Hoe kan Continuous Controls Monitoring (CCM) het evaluatieproces van beheersingsmaatregelen (interne controls ) ondersteunen?

Transcriptie

1 IT Audit afstudeerscriptie aan de Faculteit der Economische Wetenschappen en Bedrijfskunde (FEWEB) van de Vrije Universiteit Amsterdam Hoe kan Continuous Controls Monitoring (CCM) het evaluatieproces van beheersingsmaatregelen (interne controls ) ondersteunen? Ruiz Lie-Kwie Sven Joosten 31 Maart

2 Titelblad Hoofdvraag: Instelling: Opleiding: Hoe kan Continuous Controls Monitoring (CCM) het evaluatieproces van beheersingsmaatregelen (interne controls ) ondersteunen? Faculteit der Economische Wetenschappen en Bedrijfskunde (FEWEB) van de Vrije Universiteit Amsterdam Postgraduate IT Audit Teamnummer: 1024 Auteur 1: R.R. Lie-Kwie Studentnummer: Telefoon: +31(0) ruiz.lie-kwie@nl.ey.com Auteur 2: S.W.M. Joosten Studentnummer: Telefoon: +31(0) sven.joosten@gmail.com Datum: 7 april 2010 Plaats: Amsterdam Versie: Definitief Afstudeerbegeleider VU: Bart van Staveren RE Telefoon: bart.vanstaveren@uwv.nl Afstudeerbegeleider Ernst & Young: Drs. T Buffing RA RE Telefoon: ton.buffing@nl.ey.com 2

3 Inhoudsopgave 1. Inleiding Aanleiding Relevantie met IT Audit vakgebied Probleemstelling Doelstelling Centrale vraagstelling Deelvragen Afbakening Opzet en onderzoeksaanpak Leeswijzer 9 2. Theoretisch kader: Continuous Controls Monitoring Definities van Continuous Controls Monitoring Analyse van definities Continuous Controls Monitoring concepten Belangrijke aspecten Control evaluatie principes Aanpak testen werking van controls Rol van CCM Invloed op de mate van zekerheid Positionering CCM binnen COSO en CCM binnen COBIT Raakvlakken CCM en COSO Inleiding COSO framework Monitoring Raakvlakken CCM en COBIT Monitoring CCM in de praktijk en het effect op de evaluatie van de interne controls Inleiding Uitwerking vragen Algemene conclusie interviews Aandachtsgebieden IT auditor Conclusies, aanbevelingen en vervolgonderzoek Conclusie 40 3

4 7.2 Aanbeveling Reflectie 41 Geraadpleegde literatuur 43 Bijlage A - CA/CCM drivers 45 Bijalge B - Potentiële gebruikers 46 Bijalge C Stappenplan implementatie CA 47 Bijalge D Voorbeeld positionering COSO en COBIT binnen CCM 48 4

