Op naar continuous assurance



Vergelijkbare documenten
Spotlight Vaktechnisch bulletin van PwC Accountants Jaargang uitgave 1

De weg naar een data-gedreven (interne) beheersing

Continuous auditing and continuous monitoring: continuous solutions? J. Jacobs en M. Hoetjes

Internal Audit: cruciaal voor internal governance

Revenue recognition: praktische implicaties

Transparantie gaat verder dan verslaggevingregels

Aansturing en bewaking uitbestede pensioenfondsadministraties

Succesfactoren van transformatieprogramma s

SAP Risk-Control Model. Inzicht in financiële risico s vanuit uw SAP processen

Kunstmatige intelligentie nuttig bij complexe, herhalende en informatie-intensieve taken

4.2 Inzichten in de behoeften en verwachtingen van de belanghebbenden. 4.3 Het toepassingsgebied van het milieumanagementsystee m vaststellen

Dag accountantsverklaring, hallo controleverklaring

Medewerker administratieve processen en systemen

gemeenschappelijke leiding is

Nationale Controllersdag juni Financial Control Framework Van data naar rapportage

SBR Assurance: zekerheid geven over digitale rapportages

ISO 14001:2015 Readiness Review

II. VOORSTELLEN VOOR HERZIENING

Meerwaarde Internal Audit functie. 16 maart 2017

Onze SEPA-diensten Uw cash management naar een hoger niveau

Rechtmatigheidsverantwoording Annemarie Kros RA (PWC) & Marieke Wagemakers RA (gemeente Uden)

COMPLIANCE RADAR HET MEEST COMPLETE BESTURINGSSYSTEEM VOOR GEMEENTEN.

Informatie efficiënter aanleveren met SmartClose

Nieuwe consolidatiestandaard geeft handvatten voor complexe praktijksituaties

GOVERNANCE, RISK & COMPLIANCE WHITEPAPER

De nieuwe IFRS leasestandaard: stevige wijn of water?

DUTCHWEBSHARK WHITEPAPER #1. Talentpooling. In 7 stappen naar een talentpool

Bescherming van persoonsgegevens een kwestie van vertrouwen

DE CAPABILITEIT VAN HET KWALITEITSSYSTEEM

Hoofdlijnen Corporate Governance Structuur

Optie 3 : welkome en veel gebruikte methode voor grondslagen in enkelvoudige jaarrekening

Afbeelding: TriamFloat Effectmetingsmodel

Energiemanagementplan Carbon Footprint

Meer winst uit internal governance

Doen of laten? Een dag zonder risico s is een dag niet geleefd

Heeft IFRS 13 Fair value measurement toegevoegde waarde?

Klare taal! Benchmark controleverklaring nieuwe stijl onder Nederlandse beursfondsen

Inspiratiedag. Workshop 1: Risicogestuurde interne controle. 15 september 2016

De rol van de accountant na de financiële crisis

Het Analytical Capability Maturity Model

Grip op Zorgpaden. Best of both worlds!

Generieke systeemeisen

Spotlight Vaktechnisch bulletin van PwC Accountants Jaargang uitgave 4

Investment Due Diligence Beleid

ISO 9001: Business in Control 2.0

Risk & Compliance Charter Clavis Family Office B.V.

Data Governance: de katalysator voor Data Quality

De essentie van de nieuwe ISO s. Dick Hortensius, NEN Milieu & Maatschappij

Hoofdlijnen Corporate Governance Structuur Stek

Op naar een excellente controle

Global Project Performance

Lean Six-Sigma. HealthRatio Operational Excellence

KWALITEIT MANAGEMENT PLAN CO2 EMISSIE INVENTARIS SOGETI

EFFECT NIEUWE ISO-NORMEN MANAGEMENTSYSTEEM OP ISO 19011

De effectieve directie

IFRS 11 Joint arrangements : meer dan het schrappen van een keuze

Workshop Horizontaal Toezicht congres Rechtmatige Zorg Ervaringen uit de praktijk: Dimence Groep

Grip op fiscale risico s

Informatiebeveiliging voor gemeenten: een helder stappenplan

Het kasstroomoverzicht minder objectief dan gedacht

Releasen met een druk op de knop: Met behulp van Continuous Delivery sneller uw doel bereiken

Assurancerapport importeurs ten behoeve van het aanleveren van CvO-gegevens

Governance en Business Intelligence

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system!

