Effectiviteit van GRC -Tools

Transcriptie

1 - Ali Çolak & Hasib Haq Post Graduate IT-Audit Opleiding VU Team 945 VU Coach: Rob Christiaanse Bedrijfscoach Guillaume Speear RE CISA Alex van Doorn RE RA Auteurs: Ali Çolak Hasib Haq Student Nr: Contact: Versie: Final 3.0

2 Voorwoord Als afsluiting van de Post Graduate IT -Audit Opleiding aan de Vrije Universiteit van Amsterdam hebben wij een scriptieonderzoek uitgevoerd. De scriptie heeft als onderwerp Effectiviteit van GRC - Tools. Het idee voor de scriptie is ontstaan uit het feit dat sinds de Enron -affaire en de daarop volgende boekhoudschandalen internal control volop in de belangstelling staat. Vanuit diverse kanten krijgen organisaties wet- en regelgeving opgelegd. Software leveranciers beweren oplossingen van wereldformaat te hebben voor de Governance, Risk en Compliance (GRC) uitdagingen, zoals voor de Sarbanes -Oxley (SOX) wetgeving in de Verenigde Staten, de Code Tabaksblat in Nederland, IT Governance en Risk Management. Zij bieden GRC -tools aan die ingezet kunnen worden voor het besparen van kosten om compliant te zijn. De laatste tijd wordt veel geschreven over GRC -tools. Het begint een hype te worden, maar hoe effectief is eigenlijk het gebruik van GRC -tools? Verhoogt het gebruik van GRC -tools de effectiviteit van de interne beheersing? Het doel van onze onderzoek is het verwerven van inzicht in de mogelijkheden om de effectiviteit van de interne beheersing te verhogen door middel van het gebruik van GRC -tools. Om een antwoord op deze centrale vraag te formuleren hebben we een aantal deelvragen opgesteld en beantwoord in deze scriptie. Het praktijkonderzoek hebben wij verricht aan de hand van interviews bij meerdere organisaties waarbij GRC -tools een rol speelt. Hierbij hebben we de volgende indeling gehanteerd: - Organisaties die in het stadium zijn om een GRC -tool aan te schaffen en wat hun verwachtingen hierbij zijn - Organisaties die al lange tijd een GRC -tool in gebruik hebben en wat hun ervaringen op dit gebied zijn. Hierbij wordt de vraag beantwoord of GRC- tools daadwerkelijk hebben bijgedragen aan de effectiviteit. - Ook hebben we organisaties benaderd die GRC -tools leveren, implementeren of hiervoor consultancy bieden We hebben een interview vragenlijst opgesteld, waarbij we voor ieder interview de gestelde vragen en antwoorden hebben uitgewerkt. Een aantal interviewvragen hebben we geclusterd in een vijftal hypotheses. Van de resultaten hebben we een hypothesetabel gemaakt. Op basis hiervan en op basis van ons literatuuronderzoek hebben wij onze onderzoeksresultaten onderbouwd. Vanuit de Vrije Universiteit is de heer Rob Christiaanse aangewezen als onze afstudeerbegeleider. Wij danken hem voor de ideeën, het doorlezen van de stukken en de begeleiding bij het afstudeertraject. Daarnaast willen wij de interne begeleiders Guillaume Speear (Credit Europe Bank) en Alex van Doorn (PwC) bedanken voor de inhoudelijke bijdrage aan het eindresultaat in de vorm van review, adviezen en aandachtspunten. Tot slot bedanken wij de (gast)docenten voor de colleges van de afgelopen jaren die hebben bijgedragen aan het verbreden van onze vakkennis en uiteraard de geïnterviewden, voor hun medewerking en input voor het tot stand komen van deze scriptie. Amsterdam, april 2009 Ali Çolak, Credit Europe Bank (CEB) Hasib Haq, PricewaterhouseCoopers (PwC) 2

3 1 INLEIDING AANLEIDING EN RELEVANTIE PROBLEEMSTELLING Doelstelling Vraagstelling THEORIE INTERNAL CONTROL COSO Componenten van Interne Beheersing Verband tussen COSO IC & COSO ERM Effectiviteit van het interne beheersingssysteem GRC -TOOLS Omschrijving GRC -tools Relatie tussen Interne beheersing en GRC -tools Onderverdeling van GRC -tools Aanbod van GRC- tools Invloed van GRC- tools op de controleomgeving HYPOTHESE PRAKTIJKONDERZOEK Relatie tussen hypothese en interviewvragen Analyse interview resultaten CONCLUSIE Literatuurlijst Definities belangrijkste begrippen

4 1 Inleiding 1.1. Aanleiding en relevantie Sinds de Enron -affaire en de daarop volgende boekhoudschandalen staat internal control volop in de belangstelling. Na de verbijstering over de enorme schaal waarop de afgelopen jaren door gerenommeerde bedrijven met de boeken is geknoeid zijn er striktere wetgeving op het gebied van internal controle ontstaan, zoals de Sarbanes -Oxley (SOX) wetgeving in de Verenigde Staten en de Code Tabaksblat in Nederland. Bij het invoeren van de Sarbanes -Oxley wetgeving ging de aandacht van de organisaties in het begin uit naar het behalen van de deadline om SOX compliant te zijn. Organisaties richtten zich onvoldoende op het effectief inrichten van interne beheersingmaatregelen. In veel organisaties zijn hierdoor handmatige, detectieve beheersingsmaatregelen geïmplementeerd. Van het management van bedrijven wordt verlangd dat zij een verklaring af geven in hun jaarverslag over de effectiviteit van interne beheersingsmaatregelen die van belang zijn voor de financiële verslaglegging. Om deze verklaring te kunnen afleggen moet het management een deugdelijke grondslag verkrijgen. Een middel daartoe zijn de interne audits. Audits moeten hierbij op een deugdelijke wijze uitgevoerd worden zodat het management daar op kan steunen. Dit betekent dat een Auditor de deugdelijkheid van het verkregen evidence moet onderzoeken en niet blindelings vertrouwt. Een verschuiving van gedachtegang moet plaats vinden van trust me, show me naar prove me. Voorheen zagen organisaties het in control zijn alleen als een verplichting in het kader van SOX en andere complaincy wetgevingen. Steeds meer organisaties zien nu ook de toegevoegde waarde van het in control zijn. Een verschuiving is ontstaan van in control moeten zijn naar in control willen zijn. Dit met name om (business) risico s te verminderen. Organisaties kunnen effectiviteit van de interne beheersing verhogen door preventieve geautomatiseerde controles te implementeren in plaats van handmatige, detective beheersingsmaatregelen. Preventieve geautomatiseerde controles zijn aantrekkelijker voor de organisatie, doordat je de controle bijvoorbeeld één keer hoeft te testen om vast te stellen dat de controle werkt. Voor handmatige controles echter, afhankelijk van de frequentie waarmee de controles worden uitgevoerd, dient een organisatie meerdere samples te testen om vast te stellen dat de controle heeft gewerkt. Daarnaast moet een organisatie iemand aangesteld hebben om de handmatige controles uit te voeren; dit kost veel tijd en geld. Governance, Risk and Compliance tools (GRC -tools) kunnen worden gebruikt om preventieve, geautomatiseerde controles in te richten, te faciliteren en daarover te rapporteren. GRC -tools kunnen op een efficiënte wijze ingezet worden om compliancy verplichtingen overzichtelijk vast te leggen, te monitoren en tijdig te rapporteren, zodat er juiste strategische beslissingen genomen kunnen worden. 4

5 1.2. Probleemstelling Doelstelling Het doel van dit onderzoek is: Het verwerven van inzicht in de mogelijkheden om de effectiviteit van de interne beheersing te verhogen door middel van het gebruik van GRC -tools Vraagstelling Naar aanleiding van de doelstelling luidt de centrale vraag: Verhoogt het gebruik van GRC -tools de effectiviteit van de interne beheersing? Om een antwoord op deze centrale vraag te formuleren zijn een viertal deelvragen opgesteld. De hieronder opgestelde deelvragen zijn ondersteunend aan de centrale vraagstelling en zijn handig om het onderzoek naar deelaspecten te structureren. 1. Wat dient te worden verstaan onder interne beheersing? 2. Wat dient te worden verstaan onder de effectiviteit van het interne beheersingsysteem? 3. Wat zijn GRC -tools; op welke wijze beïnvloeden zij de controleomgeving en welke worden er aangeboden? 4. Op welke wijze kunnen GRC -tools de interne beheersing verbeteren? 5

6 2. Theorie Het theoriegedeelte hebben we in twee delen verdeeld. In het eerste deel behandelen we het onderwerp Interne Beheersing en in het tweede deel wordt het onderwerp GRC -tools behandeld. In paragraag 2.1 behandelen we het begrip internal control (interne beheersing) en het belang voor de organisaties om in control te zijn. Verder behandelen we het COSO -framework en de ontwikkelingen die het heeft meegemaakt. We focussen ons op de componenten van COSO en welke relatie deze heeft tot de interne beheersing. Het verband tussen COSO Internal Control -framework (COSO IC) en het COSO Enterprise Risk Management (COSO ERM) wordt verder toegelicht. Als laatste behandelen wij de effectiviteit van het interne beheersingssysteem waarin wij beschrijven wat er dient te worden verstaan onder effectiviteit van het interne beheersingssysteem en wanneer een intern beheersingssysteem effectief is. In paragraaf 2.2 behandelen we wat GRC- tools zijn en welke er worden aangeboden en wat de invloed is van GRC- tools op de controle omgeving. 6

