
Continuous monitoring en continuous auditing staan nog steeds in de kinderschoenen, maar er zit wel beweging in. Als controles steeds meer worden geautomatiseerd, is een adequate procesbeheersing zonder het toepassen van continuous monitoring en continuous auditing wellicht in de toekomst niet meer denkbaar. Een stappenplan.
Om ‘in control’ te zijn heeft het management behoefte aan continue zekerheid, continuous assurance, over de werking van het systeem van risicomanagement, interne beheersing en periodieke financiële informatie. Dat betekent dat een jaarlijkse beoordeling van het internal control framework niet langer volstaat. Ook stakeholders eisen dat een organisatie met een grote mate van efficiëntie assurance over de betrouwbaarheid van de processen kan verschaffen. Het management zal de interne beheersing dan ook op een meer continue basis willen monitoren en daar in bepaalde gevallen ook extern over moeten kunnen rapporteren. Deze ontwikkelingen hebben tot gevolg dat steeds meer organisaties projecten op zetten om continuous monitoring en continuous auditing te implementeren.
Om aan de toenemende vraag naar continuous assurance op een effectieve en efficiënte wijze te kunnen voldoen, is het wenselijk om de controles op een continue geautomatiseerde basis in plaats van op een periodieke vaak handmatige basis uit te voeren. Daarnaast speelt het tijdig signaleren van fouten om aanvullende controles te kunnen uitvoeren, oorzaken te achterhalen en compenserende maatregelen te identificeren en te implementeren een belangrijke rol.
Lees ook: Continuous monitoring: ‘Er is een andere kijk en filosofie ontstaan op de financiële afdeling’
Voorbeeld verzekeringskantoor
In een groot verzekeringskantoor is een toepassing geïmplementeerd waarbij alle journaalposten die in het grootboek zijn geboekt automatisch naar een separate omgeving op het netwerk worden verzonden. Binnen deze omgeving wordt direct een aantal analyses op deze journaalposten uitgevoerd. Deze analyses zijn scripts die geautomatiseerd worden toegepast. De analyses hebben tot doel fouten, frauduleuze journaalposten en inefficiënties te detecteren. De uitkomsten van de analyses worden vervolgens geautomatiseerd in een rapportage, waarin de afwijkingen per analyse op transactieniveau zijn opgenomen, verwerkt. Daarnaast bevat de rapportage een overzicht van het totale aantal boekingen en de corresponderende bedragen in relatie tot het aantal geanalyseerde boekingen. Hierdoor is de integriteit van de data vast te stellen. De rapportage wordt dagelijks door een speciaal ingerichte afdeling, die niet primair verantwoordelijk is voor het productieproces en het boeken van journaalposten opgevolgd. Daarnaast wordt de rapportage aan het management van de financiële afdeling van het verzekeringskantoor verstrekt. Het op continue basis controleren van journaalposten door het management is een voorbeeld van continuous monitoring.
De rapportage wordt ook aan de internal audit functie van het verzekeringskantoor verstrekt. De internal audit functie toetst of het management en de specifiek ingerichte afdeling de rapportages aantoonbaar hebben opgevolgd. Dit is een zogenaamde ‘formele controle’, waarbij de internal audit functie controleert dat eventuele frauduleuze journaalposten zijn uitgezocht, zijn verklaard en de analyses zijn ondertekend. Daarnaast voert de internal audit functie een ‘materiële controle’ uit, waarbij zij zelf de eventuele fouten, frauduleuze journaalposten en inefficiënties op de rapportages aan de hand van bijvoorbeeld brondocumenten of brongegevens uit onderliggende aanleverende informatiesystemen controleert. Het op continue basis controleren van journaalposten door de internal audit functie is een voorbeeld van continuous auditing.
Stappenplan continuous monitoring
1. Bepaal de visie op interne beheersing
2. Stel een goede business case op
3. Identificeer de projectsponsor en de projecteigenaar
4. Baken het project af
5. Inventariseren de omgeving
6. Implementeer het project in een eerste pilot
7. Zorg voor compatibiliteit met de technologie
8. Analyseer hoe toegang tot de data kan worden verkregen
9. Haal gegevens op
10. Implementeer technologie en analysesoftware
11. Stel de criteria om fouten en afwijkingen te rapporteren op
12. Rapporteer de bereikte resultaten
13. Realiseer een continuous monitoring-omgeving
14. Beoordeel de effectiviteit van het ingerichte continuous monitoring proces
Stap 1: Bepaal de visie op interne beheersing
Niet iedere organisatie heeft de behoefte om met een implementatieproject van continuous monitoring te beginnen. Maar voor organisaties die wel die behoefte hebben is het verstandig om een strategie voor het implementeren van continuous monitoring op te stellen. In dat geval moeten allereerst de visie en doelstellingen van continuous monitoring scherp op het netvlies worden gezet.