Een Information Security Management System: iedereen moet het, niemand doet het.

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag

Voorspelbaar verkoopsucces met sales opportunities in SAP Business One

ISO9001:2015, in vogelvlucht. Door Tjarko Vrugt

Opdrachtgeverschap 2.0. Toezien op de afspraken in de verwerkersovereenkomst

doel bereikt zelfsturing inrichten veiligheid fundament Behoeftepiramide van een "Social Business"

Cultuurverschillen in het controledossier

DOORSTAAT UW RISICOMANAGEMENT DE APK?

Het periodieke rapportageproces: een balans tussen snelheid, kwaliteit en kosten

Compliance Program. Voor pensioenfondsen die pensioenadministratie en/of vermogensbeheer geheel of gedeeltelijk hebben uitbesteed

Horizontaal toezicht of horizontale samenwerking? Workshop bij Landelijke Themadag Verminderen administratieve lasten en Horizontaal toezicht

Global Project Performance

InfoPaper ǀ Maart Compliance-raamwerk borgt de datakwaliteit

Bekend zijn met de visie en inzet van procesmanagement in de eigen organisatie.

Actieplan naar aanleiding van BDO-onderzoek. Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012

DNB BEOORDELINGSKADER VOOR DE AUDITFUNCTIE BIJ TRUSTKANTOREN INGEVOLGE DE RIB WTT 2014

COMPLIANCE MANAGEMENT VOLDOEN AAN WET- EN REGELGEVING COMPLIANCE MANAGEMENT. Vereenvoudigde verantwoording aan in- en externe stakeholders

Aan de raad van de gemeente Lingewaard

De Wet op het accountantsberoep vervangt de WRA en WAA

Terug naar de bedoeling met ISO 9001:2015

SOLVENCY II Hoe een integrale aanpak van de Solvency II pijlers leidt tot een efficiënt en betrouwbaar risicomanagement- en rapportageproces

Proactief en voorspellend beheer Beheer kan effi ciënter en met hogere kwaliteit

Quick scan data kwaliteit. Andre Bal

ISO 9001:2015 ReadinessReview

Vergelijking van de eisen in ISO 9001:2008 met die in ISO FDIS 9001:2015

De concerncontroller als navigator van een wendbare gemeentelijke organisatie Mario Halfhide en Roy Mierop

Energiemanagement Actieplan

Lean & ISO A match made in heaven?

Transcriptie:

Op naar continuous assurance In het streven naar verbeterde procesbeheersing kunnen continuous monitoring en continuous audit een organisatie helpen meer transparantie en zekerheid te verschaffen over haar procesrisico s. Dergelijke initiatieven dienen echter in breder perspectief te worden beschouwd om het optimale resultaat te behalen. Een verkenning. Wietse Roozendaal, System & Process Assurance, Assurance 1. Inleiding Een belangrijk onderdeel van goed ondernemingsbestuur of corporate governance blijft het afleggen van verantwoording aan de belanghebbenden van een onderneming. Daarbij is de verantwoording over de betrouwbaarheid van de (financiële) processen een steeds belangrijker component geworden en dit zal naar alle waarschijnlijkheid alleen maar toenemen. De meeste CFO s en CAE s ( Chief Financial Officers en Chief Audit Executives ) zijn op de hoogte van de begrippen continuous monitoring (CM) en continuous audit (CA) en de voordelen van dergelijke programma s. Echter, relatief weinig ondernemingen hebben al het volledig potentieel hiervan benut. Primaire redenen zijn vaak het ontbreken van een sterke business case, of een onduidelijke visie hoe CM en CA te implementeren. Volgens de definitie in het tekstblok richt CM zich op de rapportage voor het management, en CA op de rapportage voor de internal (en external) audit. Beide hebben tot doel een grotere transparantie te verschaffen over de (proces)risico s en hier op (meer) continue basis zekerheid Continuous monitoring stelt het management in staat om continu de bedrijfsprocessen te toetsen op het beoogde risicoprofiel en de performance. Continuous audit stelt de internal en external audit in staat om continu procesdata te verzamelen en te analyseren voor controleactiviteiten. over te verschaffen. Het huidige klimaat van stijgende ondernemingsrisico s, aangescherpte toezichthoudereisen en compliancekosten maken het een ideaal moment om de potentiële rol van CM en CA te (her)overwegen. Maar op welke gebieden kan CM en CA worden toegepast, hoe werken beide disciplines samen en wat is de toegevoegde waarde? In dit artikel wordt ingegaan op deze vraagstukken. 2. Wat wordt onder CM en CA verstaan? Onder CM en CA wordt het volgende verstaan. Continuous monitoring Het management voert periodiek (handmatige) monitoringwerkzaamheden uit. Met CM kan het management deze werkzaamheden meerdere keren per periode geautomatiseerd uitvoeren. CM is een feedbackmechanisme dat het management gebruikt om ervoor te zorgen dat de controles werken zoals ze zijn ontworpen, en transacties worden verwerkt zoals ze zijn voorgeschreven. Met andere woorden: het management kan met CM op effectieve wijze toezicht houden op die gebieden die het belangrijkst zijn in relatie tot de financiële, operationele en compliancedoelstellingen. Continuous audit De auditor voert zijn controle op de processen, systemen en transacties over het algemeen periodiek uit. Met CA kan hij of zij meerdere keren per periode, of zelfs op realtime basis, een geautomatiseerde controle uitvoeren: CA richt zich op het op continue basis rapporteren door internal en/of external audit over de risico s op het gebied van IT en procesmanagement. Wanneer de auditor dan afwijkingen identificeert op de controlemaatregelen, transacties of overige procescomponenten 12 Spotlight Jaargang 18-2011 uitgave 1

(zoals IT-beveiliging), kan de organisatie onmiddellijk correctieve maatregelen nemen. Met andere woorden: CA kan een sterke toegevoegde waarde leveren aan de controlefunctie van een organisatie. Continuous assurance Hoewel CA en CM niet naast elkaar binnen een organisatie hoeven te bestaan, vergroot de organisatie het rendement van deze initiatieven door ze tegelijk te implementeren. Er ontstaat dan een integratie van controle-initiatieven tussen de lines of defence met een verbeterde samenwerking tussen management en audit. Daarbij wordt eenduidig gerapporteerd over de risico s ten aanzien van processen en systemen en ontstaat er een helder continuous-assurancebeeld. 3. Voorbeelden toepassingsgebieden CM en CA Zoals gezegd, vergroot de organisatie met de combinatie van CM en CA primair de zekerheid over haar procesuitvoering. CM en CA richten zich daarbij op een of een combinatie van de volgende vier hoofdgebieden: Transactieverwerking De transactieverwerking binnen systemen kan met geïntegreerde of externe tools zó worden ingericht, dat de transactiestroom wordt getoetst en gemonitord. Daarbij is signalering aan de hand van controleregels mogelijk. De organisatie kan de resultaten hiervan gebruiken voor haar management- en controleprocessen. Functiescheiding Binnen financiële, transactieverwerkende of ERP-systemen zijn normaliter verschillende rollen gedefinieerd die de rechten en de functiescheiding binnen de organisatie waarborgen. CM en CA kunnen zo worden ingericht dat het doorbreken van deze functiescheiding wordt gemonitord en direct wordt gerapporteerd. Samenvatting Continuous monitoring (CM) en continuous audit (CA) bieden een organisatie kansen in haar streven naar verbeterde procesbeheersing. Met CM kan het management continu de bedrijfsprocessen toetsen op het beoogde risicoprofiel en de performance, en met CA kan de internal en external audit continu procesdata verzamelen en analyseren. CM en CA richten veelal op monitoring van de transactieverwerking, functiescheiding in systemen, eventueel aangevuld met monitoring van stamdata en de werking van applicatiecontrole. Hoe noodzakelijk CM en CA zijn, moet blijken uit de geïdentificeerde ondernemingsrisico s. CM- en CA-initiatieven komen het beste tot hun recht als de organisatie ze in het perspectief plaatst van de ontwikkelingen op het gebied van procesbeheersing. De methodes hoeven niet tegelijk toegepast te worden, maar een combinatie van deze twee heeft wel een aanzienlijk beter effect. Figuur 1: CM, CA en continuous assurance Continuous Assurance Resultaten van CA en CM Management Audit Audit van CM Continuous Audit Continuous Monitoring Activiteiten en transacties Processen en systemen Stamdata Ook de integriteit van de stamdata die in systemen zijn opgeslagen, kan worden gemonitord. Hierbij is de monitoring voornamelijk gericht op het doorvoeren van wijzigingen in de stamdata. De datakwaliteit verbetert hierdoor sterk. Applicatiecontroles De organisatie kan met CM en CA de aanwezigheid, de configuratie en aanpassingen van de ingebouwde applicatiecontroles binnen een applicatie toetsen. Vaak vindt dit plaats in combinatie met de andere drie gebieden. Spotlight Jaargang 18-2011 uitgave 1 13