7 2.1 Internal control Een organisatie wordt opgevat als een doel realiserend samenwerkingsverband. Dat betekent dat het bestuur van een organisatie verantwoordelijk is voor het bepalen van organisatiedoelen, het maken van keuzes, zorg dragen voor de uitvoering in overeenstemming met de gemaakte keuzes en dient het bestuur van de onderneming verantwoording af te leggen betreffende de gemaakte keuzes en de wijze van uitvoering. In dit kader is het niet vreemd dat in toenemende mate het interne beheersingssysteem onderwerp van discussie is: zonder een intern beheersingssysteem kan een bestuur niet weten of de uitvoering in overeenstemming met de gemaakte keuzes is uitgevoerd, laat staan dat op een adequate wijze (intern- of extern-) verantwoording kan worden afgelegd. 1. Het in control zijn wordt als een belangrijk aspect van goed ondernemerschap aangemerkt. De vraag hierbij is nu; wat moeten wij onder internal control, of met andere woorden intern beheersingssysteem verstaan? Het denken over interne beheersing is internationaal sterk beïnvloedt door het in 1992 gepubliceerd rapport Internal Control, Integrated Framework onder de verantwoordelijkheid van de The Committee of Sponsoring Organizations of the Treadway Commission. Dit rapport staat beter bekend als het COSO -Rapport. In de volgende paragrafen gaan we verder in op COSO, de componenten van interne beheersing en de ontwikkelingen die COSO in de loop der jaren heeft doorgemaakt. In paragraaf leggen we uit wat het verband is tussen COSO Internal Control (COSO IC) en COSO Enterprise Risk Management (COSO ERM). Internal control is gericht op het waarborgen van de integriteit, doelmatigheid en doeltreffendheid van de organisatorische activiteiten, waaronder ook de informatie productie. Internal control is ook gericht op de bescherming van de financiën van de onderneming tegen ongeoorloofde handelingen. Internal control wordt uitgeoefend door vijf onderling samenhangende elementen, die in figuur 1 schematisch kunnen worden weergegeven 2. Bewaking Informatie Risicobeoordeling Beheersingsmaatregelen Communicatie Beheersingskader Figuur 1: Elementen van internal control Het interne beheersingssysteem kan nu opgevat worden als het stelsel van werkwijzen en of handelingen, tot stand gebracht door het bestuur van de onderneming, het management, overig personeel, zodanig ontworpen (ingericht) zodat redelijke mate van zekerheid verschaft kan worden met betrekking tot de realisatie van organisatie doelstellingen 3. 1 Inrichten en beheersen van organsaties, drs.r.m.j.christiaanse RA, J.C.van Praat RE RA. 2 Bestuurlijke informatievoorziening Deel 1: Algemene grondslagen. Starreveld, Van Leeuwen en Nimwegen. 3 Inrichten en beheersen van organsaties, drs.r.m.j.christiaanse RA, J.C.van Praat RE RA 7

8 Deze organisatie doelstellingen zijn: - Effectiviteit en efficiency van operaties; - Betrouwbaarheid van financiële rapportage; - Voldoen aan toepasselijke wet- en regelgeving. - Het bewaken van activa of waarden Zoals ieder systeem kent zeker het interne beheersingssysteem zijn beperkingen namelijk: Mensen maken fouten. Kosten baten overwegingen kunnen een rol spelen. Mensen kunnen tegengestelde belangen hebben. Management kan interne beheersingmaatregelen doorbreken. De vraag die nu gesteld dient te worden is: wat heeft interne beheersing voor bedrijven te bieden en waarom is het eigenlijk zo belangrijk om in control te zijn? Interne beheersing biedt het bestuur van een onderneming reasonable assurance met betrekking tot het al dan niet behalen van kennis of doelstellingen. Om interne beheersing nader te bepalen dient eerst uitgelegd te worden wat precies reasonable assurance inhoudt. Assurance heeft als doel het reduceren van onzekerheden en risico s. Dit heeft op betrekking op o.a. de volgende onderwerpen: Redelijke mate van zekerheid kan verschaft worden door de Internal Audit afdeling of bijvoorbeeld door externe auditor. Grip krijgen en houden/over eigen beslissingen. Worden er de juiste beslissingen genomen? Grip krijgen over gedelegeerde bevoegdheden. Nemen de juiste mensen de juiste beslissingen? Control kan men gelijk stellen aan beheersing. Uiteindelijk lijdt Assurance tot reductie van onzekerheden, vergroot de voorspelbaarheid en de gedragingen en resultaten van medewerkers COSO Internal control frameworks, zoals COSO (USA), Turnbull (UK) and CoCo (Canada) zien internal control als volgt: Internal control is a process/set of processes designed to facilitate and support the achievement of business objectives 4. Ieder van deze frameworks (verder ook genoemd als raamwerk) heeft een wijdere blik ten aanzien van het alleen in control zijn met betrekking tot financiële verslaglegging. Het doel is om organisaties te assisteren om in redelijke mate van zekerheid de te behalen. Het COSO framework is een van de standaard evaluatiemodellen die door auditors worden gebruikt bij een onderzoek. Daarnaast is het COSO framework bij de goedkeuring van de Sarbanes Oxley Act naar voren geschoven als één van de voorgestelde en geaccepteerde raamwerken voor interne controle. Wij zullen in ons onderzoek alleen het COSO framework behandelen. COSO is ontwikkeld door The Committee of Sponsoring Organizations of the Treadway Commission. De Treadway commissie had tot doel te komen tot praktische, breed geaccepteerde criteria voor internal control systemen. Deze commissie, bestaande uit een aantal private organisaties, heeft in 1992 naar aanleiding van een aantal boekhoudschandalen en fraudegevallen, aanbevelingen gedaan en richtlijnen aangegeven ten aanzien van internal control. 4 Internal Controls- A review of current developments, information paper 2006, international federations of Accountants. 8

9 In 1994 is daar nog een aanvulling opgekomen en werd dit samengevoegd in het COSO -rapport. Dit rapport is bedoeld om de organisaties een uniform en gemeenschappelijk referentiekader voor internal control te bieden en om het management te ondersteunen bij de verbetering van de interne beheersing. In 2004 werd het COSO ERM -framework (ook wel COSO II genoemd) in het leven geroepen. Dit model richt zich op het gehele interne beheersingssysteem. In 2006 heeft COSO een richtlijn ontwikkeld specifiek voor kleinere organisaties. Deze Guidance for Smaller Public companies is specifiek bedoeld om de betrouwbaarheid van de financiële informatieverzorging middels het treffen van interne beheersingmaatregelen te waarborgen. Het COSO -framework biedt weinig begeleiding op het operationele niveau en het framework is niet ontworpen om als benchmark te dienen voor een oordeel over de effectiviteit van de interne beheersing. In de Sarbanes-Oxley Act en ook in de Code Tabaksblat (De Nederlandse corporate governance code voor beursgenoteerde bedrijven) wordt echter het COSO -framework als enige genoemd als mogelijk te hanteren framework; bij het uitwerken van de bepalingen in de code ten aanzien van interne beheersing en risicomanagement. Om deze redenen wordt in deze scriptie gebruik gemaakt van het COSO -framework als benadering van het begrip interne beheersing. COSO identificeert de relatie tussen de ondernemingsrisico s en het interne beheersingsysteem. COSO hanteert hierbij de gedachten dat interne beheersing een proces is dat gericht is op het verkrijgen van een redelijke mate van zekerheid omtrent het bereiken van doelstellingen in de categorieën: effectiviteit en efficiëntie van bedrijfsprocessen (Operations) betrouwbaarheid van de (financiële) informatieverzorging (Reporting) naleving van relevante wet- en regelgeving (Compliance) Componenten van Interne Beheersing Interne beheersing bestaat volgens COSO Internal Control uit vijf met elkaar samenhangende componenten. Deze componenten gezamenlijk vormen een raamwerk voor het inrichten en beoordelen van het interne beheersingsysteem. In figuur 2 wordt het COSO -framework weergegeven. Figuur 2: COSO-Internal Control Framework (1992) 9

10 De samenhangende componenten bestaan uit het volgende: - Control Environment: De controleomgeving bepaalt de wijze waarop de organisatie omgaat met interne controle en de mate waarin de medewerkers controlebewust zijn. De organisatiecultuur heeft een grote invloed op de wijze waarop activiteiten worden opgezet, doelstellingen worden vastgesteld en risico s worden beoordeeld - Risk Assesment: De interne- en externe risico's van een organisatie dienen te worden vastgesteld op organisatie-, proces- en activiteitenniveau. - Control Activities: De administratieve procedures en de maatregelen die ervoor moeten zorgen dat de richtlijnen, beleidslijnen en procedures van de leiding worden nageleefd om de gestelde doelen te bereiken. - Information & Communication: is een onmisbare component om beheersingsmaatregelen uit te kunnen voeren. De juiste informatie moet worden geïdentificeerd, verzameld en gecommuniceerd zodat de medewerkers hun taken op een efficiënte manier kunnen uitvoeren. Om dit te bewerkstelligen moet het informatiesysteem de gegevens zodanig vastleggen dat kwalitatief goede informatie wordt gegenereerd. Vervolgens moet ook de communicatie op een effectieve wijze plaatsvinden zodat de informatie de gehele organisatie doorstroomt. - Monitoring: De werking van de interne controle dient periodiek te worden geëvalueerd en de uitkomsten hiervan dienen te worden vastgelegd en gerapporteerd. Deze component zorgt ervoor dat de effectiviteit van het interne beheersingsysteem wordt bewaakt en wijzigingen worden aangebracht ter verbetering. Monitoring vindt op continue wijze plaats binnen alle bedrijfsprocessen Verband tussen COSO IC & COSO ERM COSO Internal Control is ontstaan in COSO heeft ontwikkelingen doorgemaakt, waardoor in 2004 COSO Enterprise Risk Management is ontstaan. Het COSO ERM is geen vervanger van COSO IC. Beide frameworks zijn stand alone. 5 Om de overeenkomsten en verschillen tussen beide raamwerken te beschouwen volgen we de definitie van COSO IC zoals eerder benoemd en vergelijken die met de definitie van COSO ERM; COSO IC: Interne Controle is een proces, aangestuurd door de Raad van Commissarissen van een onderneming, management en ander personeel, ontworpen om redelijke zekerheid te verschaffen ten aanzien van de realisatie van doelstellingen in de volgende categorieën - Effectiviteit en efficiency van operaties (bedrijfsprocessen); - Betrouwbaarheid van financiële rapportage (informatievoorziening); - Voldoen aan toepasselijke wet- en regelgeving. - Het bewaken van activa of waarden COSO ERM: Enterprise risk management is een proces, aangestuurd door de Raad van Commissarissen van een onderneming, management en ander personeel, toegepast bij de bepaling van de strategie en binnen het geheel van de onderneming, ontworpen om potentiële gebeurtenissen te onderkennen die de onderneming zouden kunnen bedreigen, waardoor risico s binnen de kaders van risicovoorkeur gemanaged kunnen worden om een redelijke zekerheid te verschaffen en dat de doelstellingen van de onderneming worden bereikt. Het verschil tussen beide raamwerken 6 zit hem in de mate van de zekerheid die de raamwerken proberen te geven in het beheersen van de organisatie. Bij COSO IC gaat het niet verder dan efficiënte 5 Guide to Enterprise Risk Management. FAQ.PROVITIT independent Risk Consulting 6 Het COSO Enterprise Risk Management Integrated Framework, R. J. Uiterlinden, RC ( juni 2006) 10

