De Universiteit van Wageningen maakt voor risicomanagement gebruik van geautomatiseerde data-analyses. Ook hun accountant maakt inmiddels gebruik van de software in hun jaarrekeningproces. Internal auditor Ronald da Costa Senior vertelt er graag over: ‘Het belangrijkste succes is dat je regelmatig praat over risico’s. De awareness voor risico’s is enorm verhoogd.’
De risico’s in de bedrijfsprocessen bij Wageningen Universiteit en Wageningen Research (WUR) worden al sinds 2008 door corporate control geformuleerd. Denk aan de risico’s bij inkoop, HR, finance, transactieverwerking, projecten. Internal auditor Ronald da Costa Senior: ‘In het verleden formuleerden we de risico’s en die stuurden we naar onze collega’s van de financiële kolom via een applicatie. Zij gingen die risico’s dan afhandelen. Bijvoorbeeld: ‘controleer je projecten die nog geen contract hebben, maar waar al wel uren op worden gemaakt’. De betreffende controllers zochten het uit en beschreven in die applicatie hoeveel van dat soort projecten er waren en hoe ze dat risico hadden gemitigeerd.’
‘Dit jaar willen we een stapje verder en kijken of bepaalde controles gebouwd kunnen worden, waar zij hun jaarrekeningcontrole ten dele op kunnen bouwen.’
Realtime monitor
‘Maar die informatie zit al in de systemen, dus waarom dat nog een keer uitzoeken en beschrijven? Onze wens was dat proces te automatiseren,’ vervolgt Da Costa Senior, ‘Waarom bieden we niet direct alle uitzonderingen aan aan de mensen die het betreft? En zo zijn we in 2020 met de realtime monitor begonnen. We noemen de applicatie Brix, dat staat voor Beheersing Risico’s en Interne controle van eXcepties. Zo’n naam is wel relevant voor gebruikers. Het wordt inmiddels ook gebruikt als werkwoord: ‘ik moet nog brixen’. Daarnaast heeft het ook een associatie met bescherming, met een muur.’
Brix communiceert vooral
‘Wat Brix eigenlijk vooral doet is communiceren,’ aldus de internal auditor. ‘Op de achtergrond heeft hij toegang tot het datawarehouse. Brix leest die informatie in en schrijft daar selectieregels op. Vervolgens komen bij dit voorbeeld alle projecten met een bepaalde status naar voren. Dus waar bijvoorbeeld al langer dan 3 maanden iets op wordt geschreven of waar kosten op worden gemaakt. Dat gebeurt per administratie of per kenniseenheid. En Brix leest ook uit het datawarehouse wie de betreffende projectcontroller is. Die krijgt dan een bericht in zijn Brix-bakje, of een alert dat er een taak voor hem klaar staat. En dan wordt je geacht dat op te pakken.’
Welke concrete controles zijn er?
Er zijn op dit moment zo’n 80 controles gebouwd vertelt Da Costa Senior. Denk aan:
- Inconsistentie tussen buitenlandse reizen en uren. Boek je een buitenlandse reis op project A, maar je boekt in de periode van die reis al je uren op project B. Dat moet je wel uit kunnen leggen bij een audit.
- Inconsistentie tussen reizen en uren doen we ook voor het binnenland.
- Een project heeft een goedgekeurde begroting nodig. Ook dat wordt vastgelegd in de projectendatabase. Ben je te laat, dan krijg je een seintje. Brix kan dus ook alle projecten laten zien in de loop van het jaar.
- Projecten moeten een mijlpaal hebben vastgelegd. Bijvoorbeeld: wanneer moet je factureren.
- Een project heeft een einddatum. Op enig moment moet dat dan ook financieel afgesloten worden.
- Controle op dubbele facturen. Die checkt bijvoorbeeld of het bedrag, het crediteuren-id en de datum gelijk zijn. Dat moet je slim bouwen, want je wil natuurlijk niet iedere keer de energierekening eruit vissen.
- Welke accounts werken nog niet met single sign on. Dat willen we eigenlijk niet, maar soms kan het niet anders. We willen dan wel even een toelichting. Uiteraard draai je dit niet iedere maand.
- Wat zijn de rechten van superusers? Mensen die orders invoeren, mogen niet ook fiatteren. Wij willen functiescheiding hebben.
- Hebben mensen die uit dienst zijn geen toegang en rechten meer tot allerlei accounts?
- Verder zijn er veel controles op grootboekrekeningen. Er zijn allerlei dingen die niet kunnen. Daar kun je vrij eenvoudig een controle op laten lopen.
- Interne doorbelastingen moeten in evenwicht zijn. Wat ik naar jou stuur, moet ook ergens terug. De debet en de creditposten moeten in evenwicht zijn.
- Daarnaast zijn er een aantal btw-controles.
Standaardantwoorden
‘Er is een aantal default antwoordcategorieën geformuleerd van wat er aan de hand kan zijn. Die kunnen na evaluatie worden aangescherpt, als zo’n controle al een tijdje loopt. Soms hoef je alleen tekst toe te lichten. Bijvoorbeeld: ‘ik heb de tekst naar de volgende status gezet, want ondertussen is er een contract’. Maar dat kan ook zijn: ‘het contract komt nog’. En zo is er een aantal mogelijkheden om te antwoorden. Als er niets veranderd is komt het project de volgende keer bij een controle gewoon weer terug. Soms is het ook mogelijk om een toelichting te geven. In dit geval is dat niet zo relevant, maar er zijn andere controles waarbij je even vraagt: ‘laat zien wat je hebt gedaan’. En dan kun je een bijlage toevoegen.’
Inzicht in de kwaliteit van de processen
‘Alle uitzonderingen zijn voor iedereen zichtbaar,’ vervolgt Da Costa Senior. ‘Voor mij als beheerder, maar ook voor alle managers. Zo kun je ook zien hoeveel taken er nog openstaan en van welke controller. Het is dus ook te zien hoe iemand iets heeft afgehandeld. De manager krijgt zo ook inzicht in de kwaliteit van de processen. En de mogelijkheid om die te verbeteren.’
Brix gebruikt filters. ‘Het zijn gewoon business rules,’ zegt Da Costa Senior, die het woord algoritme liever vermijdt. ‘Het zijn SQL-statements: ‘als dit, dan dat’, ‘filter op dit’, ‘selecteer dat’. Als beheerder kijk ik waar het fout gaat. Iedere maand pak ik een controle die al een jaar loopt om te evalueren. Dan kijk ik wat iedereen geantwoord heeft in het vrije tekstveld. Levert dat nog nieuwe standaardantwoorden op? Loopt men achter? Waarom is dat? Of zitten er veel vals-positieven bij? Dat kan natuurlijk ook. We hebben een controle op dubbele facturen. Als de uitval te groot is omdat de filter niet precies genoeg is, dan moeten we de business rules aanpassen.’
Procesverbetering
‘De continuous monitoring vindt zo op meerdere fronten plaats,’ vervolgt Dat Costa Senior. ‘We evalueren de applicatie zelf. Maar het gaat natuurlijk vooral om het verminderen van je administratieve risico’s. Het kan zo zijn dat ergens zoveel foutmeldingen zijn, dat het haast een procesfout is. Neem boekingsregels waar een btw-code moet worden toegevoegd. Als Brix vaak btw-fouten tegenkomt, en je constateert dat dat bij een bepaalde administratie ligt, dan kan dat aanleiding zijn om daar eens te gaan praten. Wat is hier aan de hand? Waarom gaat dat steeds fout? Is er een kennisgebrek bij de medewerkers? Zit er onduidelijkheid in de regels? Daar organiseren we dan een training voor. Zo verbeter je ook het proces.’