Voorbeeld van CM in transactieverwerking Een verkooporganisatie verwerkt dagelijks grote hoeveelheden (periodieke) betalingen waaronder een hoog percentage excassos. Vanwege de servicegedachte ( one-stopprincipe ) naar de cliënt kunnen de front-officemedewerkers een aanvraag tot excasso indienen. Omdat de medewerkers wijzigingen in de account van de cliënt konden aanbrengen, zoals het wijzigen van een bankrekeningnummer - met frauderisico tot gevolg - heeft de organisatie CM ingevoerd. Zij maakt nu dagelijks een volledige extractie van alle excassos en koppelt deze aan recent gewijzigde bankrekeningnummers. Alle resultaten worden gecontroleerd en waar nodig vinden correctieve acties plaats. Voorbeeld van CM ten aanzien van de functiescheiding Dezelfde verkooporganisatie factureert batchgewijs een groot aantal klanten voor een relatief beperkt aantal producten. Een wijziging van de prijzen in de masterdata heeft daarbij direct veel impact op de juistheid van de facturatie. Om het risico van ongeautoriseerde prijswijzigingen te beperken wordt maandelijks gemonitord welke medewerkers in staat zijn prijswijzigingen en batchfacturaties te verrichten en welke wijzigingen hebben opgetreden ten opzichte van de vorige periode. Daarnaast worden alle prijswijzigingen in het systeem opgeslagen en worden opmerkelijke wijzigingen (buiten de verwachte periode) gesignaleerd. 4. De voordelen van CM en CA De organisatie kan een aantal voordelen realiseren met de implementatie van CM en CA. Wanneer zij de procesrisico s gericht vaststelt, kan zij de uitgevoerde controles en de restrisico s beter interpreteren. Doordat zij bovendien vaker rapporteert over de procesrisico s, wordt over een langere periode een hoger niveau van beheersing bereikt. Wanneer de organisatie controleregels instelt, rapporteert zij over feiten in plaats van over een waarneming die op meerdere wijzen is uit te leggen of waarvan het mogelijke risico niet helder is. Hierdoor blijft het risicomanagement binnen de organisatie op scherp, en is met grotere zekerheid vast te stellen dat de organisatie handelt in lijn met het risicoprofiel en de geldende wet- en regelgeving. Een ander voordeel van CM en CA is dat de organisatie met deze methodes de kwaliteit van de bedrijfsprocessen en systemen efficiënter kan toetsen en dat de kans op fouten lager is. Personeel en overige middelen kunnen hierdoor waardetoevoegende handelingen uitvoeren in plaats van controlerende en correctieve activiteiten. De organisatie kan continu de proceswerking evalueren en op basis Figuur 2: Verhoogd (periodieke audit) (continuous audit) Gewenste Gewenste Controleniveau Audit 1 Werkelijke Audit 2 Controlepunten Werkelijke t1 Tijd t2 t1 Tijd 14 Spotlight Jaargang 18-2011 uitgave 1