5 Voorwoord De Postgraduate IT Audit opleiding aan de Faculteit der Economische Wetenschappen en Bedrijfskunde (FEWEB) van de Vrije Universiteit Amsterdam heeft als doelstelling het opleiden van studenten om (zelfstandig) onafhankelijke en onpartijdige beoordelingen uit te voeren op operationele systemen en systemen in ontwikkeling. De onderzoeksaspecten betreffen bijvoorbeeld de afgesproken kwaliteitsaspecten (enkele voorbeelden zijn: beschikbaarheid, integriteit en vertrouwelijkheid) van de te automatiseren of geautomatiseerde informatiesystemen, de automatiseringsorganisatie en de technische/organisatorische infrastructuur van de geautomatiseerde gegevensverwerking. De actualiteit van het onderwerp en de toenemende vraag binnen organisaties om aantoonbaar in control te zijn hebben ons gemotiveerd en geïnteresseerd om ter afsluiting van deze studie een scriptie te schrijven met als onderzoeksvraag: Hoe kan Continuous Controls Monitoring (CCM) het evaluatieproces van beheersingsmaatregelen (interne controls ) ondersteunen? Voor het uitvoeren van dit onderzoek hebben wij een aantal personen uit het bedrijfsleven geïnterviewd. De discussies en verschillende inzichten waren van toegevoegde waarde om een helder beeld over dit onderwerp te vormen. De onderstaande personen willen wij daarom graag bedanken voor hun kennisdeling en medewerking. Arie Pronk RE RA CISA CAMS Head of Group Audit Operations ABN AMRO Dennis Boersen RE Manager Group Audit & Risk Services bij EUREKO Matty Pleumeekers RE Senior IT-Auditor bij Essent Remco Smith RE- Manager IT Audit bij Ernst & Young Steven Hartjes RE RA Partner bij Ernst & Young Willem Scheeres RE MBA Senior Business Development bij Ernst & Young Hiernaast willen wij ook van de gelegenheid gebruik maken om onze afstudeerbegeleider Bart van Staveren en onze bedrijfsbegeleider Ton Buffing te bedanken voor hun kennis, begeleiding en motiverende rol gedurende alle fases van onze scriptie. Gezien het feit dat CCM toepassingen populairder worden, maar in de praktijk nauwelijks of niet worden toegepast hebben de theoretische verkenning en toetsing van de theorie aan de praktijksituatie onze kennis en inzicht in het onderwerp vergroot, waardoor wij ons als volwaardige gesprekspartners op dit gebied kunnen beschouwen. Getekend op 31 maart 2010 te Amsterdam, Ruiz Lie-Kwie Sven Joosten 5

6 1. Inleiding De scriptie die voor u ligt is een uitwerking van onze visie die gebaseerd is op een literatuur- en veldonderzoek en vormt het sluitstuk van de Postgraduate IT Audit opleiding die wij hebben gevolgd aan de FEWEB van de Vrije Universiteit te Amsterdam. Dit eerste hoofdstuk zal de context van het afstudeeronderzoek verduidelijken. Hierin beschrijven wij de Aanleiding (paragraaf 1.1) en de Probleemstelling (paragraaf 1.2). 1.1 Aanleiding In onze werkervaring (als IT-Auditor) bij Ernst & Young hebben wij geconstateerd dat men in sommige gevallen met behulp van data-analyse oplossingen een effectievere en efficiëntere audit kan neerzetten. De audit kan effectiever zijn omdat men alle uitzonderingen kan identificeren en over de gehele populatie een oordeel kan geven. De audit kan efficiënter zijn omdat men meerdere beheersingsmaatregelen (interne controls ) met een of meerdere data aanlevering(en) kan toetsen. Daarnaast kan men het evaluatie proces middels data-analyse tools automatiseren. In de meeste gevallen kan je ook een oordeel geven over controls die niet binnen het normenkader vallen, bijvoorbeeld de kwaliteit van het proces/systeem/data, fraude identificeren, correlaties vinden en voorspellingen maken. In de zoektocht naar een geschikt onderwerp hebben wij ons afgevraagd waarom bedrijven en auditors nauwelijks gebruik maken van deze methoden en technieken. Continuous Controls Monitoring heeft volgens ons vele raakvlakken met de data-analyse oplossingen. Naast het bovenstaande zijn er nog vijf belangrijke redenen die ervoor hebben gezorgd dat wij voor dit onderwerp hebben gekozen. Deze redenen worden hieronder kort toegelicht: Binnen hedendaagse organisaties heerst een toenemende behoefte om bedrijfsprocessen effectief en efficiënt in te richten om gestelde bedrijfsdoelstellingen te behalen. Enkele voorbeelden zijn de implementatie van Electronic Data Interchange (EDI) onder andere in de Transport sector en recent de implementatie van het Single Euro Payments Area (SEPA 1 ) in de Financiële sector. Zelfs in de non-profit sector, bijvoorbeeld ziekenhuizen met de implementatie van Diagnosebehandelingcombinatie (DBC 2 ) en het Electronisch patiëntendossier (EPD), zie je dat men middels veranderingsprocessen efficiënter en effectiever wil werken/inrichten om bedrijfsdoelstellingen te realiseren. Door technologische ontwikkelingen op het gebied van onder andere internet 3, ERP 4 applicaties, integrated information systems, netwerken en databases zijn organisaties steeds sneller in staat om bedrijfsprocessen, effectiever en efficiënter in te richten. Door deze ontwikkelingen zijn processen meer gestandaardiseerd in geautomatiseerde omgevingen en zijn er steeds meer controls geïmplementeerd die als parameters gezien moeten worden. Interne en externe nadruk op de evaluatie en beheersing van de interne controls. Door boekhoudschandalen bij onder andere Enron 5 zijn wetten en regelgeving op het gebied van World Wide Web (www) 4 Enterprise Resource Planning 5 6