11 en effectieve operaties, financiële rapportage en wet- en regelgeving. Bij COSO ERM begint het met de strategie van de onderneming en worden alle gebeurtenissen, die de realisatie van de doelstellingen die van de strategie zijn afgeleid bedreigen, beschouwd als risico s die moeten worden onderkend, geanalyseerd, gewogen en vervolgens gemanaged. Bij COSO ERM is het element van risicobeheersing toegevoegd en geheel uitgewerkt waarbij het begint bij het bepalen van doelstellingen. Deze doelstellingen worden in COSO IC als vertrekpunt beschouwd. Beide concepten gaan uit van een integrale aanpak die in verschillende richtingen dwars door de organisatie heengaat. Beide concepten focussen zowel op de soft als op de hard controls. Soft controls zijn informeel, subjectief, niet tastbaar en bevinden zich in het veld. Voorbeelden van soft controls zijn mensen, openheid, gedeelde waarden, duidelijkheid, commitment tot vakmanschap, eerlijkheid, hoge verwachtingen en communicatie. Ze zijn gerelateerd aan de mensen die het werk doen om de doelen van de organisatie te realiseren. Harde controls zijn formeel, objectief, meetbaar en vormen het raamwerk. Voorbeelden van hard controls zijn activiteiten, reviews, inspecties, policies, aansluitingen, structuur, beperking van bevoegdheden, usernames en passwords en voorraadopnames. Harde controls zijn gerelateerd aan de processen en activiteiten die men uitvoert. Beide frameworks kennen hun beperkingen. Zo worden er geen garanties verstrekt maar blijft het beperkt tot redelijke mate van zekerheid en wordt dit bovendien gedifferentieerd naar de doelen die ermee verbonden zijn. Beide frameworks gaan uit van een onzekere toekomst en kennen hun beperkingen ten aanzien van foute beslissingen, management dat maatregelen ter zijde schuift en kosten/baten afwegingen. COSO ERM mag overigens niet als de vervanger van COSO IC worden beschouwd. Voor het inrichten van een goed Internal Control Framework is COSO IC het meest aangewezen Effectiviteit van het interne beheersingssysteem In deze paragraaf zal worden beschreven wat er dient te worden verstaan onder de effectiviteit van het interne beheersingssysteem. Oorspronkelijk werd de controle op de interne beheersing uitgevoerd na de jaarafsluiting. Daarnaast waren voornamelijk interne of externe accountants verantwoordelijk voor het beoordelen van de effectiviteit van het interne beheersingsysteem. Het in control zijn heeft betrekking op effectiviteit. Een organisatie is effectief in het geval de voorgenomen doelen gehaald worden. Het meten van effectiviteit vereist middelen om te voorspellen wat er had kunnen gebeuren in het geval: een bepaalde gebeurtenis zich voordoet; en / of; een (bepaalde) actie niet genomen wordt. Interne beheersing wordt gezien als een proces in de betekenis van een opeenvolging van activiteiten uitgevoerd door mensen. De belangrijke aspecten hierbij zijn: Beheersmaatregelen zijn ingebouwd in de processen, met andere woorden interne beheersing is een onderdeel van de activiteiten binnen de organisatie. Interne beheersing wordt uitgevoerd door mensen, die allen hun unieke achtergronden eigendoelstellingen hebben. Dit heeft vooral gevolgen voor de verantwoordelijkheidsstructuur en bevoegdheden in relatie tot de doelstellingen van een organisatie. Echter is de effectiviteit van dat proces een toestand op een gegeven moment. In het COSO-IC rapport wordt gesteld dat het interne beheersingsysteem effectief is wanneer de vijf componenten van interne 11

12 beheersing aanwezig zijn en effectief functioneren. Deze componenten zijn de criteria voor een effectief interne beheersingsysteem. Bij het vaststellen van de effectiviteit van het interne beheersingsysteem is het belangrijk om te weten wat de normstelling is. Immers, naarmate de normstelling duidelijker is kunnen de vijf componenten van interne beheersing doelgerichter worden uitgewerkt en beoordeeld. Het COSO -rapport hanteert voor de normstelling het begrip reasonable assurance, ofwel redelijke mate van zekerheid. Dat wil zeggen dat wanneer wordt vastgesteld dat de componenten aanwezig zijn en effectief functioneren de organisatie een redelijke mate van zekerheid heeft met betrekking tot de vier doelstellingen die in het COSO -framework zijn benoemd. 2.2 GRC -tools In deze paragraaf gaan we in op wat GRC- tools zijn, welke er worden aangeboden en op welke wijze zij de controleomgeving beïnvloeden Omschrijving GRC -tools Het aantoonbaar voldoen aan externe wet- en regelgeving, Risk Management of andere Corporate Governance maatregelen is een complex geheel. Verschillende afdelingen in verschillende landen met weer lokale regelgeving zijn betrokken en dat maakt het vaak complexer. Met behulp van GRC- tools worden processen snel en efficiënt gedocumenteerd, risico's gesignaleerd en gezamenlijk met bijbehorende beheersingsmaatregelen gecommuniceerd. Veel bedrijven en instellingen benaderen het invoeren van interne controle en het afleggen van verantwoording over de effectiviteit daarvan niet als een op zichzelf staand eenmalig project. Zij zien het verband tussen verschillende Governance, Risk and Compliance (GRC)-activiteiten binnen hun organisatie. Onder GRC wordt hierbij verstaan; Figuur 3. Samenhang GRC Governance: het geheel van beleid, procedures en maatregelen om een organisatie te kunnen laten functioneren in overeenstemming met haar strategische doelstellingen. Risk management: het geheel van procedures en maatregelen dat zich richt op het systematisch identificeren van risico's, het nemen van mitigerende maatregelen en het rapporteren over het functioneren van risk management aan de leiding. 12

13 Compliance: het voldoen aan wet- en regelgeving, dan wel: het geheel van maatregelen en procedures dat er zorg voor draagt dat een organisatie voldoet aan wet- en regelgeving en daarover verantwoording aflegt. Organisaties zijn vaak niet op de hoogte van de mogelijkheden die bestaande software hun biedt. Zodoende wordt er te weinig gebruik gemaakt van het aanwezige ERP -systeem. Het is duidelijk geworden dat organisaties het proces om te voldoen aan wet- en regelgeving als een eenmalig proces beschouwden. Daardoor werden de vereiste interne -beheersingsmaatregelen niet als een onderdeel van de dagelijkse bedrijfsvoering gezien. Om deze redenen hebben veel organisaties hun eigen benadering en methodologie ontworpen, wat resulteerde in een nogal pragmatische manier van werken. In veel gevallen werd de documentatie betreffende processen, risico s en controles, evenals het plannen en monitoren van verschillende controleactiviteiten gerapporteerd in Excel -bestanden. De redenen voor organisaties om in de beginfase te kiezen voor Excel zijn heel goed te begrijpen. Iedereen binnen de organisatie is namelijk bekend met Excel, waardoor weinig of geen training benodigd is. Daarnaast is het een zeer flexibele oplossing die gemakkelijk binnen de gehele organisatie wordt verspreid. De tool kan in gebruik worden genomen terwijl nieuwe toepassingen worden ontwikkeld en verbeterd. De gevolgen van het onjuist gebruik van spreadsheets kunnen desastreus uitwerken, omdat beslissingen worden genomen op basis van onjuiste feiten. Verkeerde beslissingen van het management kunnen leiden tot geldverlies en zelfs tot gezichtsverlies voor de organisatie. Het is een feit dat spreadsheets gemakkelijk door iedereen aangepast kan worden, er is niet bepaald een audittrail. Hierdoor is er een verhoogd inherente risico aanwezig en de volgende fouten zijn dan ook snel gemaakt: - Input error; verkeerde data input. Dit wordt versterkt door het simpele copy & paste toepassing - Logic error; gebruik van verkeerde formules, bijvoorbeeld bij verkeerd door kopiëren - Interface erros; fouten gemaakt bij de import/export van data uit andere systemen - Other errors; fouten ontstaan door onjuiste cell wijdte of verwijs naar verkeerde cells Er zijn echter enkele grote nadelen verbonden aan het gebruik van Excel. Ten eerste vereist het voldoen aan wet- en regelgeving intensieve en controleerbare documentatie. Dat wil zeggen dat het documenteren nogal arbeidsintensief is, waarbij ook nog op een aantoonbare wijze gedocumenteerd moet worden, dat bijvoorbeeld een controle wordt uitgevoerd. Op het gebied van controle en beveiliging is Excel onvoldoende ontwikkeld, waardoor het niet in staat kan worden geacht om met redelijke zekerheid betrouwbare informatie te leveren. Ten tweede vereist het voldoen aan wet- en regelgeving de deelname van veel verschillende personen. Dit is natuurlijk zeer lastig wanneer de Excel -bestanden door de gehele organisatie worden verspreid. Al snel komt de vraag: Wie werkt waaraan en hoe wordt dit gecontroleerd? Het gaat ten koste van de effectiviteit wanneer verschillende personen niet gelijktijdig toegang kunnen krijgen tot het bestand. Het derde en laatste nadeel van Excel is het zoeken en terugvinden van bepaalde documentatie wanneer dit niet wordt opgeslagen in een centrale database. Uit het bovenstaande valt te concluderen dat veel organisaties op dit moment zich moeten realiseren dat zij de volgende fase in moeten gaan bij het voldoen aan wet- en regelgeving. 13

14 2.2.3 Relatie tussen Interne beheersing en GRC -tools Sinds de invoering van de SOX- wetgeving zijn bedrijven verplicht om aan te tonen dat ze in control zijn. Onder meer de effectiviteit van de interne controle wordt daarbij beoordeeld. GRC- tools worden gebruikt om organisaties te helpen in het aantonen van compliance. We zullen verderop in de hoofdstukken dieper ingaan op de mogelijkheden van de GRC -tool. Wat kunnen GRC- tools, waar moeten zij aan voldoen, waarom zouden bedrijven of accountants er gebruik van moeten maken en wat zijn de nadelen? Voorbeelden van tools op het gebied van Governance, Risk & Compliance zijn onder andere: BWise Dynasec Runbook SAP GRC Automatisering speelt een belangrijke rol in de verbetering van de effectiviteit van de interne controle. Uit een onderzoek onder leidinggevenden van de Global CFO study 2008 bleek dat ongeveer 66 procent van de ondervraagden het beheersen en verminderen van risico s prioriteit geeft en dat dit een factor is die bepaalt of een bedrijf financieel succesvol is. GRC- tools kunnen belangrijk zijn bij het automatiseren van interne controle. Deze tools bieden als voordeel dat het interne controle systeem effectief ingericht kan worden. Ook kunnen ze doorgaans consistenter en gebruikersvriendelijker werken dan het handmatig beoordelen van de effectiviteit van interne controle Onderverdeling van GRC -tools De afgelopen jaren zijn er vele verschillende GRC- tools ontwikkeld die ondersteuning bieden bij het oplossen van de problemen, die bijvoorbeeld kunnen ontstaan door het gebruik van Excel. Om aan te geven welke verschillende tools er zijn, is het verstandig om een onderverdeling te maken van deze tools. We zien dat de volgende indeling is te maken van de beschikbare tools: 1. Tools ter ondersteuning van het compliance-proces (opzet-bestaan); Transparantie Inzichtelijk maken van de interne controle maatregelen Audit-trail Duidelijkheid over wie waarvoor verantwoordelijk is binnen de organisatie. Voorbeelden: BWise en Dynasec 2. Tools ter ondersteuning van de IT -componenten (processen) binnen de controleomgeving (werking). Voorbeeld: Runbook, deze ondersteunt, controleert en documenteert het gehele proces van afsluiting van een financiële periode. De moderne technologie maakt het mogelijk wereldwijd data te verzamelen en te analyseren om zo cruciale informatie te leveren die nodig is voor organisatiebeslissingen en rapportage. In een GRCplatform worden risico's ten behoeve van Compliance en Risk Management gedefinieerd en gedocumenteerd, controles uitgevoerd en bewijzen geregistreerd en gemonitord. Vervolgens worden de tekortkomingen inzichtelijk gemaakt en kan het proces indien gewenst worden bijgesteld. Door deze complexe processen in een applicatie te verbinden, kan een control en het bijbehorend testresultaat worden hergebruikt voor een ander risico of een andere wetgeving waaraan voldaan moet worden. Bovendien kunnen verbanden worden gelegd tussen de verschillende Governance & Compliance invalshoeken. Zo geeft een GRC platform ondersteuning aan het uitrollen en -voeren van 14

15 een bedrijfsbreed GRC programma. Om de marktsituatie van GRC software te bepalen en te vergelijken hoe de producten zich tot elkaar verhouden, heeft The Forrester Wave een gerenommeerd Amerikaans onderzoeksbureau onderzoek gedaan naar de sterktes en zwakten van de top vijftien GRC platform leveranciers Forrester-rapport Forrester7 heeft vijftien toonaangevende Governance, Risk and Compliance (GRC) platform leveranciers met elkaar vergeleken. BWise kwam als de beste uit het onderzoek, tot de leiders behoren ook Axentis, MetricStream, OpenPages, Paisley and Qumas. Het doel van het onderzoek was om de ontwikkelingen in de GRC-markt in kaart te brengen. Uit 114 peers is uiteindelijk een top vijftien tot stand gekomen. Hierbij zijn sterke- en zwakke kenmerken met elkaar vergeleken, zie figuur 4 resultaten van het rapport. Figuur 4. Forrester Wave: Enterprise Governance, Risk, And Compliance Platforms, Q Gartner- Rapport In het Magic Quadrant for Operational Risk Management Software voor Financial Services plaats Gartner8 SAS hoog in zijn Leaders. SAS scoort in de beoordeling het hoogst op zowel visie als op het vermogen om deze visie te realiseren. Gartner reserveert het leiderskwadrant voor leveranciers van softwaretoepassingen die de kwalitatieve als kwantitatieve aspecten van risicobeheer adresseren. Deze ondernemingen hebben een sterkere marktpositie en geven hun klanten (in tegenstelling tot leveranciers van losstaande toepassingen voor risicoberekening, auditing en rapportage) een breed en consistent beeld van de totale operationele risico s binnen een organisatie. 7 Forrester Wave : Enterprise Governance, Risk, And Compliance Platforms, Q Gartner is een Amerikaanse organisatie die zich bezighoudt met onderzoek en advisering in de IT-industrie. 15

16 Figuur 5. Magic Quadrant for Operational Risk Management Software voor Financial Services Aanbod van GRC- tools In deze paragraaf beschrijven we enkele GRC- tools die worden aangeboden op de markt. SAP & Oracle Zoals in de inleiding van deze scriptie is gesteld moeten organisaties bewijzen dat men in control is. De processen die worden gebruikt voor het definiëren, creëren, verzamelen en registeren van deze bewijslast zijn over het algemeen echter zeer inefficiënt. GRC- tools zijn ontworpen om deze processen te stroomlijnen en te ondersteunen. Op dit vlak kunnen volgens ons??ook de meeste kosten worden bespaard. Het is dan ook belangrijk om op deze interne kosten de aandacht te vestigen. Het probleem is echter dat veel organisaties zich niet op de interne kosten richten, maar op de externe kosten zoals de audit fee. Deze externe kosten kunnen echter wel verminderen wanneer GRC- tools worden ingezet. Een voorbeeld hiervan is dat de documentatie t.b.v. controlehandelingen door het gebruik van GRC -tools beter bewijsbaar en bruikbaar wordt gemaakt. Deze documentatie is daardoor in de toekomst ook beter controleerbaar door de externe accountant. Dit betekent simpelweg dat het goedkoper wordt. Daarnaast kan de documentatie digitaal worden opgeslagen, waardoor de audit onafhankelijk van de locatie wordt. Dit zijn allebei indirecte efficiëntie voordelen van het gebruik van GRC -tools. In de volgende subparagrafen worden voornamelijk de directe efficiëntie voordelen beschreven en wordt aangegeven op welk functioneel gebied de GRC -tool betrekking heeft. 16

17 BWISE Met de GRC software van BWise kunnen organisaties een Compliance framework (zoals voor SOX), met Risk frameworks geïntegreerd stroomlijnen. Het voordeel hiervan is volgens de leverancier van BWise: aanzienlijke tijd- en kostenbesparingen om compliant met alle wet- en regelgevingen te zijn, een beter onderbouwd 'In control' statement door sterk verbeterde inzichten en grip op de operationele risico's. Verschillende afdelingen in verschillende landen met weer lokale regelgeving zijn betrokken en dat maakt het vaak extra complex. BWise is een wereldwijde leverancier van de gelijknamige GRC tool die kan worden ingezet om op een gestructureerde en georganiseerde wijze GRC projecten te implementeren en uit te rollen naar de verschillende landen en afdelingen. De GRC -tool BWise heeft wereldwijd veel gebruikers op het gebied van Governance, Risk en Compliance (GRC). Door proces gerichte aanpak kan BWise ingezet worden voor het besparen van kosten om compliant te zijn. Met behulp van deze GRC -tool worden processen snel en efficiënt gedocumenteerd, risico's gesignaleerd en gezamenlijk met bijbehorende beheersmaatregelen gecommuniceerd via het web. Volgens de leverancier draagt de GRC -tool van BWise effectief bij aan het voldoen aan wet- en regelgeving zoals de Sarbanes-Oxley Act, Basel II en de Code Tabaksblat. BWise GRC stelt organisaties in staat te komen tot een systematische en georganiseerde aanpak van een GRC -gerelateerde strategie en implementatie. In plaats van het apart registreren van risk of compliance gerelateerde informatie wordt een framework geïmplementeerd van waaruit alle regels en procedures kunnen worden gemanaged. Hierdoor zijn organisaties niet alleen in staat om risico's te managen en te voldoen aan de nodige wet- en regelgeving maar kunnen zij ook nog eens grote efficiency voordelen (kosten- en tijdsbesparingen) behalen door GRC geïntegreerd aan te pakken. BWise gelooft dat een goede geïntegreerde GRC strategie alleen mogelijk is vanuit een business proces management aanpak. De voordelen die BWise te bieden heeft: - Diverse risk management en compliance initiatieven worden geïntegreerd in één framework. - In relatie tot Compliance: een beoordeelde control kan worden hergebruikt in diverse compliance -rapporten. - In relatie tot risk management: maakt inzichtelijk hoe risico's zich tot elkaar verhouden en aan welk proces ze zijn ze toegewezen. 17

18 Dynasec Dynasec biedt oplossingen om Multi -Compliance Management professioneel en geleidelijk te introduceren binnen de organisatie. Dynasec heeft een methodiek voor elke fase in het compliance traject: Figuur 6: Het Multi-Compliance Management Systeem (Dynasec, 2009) Het Dynasec Multi-Compliance Management model is er speciaal op gericht om gedurende het gehele compliance traject de juiste focus te houden. Multi-Compliance Management bestaat uit 3 fasen met elk specifieke eigenschappen: Fase 1: Orde op zaken in uw complianceraamwerk - Identificatie van "impliciete" beheersmaatregelen - Combineren meerdere Compliancegebieden - Ontdubbelen en ordenen van beheersmaatregelen - Koppelen met Risico's, Processen en Organisatie Fase 2: Volledig geïntegreerde workflow - Testen bestaan en werking beheersmaatregelen - Rapportage voor jaarverslag en voortgang - Root cause analysis - Risico mitigatie taken - Integratie met en office systemen Fase 3: Optimaliseren door Automatiseren - Koppeling met de financiële systemen - Koppeling user- en autorisatiebeheer - Koppeling met event-log systemen - Automatische audit van ICT-infrastructuur - Automatische audit van applicaties Hiermee kan voldaan worden aan meerdere wet- en regelgevingen, maar ook aan meerdere standaarden (bv. CobiT 4, ISO) en vanzelfsprekend ook eigen bedrijfsbeleid. De Dynasec Security =software vermindert volgens de leverancier aantoonbaar de kosten, de complexiteit en de doorlooptijd van compliance en risk management processen. 18

19 Runbook Runbook ontwikkelt en implementeert SAP -geïntegreerde oplossingen voor de interne beheersing, de periodeafsluiting en andere processen binnen de organisatie. De Runbook software die in deze paragraaf wordt beschreven heeft betrekking op de coördinatie en de controle op de uitvoering van financiële processen. In het perspectief van het COSO -framework biedt de tool ondersteuning aan de componenten control activities en monitoring. Control activities Als eerste zal worden beschreven op welke manier Runbook ondersteuning biedt aan de control activity, daarna wordt het monitoren van deze controleactiviteiten behandeld. Runbook is ontstaan om het proces van de periodeafsluiting te structureren. Dit proces heeft men namelijk geïmplementeerd bij verschillende organisaties. Op dit moment is Runbook echter ook in staat om andere processen te beheersen waardoor het een applicatie is voor de gehele interne beheersing. Het vinden van een balans tussen interne beheersing en efficiency is een grote uitdaging geworden. De controleactiviteiten worden namelijk na de invoering van de Sarbanes -Oxley Act binnen de gehele organisatie en van het begin tot het einde van het financiële jaar uitgevoerd. Voor het ERP -systeem is dit moeilijk om te coördineren. Het ERP -systeem is namelijk geconcentreerd op de business cycle en ondersteunt geen verticale controleactiviteiten. Runbook geeft het SAP ERP -systeem de mogelijkheid om het proces te verduidelijken, onder te verdelen in kleine componenten en alle procedures controleerbaar te maken. Op deze manier kan duidelijk gemaakt worden wie verantwoordelijk is voor welke controle, wanneer deze controle wordt uitgevoerd en hoe dit wordt gecontroleerd. De controleactiviteiten worden ondersteund door gebruik te maken van een geautomatiseerde workflow die de aangewezen personen op de hoogte stelt van de uit te voeren control activiteiten. Hieruit blijkt dat de controleactiviteiten nog wel handmatig worden uitgevoerd, maar digitaal worden opgeslagen. Met andere woorden: het document dat moet worden beoordeeld is digitaal opgeslagen en het rapport van de beoordeling, de controleactiviteit, wordt ook digitaal opgeslagen. De gebruiker heeft daarnaast de mogelijkheid om toevoegingen te maken in de vorm van notities en bijlagen. Men kan daardoor de controleactiviteiten efficiënt en overzichtelijk documenteren en rapporteren. Hierdoor is Runbook complementair met SAP; Runbook maakt de data uit het ERP - systeem namelijk beter bewijsbaar en bruikbaar voor de periodeafsluiting en andere processen. Er wordt gesuggereerd dat de meeste toegevoegde waarde en kostenbesparingen kunnen worden behaald met tools op dit niveau, namelijk het operationele niveau. Deze tools vergen naast een uitdagende technische en functionele implementatie ook nog een organisatorische implementatie. Dit is dan ook het sterke punt van Runbook. Ten eerste kan Runbook technisch en functioneel worden geïmplementeerd vanwege de integratie met het SAP ERP -systeem. Ten tweede wordt het gehele proces gestructureerd, waardoor de handmatige controles die binnen Runbook worden uitgevoerd een minder hoog risico hebben op ineffectiviteit vanwege menselijke fouten en de stiptheid van de controle uitvoering. Daarnaast zijn de handmatige controles door de goede organisatie veel minder vatbaar voor overtolligheid of overlapping in inspanningen. Hierdoor wordt het aantal handmatige controle activiteiten verminderd. Monitoring Runbook is, zoals hierboven beschreven, voornamelijk gericht op het structureren van processen binnen de interne beheersing. Toch zou het onrechtvaardig zijn wanneer Runbook slechts wordt beschreven als een actieplan. Het monitoren van de controleactiviteiten wordt namelijk op een zeer efficiënte manier uitgevoerd. Normaal gesproken weet alleen de controller wie verantwoordelijk is voor welke controle en wanneer deze controle wordt uitgevoerd. Door middel van de integratie met het SAP ERP -systeem kunnen alle betrokkenen zien welke personen voorafgaand aan de eigen activiteit aan de slag moeten en welke informatie men zelf moet opleveren. Wanneer de controleactiviteit is uitgevoerd wordt dit door Runbook automatisch aangegeven. 19

20 In de zogenoemde cockpit overview krijgt deze controleactiviteit groen licht. Hieruit blijkt dat het monitoren van de controleactiviteiten niet meer handmatig wordt uitgevoerd. Wanneer het licht op rood of oranje blijft staan is deze controleactiviteit niet uitgevoerd. Dit betekent dat men de actuele status van de voortgang van de controleactiviteit kan bekijken. Doordat de gebruiker de mogelijkheid heeft om toevoegingen te maken in de vorm van notities en bijlagen kan het management tijdig opvolging geven aan corrigerende maatregelen, mocht dat noodzakelijk zijn. Dit betekent dat men real-time inzicht heeft in de resultaten en uitzonderingen van de controleactiviteiten inclusief de achterliggende documentatie. Hierdoor is er sprake van management by exception alleen de uitzonderingen worden behandeld. SAP GRC SAP GRC biedt een portfolio van applicaties die ervoor moeten zorgen dat alle GRC- activiteiten worden vastgelegd en geoptimaliseerd. Deze portfolio bestaat uit een zestal applicaties, namelijk: - GRC repository - Risk management - Global trade - Environment - Access controls - Process controls. In deze paragraaf worden alleen de access controls en de process controls beschreven. Access controls Veel organisaties proberen te voldoen aan wet- en regelgeving met behulp van verschillende en veelal handmatige, activiteiten. Elke activiteit is gericht op een bepaald gedeelte van de wet- en regelgeving, maar deze activiteiten zijn niet met elkaar geïntegreerd. Op deze manier is het zeer moeilijk en kostbaar om aan te tonen dat de organisatie stevig verankerde en effectieve access en authorization controls heeft ingericht zoals door de Sarbanes-Oxley Act wordt geëist. Een belangrijk onderdeel hiervan is Segregation of Duties (SoD), ofwel functiescheiding. Dit onderdeel moet voorkomen dat er sprake kan zijn van conflicterende handelingen, zoals de mogelijkheid om een verkoper in het systeem aan te maken en te betalen. Het wordt er niet gemakkelijker op wanneer er kan worden verondersteld dat er duizenden regels betreffende toegangsrechten en onderlinge afhankelijkheden kunnen bestaan bijvoorbeeld binnen het SAP -systeem. Om deze access en authorization controls effectief en efficiënt te kunnen beheren zijn tools nodig die dit proces automatiseren. Op dit gebied kunnen geautomatiseerde monitoring tools namelijk de efficiency, maar zeker ook het inzicht in de controls en daarmee de effectiviteit verbeteren. Binnen de portfolio van SAP GRC Access Control worden hier vier verschillende applicaties voor ingezet. Deze applicaties worden in figuur 7 weergegeven en worden besproken in de onderstaande tekst. 20

21 Figuur 7: Applicaties voor Access Control (SAP, 2007) Virsa Compliance Calibrator is een applicatie die het gehele proces van get clean tot stay clean ondersteunt (zie figuur 7). De applicatie verzorgt dit door middel van het testen en afdwingen van functiescheiding (SoD) en het monitoren van verschillende bedrijfsapplicaties. Als eerste worden risico s betreffende functiescheiding geïdentificeerd en hersteld door gebruik te maken van live data. Zodra de risico s zijn gecorrigeerd kan de applicatie toekomstige schendingen voorkomen door middel van het uitvoeren van what -if simulaties. Hiermee wordt een eindeloze cyclus van handmatige herziening en systeemopschoning, die onderhevig zijn aan menselijke fouten, voorkomen. Uit het bovenstaande blijkt dat de applicatie zowel een detectieve als een preventieve functie vervult. Om de efficiency te vergroten en functiescheiding (SoD, Segregation of Duties) af te dwingen maakt de applicatie gebruik van veelomvattende database met regels betreffende toegangsrechten en onderlinge afhankelijkheden. Het gebruik van Virsa Compliance Calibrator zorgt volgens SAP voor een kostenreductie van 36% bij het managen van autorisatierisico s 9. Virsa Role Expert is een applicatie die de mogelijkheid biedt om verschillende functies te definiëren en te onderhouden. Dat wil zeggen dat voor elke functie in detail wordt aangegeven welke handelingen verricht kunnen worden in die functie. Wanneer de functie eenmaal is gecreëerd kan deze functie in één muisklik worden aangemaakt. Daarnaast heeft de applicatie de mogelijkheid om automatisch potentiële conflicten betreffende functiescheiding te analyseren voordat de functie in gebruik wordt genomen. Dit is een duidelijk voorbeeld van een monitoring tool die de efficiency verbetert. Om effectieve en gedetailleerde rollen te definiëren is één ding, maar om efficiënt te testen of deze functies worden onderhouden is wat anders. Virsa Role Expert heeft de mogelijkheid om definities van functies automatisch te vergelijken met wat er daadwerkelijk gebeurt in het systeem. De functionaliteit van geautomatiseerde testen zorgt voor een sterke verbetering in efficiency en effectiviteit van de testwerkzaamheden omdat het handmatige testwerkzaamheden vervangt. Daarnaast kan de applicatie documentatie over definities van functies, gedetailleerde geschiedenis over veranderingen en testresultaten produceren voor de accountants. Het gebruik van Virsa Role Expert levert volgens SAP een totale besparing in tijd op het gebied van functiemanagement van 28%. Virsa Firefighter is een applicatie die de systeembeheerder toestaat om activiteiten betreffende noodsituaties buiten de grenzen van zijn normale functie uit te voeren, maar binnen een gecontroleerde omgeving. Normaal gesproken hebben organisaties ook dergelijke firefighting -functies ingericht, maar blijft het een uitdaging om dit op een goede manier te administreren en te monitoren. 9 SAP, 2007b 21

22 Virsa Firefighter heeft dit gehele proces geautomatiseerd en is in staat om automatisch een audit trail aan te maken van alle activiteiten die tijdens een firefight worden uitgevoerd. Daarnaast stuurt de applicatie automatisch een mededeling over het gebruik van de firefighting -functie en een gedetailleerd logboek naar de personen die verantwoordelijk zijn voor het gebruik van deze functie. Hierdoor wordt het firefighting -proces zowel effectiever en efficiënter doordat handmatige, herhalende activiteiten worden vervangen. Access Enforcer, op het moment dat organisaties het personeel toegang verschaffen/ontzeggen in het systeem wordt er vaak geen rekening gehouden met de gevolgen die deze veranderingen kunnen hebben op de vereisten voor functiescheiding (SoD). Virsa Access Enforcer is een applicatie die dit proces automatiseert, rekening houdend met eisen van functiescheiding en wet- en regelgeving. Wanneer een aanvraag binnenkomt, wordt automatisch gekeken naar de functie van de aanvrager en de reden voor de aanvraag, zodat de juiste route kan worden uitgezet. Eventuele vertraging die kan worden opgelopen wanneer bijvoorbeeld de voornaamste persoon die goedkeuring moet geven niet beschikbaar is of niet reageert wordt uitgesloten door de aanvraag automatisch door te sturen naar de volgende persoon. De aanvraag zelf wordt ook automatisch ingevuld door gebruik te maken van de HR database, waardoor ook op dit punt handmatige activiteiten worden vervangen. De persoon die de goedkeuring moet geven kan door middel van een hyperlink de aanvraag bekijken en beantwoorden. Wanneer Virsa Access Enforcer samen is geïmplementeerd met Virsa Compliance Calibrator is er de mogelijkheid om risico s in het systeem betreffende functiescheiding (SoD) realtime vast te stellen. Vervolgens kunnen automatisch enkele controles worden ingericht die wellicht nodig zijn om te voldoen aan wet en regelgeving Process controls Zoals eerder gesteld is het automatiseren van controleactiviteiten zeer belangrijk omdat het steunen op handmatige controleactiviteiten niet alleen inefficiënt en kostbaar is, maar ook vatbaar is voor overtolligheid of overlapping in inspanningen. Door middel van het automatiseren van controleactiviteiten kunnen bestaande controleactiviteiten worden hergebruikt waardoor de overtolligheid verdwijnt en de kosten worden verminderd. SAP GRC Process Control geeft organisaties de mogelijkheid om het monitoren en testen van bedrijfsprocessen te automatiseren. Hiermee is deze applicatie vergelijkbaar met Runbook. Om deze reden worden in deze paragraaf alleen de belangrijkste overeenkomsten en verschillen met deze applicatie beschreven. Op vele controleactiviteiten kunnen geautomatiseerde controles en continuous monitoring worden toegepast, de overige controleactiviteiten vereisen menselijke interventie. Net als Runbook zorgt SAP GRC Process Control ervoor dat deze processen, die handmatig moeten worden uitgevoerd, worden gestructureerd. Het verschil is echter dat bij SAP GRC Process Control het document dat moet worden beoordeeld niet digitaal is opgeslagen. Het rapport van de beoordeling, de controleactiviteit, wordt wel digitaal opgeslagen. Dit is vanzelfsprekend minder efficiënt. Het monitoren van de controleactiviteiten wordt binnen SAP GRC Process Control op een vergelijkbare, efficiënte manier gedaan. Ook binnen deze applicatie wordt er gewerkt met een dashboard, zodat de voortgang van de controle-activiteiten kan worden bijgehouden. Daarnaast heeft de gebruiker de mogelijkheid om toevoegingen te maken in de vorm van notities en bijlagen, zodat het management tijdig opvolging kan geven door middel van corrigerende maatregelen. Hierdoor is er bij SAP GRC Process Control ook sprake van management by exception. 22