De doelstellingen van continuous monitoring zijn niet wezenlijk anders dan die van een internal control framework. Continuous monitoring ondersteunt het management namelijk bij het beheersen van de processen en het handhaven van interne richtlijnen en procedures. Uiteindelijk is continuous monitoring gericht op:
1. het terugdringen van de interne beheersingsrisico’s in een organisatie;
2. het zo efficiënt mogelijk uitvoeren van controles;
3. het vergroten van het vertrouwen in de (financiële) informatie in een organisatie;
4. het verbeteren van (financiële) operaties door het verlagen van de kans op afwijkingen;
5. het verbeteren van de winstgevendheid door betere sturing en het terugdringen van afwijkingen.
Stap 2: Stel een goede businesscase op
Door het opstellen van een businesscase met daarin de motivering en de scope van het project, de doelstellingen en de verwachte kosten en de wijze waarop deze kunnen worden gemeten, kan het denken over continuous monitoring en continuous auditing worden geformaliseerd en kan ondersteuning en formele accordering door het management worden afgedwongen.
Stap 3: Identificeer de projectsponsor en de projecteigenaar
Door het stappenplan te volgen maakt een organisatie optimaal gebruik van de mogelijkheden die in geautomatiseerde IT-omgevingen worden geboden. Daarvoor moet wel aan een belangrijke randvoorwaarde in de vorm van sponsorship door het management zijn voldaan. Dat is niet alleen nodig, omdat het toepassen van continuous auditing kan noodzaken tot aanvullende IT-investeringen, maar juist ook voor het krijgen van directe toegang tot de geautomatiseerde systemen met de daarin vastgelegde transactiegegevens. Het management is primair verantwoordelijk voor de blijvend goede werking van het interne beheersingssysteem. Idealiter richt zij voor het kunnen dragen van die verantwoordelijkheid een proces van continuous monitoring in, waarbij voor alle transacties wordt vastgesteld of deze aan de interne beheersingsdoelstellingen voldoen. Het management krijgt op die wijze de zekerheid dat het internal control framework goed functioneert en dat in het geval van afwijkingen escalatie kan worden voorkomen door tijdig in te grijpen.
Als randvoorwaarde geldt ook dat voldoende budget voor het implementatieproject wordt vrijgemaakt. Daarvoor moet het management overtuigd worden van het nut en de noodzaak van continuous monitoring. Na de eenmalige investeringen in continuous monitoring blijven kosten voor het onderhoud bestaan. Als duidelijk kan worden gemaakt dat de totale kosten opwegen tegen het tijdig ontdekken van fouten, fraude en inefficiënties, bijvoorbeeld tijdens een pilot, dan zal het management de voordelen van continuous monitoring zien en enthousiast worden voor implementatie van het project.
Stap 4: Baken het project af
Voor aanvang van het project is het belangrijk dat de business case duidelijk is en wordt aangegeven wat wel en wat niet tot het project wordt gerekend en dat er een duidelijke rolverdeling en een duidelijke planning zijn.
Stap 5: Inventariseren de omgeving
De omgeving is een belangrijk onderdeel van de uiteindelijke oplossing. Het gaat om het begrijpen welke processen belangrijk zijn, hoe die processen aan elkaar zijn gelinkt en om het in kaart brengen van systemen die een rol spelen binnen deze processen. Op basis van deze informatie kan doelgericht naar de beschikbare data worden gekeken door in kaart te brengen in welke databases de transacties worden vastgelegd en hoe er met geaggregeerde informatie wordt omgegaan. Het resultaat van deze stap is een proces- en systeemschets. Op hoofdlijnen is het door deze stap mogelijk aan te duiden welke criteria worden gehanteerd om gegevens op te halen en uit welke tabellen deze gegevens afkomstig moeten zijn. Ook moet helder worden over welke periode gegevens moeten worden opgehaald.
Stap 6: Implementeer het project in een eerste pilot
Als de organisatie bij de eerste implementatie van continuous monitoring in segmenten wordt ingedeeld en continuous monitoring vervolgens per segment wordt geïmplementeerd, levert dit de volgende voordelen op:
– na implementatie in een bepaald segment kan een evaluatie plaatsvinden of het implementeren aan de gestelde eisen voldoet;
– de hoeveelheid benodigde technische kennis wordt beperkt, omdat per segment wordt geanalyseerd van welke gegevensbron de data afkomstig is;
– voor de eerste implementatie van continuous monitoring kan een segment worden gekozen waarvan het waarschijnlijk is dat door het implementeren een groot aantal afwijkingen aan het licht komt waarbij grote bedragen een rol spelen;
– de kosten van implementatie zijn beperkt.
Lees ook: Continuous monitoring in Leiden: een kwestie van doen
Stap 7: Zorg voor compatibiliteit met de technologie
Hoewel IT het eenvoudiger maakt om patronen in complexe data te analyseren, transacties en beheersingsmaatregelen real-time te monitoren en problemen en onregelmatigheden te signaleren, is dit niet het vertrekpunt voor het implementeren van continuous monitoring en continuous auditing. IT is geen wondermiddel. Het vertrekpunt moet liggen bij bedrijfsdoelstellingen, processen, medewerkers en risicobeoordeling. Pas als dit gebeurd is, kan een organisatie tools op hun geschiktheid gaan beoordelen.
Stap 8: Analyseer hoe toegang tot de data kan worden verkregen
De specifieke inrichting van continuous monitoring is afhankelijk van de in de organisatie aanwezige data, zoals vastgelegd in de verschillende informatiesystemen.
Het krijgen van toegang tot bepaalde data kan moeilijk en tijdrovend zijn. Door gebrek aan technische kennis en mogelijke technische beperkingen kan deze fase van het project een grote uitdaging zijn.
Stap 9: Haal de gegevens op
Doorgaans worden door middel van een aantal queries gegevens uit verschillende databases opgehaald. Die gegevens worden in de te gebruiken data-analysetools ingelezen waarna een controleaansluiting met de brongegevens noodzakelijk is. Denk aan een aansluiting tussen saldi per grootboekrekening in Exact en de ontvangen download uit Exact. Dat is van belang, omdat in de loop van het project conclusies aan de gegevens worden verbonden en de integriteit van die gegevens dus van cruciaal belang is.
Nadat de tool juist is opgezet en de koppelingen met de informatiesystemen zijn gemaakt, wordt de data extractie en data conversie uit het informatiesysteem of verschillende informatiesystemen op juistheid en volledigheid getest.
Stap 10: Implementeer technologie en analysesoftware
In de praktijk wordt bij het implementeren van de tool allereerst het internal control framework zelf met alle controlehandelingen en -processen in de tool vastgelegd. Dit gebeurt door het vastleggen van de processtappen en de controleregels. Vervolgens worden, door middel van automatische koppelingen met bijvoorbeeld een ERP-systeem analyses gedaan.
Stap 11: Stel de criteria om fouten en afwijkingen te rapporteren op
Om continuous monitoring zo effectief mogelijk te maken moet de tool tijdige en juiste meldingen geven als zich afwijkingen van de controleregels voordoen. Het is daarbij van groot belang dat duidelijk wordt gedefinieerd wanneer en aan wie afwijkingen worden gerapporteerd, om te voorkomen dat het management met rapportages wordt overladen.
Het opstellen van rapportageregels moet uitvoerig worden getest, waarbij de testcriteria zo realistisch mogelijk worden ingesteld en alleen, op basis van prioriteit, kritische overtredingen en afwijkingen direct worden gerapporteerd. Ook moet daarbij rekening worden gehouden met de tijdigheid van de rapportages. Daarbij moet de meest effectieve manier van rapporteren worden gekozen. Een voorbeeld van een effectieve manier van het rapporteren van afwijkingen is door middel van email notificatie.
Door het volgen van het stappenplan ontstaat zo het in figuur 2 geschetste samenhangende geheel van maatregelen om tot rapportage te komen.
Stap 12: Rapporteer de bereikte resultaten
Het enthousiasme dat het projectteam door het uitvoeren van een pilot project weet te realiseren, moet worden ingezet om de gerealiseerde verbeteringen in de interne beheersing te consolideren en meer verbeteringen tot stand te brengen door het uitbreiden van het aantal processen waarvoor continuous monitoring voor wordt ingezet. Het is belangrijk om het momentum door de gerealiseerde verbeteringen niet voorbij te laten gaan.
Stap 13: Realiseer een continuous monitoring-omgeving
Organisaties die continuous monitoring willen implementeren of hebben geïmplementeerd zullen daar steeds hogere eisen aan stellen. Er zijn vaak eisen en wensen ter verbetering van:
– de tijdigheid van de data en rapportages;
– de impact op de performance van de IT-omgeving;
– de dynamiek van de controleregels op basis van een change managementprocedure;
– de inzetbaarheid van continuous monitoring in de organisatie. Vaak wordt continuous monitoring in het primaire proces geïmplementeerd, maar na verloop van tijd moet het door de hele organisatie kunnen worden ingevoerd;
– de efficiënte inrichting van het internal control framework;
– het visualiseren van de rapportages per proces in een compliance cockpit.
Voor deze laatste stap kan vaak bij bestaande business intelligence-oplossingen worden aangesloten.
Stap 14: Beoordeel de effectiviteit van het ingerichte continuous monitoring proces
Omdat het internal control framework zo effectief mogelijk moet zijn ingericht wordt periodiek geanalyseerd of voor het hele internal control framework in de software controleregels zijn gedefinieerd. Bij het ontbreken van bepaalde controleregels of het voorkomen van inefficiënte of ineffectieve controleregels zal het internal control framework door middel van een risicoanalyse moeten worden geanalyseerd, in de software worden vastgelegd en additionele of vervangende controleregels worden opgezet.
Auteur: drs. R.M. Kieft RA is zelfstandig gevestigd onder de naam Bureau voor Administratie en Controle Kieft (BACK) bv te Hoofddorp.
Dit artikel is verschenen in cm: 2019, afl. 1 en geactualiseerd op 11 november 2020.
The Finance Academy
De e-learning Continuous monitoring en continuous auditing op The Finance Academy biedt financieel professionals handvatten om niet langer jaarlijkse beoordelingen van het internal control framework te doen, maar om dit in te richten als een doorlopend proces. Na het volgen van deze cursus bent u gewapend om de business case van continuous monitoring en continuous auditing overtuigend te presenteren.
Geef een reactie