Effectiviteit van GRC -Tools

Transcriptie

1 - Ali Çolak & Hasib Haq Post Graduate IT-Audit Opleiding VU Team 945 VU Coach: Rob Christiaanse Bedrijfscoach Guillaume Speear RE CISA Alex van Doorn RE RA Auteurs: Ali Çolak Hasib Haq Student Nr: Contact: Versie: Final 3.0

2 Voorwoord Als afsluiting van de Post Graduate IT -Audit Opleiding aan de Vrije Universiteit van Amsterdam hebben wij een scriptieonderzoek uitgevoerd. De scriptie heeft als onderwerp Effectiviteit van GRC - Tools. Het idee voor de scriptie is ontstaan uit het feit dat sinds de Enron -affaire en de daarop volgende boekhoudschandalen internal control volop in de belangstelling staat. Vanuit diverse kanten krijgen organisaties wet- en regelgeving opgelegd. Software leveranciers beweren oplossingen van wereldformaat te hebben voor de Governance, Risk en Compliance (GRC) uitdagingen, zoals voor de Sarbanes -Oxley (SOX) wetgeving in de Verenigde Staten, de Code Tabaksblat in Nederland, IT Governance en Risk Management. Zij bieden GRC -tools aan die ingezet kunnen worden voor het besparen van kosten om compliant te zijn. De laatste tijd wordt veel geschreven over GRC -tools. Het begint een hype te worden, maar hoe effectief is eigenlijk het gebruik van GRC -tools? Verhoogt het gebruik van GRC -tools de effectiviteit van de interne beheersing? Het doel van onze onderzoek is het verwerven van inzicht in de mogelijkheden om de effectiviteit van de interne beheersing te verhogen door middel van het gebruik van GRC -tools. Om een antwoord op deze centrale vraag te formuleren hebben we een aantal deelvragen opgesteld en beantwoord in deze scriptie. Het praktijkonderzoek hebben wij verricht aan de hand van interviews bij meerdere organisaties waarbij GRC -tools een rol speelt. Hierbij hebben we de volgende indeling gehanteerd: - Organisaties die in het stadium zijn om een GRC -tool aan te schaffen en wat hun verwachtingen hierbij zijn - Organisaties die al lange tijd een GRC -tool in gebruik hebben en wat hun ervaringen op dit gebied zijn. Hierbij wordt de vraag beantwoord of GRC- tools daadwerkelijk hebben bijgedragen aan de effectiviteit. - Ook hebben we organisaties benaderd die GRC -tools leveren, implementeren of hiervoor consultancy bieden We hebben een interview vragenlijst opgesteld, waarbij we voor ieder interview de gestelde vragen en antwoorden hebben uitgewerkt. Een aantal interviewvragen hebben we geclusterd in een vijftal hypotheses. Van de resultaten hebben we een hypothesetabel gemaakt. Op basis hiervan en op basis van ons literatuuronderzoek hebben wij onze onderzoeksresultaten onderbouwd. Vanuit de Vrije Universiteit is de heer Rob Christiaanse aangewezen als onze afstudeerbegeleider. Wij danken hem voor de ideeën, het doorlezen van de stukken en de begeleiding bij het afstudeertraject. Daarnaast willen wij de interne begeleiders Guillaume Speear (Credit Europe Bank) en Alex van Doorn (PwC) bedanken voor de inhoudelijke bijdrage aan het eindresultaat in de vorm van review, adviezen en aandachtspunten. Tot slot bedanken wij de (gast)docenten voor de colleges van de afgelopen jaren die hebben bijgedragen aan het verbreden van onze vakkennis en uiteraard de geïnterviewden, voor hun medewerking en input voor het tot stand komen van deze scriptie. Amsterdam, april 2009 Ali Çolak, Credit Europe Bank (CEB) Hasib Haq, PricewaterhouseCoopers (PwC) 2

3 1 INLEIDING AANLEIDING EN RELEVANTIE PROBLEEMSTELLING Doelstelling Vraagstelling THEORIE INTERNAL CONTROL COSO Componenten van Interne Beheersing Verband tussen COSO IC & COSO ERM Effectiviteit van het interne beheersingssysteem GRC -TOOLS Omschrijving GRC -tools Relatie tussen Interne beheersing en GRC -tools Onderverdeling van GRC -tools Aanbod van GRC- tools Invloed van GRC- tools op de controleomgeving HYPOTHESE PRAKTIJKONDERZOEK Relatie tussen hypothese en interviewvragen Analyse interview resultaten CONCLUSIE Literatuurlijst Definities belangrijkste begrippen

4 1 Inleiding 1.1. Aanleiding en relevantie Sinds de Enron -affaire en de daarop volgende boekhoudschandalen staat internal control volop in de belangstelling. Na de verbijstering over de enorme schaal waarop de afgelopen jaren door gerenommeerde bedrijven met de boeken is geknoeid zijn er striktere wetgeving op het gebied van internal controle ontstaan, zoals de Sarbanes -Oxley (SOX) wetgeving in de Verenigde Staten en de Code Tabaksblat in Nederland. Bij het invoeren van de Sarbanes -Oxley wetgeving ging de aandacht van de organisaties in het begin uit naar het behalen van de deadline om SOX compliant te zijn. Organisaties richtten zich onvoldoende op het effectief inrichten van interne beheersingmaatregelen. In veel organisaties zijn hierdoor handmatige, detectieve beheersingsmaatregelen geïmplementeerd. Van het management van bedrijven wordt verlangd dat zij een verklaring af geven in hun jaarverslag over de effectiviteit van interne beheersingsmaatregelen die van belang zijn voor de financiële verslaglegging. Om deze verklaring te kunnen afleggen moet het management een deugdelijke grondslag verkrijgen. Een middel daartoe zijn de interne audits. Audits moeten hierbij op een deugdelijke wijze uitgevoerd worden zodat het management daar op kan steunen. Dit betekent dat een Auditor de deugdelijkheid van het verkregen evidence moet onderzoeken en niet blindelings vertrouwt. Een verschuiving van gedachtegang moet plaats vinden van trust me, show me naar prove me. Voorheen zagen organisaties het in control zijn alleen als een verplichting in het kader van SOX en andere complaincy wetgevingen. Steeds meer organisaties zien nu ook de toegevoegde waarde van het in control zijn. Een verschuiving is ontstaan van in control moeten zijn naar in control willen zijn. Dit met name om (business) risico s te verminderen. Organisaties kunnen effectiviteit van de interne beheersing verhogen door preventieve geautomatiseerde controles te implementeren in plaats van handmatige, detective beheersingsmaatregelen. Preventieve geautomatiseerde controles zijn aantrekkelijker voor de organisatie, doordat je de controle bijvoorbeeld één keer hoeft te testen om vast te stellen dat de controle werkt. Voor handmatige controles echter, afhankelijk van de frequentie waarmee de controles worden uitgevoerd, dient een organisatie meerdere samples te testen om vast te stellen dat de controle heeft gewerkt. Daarnaast moet een organisatie iemand aangesteld hebben om de handmatige controles uit te voeren; dit kost veel tijd en geld. Governance, Risk and Compliance tools (GRC -tools) kunnen worden gebruikt om preventieve, geautomatiseerde controles in te richten, te faciliteren en daarover te rapporteren. GRC -tools kunnen op een efficiënte wijze ingezet worden om compliancy verplichtingen overzichtelijk vast te leggen, te monitoren en tijdig te rapporteren, zodat er juiste strategische beslissingen genomen kunnen worden. 4