23 SAP GRC PROCESS CONTROLS SAP GRC Process Controls ondersteunt de vastlegging van interne controlemaatregelen. In de SAP GRC Process Controls -oplossing kan een onderneming voor elke organisatieproces het stelsel van interne controlemaatregelen definiëren. In de tool wordt allereerst een organisatorische hiërarchie vastgelegd. Vervolgens kunnen van de verschillende organisaties de relevante subprocessen worden vastgelegd. Per subproces kan in de tool worden aangegeven wat de control objectives, de assertions en de te ondersteunen account(group)s zijn. Vervolgens kunnen aan de subprocessen de relevante risico s worden gekoppeld en kunnen de gedefinieerde controlemaatregelen aan de processen worden gekoppeld. Met behulp van deze inrichting kunnen het ontwerp van een proces en de risico s worden beoordeeld en kan de effectiviteit van de controls worden getest. Daarna kunnen er in de tool met behulp van assessment surveys een aantal assessments worden uitgevoerd: een control design assessment: het nagaan of een control een risico afdekt; een control self assessments: het laten testen van een control; een subprocess design assessment: het laten beoordelen van een subproces (zijn alle risico s gedefinieerd); een entity level control assessments: het laten beoordelen van controles die worden uitgedragen door het hogere management. Daarnaast kan met behulp van GRC Process Controls een workflow worden ingericht om de gedefinieerde controls te laten testen op hun effectiviteit. Per control wordt een testplan gedefinieerd. Een tester zal vervolgens een mail krijgen waarin staat opgenomen welke control getest moet worden, hoe de control getest moet worden en wat de sample size van de control is. Indien de control niet effectief is, dient de tester in de tool aan te geven dat de control niet effectief is. Vervolgens wordt er een remediationplan gemaakt waarmee de control deficiency zal moeten worden opgelost. De uitkomsten van de test en eventueel de test evidence kunnen in de tool worden vastgelegd. Indien de controlemaatregelen niet voor de deadline getest worden, bestaat de mogelijkheid om een escalatie te sturen naar een andere persoon, die er vervolgens voor kan zorgen dat de controlemaatregel alsnog getest kan worden. De belangrijkste voordelen van SAP GRC Process Controls met betrekking tot handmatige controls zijn: het vastleggen van interne controlemaatregelen; het inzichtelijk maken of de gedefinieerde controlemaatregelen alle risico s adequaat afdekken (aan de hand van de assertions gekoppeld aan de control objectives); het faciliteren van het testen van de effectiviteit van de controlemaatregelen. De GRC -tool brengt zaken aan het licht waar de auditor naar zoekt. Hoe hebben de risico s effect op de jaarrekeningcontrole? Dat wordt duidelijk door te kijken naar welke zaken bij de audit vaak aan het licht komen. De procedures die een accountant uitvoert tijdens de normale gang van zaken kan een aantal soorten bevindingen opleveren, welke in onderstaand rijtje zijn opgenomen: onvolledige transacties; mogelijk ongeautoriseerde transacties; mogelijk frauduleuze transacties; gebrek aan documentatie bij transacties; ongebruikelijke verplaatsingen van fondsen; belastingtransacties onjuist of onvolledig vastgelegd; betalingen aan overheidsfunctionarissen. Een aantal van dit type bevindingen kan reeds door de onderneming gedeeltelijk zijn ondervangen door het inzetten van een GRC -tool. Immers, de organisatie heeft continuous monitoring geïmplementeerd. In dit geval monitort de onderneming op een continue basis een of meer interne controlemaatregelen. Doordat de organisatie zelf al bevindingen in kaart kan brengen, kan de accountant op deze resultaten steunen. Daarnaast is bekend aan welke processen meer aandacht moet worden geschonken doordat er vaker problemen rond de controlemaatregelen voorkomen. Het blijkt dus dat het gebruik van de GRC -tool door de onderneming invloed kan hebben op de werkzaamheden 23

24 die door de accountant moeten worden uitgevoerd. Wat voor effect het werkelijk heeft kunnen we concluderen aan de hand van de Audit Control Risk Invloed van GRC- tools op de controleomgeving De controleomgeving dient niet te worden verward met de interne beheersingscomponent control environment van het COSO -framework. Deze component, die besproken is geldt als de fundering van het interne beheersingsysteem en zorgt voor discipline en structuur. De controleomgeving die in dit verband wordt besproken is echter wel opgebouwd uit twee andere componenten van het COSO - framework, namelijk: control activities en monitoring. Tussen deze twee componenten zit een zekere overlap. Het interne beheersingsysteem zal namelijk in de loop der tijd veranderen doordat de organisatie en haar omgeving ook veranderen. Om deze reden kan het interne beheersingsysteem op een gegeven moment niet meer effectief zijn. De component monitoring moet ervoor zorgen dat dit tijdig wordt ontdekt en gecorrigeerd. We richten ons voornamelijk op deze twee componenten van interne beheersing. De controleomgeving in een IT omgeving bestaat uit twee belangrijke categorieën. De eerst categorie de General Controls, omvatten de algemene IT beheersingsmaatregelen rond het rekencentrum, selectie en onderhoud van systeemsoftware, toegangsbeveiliging en ontwikkeling en onderhoud van software voor specifieke toepassingen. Deze algemene IT beheersingsmaatregelen vormen een noodzakelijke voorwaarde voor het juist functioneren van de geautomatiseerde controles in (ERP-) systemen, net als de blijvende integriteit van bestanden. De application controls bevinden zich in de systemen zelf en zijn bedoeld om specifieke programma s betrouwbaar te maken, zodanig dat de volledigheid en juistheid van gegevensverwerking zijn verzekerd, zowel wat betreft autorisatie als validiteit. In dit geval wordt ook wel gesproken van geprogrammeerde controles. Dit zijn controles die door middel van applicatiesoftware in geautomatiseerde systemen zijn opgenomen. De general control s en application controls hangen met elkaar samen, omdat general controls voor een betrouwbare basis zorgen waarbinnen application controls goed kunnen werken. Het is belangrijk dat binnen deze twee lagen van de controleomgeving de beheersingsmaatregelen zo veel mogelijk zijn geautomatiseerd voor een effectieve werking. De bovenste laag van de controleomgeving (manual controls, zie figuur 9) bevat beheersingsmaatregelen die buiten de automatiseringsorganisatie worden getroffen. Dit zijn de zogenoemde handmatige controles; manual controls. Deze handmatige controles kunnen worden omschreven als procedurele maatregelen als onderdeel van de bedrijfsprocessen die door de proceseigenaar handmatig worden uitgevoerd. Door gebruik te maken van deze handmatige controles worden de manco s in de application control gecompenseerd en vice versa. In de inleiding van deze scriptie is al gesteld dat er de laatste jaren meer aandacht is gekomen voor beheersingsmaatregelen. Echter, de aandacht van organisaties is bij het invoeren van Sarbanes-Oxley voornamelijk gericht op het voldoen aan de vereisten en het halen van de deadline. Hierdoor zijn in veel organisaties aanvullend handmatige beheersingsmaatregelen geïmplementeerd om gebreken in het ontwerp af te dekken. Dit wordt bevestigd door onderzoek waaruit blijkt dat organisaties in het eerste jaar na de invoering van Sarbanes-Oxley de verklaring over de effectiviteit van de interne beheersingsmaatregelen in 75% van de gevallen baseren op handmatige controles en in 25% van de gevallen op geautomatiseerde 24

25 controles 10. In de onderstaande figuur worden de resultaten weergegeven van een ander, vergelijkbaar onderzoek dat ook aantoont dat het merendeel van de organisaties steunt op handmatige controles. Figuur 8: Handmatig- vs geautomatiseerde controles (Bron: Sarbanes Oxley Benchmark study, 2006) Uit Figuur 8 blijkt dat veel organisaties in eerste instantie vooral eisen hebben gesteld aan de effectiviteit van de interne beheersing. Dit is duidelijk ten koste gegaan van de efficiency van de interne beheersing. Het is namelijk niet zo dat GRC- tools maunal control kunnen vervangen, maar wel kunnen GRC- tools faciliteren om het inrichtingsvraagstuk (design) efficiënter in te richten. Bestaande controles in (ERP-) informatiesystemen worden door organisaties niet goed benut. Zo heeft SAP, de GRC functionaliteiten geïntegreerd en is er SAP GRC op de markt verschenen. Door het faciliteren van geautomatiseerde beheersingmaatregelen kan een gezonde mix van manual en automated controls binnen de controleomgeving ontstaan, aangegeven in figuur 9. Naarmate meer handmatige controles worden vervangen door application controls, neemt het belang van de general controls verder toe. Op deze manier wordt meer gebruik gemaakt van de in de (ERP-) systemen al aanwezige mogelijkheden voor application controls. Dit wordt duidelijk gemaakt in de onderstaande figuur. Hierin wordt aangegeven hoe de verhoudingen bij veel organisaties op dit moment liggen binnen de controleomgeving en hoe de verhoudingen binnen de optimale controleomgeving liggen. Figuur 9: Verhoudingen binnen de controleomgeving (Bron: PwC, 2007) 10 SOX and Compliance Tools,

26 Zoals hiervoor al werd gesteld kan de effectiviteit en de efficiency van de interne beheersing worden verhoogd door middel van het vervangen van handmatige controles door geautomatiseerde controles. Een interessant vraag die hierbij naar voren komt is: wat is er mis met handmatige controles? Ofwel, welke lessen zijn er geleerd met betrekking tot handmatige controles? Allereerst moet worden vermeld dat handmatige controles in principe in elke controleomgeving aanwezig zullen zijn. Ook in de optimale controleomgeving, zijn handmatige controles opgenomen. De reden hiervoor is dat door gebruik te maken van handmatige contoles de manco s in de application controls worden gecompenseerd. Er zijn echter wel enkele nadelen verbonden aan het gebruik van handmatige controles. In de eerste plaats hebben handmatige controles de neiging om van nature meer detective te zijn dan preventief. Het nadeel van detective maatregelen is dat er altijd correctieve maatregelen moeten worden genomen, die bij een geautomatiseerde preventieve maatregel niet nodig zijn. Daarnaast hebben handmatige controles een veel hoger risico op ineffectiviteit vanwege menselijke fouten en de stiptheid van controle uitvoering. Ten derde zijn de handmatige controls arbeidsintensief en kosten daarom meer geld dan de automated controls die, als ze eenmaal zijn opgezet en getest, altijd zonder menselijke tussenkomst functioneren. Als laatste kan gesteld worden dat de handmatige controls achteraf getest moeten worden om de effectiviteit van deze handmatige controls vast te stellen. Deze testwerkzaamheden kosten over het algemeen veel tijd, inspanning, vereiste steekproefgrootte (bij dagelijkse controles minimaal dertig) en dergelijke. Terwijl preventieve application controls nog slechts een keer getest moeten worden om het bestaan en de werking van de controles aan te tonen, mits er sprake is van adequate general controls. Het is duidelijk dat op dit punt waarschijnlijk de grootste efficiëntieslagen te halen zijn. Als laatste zijn handmatige controles vatbaar voor overtolligheid of overlapping in inspanningen. Dit is natuurlijk zeer inefficiënt, waardoor er op dit punt ook mogelijkheden zijn om deze beheersingsmaatregelen efficiënter in te vullen. 26

27 2.3 Hypothese Aan de hand van ons literatuuronderzoek stellen wij dat GRC -tools een toegevoegde waarde hebben aan de effectiviteit en dat ze het transparant maken van organisaties ondersteunen. GRC -tools ondersteunen de auditabilty (controleerbaarheid) van bedrijven, mits GRC -tools op een juiste manier worden geïmplementeerd en gebruikt. De hypothese die wij hebben zijn: Het hebben van een framework heeft een positief effect op de effectiviteit van internal control: Organisaties dienen een ingericht proces of een bepaald framework (zoals COSO) te hebben ingericht. Indien dit niet het geval is, hebben organisaties niets aan de inzet van GRC -tools. Een (IT-) organisatie dient een bepaalde mate van volwassenheid te hebben om GRC -tools effectief te kunnen toepassen. Het intrinsiek gemotiveerd zijn van organisatie om transparant te zijn heeft een positief effect op het gebruik van GRC -tools: De bereidheid van organisatie om transparant te zijn en zich kwetsbaar op te stellen dragen weer toe bij dat GRC -tools op een juiste manier gebruikt zullen worden. Indien transparantie niet gewenst is en veel weerstand vanuit de organisatie komt, bemoeilijkt dit het effectief inzetten van GRC -tools. Ongewenste transparantie binnen organisaties heeft te maken met het vertrouwen en (bedrijfs)cultuur. De oplossing om weerstand vanuit de organisatie te verminderen is draagvlak en commitment te creëren door top management, waarbij het vertrouwen van de business wordt gewonnen en een vorm van veiligheid wordt gecreëerd. Hierbij wordt de organisatie op de hoogte gebracht dat afwijkingen van de norm niet leidt tot straffen, maar dat dit juist een leerproces is. Het excentriek gemotiveerd zijn van organisaties om transparant te zijn heeft een positief effect op het gebruik van GRC -tools: Wanneer organisaties van buitenaf opgelegd wordt om transparant te zijn (bijvoorbeeld door de Nederlandse Bank), zal dit een effectief gebruik van GRC -tools als gevolg hebben. 27

28 3. Praktijkonderzoek Het praktijkonderzoek hebben wij verricht aan de hand van interviews bij verscheidene organisaties waarbij GRC- tools een rol speelt. De indeling die wij hierbij maken voor de interviews zijn; Organisaties die in het stadium zijn om een GRC -tool aan te schaffen en wat hun verwachtingen hierbij zijn. Organisaties die we hiervoor hebben benaderd zijn; o Credit Europe Bank o Supermarktketen Organisaties die al lange tijd een GRC -tool in gebruik hebben en wat hun ervaringen op dit gebied zijn. Hierbij wordt de vraag beantwoord of GRC- tools daadwerkelijk hebben bijgedragen aan de effectiviteit. Organisaties die we hiervoor hebben benaderd zijn; o ING Bank o Ministerie van Defensie Ook hebben we organisaties benaderd die GRC -tools leveren, implementeren of hiervoor consultancy bieden. Organisaties die we hiervoor hebben benaderd zijn; o PwC (Dynasec) o CSI4Global (SAP GRC & Runbook) We hebben een interview vragenlijst opgesteld, waarbij we voor iedere interview de gestelde vragen en antwoorden hebben uitgewerkt. Een aantal interviewvragen hebben we geclusterd in de vijf hypotheses van ons onderzoek, deze hebben we in de volgende paragraaf weergegeven. 3.1 Relatie tussen hypothese en interviewvragen Algemeen Vragen: Hypothese 1: Vragen: Interview vragen: - Wat is de ambitie van de organisatie op het gebied van compliance/ Risk Management? - Hebben we het bij ambitie dan alleen over pure compliance of ook over business benefits? - Wat verstaat u onder GRC -tool? - Wat zijn uw ervaringen met het gebruik van GRC -tools? Meerdere in afgelopen periode gebruikt? - Wat is eigenlijk de aanleiding geweest om voor deze tools te kiezen? Prijs / Beschikbaarheid leverancier / Functionaliteit / Gebruiksvriendelijkheid - Waarom heeft uw organisatie voor deze specifieke GRC -tool gekozen? Productkenmerken / Requirements - In welke mate is integratie met de overige tools van belang? Het hebben van een framework heeft een positief effect op de effectiviteit van internal control - Wat is interne beheersing? - Wat verstaat u onder effectiviteit van het interne beheersingssysteem? Stelling: Het hebben van een framework heeft een positief effect op de effectiviteit van 'internal control Hypothese 2: Vragen: Organisaties dienen een ingericht proces of een bepaald framework (zoals COSO) te hebben ingericht. Indien dit niet het geval is, hebben organisaties niets aan de inzet van GRC -tools - Maakt uw organisatie gebruik van meerdere controleraamwerken? - Ziet u voor de organisatie mogelijkheden om de interne beheersing effectiever in te richten? - Denkt u dat de organisatie sneller en efficiënter zal werken met GRC -tool? ( doel/ middel) Stelling: Organisaties dienen een ingericht proces of een bepaald framework (zoals COSO) te hebben ingericht. Indien dit niet het geval is, hebben organisaties niets aan de inzet van GRC - tools 28

29 Hypothese 3: Vragen: De organisatie dient een bepaalde mate van volwassenheid te hebben om GRC -tools effectief te kunnen toepassen. - Welke maturity level (volwassenheidsgraad) zit uw IT organisatie? Is daar onderzoek over gedaan door externe bedrijven? (IMM, SIXSIGMA) - Welke invloed hebben volgens u handmatige controles op de controleomgeving? - In hoeverre is het belangrijk voor de organisatie om dagelijkse handmatige controles te beperken? Voor welke afdelingen is dit onmisbaar? - Hoe stuurt u uw organisatie aan? Preventief randvoorwaardelijk aansturen op input (vooraf)? Of detective, gebaseerd op output (achteraf of het goed is gegaan). - Op welke wijze is de effectiviteit aantoonbaar? - Vindt er monitoring plaats naar de effectiviteit? Stelling: De organisatie dient een bepaalde mate van volwassenheid te hebben om GRC -tools effectief te kunnen toepassen. Hypothese 4: Vragen: Het intrinsiek gemotiveerd zijn van organisaties om transparant te zijn heeft een positief effect op het gebruik van GRC -tools - In hoeverre is transparantie naar de buitenwereld belangrijk? - Wat is de aanleiding om voor een GRC -tool te kiezen? Stelling: Het intrinsiek gemotiveerd zijn van organisaties om transparant te zijn heeft een positief effect op het gebruik van GRC -tools Hypothese 5: Het excentriek gemotiveerd zijn van organisaties om transparant te zijn heeft een positief effect op het gebruik van GRC tools Vragen: - Zijn er rapportage verplichtingen van interne- of externe partijen ten aanzien van Wet & Regelgeving of controleraamwerk? - Heeft de organisatie waar u voor werkt op dit moment volgens u de interne beheersing effectief ingericht? Stelling: Het excentriek gemotiveerd zijn van organisaties om transparant te zijn heeft een positief effect op het gebruik van GRC -tools Hoofdvraag: Verhoogt het gebruik van GRC- tools de effectiviteit van de interne beheersing? De resultaten van de gehouden interviews hebben we vertaald naar de Hypothesetabel, zie figuur 10. Op basis hiervan en op basis van ons literatuuronderzoek hebben wij onze onderzoeksresultaten onderbouwd. Hypothese 1. Het hebben van een framework heeft een positief effect op de effectiviteit van internal control: Credit Europe Supermarkt -keten ING Bank Ministerie v Defensie PwC (Dynasec) CSI4Global 2. Organisaties dienen een ingericht proces of een bepaald framework (zoals COSO) te hebben ingericht. Indien dit niet het geval is, hebben organisaties niets aan de inzet van GRC- tools. 3. De (IT-) organisatie dient een bepaalde mate van volwassenheid te hebben om GRC- tools effectief te kunnen toepassen. 4. Het intrinsiek gemotiveerd zijn van organisatie om transparant te zijn heeft een positief effect op het gebruik van GRC tools 5. Het excentriek gemotiveerd zijn van organisaties om transparant te zijn heeft een positief effect op het gebruik van GRC tools Figuur 10: De Hypothesetabel 29

