Governance, Risk and Compliance (GRC) tools

Transcriptie

1 Governance, Risk and Compliance (GRC) tools Auteurs: Peter Paul Brouwers en Maurice op het Veld Samenvatting Het voldoen aan de wet- en regelgeving met betrekking tot bijvoorbeeld de Sarbanes Oxley Act in de US en de code Tabaksblat in Nederland kost veel inspanning van de organisaties en externe accountants. Het implementeren van GRC tools voor het efficiënter en effectiever monitoren en auditen van de interne beheersing wordt gezien als een van de mogelijke oplossingen. De juiste visie en aanpak voor het gebruik van deze tools is echter belangrijk om een duurzame compliance te realiseren. Een raamwerk om de verschillende typen tools in te delen zal wordt toegelicht evenals de aandachtpunten bij de implementatie. Governance, Risk and Compliance tools toegelicht De aandacht voor risicobeheersing en het voldoen aan wet- en regelgeving is de afgelopen jaren flink toegenomen. De bekendste voorbeelden van wet- en regelgevingen daarvan in Nederland zijn de code-tabaksblat en de Amerikaanse Sarbanes-Oxley wet. Naast de verplichting aan deze wetgeving, zien steeds meer organisaties ook het nut in van risicobeheersing als basis voor verdere bedrijfsoptimalisaties. Een praktische uitleg van GRC is [Jonker07]: Governance: het geheel van beleid, procedures en maatregelen om een organisatie te kunnen laten functioneren in overeenstemming met haar strategische doelstellingen. Risk management: het geheel van procedures en maatregelen dat zich richt op het systematisch identificeren van risico s, het nemen van mitigerende maatregelen en het rapporteren over het functioneren van risk management aan de leiding. Compliance: het voldoen aan wet- en regelgeving, dan wel: het geheel van maatregelen en procedures dat er zorg voor draagt dat een organisatie voldoet aan wet- en regelgeving en daarover verantwoording aflegt. Een GRC framework moet gedragen worden door de gehele organisatie en heeft daarom een neerslag op verschillende niveaus van een organisatie [Brouwers06]. Vaak wordt dit hele stelsel van frameworks dan ook Enterprise Risk Management genoemd. GRC tools sluiten zich daarbij aan en de tools die beschikbaar zijn hebben dan ook ieder een focus op een of meerdere van deze organisatieniveaus (zie figuur 1). De kenmerken en mogelijkheden die tools kunnen bieden op de verschillende niveaus zijn: Strategic risk management (niveau 1) Op een strategisch niveau wordt risico management en controle toegepast door de directie van de organisatie. Risico management en analyse wordt door tools ondersteund om strategische risico s (financiële, veiligheid, operationele, etc.) te analyseren bijvoorbeeld door gebruik te maken van de traditionele risicomatrix (impact versus kans op voorkomen). Daarnaast ondersteunen deze tools ook het bijhouden van de actielijsten op boardniveau die voortvloeien uit de (strategische) risico analyses. NOREA,

2 M E7 Ste p i2. 0 M E7 Ste p 2 D e sig n & p la n M E7 Ste p 3 C o nstru ctio n M E7 Ste p 4 A na lyze & Ev a lu a te F ro m Im p ro v e P la nt i2.0 O v e rd ra cht IP na a r P ro je c ts 2 En g in e e rin g o ntw e rp & p la n 3 U itvo e r en p ro je ct 4 A na lyse re n p ro je ct Sup p o rtiv e P ro je ct u itv o e rin g & m o nito ring C A T S T ijd s chrijv en P ro je ct s ettlem e nt Actuele ontwikkelingen in IT en IT-audit 1 Strategic (ERM) 2 Tactical (Process Level) 3 Operational (Monitoring/ testing Level) 4 Purchasing Operational Risk Management Tools (fact-finding) Warehouse management Manufacturing Sales & Distribution Figuur 1: de typen tools binnen de organisatieniveaus Tactical risk management (niveau 2) Op dit niveau in de organisatie zijn proceseigenaren en managers verantwoordelijk voor het beheersen van risico s door het opstellen van beleid en het treffen van voldoende controles en werkende maatregelen om deze risico s te mitigeren. Om dit te kunnen doen worden procesrisicoanalyses uitgevoerd om een beeld te krijgen van alle risico s in een proces. Hierin staan procesbeschrijvingen centraal waarin duidelijk de verantwoordelijkheden en controlemaatregelen beschreven worden. Vaak wordt dit verduidelijkt door gebruik te maken van proces-flows. Op basis van een risico analyse op strategisch niveau en procesinzicht op tactisch niveau kan een organisatie een goede mix bepalen van de benodigde controle maatregelen. Deze mix aan controle maatregelen beperken uiteindelijk het risico van een bepaald proces(stap). Een juiste balans tussen IT applicatie, autorisatie of functiescheiding preventieve controles enerzijds en de handmatige controles en rapportages anderzijds. Het behoeft geen uitleg dat de preventieve IT controles effectiever zijn dan de vaak detectieve handmatige controles. Operational risk management (niveau 3) De procesbeschrijvingen die op een tactisch niveau worden gemaakt om risico s te onderkennen, ingegeven door een risico analyse op strategisch niveau, hebben een dagelijkse uitwerking op het operationele niveau. Op dit niveau worden de controles en maatregelen feitelijk uitgevoerd en onderhouden. GRC tools op dit niveau ondersteunen bij de documentatie van controles, de registratie van de uitvoer daarvan en de registratie van de opvolging van uitzonderingen. Dit wordt veelal gedaan om verantwoording af te kunnen leggen. De controles worden uitgevoerd en de resultaten daarvan worden ingegeven in een dergelijke tool. Hierdoor kunnen opvolgingsacties worden getraceerd en kan snel een indruk worden verkregen van de status van een controle. Operational fact finding (niveau 4) Om te kunnen beoordelen of een proces beheerst wordt, dient te worden gekeken naar de werking van de gedefinieerde controle maatregelen, ervan uitgaande dat de opgezette controle maatregelen (opzet en bestaan) in een organisatie afdoende zijn NOREA,

3 om de risico s af te dekken. Het vaststellen en documenteren van de werking van controle maatregelen kan met geautomatiseerde fact finding gedeeltelijk worden gestaafd. Met inzet van tooling kan door middel van data-mining technieken deze fact finding of bewijsvoering automatisch worden gegenereerd. Voorbeelden van deze fact finding met behulp van GRC tools is de analyse van functiescheidingsconflicten, instellingen van de configuratie van ERP systemen (en de identificatie van een aanpassing) en uitzondering op belangrijke controles in de bedrijfsprocessen (facturen die niet via de three-way-match lopen, etc.). Tools kunnen dus een breed scala van controle activiteiten ondersteunen. Momenteel zijn nog weinig tot geen GRC tools op de markt die alle niveaus geïntegreerd kunnen afdekken. Wel hebben meerdere software leveranciers hun een strategie om naar een geïntegreerde GRC oplossing te evolueren. Aandachtspunten voor het management Organisaties dienen op de eerste plaats een visie en roadmap te ontwikkelen. Keuzes op de verschillende niveaus hebben namelijk invloed op elkaar. Zo zal de keuze voor en implementatie van een procesmodelleringstool (tactisch niveau) ook impact hebben op de monitoringstool (operationeel niveau). Een naadloze aansluiting tussen beide niveaus zal efficiënter en effectiever werken. GRC tooling zal het inbedden van de controls in de organisatie verder bevorderen. Controls monitoren wordt hiermee business as usual. De implementatie van GRC tools zal dus naast een uitdagende technische en functionele implementatie vooral ook nog een organisatorische (awareness, training, etc.). Er is de afgelopen jaren veel geïnvesteerd in IT- en ERP-systemen. GRC dient daar ook gebruik van te maken om een juiste balans te bereiken tussen preventieve IT controls en de vaak detectieve handmatige controles. Bij de implementatie van GRC tools kan met het identificeren van de juiste mix helpen. Veel verplichtingen voor wet- en regelgeving worden binnen organisaties gezien als koninkrijkjes (bijvoorbeeld SOX, FDA, Basel II, ISO, etc.). Organisaties die dit (eventueel met behulp van de implementatie van GRC tools) kunnen doorbreken en het eenmalig testen van controls voor meerdere wet- en regelgevingen laten gebruiken, hebben de mogelijkheid om het complianceproces verder efficiënt te maken. Aandachtspunten voor de IT-auditor GRC tooling is hier beschreven als een tool van het management. Onderdelen van GRC tools worden reeds veel gebruikt door IT auditors om vooral op het fact finding niveau het interne of externe audit proces verder efficiënter te maken. De volgende ontwikkelingen worden voorzien: Verder verbreding als audit tool: veel tooling op het gebied van autorisaties of functiescheiding wordt al veelvuldig toegepast door de IT auditor in diverse audits. De volgende stap is het automatisch testen van (IT) controles en de eventuele uitzoneringen (datamining) over een bepaalde periode in de bedrijfsprocessen. Hiermee wordt bijvoorbeeld bedoeld het automatisch testen van de instellingen van belangrijke IT applicatie controles of analyseren of bijvoorbeeld alle uitgeleverde goederen reeds zijn uitgefactureerd. Deze controles hebben ook een toegevoegde waarde voor de interim van de jaarrekeningcontrole, identificeren van bedrijfsoptimalisaties en in het kader van bijvoorbeeld fraudeanalyses. Inzet als management tool: het management zal zelf ook meer gebruik gaan maken van tooling om het een en ander efficiënt te implementeren. Indien dit is gerealiseerd zal zowel de financiële en de IT auditor meer gebruik kunnen maken van het geïmplementeerde GRC framework (mits adequate evidence aanwezig is) en zal de IT NOREA,

4 auditor in de toekomst kunnen volstaan met het beoordelen van de kwaliteit van de geïmplementeerde rules en steekproefsgewijs de uitzonderingen te beoordelen. Achtergrondinformatie Literatuur [Brouwers02] Drs. P.P.M.G.G. Brouwers RE RA, Ontwikkelingen met betrekking tot in control dashboards en de invloed op auditing, Compact 2002/4 [Brouwers06] drs. P.P. Brouwers RE RA, drs. M.A.P. op het Veld RE, drs. A. Lissone, "Tool based monitoring en auditing van ERP-systemen, van hebbeding naar noodzaak", Compact, 2006/2 [Jonker07] drs. R. Jonker RE RA, drs. M.A.P. op het Veld RE, drs. B. Coolen RE, "SAP-compliance en business improvement", Compact, 2008/0 Over de auteurs: Drs. P.P.M.G.G.(Peter Paul) Brouwers RE RA Peter Paul Brouwers is partner en lid van het Management Team van KPMG IT Advisory Nederland. Hij is verantwoordelijk IT partner voor verschillende nationale en internationale ondernemingen die voornamelijk SAP georiënteerd zijn. Peter Paul is binnen KPMG Nederland verantwoordelijk voor het multidisciplinaire Governance, Risk & Compliance team en op KPMG EMA niveau verantwoordelijk voor productontwikkeling rondom ERP-dienstverlening. Drs. M.A.P. (Maurice) op het Veld RE Maurice op het Veld is werkzaam als senior manager bij KPMG Advisory. Hij is betrokken bij een groot aantal audit- en adviesopdrachten bij nationale en internationale ondernemingen op het gebied van ERP. Naast het implementeren van Governance Risk & Compliance frameworks inclusief tooling voor het monitoren, behoort ook het optimaliseren van ERP bedrijfsprocessen (operational excellence) tot zijn aandachtsgebied. Maurice is lid van de SAP Advisory groep binnen KPMG en heeft diverse artikelen op ERP Advisory gebied op zijn naam staan. Daarnaast is hij docent aan de TIASNimbas-opleiding EDP-Auditing en gastdocent aan de postdoctorale accountancyopleiding van de Universiteit van Tilburg. NOREA,

5 NOREA,