5 1.2. Probleemstelling Doelstelling Het doel van dit onderzoek is: Het verwerven van inzicht in de mogelijkheden om de effectiviteit van de interne beheersing te verhogen door middel van het gebruik van GRC -tools Vraagstelling Naar aanleiding van de doelstelling luidt de centrale vraag: Verhoogt het gebruik van GRC -tools de effectiviteit van de interne beheersing? Om een antwoord op deze centrale vraag te formuleren zijn een viertal deelvragen opgesteld. De hieronder opgestelde deelvragen zijn ondersteunend aan de centrale vraagstelling en zijn handig om het onderzoek naar deelaspecten te structureren. 1. Wat dient te worden verstaan onder interne beheersing? 2. Wat dient te worden verstaan onder de effectiviteit van het interne beheersingsysteem? 3. Wat zijn GRC -tools; op welke wijze beïnvloeden zij de controleomgeving en welke worden er aangeboden? 4. Op welke wijze kunnen GRC -tools de interne beheersing verbeteren? 5

6 2. Theorie Het theoriegedeelte hebben we in twee delen verdeeld. In het eerste deel behandelen we het onderwerp Interne Beheersing en in het tweede deel wordt het onderwerp GRC -tools behandeld. In paragraag 2.1 behandelen we het begrip internal control (interne beheersing) en het belang voor de organisaties om in control te zijn. Verder behandelen we het COSO -framework en de ontwikkelingen die het heeft meegemaakt. We focussen ons op de componenten van COSO en welke relatie deze heeft tot de interne beheersing. Het verband tussen COSO Internal Control -framework (COSO IC) en het COSO Enterprise Risk Management (COSO ERM) wordt verder toegelicht. Als laatste behandelen wij de effectiviteit van het interne beheersingssysteem waarin wij beschrijven wat er dient te worden verstaan onder effectiviteit van het interne beheersingssysteem en wanneer een intern beheersingssysteem effectief is. In paragraaf 2.2 behandelen we wat GRC- tools zijn en welke er worden aangeboden en wat de invloed is van GRC- tools op de controle omgeving. 6

7 2.1 Internal control Een organisatie wordt opgevat als een doel realiserend samenwerkingsverband. Dat betekent dat het bestuur van een organisatie verantwoordelijk is voor het bepalen van organisatiedoelen, het maken van keuzes, zorg dragen voor de uitvoering in overeenstemming met de gemaakte keuzes en dient het bestuur van de onderneming verantwoording af te leggen betreffende de gemaakte keuzes en de wijze van uitvoering. In dit kader is het niet vreemd dat in toenemende mate het interne beheersingssysteem onderwerp van discussie is: zonder een intern beheersingssysteem kan een bestuur niet weten of de uitvoering in overeenstemming met de gemaakte keuzes is uitgevoerd, laat staan dat op een adequate wijze (intern- of extern-) verantwoording kan worden afgelegd. 1. Het in control zijn wordt als een belangrijk aspect van goed ondernemerschap aangemerkt. De vraag hierbij is nu; wat moeten wij onder internal control, of met andere woorden intern beheersingssysteem verstaan? Het denken over interne beheersing is internationaal sterk beïnvloedt door het in 1992 gepubliceerd rapport Internal Control, Integrated Framework onder de verantwoordelijkheid van de The Committee of Sponsoring Organizations of the Treadway Commission. Dit rapport staat beter bekend als het COSO -Rapport. In de volgende paragrafen gaan we verder in op COSO, de componenten van interne beheersing en de ontwikkelingen die COSO in de loop der jaren heeft doorgemaakt. In paragraaf leggen we uit wat het verband is tussen COSO Internal Control (COSO IC) en COSO Enterprise Risk Management (COSO ERM). Internal control is gericht op het waarborgen van de integriteit, doelmatigheid en doeltreffendheid van de organisatorische activiteiten, waaronder ook de informatie productie. Internal control is ook gericht op de bescherming van de financiën van de onderneming tegen ongeoorloofde handelingen. Internal control wordt uitgeoefend door vijf onderling samenhangende elementen, die in figuur 1 schematisch kunnen worden weergegeven 2. Bewaking Informatie Risicobeoordeling Beheersingsmaatregelen Communicatie Beheersingskader Figuur 1: Elementen van internal control Het interne beheersingssysteem kan nu opgevat worden als het stelsel van werkwijzen en of handelingen, tot stand gebracht door het bestuur van de onderneming, het management, overig personeel, zodanig ontworpen (ingericht) zodat redelijke mate van zekerheid verschaft kan worden met betrekking tot de realisatie van organisatie doelstellingen 3. 1 Inrichten en beheersen van organsaties, drs.r.m.j.christiaanse RA, J.C.van Praat RE RA. 2 Bestuurlijke informatievoorziening Deel 1: Algemene grondslagen. Starreveld, Van Leeuwen en Nimwegen. 3 Inrichten en beheersen van organsaties, drs.r.m.j.christiaanse RA, J.C.van Praat RE RA 7