hiervan procesverbeteringen initiëren. Natuurlijk zijn bovenstaande voordelen afhankelijk van de omgeving waarin de organisatie opereert, wat haar strategie- en ondernemingsdoelstellingen zijn en wat de aard is van haar processen, systemen en ondernemingscultuur. CM- en CAinitiatieven voegen de meeste waarde toe aan ondernemingen met een hoog transactieverwerkend profiel en/of waarbij sterke noodzaak is tot het afleggen van verantwoordelijkheid voor externe of interne belanghebbenden. 5. CM en CA in het kader van procesbeheersing CM- en CA-initiatieven zullen altijd dienen te passen in de bredere beheersingsambitie van een organisatie. De manier waarop de organisatie haar procesbeheersing heeft ingericht, en de mate waarin zij in control is, geeft aan in welk volwassenheidsstadium zij is. Binnen elk stadium zijn aandachtsgebieden aan te wijzen die van invloed zijn op de procesbeheersing. Bijvoorbeeld: de wijze van sturing op processen; de invloed van het controlebewustzijn en de menselijke vaardigheden; de daadwerkelijke controlemaatregelen in de transactieverwerking; en de systemen en de inzet van tools ter vastlegging en validatie. Volwassenheidsstadia in procesbeheersing Wanneer de organisatie (per proces) de aandachtsgebieden invult, bevindt zij zich op een bepaald volwassenheidsniveau. Kan de organisatie haar ambitie per proces(domein) definiëren, dan is zij in staat gerichte acties te nemen die passen bij haar risicoprofiel en ambitie. Een proces kan zich in een van de volgende vijf fasen bevinden: Fase 1: Onbetrouwbaar In deze fase heeft de organisatie nauwelijks aandacht besteed aan de Figuur 3: Volwassenheidsstadia in procesbeheersing internebeheersomgeving. Doordat zij de procescontrole niet of nauwelijks heeft ontwikkeld of ingericht, is het resultaat van processen onvoorspelbaar. Zij heeft geen verantwoordelijkheden binnen de processen benoemd of deze zijn onduidelijk. Fase 2: Informeel Deze fase kenmerkt zich doordat de organisatie de procesbeheersing op deelgebieden heeft ingericht. Zij heeft de maatregelen echter niet voldoende gedocumenteerd en ingebed. Daardoor is het onduidelijk in welke mate de processen betrouwbaar zijn. Fase 3: Gestandaardiseerd In deze fase is de procesbeheersing dusdanig ingericht dat deze effectief kan werken, consistent kan worden toegepast en voldoende is gedocumenteerd. Er is echter geen zekerheid over de mate waarin controlemaatregelen hebben gewerkt en daarmee of het beoogde wordt behaald. Fase 4: Gemonitord In deze fase heeft de organisatie de procesbeheersing in hoge mate gestandaardiseerd. Ze valideert de werking van de maatregelen periodiek. De medewerkers rapporteren hierover aan het verantwoordelijke management. Fase 5: Geoptimaliseerd In een geoptimaliseerde situatie is procesbeheersing een geïntegreerd proces waarbij het management continu monitort. Het koppelt de monitoring aan Gemonitord Onbetrouwbaar Informeel Gestandaardiseerd Geoptimaliseerd verbeterinitiatieven om zo de kwaliteit van de processen te verbeteren. Hoger niveau via fase 3 Het zijn vooral de organisaties die minimaal in fase 3 zitten die CM- en CAmethodes op grote schaal toepassen. De organisatie die in fase 3 gericht risicogebieden benoemt, in kaart brengt hoe zij hierover verantwoording aflegt en (continu) monitoringcontroles benoemt, zet hiermee een flinke stap in de versteviging van de procesbeheersing. CM en CA kunnen een katalyserende werking hebben in het bereiken van een hoger niveau van interne procesbeheersing. Strategie bij fase 1 en 2 Andersom valt ook te concluderen dat voor de organisatie die nog sterk onbetrouwbaar of informeel in haar procesbeheersing is, de toepassing van CM- en CA-methoden vaak nog een brug te ver is. Versterking van de interne beheersing zal zich in dergelijke gevallen meer richten op de versterking van het controlebewustzijn of het in kaart brengen van de procesrisico s. 6. Tips voor het implementeren van CM en CA Zoals uit bovenstaande blijkt komen CM- en CA-initiatieven het beste tot hun recht als de organisatie ze in het perspectief plaatst van de ontwikkelingen op het gebied van procesbeheersing. Hoe noodzakelijk CM en CA zijn, moet blijken uit de geïdentificeerde ondernemingsrisico s. Er is geen standaardaanpak om tot CM of CA te komen. In hoofdlijnen zijn echter wel zeven Spotlight Jaargang 18-2011 uitgave 1 15

