voor de financieel professional met ambitie

Je bent hier: Home » Verdieping » Continuous monitoring in Leiden: een kwestie van doen

Continuous monitoring in Leiden: een kwestie van doen

door Rob van den Wijngaard, Stijn Overkamp en Thomas Offerman 0

Continuous (controls) monitoring (CCM) staat bij veel organisaties nog in de kinderschoenen. Het financieel shared service centre van de Universiteit Leiden is er in 2013 mee gestart. Niet aan de hand van een strategie, uitgebreide businesscase of een beleidsplan, maar in een pilot met een korte doorlooptijd van vier maanden waar direct resultaat zichtbaar moest zijn. Deze pilot met beperkte (financiële) middelen heeft geleid tot relatief veel toegevoegde waarde. Hoe komt dat?

In 2009 is het financieel shared service centre opgericht waarmee de financiële administratie van de Universiteit Leiden grotendeels is gecentraliseerd. De doelen waren – zoals ij het opzetten vele shared services – kosten op overhead besparen, de continuïteit waarborgen en de financiële functie verder professionaliseren. Na enkele jaren om de basis op orde te krijgen en te adapteren aan de nieuwe organisatie en processen was het tijd om verder te gaan ontwikkelen en innoveren als het gaat om de afsluiting- en het controleproces. Continuous (controls) monitoring (CCM) moest bijdragen aan een hogere leercurve door snel fouten op te sporen en daar continu van te leren (continuous improvement). Naast het ‘leermotief’ was er in het kader van horizontaal toezicht door de Belastingdienst behoefte aan meer aantoonbare zekerheid omtrent de juistheid en kwaliteit van de financiële administratie. Voor de aanvang van het project is een (IT-)control maturity model opgesteld. Dit model is later een aantal keer bijgesteld. Zie figuur 1 voor het (vereenvoudigde) model.

SSC-Leiden-1

Begin 2014 – vlak voor de aanvang van de CCM pilot – zat de universiteit middenin fase twee van het maturity model. De financiële organisatie beschikte op dat moment over stabiele transparante controle- en afsluitingsprocessen ondersteund door de applicatie Runbook en volledig geïntegreerd in het financiële systeem SAP. Een flink aantal controles was reeds geautomatiseerd, bijvoorbeeld de betrekkelijk eenvoudige check of een saldo van een rekening op nul staat. Er bleven echter voldoende (meer complexere) stappen over die verder geautomatiseerd en geïntensifieerd konden worden. Tijd dus om naar fase drie van het maturity model te bewegen met meer geauTekst: Rob van den Wijngaard, Stijn Overkamp en Thomas Offerman Rob van den Wijngaard is hoofd Financieel Shared Service Centre, Stijn Overkamp is project adviseur en Thomas Offerman is medewerker data analyse en monitoring bij Universiteit Leiden Illustratie: Bagilla/Emanuel Wiemans tomatiseerde en diepgaandere continue controles aan de hand van continuous controls monitoring.

Definitie CCM
 
 Er gaan vele definities rond van continuous controls monitoring (CCM), continuous monitoring (CM), continuous transaction monitoring (CTM of CCM-T) en continuous auditing (CA). Deze definities zijn veelal opgesteld door commerciële onderzoeks- en adviesbureaus; wetenschappelijke definities lijken te ontbreken. Deze begrippen worden in de praktijk bovendien veelal door elkaar gebruikt. Er zijn echter wel degelijk verschillen. In Leiden is ervoor gekozen om structureel de termen continuous monitoring (CM) en continuous auditing (CA) te gebruiken. Deze keuze is voornamelijk gemaakt om niet in semantische discussies te belanden. Het doel was immers om zo snel mogelijk resultaten te zien met werkende
controles in plaats van het produceren van strategie of beleid. Om ook hier niet te vervallen in het definitievraagstuk leest u in dit artikel alleen de term CM.

Toegevoegde waarde

Universiteit Leiden is primair met CM gestart om een hoge leercurve te bewerkstelligen en de juistheid en kwaliteit van de financiële administratie te waarborgen. Er zijn echter nog meer facetten waar CM waarde toevoegt.

Meer weten over Continuous Monitoring?
Volg de e-learning van de Finance Academy!

Compliance risico’s verminderen

CM kan goed worden ingezet om compliance risico’s te verminderen. Denk aan het voorkomen van fraude en het voldoen aan wet- en regelgeving. Een voorbeeld is de controle of bij de autorisatie van facturen wordt voldaan het vier-ogenprincipe dat stelt dat ten minste twee verschillende medewerkers een factuur moeten hebben geautoriseerd voor verwerking. CM heeft in Leiden in zeer sterke mate bijgedragen aan het verminderen van het aantal risicofacturen met 73 procent (verschil tussen aantal risicofacturen in boekjaar 2014 en boekjaar 2015).

Geen steekproeven maar monitoring van de volledige massa

Een belangrijk voordeel van CM boven handmatige controles is dat je in beginsel geen steekproeven hoeft te doen. Je monitort immers de totale massa aan data op waarden die niet aan de norm voldoen. In Leiden stoelde de controle op de juistheid van de btw-codering van facturen (bijvoorbeeld laag, midden, verlegd, EU, niet-EU) voor de implementatie van CM op aselecte steekproeven. Nu wordt iedere maand een script losgelaten op alle boekingen van die maand. De btw-coderingen die mogelijk niet voldoen aan bepaalde business rules worden als uitzondering gerapporteerd.

Lees ook: Continuous monitoring: ‘Er is een andere kijk en filosofie ontstaan op de financiële afdeling’

Complexere analyses

Met CM kunnen complexere analyses worden uitgevoerd dan met standaard applicaties. Rapporten gegenereerd met bijvoorbeeld SAP BW of BO of andere business intelligence tools zijn vrij statisch ondanks allerlei mogelijkheden om data te combineren. Om dubbele boekingen op te sporen wordt in Leiden bijvoorbeeld gebruik gemaakt van ‘fuzzy matching’. Met fuzzy matching kunnen patronen worden gevonden van boekingen die vanaf een bepaalde drempelwaarde aan elkaar gelijk zijn. Nu de voordelen en mogelijkheden van CM zijn uiteengezet, zal kort worden beschreven hoe tot deze resultaten is gekomen.

De pilot van vier maanden

Er is geen uitgebreide business case of strategie beschreven, maar gestart met een projectplan van slechts een aantal PowerPoint slides. De insteek van de pilot was om van bestaande controles de frequentie te verhogen, de diepgang te vergroten en delen van het proces te ontsluiten via een mobiele interface. De software Runbook zou de kern vormen van het continu monitoren door het ontsluiten van gegevens vanuit SAP, eigen standaard controles uit te voeren, acties op bevindingen te initiëren via een workflow en de bevindingen te rapporteren. Het project bestond uit vijf fasen. Zie figuur 2.

SSC-Leiden-2

Als scope is gekozen om het operationele purchaseto-pay proces als uitgangspunt te nemen. Dat leidde uiteindelijk tot de top 10 uit het kader. Fase twee tot en met vier kenden een iteratief karakter – ofwel een ‘agile’ aanpak. In iteraties werden controles ontworpen, gebouwd en direct getest. Op deze wijze konden deliverables die geen waarde toevoegden of (technisch) niet bleken te werken direct worden bijgesteld of stopgezet. Pas na goedkeuring door de proceseigenaar ging een controle live.

De techniek achter de controles

Binnen CM in Leiden zijn twee soorten technieken toegepast: Report verification van de applicatie Runbook en de programmeertaal Python. Report verifications bieden functionaliteiten waarbij data direct uit SAP in een rapport gevalideerd kan worden. Tevens kunnen meerdere rapporten met elkaar worden vergeleken. Het voordeel van Report verifications is dat ze direct aangesloten zijn op SAP, zodat de data automatisch op kan worden gehaald en ook de resultaten weer in Runbook worden gearchiveerd. Python is een programmeertaal waarmee completere analyses kunnen worden gemaakt; met Python is het mogelijk allerlei algoritmes toe te passen op data. Globaal zijn vier objecten van controle te onderscheiden:

  • controle op masterdata (bijvoorbeeld crediteurenstamgegevens);
  • controle op transacties (bijvoorbeeld boekingen op grootboeken);
  • controle op user accessdata (bijvoorbeeld scheiding van functies en access);
  • controle op workflowdata (bijvoorbeeld het factureringsproces).

Figuur 3 toont een aantal van de belangrijkste opgeleverde controles.

SSC-Leiden-3

Evaluatie Leidse CM-aanpak: het succes verklaard

Nog dagelijks worden de vruchten van de CM-controles geplukt doordat fouten sneller worden opgespoord en er meer zekerheid is over de juistheid van de administratie. De CM-pilot, met een betrekkelijk korte doorlooptijd en beperkte (financiële) middelen, heeft geleid tot relatief veel toegevoegde waarde. Hoe komt dat?

Belangrijk is dat niet alleen aandacht is besteed aan technische aspecten. Ook met zorgvuldig gekozen methoden, templates, bekwame projectmedewerkers en opgeleverde deliverables is een succesvolle verandering in bedrijfsprocessen en werkwijzen niet gegarandeerd. CM is ook een ‘softe’ organisatorische en procesmatige verandering. In de pilot is het klaverbladmodel van figuur 4 als uitgangspunt genomen. De boodschap voor de stakeholders was dat CM niet is gestart om mensen te controleren of corrigeren, maar om snel te leren en financials te ondersteunen in hun werk. Een belangrijke randvoorwaarde voor het succes van de pilot was dat de universiteit reeds beschikte over stabiele en transparante afsluitingsprocessen gefaciliteerd door Runbook. Er was intern reeds betrekkelijk veel Runbook-kennis in huis door de aanstelling van één fulltime Runbook-beheerder die zich tevens bezighield met ontwikkeling. In het project is geprobeerd zo veel mogelijk voort te bouwen op eigen kennis om te bewerkstelligen dat controles op worden geleverd die toegespitst zijn op de financiële informatiehuishouding van de universiteit.

