Continuous monitoring en continuous auditing: continuous solutions?

Transcriptie

1 Continuous monitoring en continuous auditing: continuous solutions? Studenten: J. Jacobs en M. Hoetjes Studentnummers: en Teamnummer: 612 Afstudeerbegeleider: Drs. B.J. van Staveren RE Bedrijfscoach: Drs. W.G.M.J. van Haelst RE RA Examencommissie: Prof. dr. ir. R.Paans RE en P. Harmzen RE RA Amsterdam, 30 juli 2007

2 Voorwoord Ter afsluiting van onze studie EDP-auditing aan de vrije Universiteit amsterdam hebben wij een scriptie geschreven over de onderzoeksvraag continuous auditing en continuous monitoring: continuous solutions?. Gezien de actualiteit van het onderwerp en de toenemende vraag binnen organisaties om aantoonbaar in control te zijn, vinden wij continuous auditing en continuous monitoring erg interessante ontwikkelingen. Vanuit de Vrije Universiteit is de heer Bart van Staveren aangewezen als onze afstudeerbegeleider. Wij willen hem bedanken voor de goede inhoudelijke ideeën, uitleg en het doorlezen van onze stukken. Zijn enthousiasme heeft ons enorm gemotiveerd. Wij willen onze bedrijfsbegeleider Werner van Haelst bedanken voor de uitleg en het lezen van onze stukken. Verder willen we de geïnterviewde personen bedanken voor hun tijd en zienswijze op het onderwerp. Tenslotte willen we alle (gast)docenten bedanken voor de leerzame colleges die tijdens de postdoctorale opleiding zijn gegeven. Dit heeft vaak geleid tot interessante en vruchtbare discussies. Meta Hoetjes Jacco Jacobs Amsterdam, mei 2006

3 Management samenvatting Algemeen De noodzaak voor organisaties om zorg te dragen voor een tijdige en continue verantwoording dat beheersingsmaatregelen effectief werken en waardoor de risico s binnen bedrijfs- en financiële processen door deze beheersingsmaatregelen worden gemitigeerd, is niet nieuw. Organisaties staan in de dagelijkse praktijk bloot aan (significante) fouten, frauderisico s en inefficiënties binnen de bedrijfsprocessen. De aangescherpte wet- en regelgeving heeft vaak grote impact op de interne controle van organisaties. Het systeem voor interne controle moet onder meer fouten en fraude kunnen detecteren en kunnen garanderen dat de juiste informatie op tijd bij de juiste (daartoe geautoriseerde) personen terechtkomt. Het is voor organisaties van belang dat de interne controle zo effectief mogelijk werkt. De toetsing hiervan dient zowel door het management (door monitoring) als door de interne en externe auditor (door audit) te worden verricht. De laatste jaren neemt de noodzaak toe om de beheersingsmaatregelen op continue basis te toetsen. Dit is mede het gevolg van: de aangescherpte (externe) wet- en regelgeving (zoals de Sarbanes-Oxley act, hierna te noemen SOx); de nieuwe ontwikkelingen op het gebied van corporate governance; de globalisering van de bedrijfsactiviteiten en bedrijfsvoering; sterkere behoefte aan transparantie en zekerheid en actuele financiële informatie; de marktdruk om efficiënter te kunnen opereren om zo de kosten te kunnen beheersen en te kunnen blijven concurreren hierbij speelt ook de vraag naar het reduceren van de kosten voor interne controle. Continuous auditing Terwijl een (interne en/of externe) auditor nu periodiek een audit uitvoert op de systemen en de transacties, voorziet continuous auditing in een methode om deze audits meerdere keren per periode (bijvoorbeeld per dag) geautomatiseerd uit te voeren. Continuous auditing is een set van methoden die auditors gebruiken om op een continue en geautomatiseerde basis te auditen. Dit betekent bijvoorbeeld het testen van transacties gebaseerd op vooraf gedefinieerde criteria, waardoor het mogelijk is om tijdens de transactieverwerking geautomatiseerd waarnemingen te doen. Hierbij worden de verschillende verwerkingsstappen en daarbij uitgevoerde interne controlemaatregelen zichtbaar gemaakt en kunnen vervolgens aan controle door de auditor worden onderworpen. Eventuele deficiënties kunnen hierdoor bij de bron worden geïdentificeerd. De resultaten dienen geëvalueerd te worden door een auditor en te worden gerapporteerd aan bijvoorbeeld het management of Raad van Commissarissen. Continuous monitoring Het management van de organisatie voert periodiek (handmatige) monitoringswerkzaamheden uit op de systemen en de transacties. Continuous monitoring voorziet in een methode om deze 1

4 werkzaamheden meerdere keren per periode geautomatiseerd uit te voeren. Continuous monitoring kan worden geïmplementeerd als: a) de controle activiteit (controleregel). Wanneer een continuous monitoring test controleert op dubbele betalingen, dan is er sprake van een detectieve controle activiteit en dan is het continuous monitoring onderdeel van de COSO component control activities. b) het testen van de controle. Als continuous monitoring wordt ingezet voor het testen van bijvoorbeeld geautoriseerde limieten, dan test het de controle zelf en is het een detectieve controle op de effectiviteit en efficiëntie van het interne controle systeem zelf. Deze manier van testen is onderdeel van de COSO component monitoring. Verschil continuous monitoring en continuous auditing Continuous auditing wordt door interne en externe auditors gebruikt als een methode voor het uitvoeren van audits op een meer continue basis, terwijl continuous monitoring door het management wordt gebruikt om de controledoelstellingen te behalen. Zowel continuous auditing als continuous monitoring is een proces dat transacties vergelijkt met voorgeschreven criteria (normen), afwijkingen constateert en rapporteert. Bij continuous auditing gebeurt dit onder verantwoordelijkheid van de auditor, bij continuous monitoring ligt de verantwoordelijkheid bij het management. Continuous monitoring kan daarnaast ook worden gebruikt als de COSO component monitoring waarbij continuous monitoring wordt gebruikt als een proces om het interne controle systeem zo effectief mogelijk te laten verlopen (het toetsen van de controles zelf). Relatie continuous monitoring en continuous auditing Het continuous monitoringsproces kan zowel de organisaties zelf (het management) als de auditors helpen om hun doelstellingen met betrekking tot interne controle te realiseren. Het management is verantwoordelijk voor het implementeren en onderhouden van een effectief interne controle systeem. Continuous monitoring geeft het management zekerheid dat het interne controle systeem effectief werkt en onmiddellijk actie kan worden ondernomen om fouten (in bijvoorbeeld de invoer of verwerking van transacties) te verhelpen, voordat het problemen worden. Interne en externe auditors zijn verantwoordelijk voor het auditen of het management op een verantwoorde wijze haar controle uitvoert. Omdat continuous monitoring onderdeel uitmaakt van het interne controle systeem, dienen auditors zich ervan te verzekeren dat het interne controle proces effectief is en dat erop kan worden gesteund. Wanneer op het continuous monitoringsproces kan worden gesteund, kunnen auditors het resultaat van continuous monitoring gebruiken om de effectiviteit van het interne controle proces te toetsen. Implementatie van continuous monitoring Voordat een organisatie begint met het implementeren van continuous monitoring dient allereerst een helder en effectief interne controle systeem (op basis van risico analyse) binnen de organisatie aanwezig te zijn. Voor het opstellen van een dergelijk interne controlesysteem kunnen standaard raamwerken zoals COSO worden gebruikt. Wanneer het interne controlesysteem eenmaal is opgezet en juist (effectief) werkt, wil dit nog niet zeggen dat het efficiënt is. Door de marktdruk om kosten te beheersen en te kunnen blijven concurreren, zal binnen organisaties de vraag ontstaan of het interne controle systeem wel efficiënt is ingericht. Door het uitvoeren van

5 een efficiëntie analyse kan worden bepaald dat continuous monitoring moet worden geïmplementeerd. Deze implementatie vindt allereerst als een zogenaamde pilot plaats in een bepaald segment (onderdeel) van de organisatie. Na een succesvolle pilot implementatie kan vervolgens per segment het continuous monitoringsproces verder worden geïmplementeerd binnen de gehele organisatie. Visie op de toekomst De term continuous monitoring is wel bekend binnen organisaties, maar de implementatie hiervan blijft veelal achterwege. De laatste jaren hebben organisaties veel tijd en geld gestoken in het in control zijn voor de aangescherpte wet- en regelgeving (zoals SOx). Nu dit eenmaal is opgezet, zal het interne controle systeem continue onderhevig zijn aan veranderingen. Bij de eerste opzet van het in control zijn hebben organisaties er voor gekozen om de volledigheid van de controles als belangrijkste eis te stellen. Dit heeft geresulteerd in een intern controle systeem met veel (handmatige) controles die periodiek dienen worden doorlopen, wat veel tijd (en geld) kost. Nu is de vraag ontstaan of de organisaties niet over control zijn (of er niet irrelevante controlemaatregelen zijn geïmplementeerd om in control te zijn) en bestaat de wens om het aantal controles te verminderen en het interne controle systeem zo in te richten dat alleen de strikt noodzakelijke controles worden uitgevoerd. Tijdens de analyse van de beperking van de controleregels wordt ook bekeken of de uit te voeren controles niet automatisch kunnen worden uitgevoerd, om zo de foutgevoeligheid en de kosten van de handmatige controles op te lossen. Dit heeft tot gevolg dat steeds meer organisatie projecten op zetten om continuous monitoring te implementeren. Wij verwachten dat deze trend zich nog de komende jaren zal voortzetten. Niet alleen voor de primaire bedrijfsprocessen, maar ook voor de secundaire bedrijfsprocessen zullen organisaties kiezen voor het implementeren van continuous monitoring. Zeker wanneer blijkt dat tijdens het pilotproject onopgemerkte problemen en/of fouten naar boven komen die tijdens de oude handmatige controles niet opgemerkt waren waarbij grote bedragen zijn gemoeid. Door het management op de hoogte te stellen van deze positieve resultaten zullen zij de voordelen van continuous monitoring inzien en hun support leveren bij verdere implementatie in de andere segmenten van de organisatie.

6 INHOUDSOPGAVE 1 Inleiding De aanleiding en de doelstelling van het afstudeeronderzoek De afbakening De onderzoeksvragen Het theoretische kader Leeswijzer 3 2 Definitiestudie continuous auditing en continuous monitoring Uiteenzetting definitie continuous auditing Achtergrond continuous auditing Ontwikkelingen in continuous auditing Uiteenzetting definitie continuous monitoring Achtergrond continuous monitoring Ontwikkelingen in continuous monitoring Onderscheid continuous auditing versus continuous monitoring Vergelijking definities Relatie tussen continuous auditing en continuous monitoring Praktijkvoorbeeld toepassing continuous auditing en continuous monitoring Conclusie definitiestudie 20 3 Toepassing van continuous monitoring Inleiding Implementatie continuous monitoring Tools Implementatiestrategie Knelpunten/randvoorwaarden toepassing continuous monitoring Voorbeeld implementatie continuous monitoring Visie op de toekomst Niveaus van continuous monitoring Ontwikkeling in de tijd Samenvatting 35 4 Conclusies en aanbevelingen Conclusies Aanbeveling 38

7 Bijlagen 1 Bijlage I: In control en ERP-systemen 2 Bijlage II: Achtergronden algemeen beheersingskader 3 Bijlage III: Vastlegging interviews 4 Bijlage IV: Geschiedenis CA en CM 5 Bijlage V: Wet- en regelgeving

8 1 Inleiding De scriptie die voor u ligt, vormt het sluitstuk van de postdoctorale EDP-audit opleiding die wij hebben gevolgd aan de Vrije Universiteit te Amsterdam. Op 13 december heeft het curatorium een pilot goedgekeurd om het casusgedeelte van het schriftelijke slotexamen te vervangen door een scriptie. De inhoud en het niveau van de afstudeerscriptie komt overeen met de Post Graduate graad die wordt verleend en bestaat uit: een afbakening en analyse van een praktisch relevant probleem uit de werkpraktijk van IT auditing; een methodische uitwerking van de oplossing met behulp van actuele state of the art wetenschap. Deze scriptie geeft een uitwerking hoe continuous monitoring bij bedrijven met een ERPomgeving kan worden toegepast (zie ook hoofdstuk 1.2). Daarnaast geven wij in deze scriptie onze visie van continuous monitoring op de toekomst weer. Mede gezien continuous monitoring vaak in relatie wordt gezien met continuous auditing, hebben wij dit onderwerp eveneens in deze scriptie uiteengezet. Dit eerste hoofdstuk zal de context van het afstudeeronderzoek verduidelijken. Als eerste zijn de aanleiding en doelstelling van het afstudeeronderzoek beschreven (zie paragraaf 1.1). Daarna is de afbakening van het afstudeeronderzoek beschreven (zie paragraaf 1.2). Vervolgens is ingegaan op de centrale onderzoeksvraag en de hieruit volgende deelvragen (zie paragraaf 1.3). Het theoretische kader van het afstudeeronderzoek is beschreven in paragraaf 1.4. Tenslotte is een leeswijzer opgenomen voor de volgende hoofdstukken van de scriptie (zie paragraaf 1.5). 1.1 De aanleiding en de doelstelling van het afstudeeronderzoek De striktere en aangescherpte wet- en regelgeving heeft een duidelijke impuls gegeven aan het belang van een effectief systeem voor interne controle binnen organisaties. Een strategie om een effectief interne controle systeem te implementeren is continuous monitoring, al dan niet aangevuld met continuous auditing. Over deze onderwerpen wordt al jarenlang gesproken maar, door recente veranderingen in de wet- en regelgeving, de ontwikkelingen in de IT en de vraag naar het reduceren van de kosten voor interne controle, gaan organisaties nu over tot daadwerkelijke implementatie. Diverse softwareleveranciers spelen hier op in door ondersteunende software voor continuous monitoring en/of auditing op de markt te brengen. Door de actualiteit van het onderwerp, is besloten om in onze afstudeerscriptie nader in te gaan op continuous monitoring. 1

9 1.2 De afbakening Om het afstudeeronderzoek wetenschappelijk uit te kunnen voeren hebben wij ons beperkt tot de definitiestudie van continuous monitoring en continuous auditing. Vervolgens is het onderwerp continuous monitoring nader onderzocht; hoe kan dit concept op een concrete en structurele wijze worden toegepast bij bedrijven met een ERP-omgeving en hoe zal continuous monitoring zich in de toekomst ontwikkelen. Wij hebben ons hierbij gebaseerd op de toepassing van continuous monitoring met betrekking tot een interne controle systeem. 1.3 De onderzoeksvragen De afstudeerscriptie heeft als doel om een antwoord te geven op de onderzoeksvraag: "Continuous monitoring en continuous auditing: continuous solutions? Hierbij wordt een antwoord gegeven op de vraag of het begrip continuous monitoring ook daadwerkelijk als een structurele oplossing kan worden gezien. Om antwoord te geven op de genoemde onderzoeksvraag worden de volgende deelvragen beantwoord: 1 Wat is continuous auditing en continuous monitoring? (definitiestelling) 2 Wat is het onderscheid tussen continuous auditing en continuous monitoring? 3 Hoe kan het concept van continuous monitoring bij bedrijven met een ERP-omgeving op een concrete en structurele wijze worden toegepast? Tot slot hebben wij als reflectie beschreven hoe wij denken dat continuous monitoring zich in de toekomst zal ontwikkelen. 1.4 Het theoretische kader Het theoretische kader van het afstudeeronderzoek is opgebouwd uit een aantal gebruikte methoden en technieken: literatuurstudie; het houden van interviews; brainstormsessies. Voor de onderzoeksvragen hebben wij de volgende methoden en technieken gebruikt: 1 Wat is continuous auditing en continuous monitoring? (definitiestelling) Voor deze definitiestelling hebben wij allereerst een literatuurstudie verricht. Tijdens deze literatuurstudie hebben wij diverse vakbladen geraadpleegd zoals de EDP-Auditor, Information Systems and Controls Journal et cetera. Daarnaast zijn diverse audit vakgebied gerelateerde internetsites bezocht en wetenschappelijke onderzoeken geraadpleegd. Een overzicht 2

10 van de geraadpleegde literatuur en websites is terug te vinden in de literatuurlijst. Tevens is gebruik gemaakt van collegemateriaal, dat tijdens onze studie is verstrekt. Vervolgens is een aantal interviews gehouden met medewerkers van (inter)nationale organisaties die, ten tijde van het schrijven van deze scriptie, bezig zijn met het implementeren van continuous monitoring/auditing en met collega EDP-auditors (zowel intern als extern) met als doel informatie te vergaren die niet door de literatuurstudie verkregen kon worden, maar wel van belang zijn voor de beeldvorming van de huidige situatie. 2 Wat is het onderscheid tussen continuous auditing en continuous monitoring? Voor het beantwoorden van deze deelvraag is deskresearch verricht door het bestuderen van relevante literatuur en collegemateriaal. Tevens is aan diverse personen die zijn geïnterviewd hun visie gevraagd. 3 Hoe kan het concept van continuous monitoring bij bedrijven met een ERP-omgeving op een concrete en structurele wijze worden toegepast? Voor het beantwoorden van deze deelvraag is tevens deskresearch verricht door het bestuderen van relevante literatuur en collegemateriaal. Daarnaast zijn interviews gehouden met medewerkers van (inter)nationale organisaties die bezig zijn met het implementeren van continuous monitoring/auditing en met collega EDP-auditors (zowel intern als extern). 1.5 Leeswijzer Deze scriptie is verder als volgt opgebouwd; in hoofdstuk 2 worden de definities van continuous auditing en continuous monitoring uitgewerkt, in hoofdstuk 3 is beschreven hoe continuous monitoring kan worden geïmplementeerd en is onze visie op de toekomst beschreven. Tenslotte is in hoofdstuk 4 de conclusie opgenomen. 3

11 2 Definitiestudie continuous auditing en continuous monitoring Dit hoofdstuk gaat in op de definities van continuous auditing en continuous monitoring. In paragraaf 2.1 is een uiteenzetting van de definitie van continuous auditing opgenomen, waaronder de achtergrond van continuous auditing (paragraaf 2.1.1) en de ontwikkelingen in continuous auditing (paragraaf 2.1.2). Paragraaf 2.2 gaat in op de definitie van continuous monitoring waarbij eveneens de achtergrond van continuous monitoring (paragraaf 2.2.1) en ontwikkelingen in continuous monitoring (paragraaf 2.2.2) zijn beschreven. Vervolgens is in paragraaf 2.3 het onderscheid tussen continuous auditing versus continuous monitoring beschreven. Tenslotte is in paragraaf 2.4 de conclusie van de definitiestudie opgenomen. 2.1 Uiteenzetting definitie continuous auditing Binnen de accountancy, consultancy en het bedrijfsleven worden diverse definities van continuous auditing gehanteerd. In deze paragraaf is een aantal gehanteerde definities nader uiteengezet. Achtereenvolgens zijn de gehanteerde definities van de volgende organisaties uiteengezet: consultantsbureau (Tryllian); Instituut voor Interne Auditors (IIA); overkoepelende organisatie voor gecertificeerde information system auditors (ISACA); overkoepelende organisatie voor gecertificeerde public accountants (AICPA); een grote multinationale (financiële instelling); een groot accountantskantoor. Definitie consultantsbureau Continuous auditing is een functionele implementatie van business process monitoring (bpm) en business activity monitoring (bam). Continuous auditing is een set van methodieken en hulpmiddelen waarbij continu audits worden uitgevoerd op transacties en processen. De verantwoordelijkheid voor het uitvoeren van continuous auditing ligt bij een interne auditor en de externe auditor. Bron: Definitie Instituut voor interne auditors Continuous auditing is a method used to perform control and risk assessments automatically on a more frequent basis. Continuous auditing changes the audit paradigm from periodic reviews of a sample of transactions to ongoing audit testing of 100 percent of transactions. It becomes an integral part of modern auditing at many levels. Continuous monitoring of controls has to be performed by management of an organization whereas continuous auditing has to be performed under the responsibility of CAE (Chief audit executive) of an internal audit department. Bron: the institute of internal auditors: 4

12 Definitie ISACA Continuous auditing has been defined as a methodology or framework that enables auditors (external and internal) to provide written results on the subject matter using one or a series of reports issued simultaneously. The ability to report on events in a real-time or near real-time environment can provide significant benefits to the users of audit reports. Continuous auditing is therefore designed to enable auditors to report on subject matter within a much shorter timeframe than under the traditional model. Theoretically, in some environments it should be possible to decrease the reporting timeframe to provide almost instantaneous auditing. Bron: Definitie AICPA Continuous auditing is a methodology that enables independent auditors to provide written assurance on a subject matter using a series of auditors reports issued simultaneously with, or a short period of time after, the occurrence of events underlying the subject matter. A continuous auditing relies heavily on information technology. While the continuous auditing concept is over a decade old, rapid advancements in technology have now made continuous auditing more feasible. Examples of this technology include broad bandwidth, web application server technology, web scripting solutions, and ubiquitous database management systems with standard connectivity. Bron: AICPA research report Definitie grote multinational Continuous auditing is een methode die in een korte periode op een geautomatiseerde manier de processen en gegevens uit de processen beoordelen aan vastgestelde voorwaarden. Deze werkzaamheden worden uitgevoerd door een interne auditor of de externe accountant die onafhankelijk is, niet direct betrokken is bij het bedrijfsproces en een directe rapportagelijn heeft richting het managementboard Bron: Directeur application management, gehouden interview Definitie groot accountantskantoor (big-four) Continuous auditing is een methodologie waarmee (onafhankelijke) auditors een schriftelijke verklaring over een bedrijfsactiviteit kunnen afgeven, op basis van een reeks controlerapporten die (bijna) gelijktijdig met het plaatsvinden van de bedrijfsactiviteit beschikbaar zijn. Bron: Partner accountant, gehouden interview 5

13 Conclusie Uit de diverse definities die door toezichthoudende organisaties, interne audit afdelingen, accountantskantoren, het bedrijfsleven, et cetera worden gehanteerd blijkt het volgende: de verantwoordelijkheid van continuous auditing ligt bij de auditor. Deze verantwoordelijkheid kan zowel zijn belegd bij de interne auditor (indien de organisatie beschikt over een eigen onafhankelijk opererende interne audit afdeling) als bij een externe auditor (bijvoorbeeld een accountantskantoor); terwijl een interne en externe auditor nu periodiek een audit uitvoert op de systemen en de transacties, voorziet continuous auditing in een methode om deze audits meerdere keren per periode (bijvoorbeeld per dag) geautomatiseerd uit te voeren. De audits die kunnen worden uitgevoerd zijn divers (afhankelijk van het object van onderzoek en de betrouwbaarheidsaspecten); continuous auditing is een methodologie waarbij de resultaten van de audit op een bedrijfactiviteit gelijktijdig, of op een korte periode na het plaatsvinden van de bedrijfsactiviteit, beschikbaar zijn; het toepassen van continuous auditing kan de betrouwbaarheid van de informatie verhogen, gezien bij het uitvoeren van geautomatiseerde controles een dekking van 100% van de transacties kan worden gerealiseerd; continuous auditing kan zowel parallel als simultaan worden uitgevoerd met continuous monitoring, waarbij dezelfde transacties en resultaten kunnen worden gebruikt. Continuous auditing is een set methoden die auditors (zowel intern als extern) gebruiken om op continue basis te auditen. Dit betekent het detectief testen van transacties gebaseerd op vooraf gedefinieerde criteria. Het identificeren van afwijkingen en het rapporteren hiervan aan het management, Raad van Bestuur (RvB) en/of Raad van Commissarissen (RvC) is de verantwoordelijkheid van de auditor. Hierbij is van belang dat de auditor zich conformeert aan haar beroepsregels bij het uitvoeren van continuous audits en de interpretatie van de resultaten. De auditor kan onder meer als financial auditor (accountant), EDP-auditor en operational auditor optreden. Dit is afhankelijk van het object en de doelstelling van het onderzoek en de kwaliteitsaspecten waarop de continuous audits worden uitgevoerd Achtergrond continuous auditing In de dagelijkse praktijk dienen organisaties zorg te dragen voor een transparante verantwoording van hun activiteiten en financiën. De externe wet- en regelgeving versterkt deze noodzaak. De interne controlemaatregelen die een organisatie heeft getroffen om haar bedrijfsprocessen te beheersen dienen bij een accountantscontrole en onder meer door de wet- en regelgeving op een periodieke basis te worden getoetst. 6

14 Organisaties hebben in haar controlesysteem vaak relatief veel interne controlemaatregelen geïmplementeerd in informatiesystemen. Van deze specifieke geprogrammeerde controlemaatregelen dient de werking te worden aangetoond. Randvoorwaardelijk voor het steunen op geprogrammeerde controlemaatregelen zijn effectieve IT general controls (als change management en logische toegangsbeveiliging, zie ook bijlage II). Het testen van de geprogrammeerde controlemaatregelen ( application controls ) kan op verschillende manieren plaatsvinden (zie bijlage II voor een beschrijving). De traditionele manier van het testen van de beheersingsmaatregelen (controls) vindt plaats op een cyclische basis, vaak een aantal maanden later dan de business activiteiten hebben plaatsgevonden. De testprocedures zijn vaak gebaseerd op een zogenaamde sampling approach. Voor EDP-auditors omvat dit vaak het toetsen van de general IT controls, application controls en eventueel zogenaamde IT dependent manual controls (zie ook bijlage II). De laatste jaren neemt de noodzaak echter toe voor een hoger niveau van assurance en is de vraag ontstaan om de controles op continue basis te toetsen. Deze vraag is mede het gevolg van: de aangescherpte (externe) wet- en regelgeving (zoals Sarbanes-Oxley, hierna te noemen SOx, zie ook bijlage V); de nieuwe ontwikkelingen op het gebied van corporate governance; de globalisering van de bedrijfsactiviteiten en bedrijfsvoering; sterkere behoefte aan transparantie en zekerheid en actuele financiële informatie; de marktdruk om efficiënter te kunnen opereren om zo de kosten te kunnen beheersen en te kunnen blijven concurreren hierbij speelt ook de vraag naar het reduceren van de kosten voor interne controle. De toenemende vraag naar een hoger niveau van assurance door zowel het management van de organisatie, de controlerende accountant als toezichthoudende instanties (DNB, AFM, overheid, et cetera) kan leiden tot een hoger kostenniveau voor de organisatie. Afhankelijk van het type controlemaatregel (handmatig, automatisch, zie bijlage II), neemt de frequentie van de toetsing van deze controlemaatregel, die jaarlijks dient te worden uitgevoerd, toe. Daarnaast dienen auditors deze controles op een groot aantal locaties uit te voeren omdat grote multinationals decentraal zijn georganiseerd en beschikken over een grote diversiteit van verschillende soorten informatiesystemen. Organisaties kunnen een ERP-oplossing hebben geïmplementeerd, maar kunnen tevens beschikken over legacy /mainframesystemen die reeds tientallen jaren operationeel zijn, hierdoor kunnen de uit te voeren auditwerkzaamheden worden bemoeilijkt. Om aan de toenemende vraag aan assurance en interne beheersing op een effectieve en efficiënte (kostenbeheersende) wijze te kunnen voldoen, is het wenselijk om de controles uitgevoerd door auditors op een continue (geautomatiseerde) basis in plaats van op een periodieke (vaak handmatige) basis uit te laten voeren. Bij het uitvoeren van controles op continue basis kan, door het tijdig signaleren van fouten extra aanvullende audit werkzaamheden te verrichten en/of compenserende controlemaatregelen te identificeren, worden vastgesteld of de risico s daadwerkelijk zijn opgetreden. Daarnaast zal de auditee (de organisatie) sneller en wellicht meer 7

15 nauwkeurig over eventuele geconstateerde deficiënties worden geïnformeerd om zo tijdig een remediation plan op te kunnen stellen Ontwikkelingen in continuous auditing In deze paragraaf is een analyse van de ontwikkelingen in continuous auditing opgenomen vanaf een aantal jaren geleden tot heden. De noodzaak voor organisaties om zorg te dragen voor een tijdige en continue verantwoording dat controles effectief werken en risico s binnen bedrijfs- en financiële processen door deze controles worden gemitigeerd is niet nieuw (zie bijlage IV voor de ontwikkeling van continuous auditing en continuous monitoring in de loop der jaren). In praktijk blijkt dat de interne auditor van grote organisaties (bijvoorbeeld grote multinationals) de beheersingsmaatregelen binnen en rondom de informatiesystemen niet op een jaarlijkse basis testen maar hiervoor een twee- of driejaar cyclus hanteren. Daarnaast blijkt dat een aantal informatiesystemen nog nooit zijn getest (bijvoorbeeld door het uitvoeren van een system audit). Dit redenen hiervoor zijn divers; vaak zijn capaciteit-, kennis en kosten kwesties de oorzaak van het hanteren van een dergelijke cyclus. Een hulpmiddel bij bijvoorbeeld het toetsen van beheersingsmaatregelen is het inzetten van audit tools. Audit tools en/of Computer Assistant Audit Techniques (CAAT s) worden binnen accountantskantoren ook vaak gebruikt voor het uitvoeren van gegevensgerichte werkzaamheden. Deze werkzaamheden kunnen geautomatiseerd worden uitgevoerd, zodat op een efficiënte manier controles kunnen worden verricht. Hierbij kan worden gedacht aan geautomatiseerde selectie van te controleren transacties door middel van steekproeven of selectie van transacties met bijzondere kenmerken. Tevens kunnen CAAT s worden ingezet voor bijvoorbeeld het toetsen van de werking van interne controlemaatregelen. Hierbij kan gedacht worden aan het narekenen van complexe berekeningen (met diverse uitzonderingssituaties), excepties, het testen van interfaces, etc. In praktijk blijkt dat de inzet van audit tools en/of CAAT s eveneens kan worden toegepast voor continuous auditing en continuous monitoring. Immers, deze tools kunnen worden gebruikt om invulling te geven aan een permanente monitoring van het goed functioneren van significante controlemaatregelen. Auditors zijn dan ook bezig om CAAT s nu zodanig in te richten, zodat het voor continuous auditing doeleinden kan worden gebruikt. In onderstaand kader is een praktijkvoorbeeld van het toepassen van CAAT s opgenomen. Een veelgebruikte preventieve interne controle is het toekennen van belangrijke bevoegdheden in geautomatiseerde systemen aan een specifieke groep personen. In de praktijk blijkt dat vooral het bewaken dat de instelling van deze bevoegdheden correct blijft, lastig is uit te voeren, zeker wanneer het aantal gebruikers groot is. Bijvoorbeeld bij interne jobrotaties binnen (grote) organisaties blijkt dat de oude bevoegdheden niet worden verwijderd maar uitsluitend extra autorisaties worden toegekend die nodig zijn voor het uitoefenen van de nieuwe functie. Ook bij 8

16 het (tijdelijk) toekennen van extra hoge bevoegdheden voor bijvoorbeeld het plegen van onderhoud of het corrigeren van inconsistenties in het bedrijfsproces, blijkt in praktijk vaak dat deze bevoegdheden achteraf niet (tijdig) worden ontnomen. In de praktijk heeft de externe auditor met behulp van CAAT s (in dit geval ACL) een controle uitgevoerd of de gewenste functiescheiding door middel van deze toegangscontrole is gerealiseerd in een omgeving met vele duizenden transacties per dag en een groot aantal gebruikers. Dit heeft de externe auditor gedaan door de transacties van een aantal dagen op te vragen, te analyseren om vervolgens vast te stellen dat invoer en autorisatie van transacties door verschillende gebruikers heeft plaatsgevonden. Ook bij bijvoorbeeld een inkoopproces zijn CAAT s bij een organisatie door de externe auditor ingezet door de transactiegegevens te analyseren en excepties in het perspectief te plaatsen van het totale transactievolume. Los van het feit om bijvoorbeeld nadruk te leggen op de tabellen waarin de vaste gegevens (static data) zijn opgeslagen. Bron: interview partner accountant groot accountantskantoor. Door de vergaande automatisering van de transactieverwerking en door de integratie van de verschillende verwerkingsstappen is het niet altijd meer mogelijk om met de tot dusverre gebruikelijke controlemiddelen achteraf een goed inzicht te krijgen in de verschillende verwerkingsstappen, inclusief de daarbij uitgevoerde interne controles, die hebben plaats gevonden. Met behulp van continuous auditing is het echter wel mogelijk om tijdens de transactieverwerking waarnemingen te doen, zodat alsnog de verschillende verwerkingsstappen en daarbij uitgevoerde interne controles zichtbaar worden gemaakt en kunnen worden onderworpen aan controle door de auditor. Hierdoor kan de transparantie en zekerheid worden vergroot en zijn de resultaten van de effectiviteit van controlemaatregelen bijna direct zichtbaar, waardoor hier ook op kan worden geanticipeerd. Door de toenemende behoefte aan actuele financiële informatie, transparantie en zekerheid en het reduceren van de kosten van de auditwerkzaamheden, zal de vraag naar het toepassen van continuous auditing toenemen. Daarnaast neemt de noodzaak toe om aan te kunnen tonen dat organisaties in control (zie ook bijlage I) zijn. Toezichthoudende instanties en organisaties die continuous auditing willen toepassen zullen onder meer eisen dat een deskundige en onafhankelijke auditor de gegevens (over transacties): vertrouwelijk behandeld; zo efficiënt mogelijk conform onder meer de geldende wet- en regelgeving worden getoetst; de integriteit van de gegevens waarborgt. 9

17 2.2 Uiteenzetting definitie continuous monitoring Voor het begrip continuous monitoring worden diverse definities gehanteerd. Achtereenvolgens zijn de gehanteerde definities van de volgende organisaties uiteengezet: consultantsbureau en softwareleverancier(acl); Instituut voor interne auditors (IIA); overkoepelende organisatie voor gecertificeerde information system auditors (ISACA); een multinational (grote financiële instelling); een groot accountantskantoor. Daarnaast zijn voor het begrip monitoring de gehanteerde definities uiteengezet van de volgende organisaties: COSO; Federale overheidsdienst financiën België; Definitie ACL Continuous monitoring of controls is a process that management puts in place to ensure that its policies and procedures are adhered to, and that business processes are operating effectively. Continuous monitoring typically involves automated continuous testing of all transactions within a given business process area against a suite of controls rules. Bron: Definitie IIA Continuous monitoring refers to the process that management puts in place to ensure that the policies, procedures and business processes are operating effectively. Bron: the institute of internal auditors: Definitie ISACA Continuous monitoring is an automated process that regularly validates the accuracy and/or validity of transactions to provide ongoing feedback/assurance to management as to the effectiveness of internal controls. The end result of continuous monitoring is to obtain information about the performance of a process, system or data, not the issuance of an audit report. As a result, there are key differences. Bron: Definitie grote multinational Continuous monitoring is een methode die in een korte periode op een geautomatiseerde manier de processen en gegevens uit de processen kan beoordelen aan vastgestelde voorwaarden, waarbij deze werkzaamheden worden uitgevoerd door het management al dan niet direct betrokken bij of verantwoordelijk voor het onderhavige bedrijfsproces. Deze methode verhoogt de betrouwbaarheid van de informatie die wordt verstrekt aan diverse 10

18 partijen (bijvoorbeeld rapportages aan het management) gezien de controles worden uitgevoerd op alle ruwe data (transactieniveau). Bron: Directeur application management,. gehouden interview Definitie groot accountantskantoor (big-four) Continuous monitoring is niets anders dan continuous auditing, met het verschil dat de verantwoordelijkheid is belegd bij het management en de uitvoering ook plaatsvindt door functionarissen betrokken binnen de bedrijfsprocessen van de organisatie. Bij continuous auditing wordt een (geautomatiseerde) audit uitgevoerd door de auditor. Bron: Partner accountant, gehouden interview Definities monitoring: Definitie COSO Monitoring is a process that assesses the quality of the internal control process over time. This is accomplished through ongoing monitoring activities, separate evaluations or a combination of the two. Bron: Definitie Federale overheidsdienst financiën België Monitoring is het continue proces van overzicht van de consequente en juiste werking van de interne controlemaatregelen. Deze monitoring kan door het management zelf gebeuren of uitbesteed worden aan een onafhankelijk orgaan (bijv. audit). monitoring maakt integraal deel uit van het interne controlesysteem. Bovendien kan het management en het personeel zelf de werking van het intern controle systeem evalueren via een bepaalde methodiek, Control Self Assessment genaamd (CSA). Bron: Conclusie In deze verschillende definities zien we een aantal aspecten terugkomen: het is een geautomatiseerd proces (verzameling van gerelateerde activiteiten met hetzelfde doel); de verantwoordelijkheid van continuous monitoring ligt bij het management van de betreffende organisatie; de uitvoering kan bij het management liggen, maar kan ook elders in de organisatie zijn ondergebracht of zelfs zijn uitbesteed; het toepassen van continuous monitoring kan, net als bij het toepassen van continuous auditing, de betrouwbaarheid van de informatie verhogen, gezien bij het uitvoeren van geautomatiseerde controles een dekking van 100% van de transacties kan worden gerealiseerd; het wordt gezien als proces met als doel de bedrijfsprocessen, procedures en policies zo efficiënt mogelijk op te stellen. Hierbij kan gebruik worden gemaakt van geautomatiseerde controles; 11

19 het verschil tussen continuous monitoring en (standaard) monitoring is dat continuous monitoring een geautomatiseerd proces is waarbij monitoring zelf als een handmatig proces kan worden gezien. Traditioneel wordt periodiek door het management handmatig en achteraf getoetst of haar controlemaatregelen toereikend zijn. In grote organisaties kan dit zijn uitbesteed aan een operational risk management afdeling. De toetsing wordt direct gerapporteerd aan het management. Continuous monitoring vindt weliswaar plaats nadat bijvoorbeeld transacties hebben plaatsgevonden (detectief), maar kunnen gedurende het proces plaatsvinden; continuous monitoring wordt in relatie gebracht met interne controle. Interne controle wordt uitgevoerd om te voorkomen dat binnen organisaties door onvolledige of incorrecte gegevens een verkeerd beeld ontstaat, waardoor verkeerde beslissingen kunnen worden genomen. Interne controle heeft als doel om redelijke mate van zekerheid te geven aan het behalen van de bedrijfsdoelstellingen: effectieve en efficiënte bedrijfsprocessen; betrouwbare en actuele financiële rapportages; voldoen aan de geldende wet- en regelgeving. Naast de terugkomende aspecten, is het opmerkelijk dat continuous monitoring op twee verschillende manieren kan worden geïmplementeerd: 1 als controleactiviteit (controleregel). In dit geval is continuous monitoring onderdeel van de interne controle en wordt gebruikt als een detectieve controle. Een voorbeeld hiervan is een controleregel dat automatisch controleert op dubbele betalingen. 2 als doel om inzicht te verkrijgen in de juiste werking van de interne controle. In dit geval wordt continuous monitoring gebruikt als toetsingsmechanismen van het (gehele) interne controle systeem. Hierbij is continuous monitoring een detectieve controle op de effectiviteit en efficiëntie van het interne controle systeem zelf. Een voorbeeld hiervan is als continuous monitoring wordt ingezet voor het testen van geautoriseerde limieten Achtergrond continuous monitoring Zoals in de vorige paragraaf is aangegeven is continuous monitoring onderdeel van het interne controle systeem. Interne controle dient binnen organisaties altijd aanwezig te zijn, in eerste instantie is het er op gericht om te zorgen dat de interne informatie correct is, zodat het management op basis van juiste gegevens beslissingen neemt. In tweede instantie wordt door interne controle ook de gegevens gecontroleerd die een bedrijf naar buiten brengt. De aangescherpte wet- en regelgeving (zie bijlage V) heeft vaak grote impact op de interne controle van organisaties. Het systeem voor interne controle moet onder meer fouten en fraude kunnen detecteren en kunnen garanderen dat de juiste informatie op tijd bij de juiste (daartoe geautoriseerde) personen terechtkomt. Het is voor organisaties van belang dat de interne controle zo effectief mogelijk is ingericht en wordt uitgevoerd. Voor het opzetten van effectieve interne controle systemen maken organisaties vaak gebruik van standaard raamwerken. Voorbeelden 12

20 hiervan zijn COSO, COBIT, SAC en SAS90. Deze raamwerken hebben hetzelfde doel, maar de toepassing en de doelgroep verschilt per raamwerk. Zo zijn COSO en COBIT vooral raamwerken die gebruikt worden door het management, terwijl SAC en SAS90 meer gebruikt worden door de (interne en externe) auditors. In alle gevallen geldt dat het management verantwoordelijk blijft voor de interne controle. Voor ons onderzoek hebben wij als voorbeeld het COSO raamwerk verder uitgewerkt. Veel organisaties kiezen ervoor om het COSO raamwerk voor interne beheersing te implementeren. Dit raamwerk biedt een gestructureerde aanpak van interne controle door het proces onder te verdelen in vijf onderling afhankelijke componenten: Control environment, deze eerste component kan worden gezien als de basis van het COSO raamwerk. Het omvat de controlecultuur in een organisatie, waaronder de integriteit en de competenties van de leidinggevenden, de managementfilosofie en stijl en de manier waarop verantwoordelijkheden en bevoegdheden toegekend worden. Risk assessment, de tweede component. Risk assessment begint met het identificeren van risico s die een rol spelen bij het behalen van de bedrijfsdoelstellingen. Het vereist het evalueren van interne- en externe factoren, en de impact hiervan op de operationele processen, de financiële rapportages en compliance. Control activities, de derde component. Deze component bestaat uit alle procedures en beleidsmaatregelen die ervoor zorg dragen dat de bedrijfsdoelstellingen worden gehaald. Deze controle activiteiten dienen door de gehele organisatie te zijn opgenomen en te worden uitgevoerd voor het beheersen en/of mitigeren van de risico s. Information & communication, deze vierde component zorgt ervoor dat binnen de organisaties alle personen over de benodigde informatie beschikken om effectief hun verantwoordelijkheden uit te kunnen dragen. Monitoring, de laatste component waarin ervoor wordt gezorgd dat de interne controls periodiek worden geanalyseerd om te zorgen voor een effectief en efficiënt interne controle systeem. Bij de COSO componenten control activities en monitoring kan continuous monitoring een belangrijke rol spelen. Continuous monitoring kan worden geïmplementeerd als: a) de controle activiteit (controleregel). Wanneer een continuous monitoring test controleert op dubbele betalingen, dan is er sprake van een detectieve controle activiteit en dan is het continuous monitoring onderdeel van de COSO component control activities. b) het testen van de controle. Als continuous monitoring wordt ingezet voor het testen van bijvoorbeeld geautoriseerde limieten, dan test het de controle zelf en is het een detectieve controle op de effectiviteit en efficiëntie van het interne controle systeem zelf. Deze manier van testen is onderdeel van de COSO component monitoring. 13