stappen te onderscheiden. Zie de tabel. Tabel: Zeven stappen om tot CM en CA te komen 7. Conclusie Een organisatie die CM en CA gericht toepast, krijgt grotere transparantie over de (proces)risico s en kan hier op (meer) continue basis zekerheid over verschaffen. De toegevoegde waarde valt te vinden in het veel gerichter en het zo effectief mogelijk verantwoorden over de procesrisico s van een onderneming. Door CM en CA altijd in een breder perspectief van procesbeheersing te plaatsen zal het aansluiten bij de ambitie en het huidige beheersingsniveau in een organisatie. Doordat verantwoording in steeds grotere mate plaatsvindt door een (continue) datagerichte waarneming ontstaat er blijvende zekerheid over de interne beheersing. CM of CA kunnen daarbij katalyserend werken en ervoor zorgen dat procesbeheersing op een blijvend hoger niveau komt. Hoewel er geen standaardmethode is om CM of CA te implementeren blijkt een gerichte aanpak waarbij in een eerste fase die processen met een hoog risico en hoge transactieverwerking worden beschouwd, de meest praktische. Ontwikkel een duidelijke strategische visie. Ontwikkel per proces een strategie. Valideer met belanghebbenden. Stel het huidige niveau vast en benoem verbeteringen. Beoordeel de technologie zowel intern als extern. Voer een pilot uit. Borg en breid uit. Ga na wat de ambitie van de organisatie is ten aanzien van procesbeheersing. Kan CM- of CA-breed worden ingezet of richt het zich op specifieke risicovolle processen? Stel vast welke processen als eerste in aanmerking komen voor een CM- of CA-initiatief. Door de processen van een organisatie te classificeren naar volwassenheid kan per proces een verbeterstrategie worden vastgesteld. Definieer per proces de belanghebbenden en stel vast op welke wijze hieraan verantwoording afgelegd dient te worden. Zorg voor een duidelijke kaderstelling over de doelstellingen en de verwachte resultaten. Ga na welke controlemaatregelen nu zijn ingericht en benoem mogelijke testen (controleregels) om dit te verbeteren en/of te automatiseren. Stel vast welke systemen gebruikt worden binnen de processen en op welke wijze data hieraan ontrokken kunnen worden. Breng in kaart welke tools en oplossingen er zijn om CM of CA op deze platformen mogelijk te maken. Definieer een pilotproject en stel de resultaten vast. Verfijn en pas testen waar noodzakelijk aan en communiceer over de resultaten. Zorg dat de resultaten van CM of CA in de processen blijvend geborgd zijn. Ga de mogelijkheden na voor uitbreiding naar overige processen of definieer aanvullende controleregels. Kortom, CM en CA zijn aan te wijzen als de volgende logische stap in het streven naar betere procesbeheersing. Een organisatie die open staat voor deze initiatieven, zal de toegevoegde waarde hiervan benutten in haar procesbeheersing. 16 Spotlight Jaargang 18-2011 uitgave 1

2026 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback