog op de jaarrekeningcontrole (hoofdstuk 2) en vanwege de continuïteit van de bedrijfsvoering (hoofdstuk 4) wil beheersen. Op de beheersing van de risico’s bij de financiële verslaglegging en de rol van de accountant daarin wordt in hoofdstuk 3 dieper ingegaan. Hoofdstuk 5 behandelt de timing van de inzet van de accountant en in het laatste hoofdstuk wordt geschetst welke mogelijke assuranceverklaring de accountant kan afgeven als uitkomst van zijn ondersteuning. vaak ook geconverteerd (verder: conversie of dataconversie) naar het nieuwe systeem. De te converteren gegevens kunnen een impact hebben op de financiële administratie van een bedrijf of op de bedrijfsvoering. Hierdoor is het waarborgen van een juiste en volledige overzetting van alle gegevens (dataconversie) van belang voor de accountant bij de jaarrekeningcontrole.
3. Aandachtsgebieden bij de jaarrekeningcontrole De belangrijkste aandachtsgebieden bij de jaarrekeningcontrole zijn het vaststellen of de dataconversie juist en volledig plaatsvindt, en het vaststellen of de interne-beheersmaatregelen voldoende zijn in de nieuwe situatie. In dit hoofdstuk wordt uiteengezet hoe een organisatie deze aspecten kan invullen en op welke manier een PIA-specialist van PwC Systems & Process Assurance hierbij kan ondersteunen. Verkrijgen zekerheid interne beheersing De implementatie van een nieuw systeem heeft een impact op de interne beheersing. Het algemeen geaccepteerde beheersraamwerk van COSO (Committee of Sponsoring Organizations) onderkent verschillende componenten van interne beheersing. Een van de COSO componenten betreft de beheersingsactiviteiten. Dit zijn de richtlijnen en procedures die door een onderneming zijn geïmplementeerd om risico’s te mitigeren en de betrouwbaarheid van de financiële informatie te waarborgen. PIA onderkent de beheersingsactiviteiten als een belangrijk aandachtsgebied
29
bij systeemimplementaties. In figuur 1 is de relatie aangegeven tussen posten uit de jaarrekening en de onderliggende processen, systemen en IT-omgeving. Een systeem is op verschillende niveaus van invloed op de beheersingsactiviteiten:
De accountant dient ten minste vast te stellen dat in de nieuwe situatie de elementen die in figuur 1 genoemd worden, in hun onderlinge samenhang voldoende waarborgen bieden voor een betrouwbare financiële verslaglegging. Hij kan met PIA volgens een gestandaardiseerde aanpak, de effectiviteit van de beheersingsactiviteiten tegen het licht houden
• Processen Beheersingsactiviteiten op procesniveau bestaan uit handmatige controles of procedures. Bijvoorbeeld het goedkeuren van een factuur of het beoordelen van een debiteuren-ouderdomslijst.
In aanvulling op de beheersingsactiviteiten zijn de systemen ook een bron voor het aanleveren van informatie (COSOcomponent Informatie en Communicatie). Een nieuw systeem dient in staat te zijn om in de informatiebehoefte te kunnen voorzien. De praktijk wijst uit dat dit aspect vaak onvoldoende aandacht krijgt bij het implementeren van een nieuw systeem. Regelmatig ziet PwC situaties waarbij men pas na de in-productiename van het nieuwe systeem (‘go-live’) erachter komt dat bepaalde rapportages niet meer beschikbaar zijn. Dan is managementinformatie niet beschikbaar en duurt het soms wel maanden voordat de benodigde rapportages uit het systeem te halen zijn. Dit kan grote gevolgen hebben, zoals een bedrijf in de zakelijke dienstverlening merkte toen door onvoldoende rapportagemogelijkheden op het gebied van openstaande debiteurenposten het debiteurensaldo flink opliep en een
• Systemen Beheersingsactiviteiten op systeemniveau kunnen bestaan uit preventieve controles die door een systeem uitgevoerd worden, bijvoorbeeld het automatisch blokkeren van een verkooporder bij overschrijding van de kredietlimiet of automatische routines die door het systeem uitgevoerd worden.
• IT-omgeving De algemene IT-beheersmaatregelen waarborgen de integriteit van de systeemomgeving en zijn van belang voor een juiste werking van de in het systeem geprogrammeerde controles.
Posten in de jaarrekening
Handmatige Controles
Omzet
Kosten
Vaste activa
Debiteuren
Crediteuren
Bedrijfsprocessen / Financiële transacties Inkoop
Algemene ITbeheersmaatregelen ter waarboring van de integriteit van systemen
Systeem Bijvoorbeeld ERP-systemen
Beveiliging en toegangscontroles
Productie
Verkoop
Systeem Systeem Bijvoorbeeld Datawarehouse
Beheer van wijzigingen
Distributie
Systeem
Controles in het systeem: • Volledigheid • Juistheid • Functiescheiding • Validiteit
Bijvoorbeeld Salaris verwerking
IT-operatie (Backup & recovery)
IT-omgeving
Figuur 1 – Relatie tussen posten jaarrekening en onderliggende processen, systemen en IT-omgeving
30
PricewaterhouseCoopers
voorziening voor oninbare vorderingen genomen diende te worden. Tot slot dient de invulling van de risicocomponent uit COSO opnieuw tegen het licht gehouden te worden. Door veranderingen in de bedrijfsprocessen kunnen nieuwe risico’s ontstaan of kunnen bestaande risico’s een andere kans of impact krijgen. De bestaande interne beheersmaatregelen dienen vervolgens afgestemd te worden op deze gewijzigde risico’s. Verkrijgen zekerheid dataconversie Het overzetten van gegevens van een bestaand systeem naar een nieuw systeem is over het algemeen een complex onderdeel van het implementeren van een nieuw systeem. In de praktijk leiden fouten in de dataconversie vaak tot operationele problemen en onvoorziene kosten. Een voorbeeld hiervan is een distributeur in de retailbranche waarbij honderden facturen dagelijks handmatig gecontroleerd en gecorrigeerd dienden te worden nadat prijzen en kortingsafspraken met klanten niet juist waren overgezet naar het nieuwe systeem. De complexiteit van dataconversies kent verschillende oorzaken: de kwaliteit van de gegevens in bestaande systemen is niet voldoende, er bestaan verschillen in gegevensstructuur tussen het bestaande en nieuwe systeem en er is beperkte kennis van het gegevensmodel. Samen met onvoldoende aandacht en prioriteit voor de dataconversie resulteert dit vaak in problemen met het nieuwe systeem of uitloop van het project. Door het inrichten van goede beheersmaatregelen rondom de dataconversie kan de organisatie problemen met het nieuwe systeem voorkomen en kan de juistheid en volledigheid van de gegevens gewaarborgd worden. Hierbij is het van belang om tijdig te beginnen met het definiëren van de benodigde beheersmaatregelen en vast te houden aan de gedefinieerde kwaliteitseisen om uitloop van het project te voorkomen. Een onderdeel van PIA is het toepassen van een controleraamwerk voor de dataconversie. Hiermee kan de accountant zekerheid krijgen dat de dataconversie op een juiste en volledige manier heeft plaatsgevonden. Het controleraamwerk stelt onder andere eisen aan: • de conversiestrategie (welke gegevens worden wel en niet geconverteerd, op welke wijze vindt de conversie plaats, enzovoort); • het ontwerp van de conversie (mapping van de gegevensvelden, vertaling van coderingen, te gebruiken hulpmiddelen, uit te voeren controletellingen tijdens de conversie);
Spotlight Jaargang 16 - 2009 | Uitgave 3
• de bouw van de conversieprogrammatuur; • het ontwerpen en uitvoeren van controletellingen (een belangrijk onderdeel van het beheersraamwerk is het ontwerpen van tellingen waarmee de specifieke risico’s worden afgedekt en vervolgens de werking van deze controletellingen borgen door ze op te nemen in het conversiedraaiboek); • het testen van de conversie (uitvoeren van proefconversies, uitvoeren van de tellingen tijdens de proefconversies, testen van de functionaliteit van het systeem op basis van conversiegegevens, uitvoeren van een generale repetitie op basis van het draaiboek); • het uitvoeren van de conversie (dit dient plaats te vinden aan de hand van het vooraf opgestelde draaiboek, de besluitvorming rondom go-live dient vooraf gedefinieerd te zijn, vooraf geaccordeerde criteria bij afwijkingen).
PIA-specialisten kunnen al vanaf het begin van de dataconversie bij het proces betrokken worden en het controleraamwerk dat de organisaties hanteren beoordelen, zodat vroegtijdig rekening gehouden wordt met de benodigde beheersmaatregelen.
4. Zekerheid voor het management Hiervoor is een aantal aandachtsgebieden beschreven waar de accountant zekerheid over dient te verkrijgen. Dit betreffen aandachtsgebieden met directe invloed op het werk van de accountant, namelijk het controleren van de jaarrekening. Echter, organisaties implementeren een nieuw systeem niet voor de accountant. Veelal ligt een businesscase ten grondslag aan de implementatie van een nieuw systeem. Hierin worden de doelstellingen beschreven en de kosten en baten van de investering tegen elkaar afgewogen. Het doel van veel nieuwe systemen is onder meer het reduceren van de kosten, het doorvoeren van procesverbeteringen en het faciliteren van schaalvergroting. Algemene statistieken tonen aan dat ruim de helft van de projecten niet aan de verwachtingen voldoet. Projecten kosten vaak meer dan begroot, duren langer dan gepland en leveren niet de gewenste voordelen. Het inregelen van een goede projectbeheersing is van belang om het welslagen van het project te borgen. Aandachtspunten van projectbeheersing Bij het beheersen van projecten kan gebruik gemaakt worden van verschillende methodes van projectmanagement.
31
Succesfactoren voor projecten • De reikwijdte dient realistisch te zijn en wijzigingen • • • • •
in de reikwijdte dienen beheerst te worden. Belanghebbenden dienen in voldoende mate betrokken te zijn bij het project. Werkzaamheden en planning zijn zodanig ingeregeld zodat deze voorspelbaar zijn. Het project is zo samengesteld, dat het op een effectieve manier functioneert. Doelstellingen worden behaald door doelgericht te werk te gaan. Risico’s worden geïdentificeerd en mitigerende maatregelen worden tijdig onderkend.
Als onderdeel van Project Implementation Assurance is een uitgebreide normenset beschikbaar om de aanwezigheid van deze succesfactoren te kunnen beoordelen. Door een project hierop te beoordelen kan de accountant zijn klant toegevoegde waarde leveren door de witte vlekken op het gebied van projectbeheersing te identificeren. Door concrete aanbevelingen te doen, kan de kans op succes voor het project verhoogd worden.
5. Wanneer de accountant erbij betrekken? Een veel gestelde vraag is op welke moment de accountant en PIA-specialist betrokken dienen te worden bij een implementatieproject. Het meest eenvoudige antwoord op deze vraag is: ‘Hoe eerder hoe beter!’ Ondanks dat een accountant achteraf een oordeel geeft over de jaarrekening, is het niet verstandig deze pas bij het project te betrekken op het moment dat de controlewerkzaamheden worden uitgevoerd. Hoe eerder lacunes geïdentificeerd worden, hoe eenvoudiger aanpassingen gemaakt kunnen worden. Naar analogie van het bouwen van een huis: het is naarmate het bouwproces gevorderd is, steeds moeilijker een extra slaapkamer toe te voegen. Zo geldt dit ook bij het toevoegen of wijzigen van functionaliteit of beheersmaatregelen aan een systeem, zoals schematisch weergegeven in figuur 2.
32
Wanneer? Hoog Na go-live
Kosten van aanpassen
Elke projectbeheersingsmethode (bijvoorbeeld Prince) heeft zijn sterke en zwakke punten. Op basis van ervaring met projecten heeft PwC een aantal succesfactoren voor projecten opgesteld. Deze succesfactoren kunnen onafhankelijk van de toegepaste projectmethode gebruikt worden als toets van een bestaand project (zie kader).