8 Deze organisatie doelstellingen zijn: - Effectiviteit en efficiency van operaties; - Betrouwbaarheid van financiële rapportage; - Voldoen aan toepasselijke wet- en regelgeving. - Het bewaken van activa of waarden Zoals ieder systeem kent zeker het interne beheersingssysteem zijn beperkingen namelijk: Mensen maken fouten. Kosten baten overwegingen kunnen een rol spelen. Mensen kunnen tegengestelde belangen hebben. Management kan interne beheersingmaatregelen doorbreken. De vraag die nu gesteld dient te worden is: wat heeft interne beheersing voor bedrijven te bieden en waarom is het eigenlijk zo belangrijk om in control te zijn? Interne beheersing biedt het bestuur van een onderneming reasonable assurance met betrekking tot het al dan niet behalen van kennis of doelstellingen. Om interne beheersing nader te bepalen dient eerst uitgelegd te worden wat precies reasonable assurance inhoudt. Assurance heeft als doel het reduceren van onzekerheden en risico s. Dit heeft op betrekking op o.a. de volgende onderwerpen: Redelijke mate van zekerheid kan verschaft worden door de Internal Audit afdeling of bijvoorbeeld door externe auditor. Grip krijgen en houden/over eigen beslissingen. Worden er de juiste beslissingen genomen? Grip krijgen over gedelegeerde bevoegdheden. Nemen de juiste mensen de juiste beslissingen? Control kan men gelijk stellen aan beheersing. Uiteindelijk lijdt Assurance tot reductie van onzekerheden, vergroot de voorspelbaarheid en de gedragingen en resultaten van medewerkers COSO Internal control frameworks, zoals COSO (USA), Turnbull (UK) and CoCo (Canada) zien internal control als volgt: Internal control is a process/set of processes designed to facilitate and support the achievement of business objectives 4. Ieder van deze frameworks (verder ook genoemd als raamwerk) heeft een wijdere blik ten aanzien van het alleen in control zijn met betrekking tot financiële verslaglegging. Het doel is om organisaties te assisteren om in redelijke mate van zekerheid de te behalen. Het COSO framework is een van de standaard evaluatiemodellen die door auditors worden gebruikt bij een onderzoek. Daarnaast is het COSO framework bij de goedkeuring van de Sarbanes Oxley Act naar voren geschoven als één van de voorgestelde en geaccepteerde raamwerken voor interne controle. Wij zullen in ons onderzoek alleen het COSO framework behandelen. COSO is ontwikkeld door The Committee of Sponsoring Organizations of the Treadway Commission. De Treadway commissie had tot doel te komen tot praktische, breed geaccepteerde criteria voor internal control systemen. Deze commissie, bestaande uit een aantal private organisaties, heeft in 1992 naar aanleiding van een aantal boekhoudschandalen en fraudegevallen, aanbevelingen gedaan en richtlijnen aangegeven ten aanzien van internal control. 4 Internal Controls- A review of current developments, information paper 2006, international federations of Accountants. 8

9 In 1994 is daar nog een aanvulling opgekomen en werd dit samengevoegd in het COSO -rapport. Dit rapport is bedoeld om de organisaties een uniform en gemeenschappelijk referentiekader voor internal control te bieden en om het management te ondersteunen bij de verbetering van de interne beheersing. In 2004 werd het COSO ERM -framework (ook wel COSO II genoemd) in het leven geroepen. Dit model richt zich op het gehele interne beheersingssysteem. In 2006 heeft COSO een richtlijn ontwikkeld specifiek voor kleinere organisaties. Deze Guidance for Smaller Public companies is specifiek bedoeld om de betrouwbaarheid van de financiële informatieverzorging middels het treffen van interne beheersingmaatregelen te waarborgen. Het COSO -framework biedt weinig begeleiding op het operationele niveau en het framework is niet ontworpen om als benchmark te dienen voor een oordeel over de effectiviteit van de interne beheersing. In de Sarbanes-Oxley Act en ook in de Code Tabaksblat (De Nederlandse corporate governance code voor beursgenoteerde bedrijven) wordt echter het COSO -framework als enige genoemd als mogelijk te hanteren framework; bij het uitwerken van de bepalingen in de code ten aanzien van interne beheersing en risicomanagement. Om deze redenen wordt in deze scriptie gebruik gemaakt van het COSO -framework als benadering van het begrip interne beheersing. COSO identificeert de relatie tussen de ondernemingsrisico s en het interne beheersingsysteem. COSO hanteert hierbij de gedachten dat interne beheersing een proces is dat gericht is op het verkrijgen van een redelijke mate van zekerheid omtrent het bereiken van doelstellingen in de categorieën: effectiviteit en efficiëntie van bedrijfsprocessen (Operations) betrouwbaarheid van de (financiële) informatieverzorging (Reporting) naleving van relevante wet- en regelgeving (Compliance) Componenten van Interne Beheersing Interne beheersing bestaat volgens COSO Internal Control uit vijf met elkaar samenhangende componenten. Deze componenten gezamenlijk vormen een raamwerk voor het inrichten en beoordelen van het interne beheersingsysteem. In figuur 2 wordt het COSO -framework weergegeven. Figuur 2: COSO-Internal Control Framework (1992) 9

10 De samenhangende componenten bestaan uit het volgende: - Control Environment: De controleomgeving bepaalt de wijze waarop de organisatie omgaat met interne controle en de mate waarin de medewerkers controlebewust zijn. De organisatiecultuur heeft een grote invloed op de wijze waarop activiteiten worden opgezet, doelstellingen worden vastgesteld en risico s worden beoordeeld - Risk Assesment: De interne- en externe risico's van een organisatie dienen te worden vastgesteld op organisatie-, proces- en activiteitenniveau. - Control Activities: De administratieve procedures en de maatregelen die ervoor moeten zorgen dat de richtlijnen, beleidslijnen en procedures van de leiding worden nageleefd om de gestelde doelen te bereiken. - Information & Communication: is een onmisbare component om beheersingsmaatregelen uit te kunnen voeren. De juiste informatie moet worden geïdentificeerd, verzameld en gecommuniceerd zodat de medewerkers hun taken op een efficiënte manier kunnen uitvoeren. Om dit te bewerkstelligen moet het informatiesysteem de gegevens zodanig vastleggen dat kwalitatief goede informatie wordt gegenereerd. Vervolgens moet ook de communicatie op een effectieve wijze plaatsvinden zodat de informatie de gehele organisatie doorstroomt. - Monitoring: De werking van de interne controle dient periodiek te worden geëvalueerd en de uitkomsten hiervan dienen te worden vastgelegd en gerapporteerd. Deze component zorgt ervoor dat de effectiviteit van het interne beheersingsysteem wordt bewaakt en wijzigingen worden aangebracht ter verbetering. Monitoring vindt op continue wijze plaats binnen alle bedrijfsprocessen Verband tussen COSO IC & COSO ERM COSO Internal Control is ontstaan in COSO heeft ontwikkelingen doorgemaakt, waardoor in 2004 COSO Enterprise Risk Management is ontstaan. Het COSO ERM is geen vervanger van COSO IC. Beide frameworks zijn stand alone. 5 Om de overeenkomsten en verschillen tussen beide raamwerken te beschouwen volgen we de definitie van COSO IC zoals eerder benoemd en vergelijken die met de definitie van COSO ERM; COSO IC: Interne Controle is een proces, aangestuurd door de Raad van Commissarissen van een onderneming, management en ander personeel, ontworpen om redelijke zekerheid te verschaffen ten aanzien van de realisatie van doelstellingen in de volgende categorieën - Effectiviteit en efficiency van operaties (bedrijfsprocessen); - Betrouwbaarheid van financiële rapportage (informatievoorziening); - Voldoen aan toepasselijke wet- en regelgeving. - Het bewaken van activa of waarden COSO ERM: Enterprise risk management is een proces, aangestuurd door de Raad van Commissarissen van een onderneming, management en ander personeel, toegepast bij de bepaling van de strategie en binnen het geheel van de onderneming, ontworpen om potentiële gebeurtenissen te onderkennen die de onderneming zouden kunnen bedreigen, waardoor risico s binnen de kaders van risicovoorkeur gemanaged kunnen worden om een redelijke zekerheid te verschaffen en dat de doelstellingen van de onderneming worden bereikt. Het verschil tussen beide raamwerken 6 zit hem in de mate van de zekerheid die de raamwerken proberen te geven in het beheersen van de organisatie. Bij COSO IC gaat het niet verder dan efficiënte 5 Guide to Enterprise Risk Management. FAQ.PROVITIT independent Risk Consulting 6 Het COSO Enterprise Risk Management Integrated Framework, R. J. Uiterlinden, RC ( juni 2006) 10

11 en effectieve operaties, financiële rapportage en wet- en regelgeving. Bij COSO ERM begint het met de strategie van de onderneming en worden alle gebeurtenissen, die de realisatie van de doelstellingen die van de strategie zijn afgeleid bedreigen, beschouwd als risico s die moeten worden onderkend, geanalyseerd, gewogen en vervolgens gemanaged. Bij COSO ERM is het element van risicobeheersing toegevoegd en geheel uitgewerkt waarbij het begint bij het bepalen van doelstellingen. Deze doelstellingen worden in COSO IC als vertrekpunt beschouwd. Beide concepten gaan uit van een integrale aanpak die in verschillende richtingen dwars door de organisatie heengaat. Beide concepten focussen zowel op de soft als op de hard controls. Soft controls zijn informeel, subjectief, niet tastbaar en bevinden zich in het veld. Voorbeelden van soft controls zijn mensen, openheid, gedeelde waarden, duidelijkheid, commitment tot vakmanschap, eerlijkheid, hoge verwachtingen en communicatie. Ze zijn gerelateerd aan de mensen die het werk doen om de doelen van de organisatie te realiseren. Harde controls zijn formeel, objectief, meetbaar en vormen het raamwerk. Voorbeelden van hard controls zijn activiteiten, reviews, inspecties, policies, aansluitingen, structuur, beperking van bevoegdheden, usernames en passwords en voorraadopnames. Harde controls zijn gerelateerd aan de processen en activiteiten die men uitvoert. Beide frameworks kennen hun beperkingen. Zo worden er geen garanties verstrekt maar blijft het beperkt tot redelijke mate van zekerheid en wordt dit bovendien gedifferentieerd naar de doelen die ermee verbonden zijn. Beide frameworks gaan uit van een onzekere toekomst en kennen hun beperkingen ten aanzien van foute beslissingen, management dat maatregelen ter zijde schuift en kosten/baten afwegingen. COSO ERM mag overigens niet als de vervanger van COSO IC worden beschouwd. Voor het inrichten van een goed Internal Control Framework is COSO IC het meest aangewezen Effectiviteit van het interne beheersingssysteem In deze paragraaf zal worden beschreven wat er dient te worden verstaan onder de effectiviteit van het interne beheersingssysteem. Oorspronkelijk werd de controle op de interne beheersing uitgevoerd na de jaarafsluiting. Daarnaast waren voornamelijk interne of externe accountants verantwoordelijk voor het beoordelen van de effectiviteit van het interne beheersingsysteem. Het in control zijn heeft betrekking op effectiviteit. Een organisatie is effectief in het geval de voorgenomen doelen gehaald worden. Het meten van effectiviteit vereist middelen om te voorspellen wat er had kunnen gebeuren in het geval: een bepaalde gebeurtenis zich voordoet; en / of; een (bepaalde) actie niet genomen wordt. Interne beheersing wordt gezien als een proces in de betekenis van een opeenvolging van activiteiten uitgevoerd door mensen. De belangrijke aspecten hierbij zijn: Beheersmaatregelen zijn ingebouwd in de processen, met andere woorden interne beheersing is een onderdeel van de activiteiten binnen de organisatie. Interne beheersing wordt uitgevoerd door mensen, die allen hun unieke achtergronden eigendoelstellingen hebben. Dit heeft vooral gevolgen voor de verantwoordelijkheidsstructuur en bevoegdheden in relatie tot de doelstellingen van een organisatie. Echter is de effectiviteit van dat proces een toestand op een gegeven moment. In het COSO-IC rapport wordt gesteld dat het interne beheersingsysteem effectief is wanneer de vijf componenten van interne 11

12 beheersing aanwezig zijn en effectief functioneren. Deze componenten zijn de criteria voor een effectief interne beheersingsysteem. Bij het vaststellen van de effectiviteit van het interne beheersingsysteem is het belangrijk om te weten wat de normstelling is. Immers, naarmate de normstelling duidelijker is kunnen de vijf componenten van interne beheersing doelgerichter worden uitgewerkt en beoordeeld. Het COSO -rapport hanteert voor de normstelling het begrip reasonable assurance, ofwel redelijke mate van zekerheid. Dat wil zeggen dat wanneer wordt vastgesteld dat de componenten aanwezig zijn en effectief functioneren de organisatie een redelijke mate van zekerheid heeft met betrekking tot de vier doelstellingen die in het COSO -framework zijn benoemd. 2.2 GRC -tools In deze paragraaf gaan we in op wat GRC- tools zijn, welke er worden aangeboden en op welke wijze zij de controleomgeving beïnvloeden Omschrijving GRC -tools Het aantoonbaar voldoen aan externe wet- en regelgeving, Risk Management of andere Corporate Governance maatregelen is een complex geheel. Verschillende afdelingen in verschillende landen met weer lokale regelgeving zijn betrokken en dat maakt het vaak complexer. Met behulp van GRC- tools worden processen snel en efficiënt gedocumenteerd, risico's gesignaleerd en gezamenlijk met bijbehorende beheersingsmaatregelen gecommuniceerd. Veel bedrijven en instellingen benaderen het invoeren van interne controle en het afleggen van verantwoording over de effectiviteit daarvan niet als een op zichzelf staand eenmalig project. Zij zien het verband tussen verschillende Governance, Risk and Compliance (GRC)-activiteiten binnen hun organisatie. Onder GRC wordt hierbij verstaan; Figuur 3. Samenhang GRC Governance: het geheel van beleid, procedures en maatregelen om een organisatie te kunnen laten functioneren in overeenstemming met haar strategische doelstellingen. Risk management: het geheel van procedures en maatregelen dat zich richt op het systematisch identificeren van risico's, het nemen van mitigerende maatregelen en het rapporteren over het functioneren van risk management aan de leiding. 12

13 Compliance: het voldoen aan wet- en regelgeving, dan wel: het geheel van maatregelen en procedures dat er zorg voor draagt dat een organisatie voldoet aan wet- en regelgeving en daarover verantwoording aflegt. Organisaties zijn vaak niet op de hoogte van de mogelijkheden die bestaande software hun biedt. Zodoende wordt er te weinig gebruik gemaakt van het aanwezige ERP -systeem. Het is duidelijk geworden dat organisaties het proces om te voldoen aan wet- en regelgeving als een eenmalig proces beschouwden. Daardoor werden de vereiste interne -beheersingsmaatregelen niet als een onderdeel van de dagelijkse bedrijfsvoering gezien. Om deze redenen hebben veel organisaties hun eigen benadering en methodologie ontworpen, wat resulteerde in een nogal pragmatische manier van werken. In veel gevallen werd de documentatie betreffende processen, risico s en controles, evenals het plannen en monitoren van verschillende controleactiviteiten gerapporteerd in Excel -bestanden. De redenen voor organisaties om in de beginfase te kiezen voor Excel zijn heel goed te begrijpen. Iedereen binnen de organisatie is namelijk bekend met Excel, waardoor weinig of geen training benodigd is. Daarnaast is het een zeer flexibele oplossing die gemakkelijk binnen de gehele organisatie wordt verspreid. De tool kan in gebruik worden genomen terwijl nieuwe toepassingen worden ontwikkeld en verbeterd. De gevolgen van het onjuist gebruik van spreadsheets kunnen desastreus uitwerken, omdat beslissingen worden genomen op basis van onjuiste feiten. Verkeerde beslissingen van het management kunnen leiden tot geldverlies en zelfs tot gezichtsverlies voor de organisatie. Het is een feit dat spreadsheets gemakkelijk door iedereen aangepast kan worden, er is niet bepaald een audittrail. Hierdoor is er een verhoogd inherente risico aanwezig en de volgende fouten zijn dan ook snel gemaakt: - Input error; verkeerde data input. Dit wordt versterkt door het simpele copy & paste toepassing - Logic error; gebruik van verkeerde formules, bijvoorbeeld bij verkeerd door kopiëren - Interface erros; fouten gemaakt bij de import/export van data uit andere systemen - Other errors; fouten ontstaan door onjuiste cell wijdte of verwijs naar verkeerde cells Er zijn echter enkele grote nadelen verbonden aan het gebruik van Excel. Ten eerste vereist het voldoen aan wet- en regelgeving intensieve en controleerbare documentatie. Dat wil zeggen dat het documenteren nogal arbeidsintensief is, waarbij ook nog op een aantoonbare wijze gedocumenteerd moet worden, dat bijvoorbeeld een controle wordt uitgevoerd. Op het gebied van controle en beveiliging is Excel onvoldoende ontwikkeld, waardoor het niet in staat kan worden geacht om met redelijke zekerheid betrouwbare informatie te leveren. Ten tweede vereist het voldoen aan wet- en regelgeving de deelname van veel verschillende personen. Dit is natuurlijk zeer lastig wanneer de Excel -bestanden door de gehele organisatie worden verspreid. Al snel komt de vraag: Wie werkt waaraan en hoe wordt dit gecontroleerd? Het gaat ten koste van de effectiviteit wanneer verschillende personen niet gelijktijdig toegang kunnen krijgen tot het bestand. Het derde en laatste nadeel van Excel is het zoeken en terugvinden van bepaalde documentatie wanneer dit niet wordt opgeslagen in een centrale database. Uit het bovenstaande valt te concluderen dat veel organisaties op dit moment zich moeten realiseren dat zij de volgende fase in moeten gaan bij het voldoen aan wet- en regelgeving. 13

14 2.2.3 Relatie tussen Interne beheersing en GRC -tools Sinds de invoering van de SOX- wetgeving zijn bedrijven verplicht om aan te tonen dat ze in control zijn. Onder meer de effectiviteit van de interne controle wordt daarbij beoordeeld. GRC- tools worden gebruikt om organisaties te helpen in het aantonen van compliance. We zullen verderop in de hoofdstukken dieper ingaan op de mogelijkheden van de GRC -tool. Wat kunnen GRC- tools, waar moeten zij aan voldoen, waarom zouden bedrijven of accountants er gebruik van moeten maken en wat zijn de nadelen? Voorbeelden van tools op het gebied van Governance, Risk & Compliance zijn onder andere: BWise Dynasec Runbook SAP GRC Automatisering speelt een belangrijke rol in de verbetering van de effectiviteit van de interne controle. Uit een onderzoek onder leidinggevenden van de Global CFO study 2008 bleek dat ongeveer 66 procent van de ondervraagden het beheersen en verminderen van risico s prioriteit geeft en dat dit een factor is die bepaalt of een bedrijf financieel succesvol is. GRC- tools kunnen belangrijk zijn bij het automatiseren van interne controle. Deze tools bieden als voordeel dat het interne controle systeem effectief ingericht kan worden. Ook kunnen ze doorgaans consistenter en gebruikersvriendelijker werken dan het handmatig beoordelen van de effectiviteit van interne controle Onderverdeling van GRC -tools De afgelopen jaren zijn er vele verschillende GRC- tools ontwikkeld die ondersteuning bieden bij het oplossen van de problemen, die bijvoorbeeld kunnen ontstaan door het gebruik van Excel. Om aan te geven welke verschillende tools er zijn, is het verstandig om een onderverdeling te maken van deze tools. We zien dat de volgende indeling is te maken van de beschikbare tools: 1. Tools ter ondersteuning van het compliance-proces (opzet-bestaan); Transparantie Inzichtelijk maken van de interne controle maatregelen Audit-trail Duidelijkheid over wie waarvoor verantwoordelijk is binnen de organisatie. Voorbeelden: BWise en Dynasec 2. Tools ter ondersteuning van de IT -componenten (processen) binnen de controleomgeving (werking). Voorbeeld: Runbook, deze ondersteunt, controleert en documenteert het gehele proces van afsluiting van een financiële periode. De moderne technologie maakt het mogelijk wereldwijd data te verzamelen en te analyseren om zo cruciale informatie te leveren die nodig is voor organisatiebeslissingen en rapportage. In een GRCplatform worden risico's ten behoeve van Compliance en Risk Management gedefinieerd en gedocumenteerd, controles uitgevoerd en bewijzen geregistreerd en gemonitord. Vervolgens worden de tekortkomingen inzichtelijk gemaakt en kan het proces indien gewenst worden bijgesteld. Door deze complexe processen in een applicatie te verbinden, kan een control en het bijbehorend testresultaat worden hergebruikt voor een ander risico of een andere wetgeving waaraan voldaan moet worden. Bovendien kunnen verbanden worden gelegd tussen de verschillende Governance & Compliance invalshoeken. Zo geeft een GRC platform ondersteuning aan het uitrollen en -voeren van 14

15 een bedrijfsbreed GRC programma. Om de marktsituatie van GRC software te bepalen en te vergelijken hoe de producten zich tot elkaar verhouden, heeft The Forrester Wave een gerenommeerd Amerikaans onderzoeksbureau onderzoek gedaan naar de sterktes en zwakten van de top vijftien GRC platform leveranciers Forrester-rapport Forrester7 heeft vijftien toonaangevende Governance, Risk and Compliance (GRC) platform leveranciers met elkaar vergeleken. BWise kwam als de beste uit het onderzoek, tot de leiders behoren ook Axentis, MetricStream, OpenPages, Paisley and Qumas. Het doel van het onderzoek was om de ontwikkelingen in de GRC-markt in kaart te brengen. Uit 114 peers is uiteindelijk een top vijftien tot stand gekomen. Hierbij zijn sterke- en zwakke kenmerken met elkaar vergeleken, zie figuur 4 resultaten van het rapport. Figuur 4. Forrester Wave: Enterprise Governance, Risk, And Compliance Platforms, Q Gartner- Rapport In het Magic Quadrant for Operational Risk Management Software voor Financial Services plaats Gartner8 SAS hoog in zijn Leaders. SAS scoort in de beoordeling het hoogst op zowel visie als op het vermogen om deze visie te realiseren. Gartner reserveert het leiderskwadrant voor leveranciers van softwaretoepassingen die de kwalitatieve als kwantitatieve aspecten van risicobeheer adresseren. Deze ondernemingen hebben een sterkere marktpositie en geven hun klanten (in tegenstelling tot leveranciers van losstaande toepassingen voor risicoberekening, auditing en rapportage) een breed en consistent beeld van de totale operationele risico s binnen een organisatie. 7 Forrester Wave : Enterprise Governance, Risk, And Compliance Platforms, Q Gartner is een Amerikaanse organisatie die zich bezighoudt met onderzoek en advisering in de IT-industrie. 15

16 Figuur 5. Magic Quadrant for Operational Risk Management Software voor Financial Services Aanbod van GRC- tools In deze paragraaf beschrijven we enkele GRC- tools die worden aangeboden op de markt. SAP & Oracle Zoals in de inleiding van deze scriptie is gesteld moeten organisaties bewijzen dat men in control is. De processen die worden gebruikt voor het definiëren, creëren, verzamelen en registeren van deze bewijslast zijn over het algemeen echter zeer inefficiënt. GRC- tools zijn ontworpen om deze processen te stroomlijnen en te ondersteunen. Op dit vlak kunnen volgens ons??ook de meeste kosten worden bespaard. Het is dan ook belangrijk om op deze interne kosten de aandacht te vestigen. Het probleem is echter dat veel organisaties zich niet op de interne kosten richten, maar op de externe kosten zoals de audit fee. Deze externe kosten kunnen echter wel verminderen wanneer GRC- tools worden ingezet. Een voorbeeld hiervan is dat de documentatie t.b.v. controlehandelingen door het gebruik van GRC -tools beter bewijsbaar en bruikbaar wordt gemaakt. Deze documentatie is daardoor in de toekomst ook beter controleerbaar door de externe accountant. Dit betekent simpelweg dat het goedkoper wordt. Daarnaast kan de documentatie digitaal worden opgeslagen, waardoor de audit onafhankelijk van de locatie wordt. Dit zijn allebei indirecte efficiëntie voordelen van het gebruik van GRC -tools. In de volgende subparagrafen worden voornamelijk de directe efficiëntie voordelen beschreven en wordt aangegeven op welk functioneel gebied de GRC -tool betrekking heeft. 16

17 BWISE Met de GRC software van BWise kunnen organisaties een Compliance framework (zoals voor SOX), met Risk frameworks geïntegreerd stroomlijnen. Het voordeel hiervan is volgens de leverancier van BWise: aanzienlijke tijd- en kostenbesparingen om compliant met alle wet- en regelgevingen te zijn, een beter onderbouwd 'In control' statement door sterk verbeterde inzichten en grip op de operationele risico's. Verschillende afdelingen in verschillende landen met weer lokale regelgeving zijn betrokken en dat maakt het vaak extra complex. BWise is een wereldwijde leverancier van de gelijknamige GRC tool die kan worden ingezet om op een gestructureerde en georganiseerde wijze GRC projecten te implementeren en uit te rollen naar de verschillende landen en afdelingen. De GRC -tool BWise heeft wereldwijd veel gebruikers op het gebied van Governance, Risk en Compliance (GRC). Door proces gerichte aanpak kan BWise ingezet worden voor het besparen van kosten om compliant te zijn. Met behulp van deze GRC -tool worden processen snel en efficiënt gedocumenteerd, risico's gesignaleerd en gezamenlijk met bijbehorende beheersmaatregelen gecommuniceerd via het web. Volgens de leverancier draagt de GRC -tool van BWise effectief bij aan het voldoen aan wet- en regelgeving zoals de Sarbanes-Oxley Act, Basel II en de Code Tabaksblat. BWise GRC stelt organisaties in staat te komen tot een systematische en georganiseerde aanpak van een GRC -gerelateerde strategie en implementatie. In plaats van het apart registreren van risk of compliance gerelateerde informatie wordt een framework geïmplementeerd van waaruit alle regels en procedures kunnen worden gemanaged. Hierdoor zijn organisaties niet alleen in staat om risico's te managen en te voldoen aan de nodige wet- en regelgeving maar kunnen zij ook nog eens grote efficiency voordelen (kosten- en tijdsbesparingen) behalen door GRC geïntegreerd aan te pakken. BWise gelooft dat een goede geïntegreerde GRC strategie alleen mogelijk is vanuit een business proces management aanpak. De voordelen die BWise te bieden heeft: - Diverse risk management en compliance initiatieven worden geïntegreerd in één framework. - In relatie tot Compliance: een beoordeelde control kan worden hergebruikt in diverse compliance -rapporten. - In relatie tot risk management: maakt inzichtelijk hoe risico's zich tot elkaar verhouden en aan welk proces ze zijn ze toegewezen. 17

18 Dynasec Dynasec biedt oplossingen om Multi -Compliance Management professioneel en geleidelijk te introduceren binnen de organisatie. Dynasec heeft een methodiek voor elke fase in het compliance traject: Figuur 6: Het Multi-Compliance Management Systeem (Dynasec, 2009) Het Dynasec Multi-Compliance Management model is er speciaal op gericht om gedurende het gehele compliance traject de juiste focus te houden. Multi-Compliance Management bestaat uit 3 fasen met elk specifieke eigenschappen: Fase 1: Orde op zaken in uw complianceraamwerk - Identificatie van "impliciete" beheersmaatregelen - Combineren meerdere Compliancegebieden - Ontdubbelen en ordenen van beheersmaatregelen - Koppelen met Risico's, Processen en Organisatie Fase 2: Volledig geïntegreerde workflow - Testen bestaan en werking beheersmaatregelen - Rapportage voor jaarverslag en voortgang - Root cause analysis - Risico mitigatie taken - Integratie met en office systemen Fase 3: Optimaliseren door Automatiseren - Koppeling met de financiële systemen - Koppeling user- en autorisatiebeheer - Koppeling met event-log systemen - Automatische audit van ICT-infrastructuur - Automatische audit van applicaties Hiermee kan voldaan worden aan meerdere wet- en regelgevingen, maar ook aan meerdere standaarden (bv. CobiT 4, ISO) en vanzelfsprekend ook eigen bedrijfsbeleid. De Dynasec Security =software vermindert volgens de leverancier aantoonbaar de kosten, de complexiteit en de doorlooptijd van compliance en risk management processen. 18

19 Runbook Runbook ontwikkelt en implementeert SAP -geïntegreerde oplossingen voor de interne beheersing, de periodeafsluiting en andere processen binnen de organisatie. De Runbook software die in deze paragraaf wordt beschreven heeft betrekking op de coördinatie en de controle op de uitvoering van financiële processen. In het perspectief van het COSO -framework biedt de tool ondersteuning aan de componenten control activities en monitoring. Control activities Als eerste zal worden beschreven op welke manier Runbook ondersteuning biedt aan de control activity, daarna wordt het monitoren van deze controleactiviteiten behandeld. Runbook is ontstaan om het proces van de periodeafsluiting te structureren. Dit proces heeft men namelijk geïmplementeerd bij verschillende organisaties. Op dit moment is Runbook echter ook in staat om andere processen te beheersen waardoor het een applicatie is voor de gehele interne beheersing. Het vinden van een balans tussen interne beheersing en efficiency is een grote uitdaging geworden. De controleactiviteiten worden namelijk na de invoering van de Sarbanes -Oxley Act binnen de gehele organisatie en van het begin tot het einde van het financiële jaar uitgevoerd. Voor het ERP -systeem is dit moeilijk om te coördineren. Het ERP -systeem is namelijk geconcentreerd op de business cycle en ondersteunt geen verticale controleactiviteiten. Runbook geeft het SAP ERP -systeem de mogelijkheid om het proces te verduidelijken, onder te verdelen in kleine componenten en alle procedures controleerbaar te maken. Op deze manier kan duidelijk gemaakt worden wie verantwoordelijk is voor welke controle, wanneer deze controle wordt uitgevoerd en hoe dit wordt gecontroleerd. De controleactiviteiten worden ondersteund door gebruik te maken van een geautomatiseerde workflow die de aangewezen personen op de hoogte stelt van de uit te voeren control activiteiten. Hieruit blijkt dat de controleactiviteiten nog wel handmatig worden uitgevoerd, maar digitaal worden opgeslagen. Met andere woorden: het document dat moet worden beoordeeld is digitaal opgeslagen en het rapport van de beoordeling, de controleactiviteit, wordt ook digitaal opgeslagen. De gebruiker heeft daarnaast de mogelijkheid om toevoegingen te maken in de vorm van notities en bijlagen. Men kan daardoor de controleactiviteiten efficiënt en overzichtelijk documenteren en rapporteren. Hierdoor is Runbook complementair met SAP; Runbook maakt de data uit het ERP - systeem namelijk beter bewijsbaar en bruikbaar voor de periodeafsluiting en andere processen. Er wordt gesuggereerd dat de meeste toegevoegde waarde en kostenbesparingen kunnen worden behaald met tools op dit niveau, namelijk het operationele niveau. Deze tools vergen naast een uitdagende technische en functionele implementatie ook nog een organisatorische implementatie. Dit is dan ook het sterke punt van Runbook. Ten eerste kan Runbook technisch en functioneel worden geïmplementeerd vanwege de integratie met het SAP ERP -systeem. Ten tweede wordt het gehele proces gestructureerd, waardoor de handmatige controles die binnen Runbook worden uitgevoerd een minder hoog risico hebben op ineffectiviteit vanwege menselijke fouten en de stiptheid van de controle uitvoering. Daarnaast zijn de handmatige controles door de goede organisatie veel minder vatbaar voor overtolligheid of overlapping in inspanningen. Hierdoor wordt het aantal handmatige controle activiteiten verminderd. Monitoring Runbook is, zoals hierboven beschreven, voornamelijk gericht op het structureren van processen binnen de interne beheersing. Toch zou het onrechtvaardig zijn wanneer Runbook slechts wordt beschreven als een actieplan. Het monitoren van de controleactiviteiten wordt namelijk op een zeer efficiënte manier uitgevoerd. Normaal gesproken weet alleen de controller wie verantwoordelijk is voor welke controle en wanneer deze controle wordt uitgevoerd. Door middel van de integratie met het SAP ERP -systeem kunnen alle betrokkenen zien welke personen voorafgaand aan de eigen activiteit aan de slag moeten en welke informatie men zelf moet opleveren. Wanneer de controleactiviteit is uitgevoerd wordt dit door Runbook automatisch aangegeven. 19

20 In de zogenoemde cockpit overview krijgt deze controleactiviteit groen licht. Hieruit blijkt dat het monitoren van de controleactiviteiten niet meer handmatig wordt uitgevoerd. Wanneer het licht op rood of oranje blijft staan is deze controleactiviteit niet uitgevoerd. Dit betekent dat men de actuele status van de voortgang van de controleactiviteit kan bekijken. Doordat de gebruiker de mogelijkheid heeft om toevoegingen te maken in de vorm van notities en bijlagen kan het management tijdig opvolging geven aan corrigerende maatregelen, mocht dat noodzakelijk zijn. Dit betekent dat men real-time inzicht heeft in de resultaten en uitzonderingen van de controleactiviteiten inclusief de achterliggende documentatie. Hierdoor is er sprake van management by exception alleen de uitzonderingen worden behandeld. SAP GRC SAP GRC biedt een portfolio van applicaties die ervoor moeten zorgen dat alle GRC- activiteiten worden vastgelegd en geoptimaliseerd. Deze portfolio bestaat uit een zestal applicaties, namelijk: - GRC repository - Risk management - Global trade - Environment - Access controls - Process controls. In deze paragraaf worden alleen de access controls en de process controls beschreven. Access controls Veel organisaties proberen te voldoen aan wet- en regelgeving met behulp van verschillende en veelal handmatige, activiteiten. Elke activiteit is gericht op een bepaald gedeelte van de wet- en regelgeving, maar deze activiteiten zijn niet met elkaar geïntegreerd. Op deze manier is het zeer moeilijk en kostbaar om aan te tonen dat de organisatie stevig verankerde en effectieve access en authorization controls heeft ingericht zoals door de Sarbanes-Oxley Act wordt geëist. Een belangrijk onderdeel hiervan is Segregation of Duties (SoD), ofwel functiescheiding. Dit onderdeel moet voorkomen dat er sprake kan zijn van conflicterende handelingen, zoals de mogelijkheid om een verkoper in het systeem aan te maken en te betalen. Het wordt er niet gemakkelijker op wanneer er kan worden verondersteld dat er duizenden regels betreffende toegangsrechten en onderlinge afhankelijkheden kunnen bestaan bijvoorbeeld binnen het SAP -systeem. Om deze access en authorization controls effectief en efficiënt te kunnen beheren zijn tools nodig die dit proces automatiseren. Op dit gebied kunnen geautomatiseerde monitoring tools namelijk de efficiency, maar zeker ook het inzicht in de controls en daarmee de effectiviteit verbeteren. Binnen de portfolio van SAP GRC Access Control worden hier vier verschillende applicaties voor ingezet. Deze applicaties worden in figuur 7 weergegeven en worden besproken in de onderstaande tekst. 20