
Continuous (controls) monitoring (CCM) staat bij veel organisaties nog in de kinderschoenen. Het financieel shared service centre van de Universiteit Leiden is er in 2013 mee gestart. Niet aan de hand van een strategie, uitgebreide businesscase of een beleidsplan, maar in een pilot met een korte doorlooptijd van vier maanden waar direct resultaat zichtbaar moest zijn. Deze pilot met beperkte (financiële) middelen heeft geleid tot relatief veel toegevoegde waarde. Hoe komt dat?
In 2009 is het financieel shared service centre opgericht waarmee de financiële administratie van de Universiteit Leiden grotendeels is gecentraliseerd. De doelen waren – zoals ij het opzetten vele shared services – kosten op overhead besparen, de continuïteit waarborgen en de financiële functie verder professionaliseren. Na enkele jaren om de basis op orde te krijgen en te adapteren aan de nieuwe organisatie en processen was het tijd om verder te gaan ontwikkelen en innoveren als het gaat om de afsluiting- en het controleproces. Continuous (controls) monitoring (CCM) moest bijdragen aan een hogere leercurve door snel fouten op te sporen en daar continu van te leren (continuous improvement). Naast het ‘leermotief’ was er in het kader van horizontaal toezicht door de Belastingdienst behoefte aan meer aantoonbare zekerheid omtrent de juistheid en kwaliteit van de financiële administratie. Voor de aanvang van het project is een (IT-)control maturity model opgesteld. Dit model is later een aantal keer bijgesteld. Zie figuur 1 voor het (vereenvoudigde) model.
Begin 2014 – vlak voor de aanvang van de CCM pilot – zat de universiteit middenin fase twee van het maturity model. De financiële organisatie beschikte op dat moment over stabiele transparante controle- en afsluitingsprocessen ondersteund door de applicatie Runbook en volledig geïntegreerd in het financiële systeem SAP. Een flink aantal controles was reeds geautomatiseerd, bijvoorbeeld de betrekkelijk eenvoudige check of een saldo van een rekening op nul staat. Er bleven echter voldoende (meer complexere) stappen over die verder geautomatiseerd en geïntensifieerd konden worden. Tijd dus om naar fase drie van het maturity model te bewegen met meer geauTekst: Rob van den Wijngaard, Stijn Overkamp en Thomas Offerman Rob van den Wijngaard is hoofd Financieel Shared Service Centre, Stijn Overkamp is project adviseur en Thomas Offerman is medewerker data analyse en monitoring bij Universiteit Leiden Illustratie: Bagilla/Emanuel Wiemans tomatiseerde en diepgaandere continue controles aan de hand van continuous controls monitoring.
controles in plaats van het produceren van strategie of beleid. Om ook hier niet te vervallen in het definitievraagstuk leest u in dit artikel alleen de term CM.
Toegevoegde waarde
Universiteit Leiden is primair met CM gestart om een hoge leercurve te bewerkstelligen en de juistheid en kwaliteit van de financiële administratie te waarborgen. Er zijn echter nog meer facetten waar CM waarde toevoegt.
Compliance risico’s verminderen
CM kan goed worden ingezet om compliance risico’s te verminderen. Denk aan het voorkomen van fraude en het voldoen aan wet- en regelgeving. Een voorbeeld is de controle of bij de autorisatie van facturen wordt voldaan het vier-ogenprincipe dat stelt dat ten minste twee verschillende medewerkers een factuur moeten hebben geautoriseerd voor verwerking. CM heeft in Leiden in zeer sterke mate bijgedragen aan het verminderen van het aantal risicofacturen met 73 procent (verschil tussen aantal risicofacturen in boekjaar 2014 en boekjaar 2015).
Geen steekproeven maar monitoring van de volledige massa
Een belangrijk voordeel van CM boven handmatige controles is dat je in beginsel geen steekproeven hoeft te doen. Je monitort immers de totale massa aan data op waarden die niet aan de norm voldoen. In Leiden stoelde de controle op de juistheid van de btw-codering van facturen (bijvoorbeeld laag, midden, verlegd, EU, niet-EU) voor de implementatie van CM op aselecte steekproeven. Nu wordt iedere maand een script losgelaten op alle boekingen van die maand. De btw-coderingen die mogelijk niet voldoen aan bepaalde business rules worden als uitzondering gerapporteerd.