30 3.2 Analyse interview resultaten Voor ons onderzoek hebben we interviews gehouden met functionarissen van Internal Audit- en Risk Management afdeling. De functionarissen die wij hebben geïnterviewd hebben een controlerende en risico mitigerende rol in de organisatie. Uit analyse van de interview resultaten blijkt dat deze mensen onafhankelijk en objectief zijn tegenover het gebruik van GRC -tools. Organisaties die in het stadium zijn om een GRC -tool aan te schaffen, bijvoorbeeld Credit Europe Bank en De Supermarktketen zijn erg kritisch bij de pakketselectie. Gebruiksvriendelijkheid vinden beide organisaties erg belangrijk, de tool moet faciliteren en laagdrempelig zijn in het gebruik. Complexe tool, die veel infrastructurele investering behoeft, valt niet in de smaak. Beide organisaties vinden het interessant wat de grote onderzoeksbureaus als Forrester en Gartner te melden hebben over de GRC -tools, maar de keuze voor de tools is niet afhankelijk van de rapporten van deze onderzoeksbureaus. De organisaties vinden persoonlijk contact met de leverancier belangrijk, de beschikbaarheid en toegankelijkheid van deze leveranciers is eveneens belangrijk voor nazorg. Daarnaast hebben we ook Business Consultant en Consultant van Software Leveranciers geïnterviewd. We zijn ervan bewust dat deze groep sterke voorstanders zijn voor het gebruik van GRC -tools. Uit de analyse van de interview resultanten zijn in iedere geval geen tegenstrijdigheden ontdekt over het gebruik van GRC -tools. We hebben er interessante discussies aan overgehouden. Het valt ons op dat de antwoorden op onze stellingen en dus de hypotheses in grote lijnen generiek zijn. De grote meerderheid is het ermee eens dat; - Het hebben van een framework een positief effect heeft op de effectiviteit van internal control - De organisaties een ingericht proces of een bepaald framework (zoals COSO) dient te hebben. Indien dit niet het geval is, hebben organisaties niets aan de inzet van GRC- tools - De (IT-) organisatie een bepaalde mate van volwassenheid dient te hebben om GRC- tools effectief te kunnen toepassen - Het intrinsiek gemotiveerd zijn van organisatie om transparant te zijn, een positief effect heeft op het gebruik van GRC -tools Credit Europe Bank en ING Bank was beiden in één van de stellingen oneens met de meerderheid; zij vinden dat een (IT-) organisatie niet per se een bepaalde mate van volwassenheid dient te hebben om GRC- tools effectief te kunnen toepassen. Want een organisatie kan zich middels de GRC -tool verbeteren doordat men toetst op wat goed gaat en wat beter kan. Men kan zelfs groei-levels voor zichzelf afspreken (zoals CMM bijvoorbeeld kent). Met andere worden; de GRC -tool zelf kan ervoor zorgen dat de organisatie een hogere volwassenheid niveau bereikt. Wat ook opvalt is dat alle ondervraagde organisaties het ermee oneens zijn dat; - Het excentriek gemotiveerd zijn van organisaties om transparant te zijn, een positief effect heeft op het gebruik van GRC -tools De organisaties stellen hiermee dat transparantie erg belangrijk is, maar dat je het vooral eerst zelf moet willen. Aan de andere kant vinden alle ondervraagden het eveneens belangrijk dat de GRC - tool moet integreren met overige systemen. Je zou hier kunnen verwachten dat aangezien excentrieke (van buitenaf gedwongen) motivatie toch niet belangrijk is, dat de noodzak voor integratie met overige systemen ook niet belangrijk zou zijn. Toch zijn de antwoorden hier dus niet evenredig. Een andere overweging waarom integratie met overige systemen belangrijk zou kunnen zijn, is vanuit kosten en baten redenering. Alle organisaties zijn het ermee eens dat het gebruik van GRC -tools effectief is en dat deze de effectiviteit van interne beheersing verhoogt, mits aan aantal voorwaarden wordt voldaan. 30

31 4. Conclusie De centrale vraag van onze onderzoek is: Verhoogt het gebruik van GRC- tools de effectiviteit van de interne beheersing?. Uit de resultaten van ons onderzoek kan een aantal conclusies getrokken worden met betrekking tot deze centrale vraag. Alles omvattend kan het volgende worden geconcludeerd. Het gebruik van GRC -tools is effectief en verhoogt de effectiviteit van interne beheersing, mits de volgende punten in de organisatie aanwezig zijn: De (IT-) organisatie moet een maturity level hebben waarbij alle belangrijkste processen zijn gestandaardiseerd en waarbij je redelijke mate van zekerheid hebt dat de IT General Controls werken. De organisatie dient transparant te willen zijn (niet alleen moeten) en dient zich kwetsbaar op te stellen. In het bijzonder het hoger management van de organisatie moet er volledig achter staan en support leveren. Management tone at the top moet het gebruik van GRC -tool stimuleren. De organisatie dient een framework te hebben, dit is een voorwaarde om überhaupt een GRC -tool te kunnen gebruiken. De organisatie dient een ingericht proces te hebben en dient op een juiste manier gebruik te maken van controle beheersingsraamwerken. Uitgangspunt hierbij is dat voor interne beheersingssysteem geen beperkingen aanwezig zijn zoals; - Veel menselijke fouten. - Kosten baten overwegingen die een rol spelen. - Mensen met tegengestelde belangen. - Management dat interne beheersingmaatregelen kan doorbreken. De hierboven staande punten zijn de minimale eisen voor een organisatie om effectief gebruik te kunnen maken van GRC -tools. Het hebben van een framework heeft een positief effect op de effectiviteit van de interne controlebeheersing. Processen en risico s van een organisatie dienen hiervoor in kaart te worden gebracht. GRC -tools geven organisaties de mogelijkheid om processen te verduidelijken, onder te verdelen in kleinere componenten en alle procedures controleerbaar te maken. Dit zorgt voornamelijk voor een verhoging van de effectiviteit van de interne beheersing. Daarnaast zijn GRC -tools in staat om het monitoren van de processen efficiënter te laten verlopen. Men heeft real-time inzicht in de resultaten en de uitzonderingen van de controleactiviteiten, waardoor er sprake is van management by exception; alleen de uitzonderingen worden behandeld. Een organisatie wordt hierdoor beheersbaar en de interne beheersomgeving wordt transparant. Het excentriek gemotiveerd zijn hoeft niet altijd te betekenen dat het een positief effect heeft op het gebruik van GRC -tools, de Nederlandse Bank eist bijvoorbeeld niet dat organisaties een tool moeten gebruiken om in control te zijn. Het is van belang dat er een noodzaak ontstaat in de organisatie om compliant en transparant te willen zijn. Voorts concluderen we dat de organisaties het belangrijk vinden dat de GRC -tool niet al te complex dient te zijn, waar je door de bomen het bos niet meer ziet. Een GRC -tool dient gebruiksvriendelijk te zijn en er moet voldoende ondersteuning bieden voor het stellen van vragen. Het is niet bevorderend voor de keuze van een GRC -tool, als dit teveel infrastructurele veranderingen met zich mee brengt. Het is erg belangrijk om rekening te houden met de technische en functionele implementatie van GRC -tools. Integratie met de overige systemen van de organisatie is van groot belang voor de keuze van een GRC -tool. 31

32 Bijlage Literatuurlijst Inrichten en beheersen van organsaties, drs.r.m.j.christiaanse RA, J.C.van Praat RE RA. Het COSO Enterprise Risk Management Integrated Framework, R. J. Uiterlinden, RC ( juni 2006) The Forrester Wave Enterprise Governance, Risk, And Compliance Platforms, Q by Chris McClean and Michael Rasmussen Gartner - MEGA: New Views on GRC Solutions Scriptiewijzer Derde jaar slotexamen 2007 / VU Postgraduate IT Audit Opleiding Competent afstuderen en stagelopen, door Piet Kempen SAP-compliance en business improvement, R.A. Jonker RE RA, Drs. M.A.P. op het Veld RE, Drs. B. Coolen RE Internal Controls- A review of current developments, information paper 2006, international federations of Accountants. COSO at a cross road, by Lawrence Richter Quinn The Unexpected Benefits of Sarbanes-Oxley, by Stephen Wagner and Lee Dittmar Guide to Enterprise Risk Management. FAQ. Protivity independent Risk Consulting Bwise - Governance, Risk and Compliance Management; Dynasec Monitoring your Compliance; Runbook 2007a. Compliance with financial risk management objectives in SAP. Runbook 2007b. Runbook makes the difference. SAP Access and Authorization Control Management. In Control verklaringen: Gebakken lucht of een te koesteren fenomeen? Prof. Dr. Leen Paape RA RO CIA Sarbanes-Oxley Section 404: Compliance Challenges for Foreign Private Issuers GRC-tools, een wijs besluit?, door Sander Reurings GRC is Dead

33 Definities belangrijkste begrippen In deze paragraaf worden de definities gegeven van de begrippen die in de vraagstelling zijn gebruikt. In de begrippenlijst worden de overige definities van de begrippen weergegeven die in deze scriptie worden gebruikt. COSO Committee of sponsoring organisations (COSO) is een organisatie die financiële verslaglegging helpt verbeteren vanuit ethiek, interne controle en Corporate Governance Cobit Control Objectives for Information and related Technology (COBIT) is en framework voor het gestructureerd inrichten en beoordelen van een ITbeheeromgeving. CobiT is vanaf 1992 ontwikkeld door het Information Systems Audit and Control Association (ISACA) en het IT Governance Institute (ITGI). COBIT stelt IT managers in staat om op basis van algemeen geaccepteerde Best Practices de ICT beheersmaatregelen in te richten. Effectiviteit: Een (voorgenomen) handelwijze is effectief of doeltreffend als de betreffende inspanningen en uitgaven daadwerkelijk bijdragen aan de realisatie van het beoogde doel. In feite wordt dus het effect gemeten van een bepaalde handeling. ERP-systemen: Enterprise Resource Planning (ERP)-systeem heeft als doel om de productiviteit van organisaties te maximaliseren, kosten te beheersen en optimaal te voldoen aan klantwensen. Compliance: Governance: Compliance is het begrip waarmee wordt aangeduid dat een organisatie werkt in overeenstemming met vigerende wet- en regelgeving. Denk bijvoorbeeld aan SOX en Code Tabaksblat. De term Governance wordt gebruikt voor het aanduiden van hoe een onderneming goed, efficiënt en verantwoord geleid moet worden, denk aan strategie, beleid en procedures. Het omvat vooral de relatie met de belangrijkste belanghebbenden van de onderneming. GRC-tools: Governance, Risk and Compliance tools (GRC-tools) is een tool voor strategische bedrijfsbeheersing en inperking van risico s. Dit omvat het vaststellen van risico s in processen, risicobeoordeling, invoering van een intern controlesysteem en het bewaken van de effectiviteit van beheersmaatregelen. GRC Platforms: Technologie die het mogelijk maakt wereldwijd data te verzamelen en te analyseren om zo cruciale informatie te leveren die nodig is voor organisatiebeslissingen en rapportage. 33

34 Interne Controle Het proces dat gericht is op het verkrijgen van een redelijke mate van zekerheid over het bereiken van doelstellingen op het gebied van: - De effectiviteit en efficiency van de bedrijfsprocessen - De betrouwbaarheid van de financiële informatieverzorging - De naleving van relevante wet- en regelgeving, beleidsrichtlijnen en procedures - Het bewaken van activa of waarden Een andere definitie is: Interne controle is een gevolg van het delegeren van bevoegdheden en gericht op de wijze waarop en de mate waarin men gebruik maakt van gedelegeerde bevoegdheden. Interne controle wordt namens of door de leiding uitgevoerd. Internal control: Internal control richt op de beheersing van processen binnen de organisatie middels prestatie-indicatoren en normen. 34