7 Corporate Governance (SOx 6, SAS70 7 ) aangescherpt. Ook spelen aandeelhouders een belangrijke rol doordat zij hun eisen op het gebied van continue zekerheid, meer transparantie en continue verantwoording opleggen aan het management. De kosten 8 om te voldoen aan de aangescherpte wetgeving op het gebied van compliancy, bijvoorbeeld de Office of Foreign Assets Control (OFAC), SOx, Basel II 9 en Solvency II 10 wetgeving, zijn enorm gestegen. Enkele grote banken hebben hoge boetes opgelegd gekregen, omdat zij sanctiewetgeving overtraden. In een persbericht heeft een topbestuurder het volgende gezegd: "De toezichthouders hebben ons hierop terecht aangesproken. We hebben eerder dit jaar uitgebreide maatregelen getroffen om de tekortkomingen grondig recht te zetten. Het verder verbeteren van onze compliance functie heeft de hoogste prioriteit binnen de bank" 11. Daarnaast is de evaluatie van de interne controle een essentieel onderdeel van de jaarrekeningcontrole en jaarlijks besteden de meeste organisaties en accountancy kantoren veel tijd en geld hieraan. Tot op heden hebben auditors de keuze voor een procesmatige- of gegevensgerichte controle aanpak. Wij zijn van mening dat wanneer organisaties gebruik maken van CCM, auditors een effectievere en efficiëntere audit aanpak kunnen neerzetten. Kortom, door de actualiteit van het onderwerp en onze persoonlijke interesse is besloten om in onze afstudeerscriptie nader in te gaan op Continuous Controls Monitoring. Het toetsen van controls op continue basis wordt Continuous Controls Monitoring genoemd Relevantie met IT Audit vakgebied In de jaren tachtig werd het begrip Continuous Audit geïntroduceerd in de academische wereld. Hierna werd het begrip Computer Assisted Audit Techniques (CAAT s) veelvuldig gebruikt als onderdeel van de accountantscontrole. De rol van CAAT s was toen vooral het ondersteunen van de gegevensgerichte elementen van de controle. Door de jaren heen is deze insteek van controle door verscheidene ontwikkelingen veranderd. Tegenwoordig maakt men gebruik van dataanalyse en monitoring tools binnen de controle. In de nabije toekomst zal steeds meer gesproken worden over Continuous Controls Monitoring en over Continuous Auditing. Al deze ontwikkelingen binnen het vakgebied hebben gezorgd voor een effectievere en efficiëntere aanpak van de controle. Naast de IT-Auditor bestaat de primaire doelgroep voor deze scriptie onder andere uit: Auditors, bijvoorbeeld financiële- en operationele auditors Gebruikers, bijvoorbeeld Controllers, IT-, Proces- en Businessunit managers Sponsors, bijvoorbeeld Chief Financial Officers (CFO) en Chief Information Officers (CIO) Eye on ICT digitale nieuwsbrief, jaargang 5, nummer 2 februari

8 1.2 Probleemstelling Doelstelling De doelstelling van dit onderzoek is om inzichtelijk te maken in de wijze waarop Continuous Controls Monitoring kan bijdragen aan een effectievere en efficiëntere evaluatie van interne controles Centrale vraagstelling Op basis van het bovenstaande komen wij tot de volgende centrale onderzoeksvraag: Hoe kan Continuous Controls Monitoring (CCM) het evaluatieproces van beheersingsmaatregelen (interne controls ) ondersteunen? Deelvragen Om de hoofdvraag te kunnen beantwoorden, hebben wij de volgende deelvragen geformuleerd: 1 Wat wordt verstaan onder CCM en welke concepten liggen hieraan ten grondslag? 2 Wat wordt verstaan onder interne control evaluatie en welke concepten liggen ten grondslag hieraan? 3 Waar kan men CCM positioneren binnen de frameworks COSO en COBIT? 4 Hoe en wanneer kan CCM een toegevoegde waarde leveren aan de evaluatie van interne controls? 5 Op welke wijze wordt CCM in de praktijk toegepast en wat is het effect op de evaluatie van de interne controls? 6 Gegeven de bevindingen, welke rol heeft de IT- auditor ten aanzien het beoordelen van een CCM omgeving? Afbakening Bij uitvoering van dit onderzoek hebben wij de volgende onderzoeksgrenzen gehanteerd: Om de verschillen tussen de conventionele- en CCM aanpak expliciet te belichten, richt dit onderzoek zich op organisaties die redelijk veel ervaring hebben op het gebied van interne control evaluatie. Daarnaast wordt in deze scriptie beperkt ingegaan op de risico analyse (risk management) die vooraf aan de control evaluatie plaatsvindt. Het aspect risico analyse heeft invloed op de control omgeving, maar is te complex om in dit onderzoek uitvoerig erop in te gaan. Op basis van de literatuur zien wij CCM uitsluitend als een management tool. Dit wil zeggen dat het management verantwoordelijk is voor de toepassing en de beheersing ervan. Verder beperken wij ons met deze scriptie tot twee frameworks: Committee of Sponsoring Organizations (COSO) en Control Objectives for Information and related Technology (COBIT) Opzet en onderzoeksaanpak Het onderzoek bestaat uit een literatuuronderzoek en een veldonderzoek. Bij het literatuuronderzoek gaat het om de begripsbepaling en de (theoretische) modelvorming. 8

9 In het veldonderzoek hebben wij interviews met interne en externe auditors gehouden om na te gaan hoe CCM het evaluatieproces van beheersingsmaatregelen (interne controls ) kan ondersteunen. Bij de uitvoering van het onderzoek dient onderstaand conceptueel model als basis (zie figuur 1). Hoofdstuk1: aanleiding, probleemstelling inclusief de centrale onderzoeksvraag bijbehorende deelvragen Hoofdstuk 2: CCM concepten Hoofdstuk 3: Control evaluatie principes Hoofdstuk 4: Positionering van CCM binnen COSO en CCM binnen COBIT Hoofdstuk 5: CCM in de praktijk en het effect op de evaluatie van de interne controls Hoofdstuk 6: Perspectief van IT-Auditor Hoofdstuk 7:Conclusies, aanbevelingen en vervolgonderzoek Figuur 1. Conceptueel model bij het onderzoek Leeswijzer Na een korte toelichting inzake de aanleiding, probleemstelling inclusief de centrale onderzoeksvraag en bijbehorende deelvragen, wordt in hoofdstuk 2 een aantal concepten van CCM beschreven. In hoofdstuk 3 wordt ingegaan op het begrip interne control evaluatie en de concepten die hieraan ten grondslag liggen. De positionering van CCM binnen COSO en CCM binnen COBIT wordt in hoofdstuk 4 beschreven. Hoofdstuk 5 gaat in op de toepassing van CCM in de praktijk en het effect op de evaluatie van de interne controls. In Hoofdstuk 6 gaan we in op de audit-aanpak van een IT-Auditor voor een CCM omgeving (scope). Tot slot geven wij in hoofdstuk 7 onze conclusies weer. Referenties naar literatuur, artikelen en internetsites worden in de tekst dan wel in de voetnoten aangegeven. 9

10 2. Theoretisch kader: Continuous Controls Monitoring In dit hoofdstuk geven wij antwoord op de eerste deelvraag. Hierin wordt de definitie van CCM uiteen gezet en worden enkele theoretische CCM concepten beschreven. 2.1 Definities van Continuous Controls Monitoring De begrippen Continuous Controls Monitoring, Continuous Assurance, Continuous Auditing, Control Monitoring en Monitoring zijn met elkaar verbonden. Deze begrippen worden in de praktijk vaak door elkaar gebruikt. Om spraakverwarring te voorkomen worden enkele definities hieronder beschreven en worden de raakvlakken toegelicht. Voor de controle op juistheid van de definities hebben wij in ons onderzoek rekening gehouden met de diverse definities die door toezichthouders, interne audit afdelingen, accountancy kantoren, consultancy kantoren en software leveranciers worden gebruikt. Als voorbeeld op de controle op de juiste interpretatie van het begrip Continuous Controls Monitoring hebben wij meerdere definities uiteengezet. Continuous Auditing (CA) Providing a continuous or on demand assurance opinion on systems or transactions. A continuous opinion could represent an auditor s opinion that controls are operating satisfactorily, unless a report is given to the contrary, often referred to as an evergreen audit report. An on demand audit opinion could be called for at any time to give an opinion that is not necessarily coterminous with a fiscal year or month-end 12 Continuous Controls Monitoring (CCM) A feedback mechanism, primarily used by management, to ensure that systems operate and transactions are processed as prescribed 13 Continuous monitoring of controls is a process that management puts in place to ensure that its policies and procedures are adhered to, and that business processes are operating effectively. Continuous monitoring typically involves automated continuous testing of all transactions within a given business process area against a suite of controls rules 14 Continuous monitoring refers to the process that management puts in place to ensure that the policies, procedures and business processes are operating effectively 15 Continuous monitoring is an automated process that regularly validates the accuracy and/or validity of transactions to provide ongoing feedback/assurance to management as to the effectiveness of internal controls. The end result of continuous monitoring is to obtain 12 Bron: Information systems control journal, volume 2, Bron: Information systems control journal, volume 2,

11 information about the performance of a process, system or data, not the insurance of an audit report. As a result, there are key differences 16 Continuous Assurance The collection of audit evidence, by an auditor, on systems and transactions, on a continuous basis through a period. For example, the auditor could extract details of unusually large adjusting journal entries daily for investigation, validate the reasons for the journal and whether it has been approved, and document these findings. The audit file of evidence will be built up from these investigations, as will the auditor s knowledge of what is happening in the business Analyse van definities De samenhang tussen de diverse definities worden hieronder beschreven. Ondanks het feit dat de begrippen in de praktijk door elkaar worden gebruikt, zijn de hoofddoelstellingen: meer transparantie, effectievere en efficiëntere beheersing van risico s en het kunnen meten van de performance, gelijk. Zowel Continuous Auditing als Continuous Controls Monitoring zijn processen die gebeurtenissen (bijvoorbeeld transacties) vergelijken aan de hand van voorgeschreven criteria (normen), afwijkingen constateren en rapporteren. Door de onduidelijkheid over de definities hanteert men in de praktijk ook de meer algemene begrippen Control Monitoring en Monitoring voor CCM en CA. Verschil Continuous Controls Monitoring en Continuous Auditing De vier belangrijkste verschillen 18 zijn: Continuous Auditing wordt door interne en externe auditors gebruikt als een methode voor het uitvoeren van audits op een meer continue basis, terwijl Continuous Control Monitoring door het management wordt gebruikt om de controledoelstellingen te behalen. 19 De controls binnen een CCM omgeving zijn vaker operationele controls. Bij CA behoren de controls bij het auditobject en zijn het meestal key controls. De frequentie van testen is bij CCM hoger, meestal real-time of per uur/dag/week. In het algemeen geven auditors een oordeel over een langere periode. CCM kan een onderdeel worden van het raamwerk van interne beheersing maar CA niet. CCM oplossingen kan men toepassen als applicatie controles in een systeem waar ze ontbreken. Relatie met Continuous Assurance Audit assurance is een uitspraak over de kwaliteit en effectiviteit van controls en de integriteit van de informatie. Continuous Assurance is een geïntegreerd proces en hanteert als basis elementen uit zowel Continuous Auditing en Continuous Control Monitoring. Wanneer op het continuous monitoringsproces kan worden gesteund, kunnen auditors het resultaat van Continuous Control Monitoring gebruiken om de effectiviteit van het interne controle proces te toetsen Information systems control journal, volume 2, CA/CM whitepaper KPMG 19 Scriptie VU Amsterdam: Continuous monitoring en continuous auditing: continuous solutions?, J. Jacobs en M. Hoetjes 11

12 If auditors do their job- verifying controls and risk- and management does their job develop and monitor controls, and manage risk the organization will have a higher level of assurance that controls are working, that risks are being managed, and that decision-making information has integrity. 20 Deze raakvlakken tussen de bovenstaande definities worden in onderstaande figuur 21 weergegeven: Figuur 2. Samenhang Continuous Control Monitoring, Continuous Auditing en Continuous Assurance CA en CCM kunnen onafhankelijk van elkaar worden geïmplementeerd. Er is altijd een tegengestelde correlatie tussen de activiteiten die het management moet uitvoeren en de activiteiten die de auditor moet uitvoeren om uiteindelijk het proces meer transparant te maken, het effectiever en efficiënter in te richten, de performance te meten en meer zekerheid te krijgen over het proces. De samenhang wordt in onderstaande figuur 22 weergegeven. 20 David A. Richards, CIA, CPA, President, The institute of Internal Auditors, Inc White paper on Continuous Auditing, 12

13 Management Response Comprehensive monitoring of internal controls Reduced effort Little monitoring of controls Significant effort / greater resources Audit Effort Figuur 3. Samenhang management response en Audit effort bij CCM 2.2 Continuous Controls Monitoring concepten In opzet zijn er nauwelijks verschillen tussen CCM en CA concepten. Zowel Continuous Auditing als Continuous Control Monitoring zijn processen die gebeurtenissen (bijvoorbeeld transacties) vergelijken aan de hand van voorgeschreven criteria (normen), afwijkingen constateren en rapporteren. Hieronder zijn twee concepten aan de hand van algemene voorbeelden uitgewerkt. CCM Concept 1 23 Het onderstaande model wordt toegelicht aan de hand van een algemeen voorbeeld in een Trading omgeving van een bank. In Trading omgevingen zijn de processen/producten complex, de volumes en risico s zijn hoog en er moet snel worden gehandeld. Hierdoor hebben organisaties monitoring tools geïmplementeerd om de processen te bewaken. Op basis van transactie data en business rules vinden verschillende analyses plaats. Deze zijn bijvoorbeeld: controle op functie scheiding controle op limieten van bedragen en aantallen aansluitcontrole tussen Front-, Back office en Custodians statistieken van de hoogte van de posities en de creditrisico s De reguliere analyses zijn gebaseerd op het interne controle raamwerk van de organisatie. De manager kan met een dashboard een totaal beeld vormen over het proces, eventuele details van transacties inzien en wordt via een alert geïnformeerd over afwijkingen. De afwijkingen worden door de manager beoordeeld en hij zorgt ervoor dat de juiste maatregelen worden genomen. Daarnaast kan men op dezelfde of historische data binnen de CCM omgeving ook aanvullende analyses uitvoeren. Deze zijn onder andere de handelaren (werknemers) beoordelen op de kwaliteit van de invoer en het risico profiel van handelaren in kaart brengen, fraude identificeren en knelpunten in het proces identificeren. De manager is uiteindelijk weer verantwoordelijk om de juiste maatregelen te nemen. 23 White paper, Building and Implementing a CCM and Auditing Framework, ACL 13

14 Figuur 4. Concept 1 CCM en CA CCM Concept 2 24 Het onderstaande model wordt toegelicht aan de hand van een algemeen voorbeeld in een betaal applicatie van een verzekeraar. In een excasso omgeving zijn de volumes en risico s hoog en in sommige gevallen moet er snel worden uitgekeerd. Hierdoor hebben organisaties monitoring tools geïmplementeerd om de processen te bewaken. Op basis van transactie data en business rules vinden verschillende analyses plaats. Deze zijn bijvoorbeeld: controle op functie scheiding controle op procuratieregelingen aansluitcontrole tussen de verschillende administratie overzicht spoedbetalingen controle op dubbele facturen controle op master data De reguliere analyses zijn gebaseerd op het interne controle raamwerk van de organisatie. De manager kan met een dashboard een totaal beeld vormen over het proces, eventuele details van transacties inzien en wordt via een alert geïnformeerd van afwijkingen. De afwijkingen worden door de manager beoordeeld en hij zorgt ervoor dat de juiste maatregelen worden genomen. 24 Ernst & Young, Continuous Control Concept 14

15 Figuur 5. Concept 2 CCM en CA Men kan met CCM oplossingen verschillende systemen (met behulp van de data) koppelen en op basis van specifieke business rules analyses uitvoeren. Een voorbeeld hiervan is de aansluiting tussen de inkopen, verkopen en grootboek en de medewerkers die op de afdelingen werken Belangrijke aspecten Op basis van de twee concepten is hieronder aangegeven wat de belangrijke (deel)aspecten en functionele eisen voor een CCM model zijn hieronder beschreven. 1.Bepalen controls Bepalen van de controls op basis van een geaccepteerde risicocontrole raamwerk (bijvoorbeeld op basis van COSO en COBIT) en informatiebehoefte analyse. In onderstaande figuur 25 is aangegeven voor welke typen risico s CCM geselecteerd kan worden. 25 Ernst & Young, presentatie CCM en Analytics 15

16 Figuur 6. Positie CCM 2. Bepalen normen De normen ( business rules ) moeten via het wijzigings-beheerproces (Ontwikkel, test, acceptatie en productie (OTAP)) worden geïmplementeerd. Het definiëren van de normen vergt een andere mind-set en in onderstaande figuur 26 is dit weergegeven. Een praktijkvoorbeeld is het fiatteren van facturen op basis van functiescheiding (het vier-ogen principe). Bij CCM moet men definiëren dat facturen die niet op basis van functiescheiding worden verwerkt, moeten worden gerapporteerd (uitzonderingen). Figuur 7. CCM voorbeelden interpretatie van data naar controls 26 Ernst & Young, presentatie CCM en Analytics 16

17 3.Bepalen van data sets De beschikbaarheid en integriteit waaronder de tijdigheid van de relevante dataset is een aandachtspunt. De organisatie moet in een concrete en eenduidige informatie management raamwerk 27 opzetten. De vijf belangrijke aspecten binnen het raamwerk bestaan uit: Data governance structuur Hierin worden de richtlijnen, processen, procedures en standaarden beschreven. Data kwaliteit Hierin worden de kwaliteitsstandaarden beschreven en worden prestatie-indicatoren opgenomen ( scorecards ). Data usage In dit deel wordt ingegaan op het gebruik van data binnen de organisatie en op monitoring op het gebruik en de effectiviteit van de dienstverlening. Data management De beschrijving van master data en de koppelingen (interfaces) tussen verschillende systemen. Daarnaast moet men aangeven hoe de data kan worden opgehaald ( data capturing ) Architecture In dit deel wordt de end-to-end stroom van data beschreven. De data opslag, transformaties en rapportages worden ook in dit deel opgenomen. 4. Bepalen van de frequentie van de test Dit aspect hang mede samen met de informatiebehoefte en risico s. Hoe hoger de risico s, hoe vaker er zal worden getoetst. 5. Testen/analyseren data Hierbij is het belangrijk dat de performance van het CCM model niet sterk wordt beïnvloed door een grote hoeveelheid data. Tevens speelt de integriteit en vertrouwelijkheid van de data een grote rol bij de analyses. 6. Onderzoeken van fouten/excepties Het is belangrijk om een risico analyse uit te voeren, waarbij men probeert om het totale risico te kwantificeren. Op basis van de risico analyse moet men bepalen welke maatregelen er dienen te worden genomen en of de controls en of processen niet moeten worden aangepast (zie figuur 8 28 ). Figuur 8. Relatie tussen controls en risico s 27 CFO research services, January IIA_GTAG, Continuous Auditing:Implications for Assurance, Monitoring, and Risk Assessment 17

18 7. Identificeren en communiceren (rapporteren) bevindingen aan management Bepalen hoe om te gaan met fouten/excepties: Hierbij moet men een classificatie van het risicoprofiel koppelen. 8. Maatregelen treffen Dit betreft ook het (eventueel) aanpassen van het proces of de business rules. Een CCM omgeving moet flexibel zijn. Wijzigingen (bijvoorbeeld datasets, business rules, rapportages etc.) moeten snel en zonder veel inspanning verwerkt kunnen worden. Met deze aanpak zal CCM niet alleen bijdragen aan efficiency doelstellingen, maar uiteindelijk ook aan de winstgevendheid van de organisatie (zie figuur 9 29 ). Figuur 9. Approva, 2009 Businessgoals CA en CCM 29 Ernst & Young, presentatie CCM en Analytics 18

19 3. Control evaluatie principes In het interne controleraamwerk (algemeen beheersingskader) van organisaties zijn diverse beheersingsmaatregelen geïdentificeerd, die de risico s waar de bedrijfsvoering aan blootgesteld is mitigeren. Voorbeelden van dergelijke risico s zijn financiële-, operationele- en compliance risico s. In dit zogenaamde stelsel van interne beheersingsmaatregelen wordt in de literatuur gesproken over organisatorische -, procedurele - en technische maatregelen. In onderstaande figuur 30 zijn de verschillende typen controlemaatregelen ( controls ) schematisch weergegeven. Manual Type Of Control Automated Prevent Detect Objective Of Control Figuur 10. Ernst & Young, Soorten controls Controls kunnen onderverdeeld worden bij hun type manual, automated of een combinatie van deze twee ( IT-dependent manual ), of bij hun object preventie of detectie opsporen van fouten in bijvoorbeeld in de jaarrekening, of het ondersteunen van het functioneren van geautomatiseerde aspecten van zulke controls (IT general controls). We categoriseren controls tussen application controls, IT-dependent manual controls, manual controls en IT general controls (ITGC s). 3.1 Aanpak testen werking van controls Bij de traditionele audit komen de auditors slechts een paar keer per jaar langs (zie figuur )bij een organisatie. Hierbij kan het object van onderzoek betrekking hebben op de opzet (uitsluitend ontwerp), bestaan (op een bepaald tijdstip) en/of werking (over een bepaalde periode) van 30 Ernst & Young 31 Information systems control journal, volume 2,

20 controls. Aangezien CCM betrekking heeft op de werking van controls hebben wij de testaanpak voor de werking van controls beschreven. Figuur 11. Effect op controls bij traditionele audit aanpak. Steekproef De statistische steekproef 32 is wiskundig en statistisch onderbouwd. Een aantal eisen voor de attributieve steekproef 33 waaraan voldaan moet zijn, te weten: - Bepalen van de doelstelling van de audit - Vaststellen van de populatie - Vaststellen van de relevante attributen - Bepalen van de steekproef omvang - Gewenste betrouwbaarheid van de uitspraak - Gewenste tolerantie - Percentage verwachte fouten - Bepalen van de selectiemethode - Uitvoeren van de steekproef - Evalueren van de uitkomst van de steekproef Elk van bovenstaande punten dient onderbouwd te worden. De steekproef is een van de meest betrouwbare methoden om een populatie te beoordelen buiten een volledige controle van de populatie. De werkzaamheden nemen dan ook meer tijd in beslag dan een deelwaarneming. 32 De variabele steekproef is in deze scriptie niet verder uitgewerkt. Voor informatie verwijzen wij graag naar Inleiding EDPauditing, Jan van Praat en Hans Suerink, Hoofdstuk Inleiding EDP-auditing, Jan van Praat en Hans Suerink, 5 e druk 1 e oplage, november Hoofdstuk