Lees ook: Continuous monitoring: ‘Er is een andere kijk en filosofie ontstaan op de financiële afdeling’
Complexere analyses
Met CM kunnen complexere analyses worden uitgevoerd dan met standaard applicaties. Rapporten gegenereerd met bijvoorbeeld SAP BW of BO of andere business intelligence tools zijn vrij statisch ondanks allerlei mogelijkheden om data te combineren. Om dubbele boekingen op te sporen wordt in Leiden bijvoorbeeld gebruik gemaakt van ‘fuzzy matching’. Met fuzzy matching kunnen patronen worden gevonden van boekingen die vanaf een bepaalde drempelwaarde aan elkaar gelijk zijn. Nu de voordelen en mogelijkheden van CM zijn uiteengezet, zal kort worden beschreven hoe tot deze resultaten is gekomen.
De pilot van vier maanden
Er is geen uitgebreide business case of strategie beschreven, maar gestart met een projectplan van slechts een aantal PowerPoint slides. De insteek van de pilot was om van bestaande controles de frequentie te verhogen, de diepgang te vergroten en delen van het proces te ontsluiten via een mobiele interface. De software Runbook zou de kern vormen van het continu monitoren door het ontsluiten van gegevens vanuit SAP, eigen standaard controles uit te voeren, acties op bevindingen te initiëren via een workflow en de bevindingen te rapporteren. Het project bestond uit vijf fasen. Zie figuur 2.
Als scope is gekozen om het operationele purchaseto-pay proces als uitgangspunt te nemen. Dat leidde uiteindelijk tot de top 10 uit het kader. Fase twee tot en met vier kenden een iteratief karakter – ofwel een ‘agile’ aanpak. In iteraties werden controles ontworpen, gebouwd en direct getest. Op deze wijze konden deliverables die geen waarde toevoegden of (technisch) niet bleken te werken direct worden bijgesteld of stopgezet. Pas na goedkeuring door de proceseigenaar ging een controle live.
De techniek achter de controles
Binnen CM in Leiden zijn twee soorten technieken toegepast: Report verification van de applicatie Runbook en de programmeertaal Python. Report verifications bieden functionaliteiten waarbij data direct uit SAP in een rapport gevalideerd kan worden. Tevens kunnen meerdere rapporten met elkaar worden vergeleken. Het voordeel van Report verifications is dat ze direct aangesloten zijn op SAP, zodat de data automatisch op kan worden gehaald en ook de resultaten weer in Runbook worden gearchiveerd. Python is een programmeertaal waarmee completere analyses kunnen worden gemaakt; met Python is het mogelijk allerlei algoritmes toe te passen op data. Globaal zijn vier objecten van controle te onderscheiden:
- controle op masterdata (bijvoorbeeld crediteurenstamgegevens);
- controle op transacties (bijvoorbeeld boekingen op grootboeken);
- controle op user accessdata (bijvoorbeeld scheiding van functies en access);
- controle op workflowdata (bijvoorbeeld het factureringsproces).
Figuur 3 toont een aantal van de belangrijkste opgeleverde controles.
Evaluatie Leidse CM-aanpak: het succes verklaard
Nog dagelijks worden de vruchten van de CM-controles geplukt doordat fouten sneller worden opgespoord en er meer zekerheid is over de juistheid van de administratie. De CM-pilot, met een betrekkelijk korte doorlooptijd en beperkte (financiële) middelen, heeft geleid tot relatief veel toegevoegde waarde. Hoe komt dat?
Belangrijk is dat niet alleen aandacht is besteed aan technische aspecten. Ook met zorgvuldig gekozen methoden, templates, bekwame projectmedewerkers en opgeleverde deliverables is een succesvolle verandering in bedrijfsprocessen en werkwijzen niet gegarandeerd. CM is ook een ‘softe’ organisatorische en procesmatige verandering. In de pilot is het klaverbladmodel van figuur 4 als uitgangspunt genomen. De boodschap voor de stakeholders was dat CM niet is gestart om mensen te controleren of corrigeren, maar om snel te leren en financials te ondersteunen in hun werk. Een belangrijke randvoorwaarde voor het succes van de pilot was dat de universiteit reeds beschikte over stabiele en transparante afsluitingsprocessen gefaciliteerd door Runbook. Er was intern reeds betrekkelijk veel Runbook-kennis in huis door de aanstelling van één fulltime Runbook-beheerder die zich tevens bezighield met ontwikkeling. In het project is geprobeerd zo veel mogelijk voort te bouwen op eigen kennis om te bewerkstelligen dat controles op worden geleverd die toegespitst zijn op de financiële informatiehuishouding van de universiteit.