Innovaties
In 2020 is de applicatie geïmplementeerd binnen de WUR en er wordt hard gewerkt om alle controles te bouwen. Klaar is het echter nog niet. Da Costa Senior: ‘Ondertussen zijn we een aantal innovaties aan het doen. Een innovatie is bijvoorbeeld dat we naast de controles voor de financiële kolom en inkoop nu ook kijken of iemand die uit dienst is niet nog toegang en rechten tot allerlei accounts heeft. Dus we bedienen ook beheer van IT. En een nieuwe rol is ook medewerkers te berichten over bijvoorbeeld reisvoorschotten. Medewerkers hebben geen toegang tot Brix, maar als er iets aan de hand is, kunnen we ze wel berichten sturen. Als een werknemer 3 maanden geleden een voorschot heeft gehad voor een reis, maar nog niet heeft afgerekend, dan krijgt hij een berichtje. Voorheen kwam dat van de administrateur. Hé joh, hoe zit het? We gaan dat nu ook voorbereiden vanuit Brix. Je kunt dan al die uitzonderingen in 1x aanvinken. Zij krijgen dan allemaal tegelijkertijd een mailtje, voorzien van het betreffende bedrag, en het rekeningnummer waar ze dat naar kunnen overmaken. Dat kan via klikken in dat mailtje, waarna ze in een Brix-omgeving komen. En zo wordt het helemaal vastgelegd in een audittrail.’
Wageningen UR
De WUR is op haar domein wereldwijd een toonaangevend instituut en lift mee op een actueel domein: feed the world, duurzaamheid, milieu. De WUR bestaat uit twee entiteiten: Wageningen Universiteit en Wageningen Research. De eerste richt zich op fundamenteel onderzoek en onderwijs, de laatste op toegepast onderzoek, vergelijkbaar met bijvoorbeeld TNO. WUR is het product van een fusie eind jaren 90. ‘Wageningen Research heeft van oorsprong altijd een wat bedrijfsmatiger insteek gehad. Wij proberen vanuit corporate Finance & Control, de stafafdeling waar ik werk, de culturen zo goed mogelijk en zo efficiënt mogelijk bij elkaar te brengen. Als het gaat over verbeteringen, maken we in de praktijk niet altijd onderscheid tussen de twee entiteiten, maar soms kom je in de praktijk wel wat verschillen tegen.’
Accountant en jaarrekening
En dat laatste is ook voor de accountant interessant, vervolgt Da Costa Senior. ‘Samen met de accountant kijken we in hoeverre we Brix kunnen inzetten voor jaarwerkzaamheden. Daar zijn we vorig jaar al mee begonnen. Zo trekt de accountant ieder jaar op specifieke rubrieken een steekproef. Wij doen dat nu via Brix. Ik lees de steekproef in en plaats er de mensen bij die het op moeten pakken. Zij krijgen die taak in hun Brix-bakje en voeren het uit. Voegen een dossier toe. En dan komt het in bakje van de accountant ter review. Die kan binnen het systeem aanvullende vragen stellen aan de medewerker. En als de accountant tevreden is wordt het hele dossier doorgezet naar een serveromgeving, waar alle data wordt verzameld zodat de accountant het dossier in een keer kan ophalen. Hij kan dus individueel met medewerkers communiceren over een onderwerp, maar krijgt de uiteindelijke steekproef als één geheel ter beschikking.
Dit jaar willen we een stapje verder en kijken of bepaalde controles gebouwd kunnen worden, waar zij hun jaarrekeningcontrole ten dele op kunnen bouwen. Dat project loopt nu, dus we zijn de controles nu aan het bouwen. We proberen of we via Brix de accountant van wat meer informatie kunnen voorzien waardoor hun proces beter verloopt en wij er minder werk aan hebben. Dit is een gezamenlijk innovatietraject. Daar trekken we samen in op. Het betekent voor de accountant minder werk en voor ons ook minder werk en minder kosten. We moeten er wel op letten dat het in ons beider voordeel is. En dat we niet alleen controles gaan bouwen die handig zijn voor de accountant, maar waar wij eerder last van hebben. Het is een pilot en we doen er graag ervaring mee op. Ook omdat we Brix over een jaar of twee misschien wel als bewijsmateriaal kunnen gebruiken.’
In cijfers (2020)
Medewerkers: ca. 6.072
Studenten: ca. 12.973
Omzet: 760 miljoen
Waarvan WR: 355 miljoen
En WU: 405 miljoen
Ons streven is hogere Excellence in Execution
‘We proberen het kwaliteitsniveau van de administratieve verwerking omhoog te krijgen, Excellence in Execution. In die zin positioneren we het nieuwe proces ook als service. ‘We willen nadrukkelijk geen politierol en ook dat imago niet krijgen,’ betoogt de internal auditor. ‘We zijn ook heel voorzichtig om Brix te positioneren. Sommige controles zijn bijvoorbeeld niet voor alle eenheden even nuttig. Wij zijn daar best meegaand in. Een facilitair bedrijf is echt heel iets anders dan zo’n kenniseenheid. We proberen daar wel rekening mee te houden. En er is veel overleg. Zo krijgen we het vertrouwen dat de dingen die we doen zinvol zijn. Het is soms wel vervelend, maar ze zien ook dat er fouten in de systemen zitten. Dat het niet tot irritatie leidt, komt door goede communicatie.
Het is echt een risicogerichte benadering en men is wel overtuigd van die risico’s. Ik beschrijf het risico bij de controles. Bijvoorbeeld: ‘we lopen hier echt het risico dat we kosten aan het maken zijn waar uiteindelijk geen dekking tegenover staat’. Dat snapt iedereen. Zo proberen we dat te managen. En als ergens zoveel fouten opduiken dat men er heel veel werk aan heeft, dan is dat wel een probleem dat opgelost moet worden. Dat beseft iedereen ook heel goed.’
Belangrijkste successen
Op de vraag wat de belangrijkste successen zijn, antwoord Da Costa Senior resoluut: ‘Het belangrijkste succes is dat je regelmatig praat over risico’s. De awareness voor risico’s is enorm verhoogd. Het wordt heel duidelijk waar de problemen liggen en je praat voortdurend over je risico’s. Dat is wat je wil bereiken. Dat mensen attent zijn op wat er speelt en waar het allemaal fout kan gaan. Als er veel false positieven zijn gaan we daarover in gesprek en schaven we bij. Je ziet bij een aantal controles dat het aantal fouten terugloopt. Het geeft dus ook aanleiding tot verbetering. En het helpt bij het prioriteren van je werkzaamheden.’
Intelligentere controles
‘Ik denk dat we in de toekomst intelligentere controles gaan krijgen,’ zegt Dat Costa Senior desgevraagd. ‘Deze twee jaar zijn we heel druk bezig geweest om de ‘oude’ risico’s die we hadden geformuleerd om te zetten naar Brix. Dit jaar zijn we begonnen met een aantal innovaties. Voor de toekomst zou het mooi zijn als we op het gebied van uren de controles zo volledig hebben dat we aan de hand van de Brix-controles een in control statement zouden kunnen afgeven voor het tijdschrijfsysteem. Dan gaat het nog meer impact krijgen. Dus een in control statement op een bepaald domein zou een mooie stip op de horizon zijn.
Over Ronald da Costa Senior
Ronald da Costa Senior is internal auditor Wageningen Universiteit & Research (WUR). ‘Mijn hoofdtaken zijn risicomanagement en het uitvoeren van audits. Voor die audits maken we ieder jaar een internal controlplan en daarin leggen we vast wat we dat jaar gaan doen en dat stemmen we ook af met het bestuur en de raad van toezicht. Dat bepaalt mijn werkprogramma voor de audit. Daarnaast het risicomanagement en dat is het onderwerp van dit interview: continuous monitoring.’
Auteur: Anja Jalink
Dit artikel is verschenen in cm: 2022, afl. 1.
lang: en_USlang: en_US