Tijdens testen Tijdens bouw Tijdens ontwerp
Laag Begin
Projectfasering
Go-live
Figuur 2 – Effect van moment betrekken accountant bij project
Afgezien van de wetmatigheid dat voorkomen beter is dan genezen geldt dat eventuele tekortkomingen in een systeem die niet voor go-live ontdekt en opgelost kunnen worden, leiden tot directe schade voor een bedrijf. Een voorbeeld dat in de praktijk meer dan eens voor is gekomen, is het niet tijdig kunnen factureren door fouten in de functionaliteit van het systeem. Dit heeft direct negatieve gevolgen voor het werkkapitaal en leidt onherroepelijk tot problemen bij het innen van facturen. Afgezien van de financiële schade hebben deze problemen ook een impact op het imago van een bedrijf. Iedereen kent voorbeelden van bedrijven die bij consumentenprogramma’s zoals Kassa op het matje geroepen worden om tekst en uitleg te komen geven over foutieve facturen. Ook hier geldt: voorkomen is beter dan genezen. Een andere overweging voor het tijdig betrekken van de accountant is dat het lastig kan zijn om achteraf te kunnen aantonen dat bepaalde controles hebben plaatsgevonden. Dit is bijvoorbeeld van belang voor dataconversies waarbij achteraf vastgesteld dient te worden of de conversie juist en volledig heeft plaatsgevonden. Indien de uitgevoerde controles, zoals tellingen, niet voldoende gedocumenteerd zijn, is het voor de accountant onmogelijk vast te stellen of deze op een juiste manier zijn uitgevoerd. Ook kan het zijn dat de accountant andere controles verwacht dan de controles die het bedrijf heeft uitgevoerd. Door vooraf afstemming te zoeken met de accountant over de uit te voeren controles en de documentatie daarvan, kunnen bevindingen of extra werk voor de accountant voorkomen worden.
PricewaterhouseCoopers
6. Assurance-rapportage op basis van NV COS3000 Op basis van de in de voorgaande hoofdstukken beschreven beheerskaders kan de accountant een assurancerapport afgeven. Hij moet het rapport baseren op de Nadere voorschriften controle- en overige standaarden 3000 (NV COS3000) ‘Assurance-opdrachten anders dan opdrachten tot controle of beoordeling van historische financiële informatie’. Een dergelijk assurancerapport kan gebruikt worden om derden zekerheid te geven over specifieke aspecten van een systeemimplementatie. Bedrijven gebruiken een dergelijke rapportage veelvuldig om zekerheid te krijgen over de juistheid en volledigheid van de dataconversie. Daarnaast kan de accountant ook assurance geven in de vorm van een in-controlverklaring over de adequaatheid en effectiviteit van de interne-beheersmaatregelen in en rondom het nieuwe systeem.
7. Conclusie Ondernemingen dienen constant te veranderen om te kunnen blijven bestaan. Veel veranderingen worden met projecten doorgevoerd. Echter, veel projecten leveren niet de gewenste resultaten. Voldoende aandacht voor projectbeheersing is van belang om de risico’s te beheersen en de kans op succes te verhogen. De accountant kan hier een bijdrage aan leveren met Project Implementation Assurance. Voor projecten waarbij systemen geïmplementeerd worden, dient de accountant een aantal aspecten te beoordelen voor de jaarrekeningcontrole. Dit zijn vooral de impact van het nieuwe systeem op de interne beheersing en de juistheid en volledigheid van de dataconversie. PIA biedt beheerskaders om deze aspecten te beoordelen. Wanneer de accountant vroegtijdig bij een project betrokken wordt, kan de organisatie behoed worden voor fouten die later kostbaar zijn om te herstellen. Op basis van NV COS3000 kan de accountant tot slot een assurancerapport afgeven over de opzet, het bestaan en de werking van de ingerichte internebeheersmaatregelen.
Spotlight Jaargang 16 - 2009 | Uitgave 3
33