Tien actiepunten om risico’s binnen purchase-to-pay
(in willekeurige volgorde) te voorkomen:
1. let op inconsistentie in btw-gebruik
2. borg functiescheiding op basis van SAP-transacties
3. voorkom dubbele stamgegevens
4. Europees aanbesteden: stel de omzet per crediteur vast
5. controleer op dubbele betalingen
6. borg codering inhuur tijdelijk personeel
7. borg juist gebruik Werkkostenregeling (WKR) grootboekrekeningen
8. monitor autorisaties goedkeuren facturen (vier-ogenprincipe)
9. monitor ongeautoriseerd bestellen
10. borg juist gebruik grootboekrekeningen
Toekomstige richtingen
‘Voorspellen is moeilijk, vooral als het om de toekomst gaat’ heeft de beroemde natuurkundige Niels Bohr eens gezegd. Een aantal trends kan echter wel als kader dienen om uitspraken te doen over mogelijke nieuwe ontwikkelen met betrekking tot financiële processen in het algemeen en CM in het bijzonder. Kranten en populaire tijdschriften staan bijvoorbeeld vol met de term fintech; het gebruik van software voor financiële dienstverlening. Ook CM zal zich naar alle waarschijnlijkheid snel ontwikkelen omdat de fintech-mogelijkheden steeds groter worden en het steeds eenvoudiger wordt om te implementeren. CM zal naar verwachting nog meer realtime worden, wat wil zeggen dat niet dagelijks of wekelijks uitzonderingen worden gemeld, maar direct bij het uitvoeren van het proces. Machine learning is voorlopig de laatste stap in het Processen ICT Presentatie van de organisatie Machine learning is een vorm van artificiële intelligentie waarbij software zichzelf programmeert en zelflerend is. Binnen CM zijn vele toepassingen denkbaar, zoals het doen van voorspellingen op basis van grote hoeveelheden (historische) data. In plaats van achteraf fouten opsporen, kunnen toekomstige risico’s worden gedetecteerd op basis van data. In Leiden voert ten tijde van schrijven van dit artikel een student informatica een verkenningsonderzoek uit naar de mogelijkheden van machine learning binnen CM.
Ook voor niet-multinationals
CM is veel meer dan alleen een technische exercitie: het is voor financials, zoals controllers, een verandering van werkwijze die meer berust op (vertrouwen in) IT en minder op menselijk handelen. De Leidse casus toont ook dat de toegevoegde waarde van CM niet alleen ligt in het automatiseren van controles en het aantoonbaar ‘compliant’ kunnen zijn. Belangrijker is dat fouten sneller worden opgespoord, waardoor snel kan worden geleerd en grote correcties achteraf kunnen worden voorkomen. Het leereffect zou dan ook een belangrijke motivatie moeten zijn om te starten met CM. CM hoeft ook voor niet-multinationals met beperkte (financiële) middelen geen ‘ver-van-mijnbed-show’ te zijn. Door in een kleinschalige pilot voort te bouwen op eigen kennis en de bestaande IT-infrastructuur kunnen in enkele maanden significante resultaten worden geboekt die direct waarde toevoegen aan de business. Door een duidelijk einddoel voor ogen te hebben maar in kleine stapjes en experimenten naar dat doel te bewegen worden risico’s op een mislukte implementatie beperkt. Met deze werkwijze kan snel van fouten worden geleerd en direct worden bijgestuurd; innovatie is immers geen lineair proces. De (digitale) finance transformatie waar zoveel over wordt gesproken kan zo ook daadwerkelijk vorm krijgen. ‘We have a strategic plan, it’s called doing things (Herb Kelleher).’
Lees ook: Continuous monitoring en continuous auditing: een stappenplan voor het zichtbaar maken van control
Meer lezen
- Deloitte, Continuous monitoring and continuous auditing: from idea to implementation, 2010.
- Gartner, Continuous Controls Monitoring for Transactions: The Next Frontier for GRC Automation, 2009.
- KPMG, Continuous Auditing/Continuous Monitoring Using Technology to Drive Value by Managing Risk and Improving Performance, 2008.
Rob van den Wijngaard is hoofd Financieel Shared Service Centre, Stijn Overkamp is project adviseur en Thomas Offerman is medewerker data analyse en monitoring bij Universiteit Leiden Illustratie: Bagilla/Emanuel Wiemans
Dit artikel verscheen eerder in cm: nummer 3 van 2016
Geef een reactie