Top 10 risico’s p2p
Tien actiepunten om risico’s binnen purchase-to-pay
(in willekeurige volgorde) te voorkomen:
1. let op inconsistentie in btw-gebruik
2. borg functiescheiding op basis van SAP-transacties
3. voorkom dubbele stamgegevens
4. Europees aanbesteden: stel de omzet per crediteur vast
5. controleer op dubbele betalingen
6. borg codering inhuur tijdelijk personeel
7. borg juist gebruik Werkkostenregeling (WKR) grootboekrekeningen
8. monitor autorisaties goedkeuren facturen (vier-ogenprincipe)
9. monitor ongeautoriseerd bestellen
10. borg juist gebruik grootboekrekeningen

Toekomstige richtingen

‘Voorspellen is moeilijk, vooral als het om de toekomst gaat’ heeft de beroemde natuurkundige Niels Bohr eens gezegd. Een aantal trends kan echter wel als kader dienen om uitspraken te doen over mogelijke nieuwe ontwikkelen met betrekking tot financiële processen in het algemeen en CM in het bijzonder. Kranten en populaire tijdschriften staan bijvoorbeeld vol met de term fintech; het gebruik van software voor financiële dienstverlening. Ook CM zal zich naar alle waarschijnlijkheid snel ontwikkelen omdat de fintech-mogelijkheden steeds groter worden en het steeds eenvoudiger wordt om te implementeren. CM zal naar verwachting nog meer realtime worden, wat wil zeggen dat niet dagelijks of wekelijks uitzonderingen worden gemeld, maar direct bij het uitvoeren van het proces. Machine learning is voorlopig de laatste stap in het Processen ICT Presentatie van de organisatie Machine learning is een vorm van artificiële intelligentie waarbij software zichzelf programmeert en zelflerend is. Binnen CM zijn vele toepassingen denkbaar, zoals het doen van voorspellingen op basis van grote hoeveelheden (historische) data. In plaats van achteraf fouten opsporen, kunnen toekomstige risico’s worden gedetecteerd op basis van data. In Leiden voert ten tijde van schrijven van dit artikel een student informatica een verkenningsonderzoek uit naar de mogelijkheden van machine learning binnen CM.

SSC-Leiden-4

Ook voor niet-multinationals

CM is veel meer dan alleen een technische exercitie: het is voor financials, zoals controllers, een verandering van werkwijze die meer berust op (vertrouwen in) IT en minder op menselijk handelen. De Leidse casus toont ook dat de toegevoegde waarde van CM niet alleen ligt in het automatiseren van controles en het aantoonbaar ‘compliant’ kunnen zijn. Belangrijker is dat fouten sneller worden opgespoord, waardoor snel kan worden geleerd en grote correcties achteraf kunnen worden voorkomen. Het leereffect zou dan ook een belangrijke motivatie moeten zijn om te starten met CM. CM hoeft ook voor niet-multinationals met beperkte (financiële) middelen geen ‘ver-van-mijnbed-show’ te zijn. Door in een kleinschalige pilot voort te bouwen op eigen kennis en de bestaande IT-infrastructuur kunnen in enkele maanden significante resultaten worden geboekt die direct waarde toevoegen aan de business. Door een duidelijk einddoel voor ogen te hebben maar in kleine stapjes en experimenten naar dat doel te bewegen worden risico’s op een mislukte implementatie beperkt. Met deze werkwijze kan snel van fouten worden geleerd en direct worden bijgestuurd; innovatie is immers geen lineair proces. De (digitale) finance transformatie waar zoveel over wordt gesproken kan zo ook daadwerkelijk vorm krijgen. ‘We have a strategic plan, it’s called doing things (Herb Kelleher).’

Lees ook: Continuous monitoring en continuous auditing: een stappenplan voor het zichtbaar maken van control

Meer lezen

  • Deloitte, Continuous monitoring and continuous auditing: from idea to implementation, 2010.
  • Gartner, Continuous Controls Monitoring for Transactions: The Next Frontier for GRC Automation, 2009.
  • KPMG, Continuous Auditing/Continuous Monitoring Using Technology to Drive Value by Managing Risk and Improving Performance, 2008.

Rob van den Wijngaard is hoofd Financieel Shared Service Centre, Stijn Overkamp is project adviseur en Thomas Offerman is medewerker data analyse en monitoring bij Universiteit Leiden Illustratie: Bagilla/Emanuel Wiemans

Dit artikel verscheen eerder in cm: nummer 3 van 2016

Meer weten over dit onderwerp?

Volg een e-learning op The Finance Academy!

The Finance Academy

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Gerelateerde artikelen

Deze website is ontwikkeld voor Internet Explorer 9 of hoger, werk uw browser a.u.b. bij naar een recentere versie.