In dit hoofdstuk volgt de conclusie op grond van de analyse van de case en wordt een antwoord op de hypothese uit hoofdstuk 3 geformuleerd.
6.1 Conclusie case
Kan de accountant van MKB-onderneming Taartenmaker CA toepassen in het controleproces?
Het antwoord is: dit is bedrijfseconomisch niet haalbaar. De belangrijkste reden is: Het IT-systeem biedt op dit moment te weinig functionaliteit. Er is geen platform om een intern beheersingssysteem te integreren met het IT-systeem. Oplossingen om dit te verhelpen zijn duur en Taartenmaker heeft geen werknemers met kennis en ervaring van CA, noch de externe partijen waarmee Taartenmaker op het gebied van IT zaken doet. Op de controller na, kent niemand in de organisatie het concept CA.
De conclusie dat CA niet haalbaar is, maakt Taartenmaker niet ongeschikt om CA toe te passen. Technisch is het wel haalbaar en is het mogelijk om een brug te slaan vanuit de literatuur naar de praktijk. Weliswaar is toepassing van CA zonder aanpassingen aan de organisatie en het systeem op dit moment niet mogelijk, op de langere termijn liggen er wel kansen. Randvoorwaarden die voldoende waarborgen bieden, zijn een goede IT-staffunctie, een goed ERP-pakket met veel mogelijkheden en een accountant die weet om met CA om te gaan. De controller bijvoorbeeld heeft de gewoonte om naar de medewerker
debiteurenbeheer te lopen en te kijken of er achterstand is met het aanmaken van
verkoopfacturen. Deze controle zou geautomatiseerd kunnen worden door een alarm in te bouwen die afgaat als er na vijf nog geen factuur aangemaakt is. Vervolgens zou dit toezicht met een dashboard geformaliseerd, gedigitaliseerd en gearchiveerd kunnen worden. Maar ook als CA technisch haalbaar is, moet de organisatie daarop aangepast worden. Daarnaast zijn er zijn ook andere organisatorische tekortkomingen. De belangrijkste tekortkomingen zijn: de medewerkers hebben binnen het systeem meer rechten dan op grond van hun functieomschrijving zou moeten. Verder is risicomanagement niet geformaliseerd; er wordt op eigen kennis en ervaring op de onderneming gestuurd. De controle ligt nu grotendeel bij de afdelingsmanagers en het MT houdt daar toezicht op door één-op-één communicatie en controle op de output. Deze vorm van risicomanagement is te veranderen, hiervoor hoeven geen grote aanpassingen doorgevoerd te voeren, maar vraagt wel een cultuuromslag.
6.2 Toetsing hypothese
Voor toepassing van CA bij MKB-onderneming de volgende hypothese geformuleerd: Is het haalbaar om Continuous Auditing toe te passen in het interne en externe controleproces van een grote MKB-onderneming en zo ja, onder welke voorwaarden? De hypothese is getoetst met een case study. De hypothese kan op basis van de case Taartenmaker niet aangenomen worden omdat niet aan alle voorwaarden is voldaan. In hoofdstuk 3 zijn deze voorwaarden als volgt omschreven:
1. Het IT-systeem moet 24 uur per dag operationeel zijn en beveiligd zijn tegen alle bedreigingen die systeem onbruikbaar kunnen maken. Tegelijkertijd moet het IT-systeem technische mogelijkheden bieden om geprogrammeerde controles in te bouwen en rapportages te genereren en te bewaren als bewijsmateriaal. Het
management is hier verantwoordelijk voor en moet ervoor zorgen dat het IT-systeem in de organisatie op de juiste wijze gebruikt wordt.
Aan deze voorwaarden wordt niet geheel voldaan. De drie belangrijkste beperkingen waardoor CA bij een grote MKB-onderneming niet haalbaar is, zijn:
• De IT-functie is te weinig ontwikkeld om een hoogstaand concept als CA te implementeren en te onderhouden.
• Te weinig functiescheiding in het systeem;
• Interne controle is slechts gedeeltelijk geformaliseerd en geautomatiseerd;
• Risicobeheersing richt zich op de output van de primaire processen en niet op het IT-systeem;
Bovengenoemde beperkingen gelden ook voor deze voorwaarden die gesteld aan de bedrijfsvoering:
2. De bedrijfsprocessen moeten in hoge mate geautomatiseerd zijn en alle registraties moeten via een ERP-pakket lopen.
Ten aanzien van de primaire processen zijn er uit dit onderzoek geen tekortkomingen naar voren gekomen die toepassing van CA verhinderen. Het ERP-pakket SAP dwingt af dat alles via het systeem loopt. Zogenaamde ‘schaduwadministraties’ in Excel bijhouden is er niet meer bij. Wel loopt Taartenmaker het risico dat werknemers door de ruime bevoegdheden controles gaan omzeilen, omdat ze voorheen gewend waren te kunnen doen wat in hun ogen goed was.
De bevindingen van de case Taartenmaker staan model voor andere grote
MKB-ondernemingen. Dit betekent dat er ook bij andere ondernemingen tekortkomingen in de waarborgen zijn, met name op het gebied van formalisatie en automatisering van interne controle. Nader onderzoek zal dit uit moeten wijzen in hoeverre andere
MKB-ondernemingen bekend zijn met CA en voorbereid zijn voor een systeemgerichte benadering. De rol van de accountant is ook van belang. De onderneming Taartenmaker is een cliënt van een middelgrote accountantsorganisatie. Vooraf zijn de volgende voorwaarden aan de accountant gesteld:
3. De accountant moet kennis en ervaring hebben met het controleren van ERP-pakketten. Hij is bereid zijn controle-aanpak te baseren op de techniek en zijn controle-werkzaamheden meer te spreiden over het te controleren boekjaar. Aan deze voorwaarde wordt voldaan, maar het is toeval dat er bij de betrokken accountants-organisatie een accountant is met ervaring met CA. Dit maakt de accountantsaccountants-organisatie kwetsbaar. Er zijn vele verschillen tussen de ‘Big Four’ en de ‘mid-tier firms’. De verschillen blijven vaak hangen in stereotypen en vooroordelen, al proberen sommigen onderbouwing te vinden voor de verschillen zoals het feit dat grotere accountantsorganisaties de grootste ondernemingen aan zich weten te binden74.
De vraag is in hoeverre accountants die alleen ervaring hebben in het MKB de ervaring kunnen opdoen om CA toe te passen. Voor de huidig controlerend accountant zou Taartenmaker een mooie kans zijn om hiermee ervaring op te doen. Maar zolang de onderneming er niet klaar voor is, staat de accountant voorlopig langs de zijlijn. Voorlopig
74
blijft de kans uiterst klein om kennis en ervaring met CA op te doen bij een andere accountantsorganisatie dan een ‘Big Four’ kantoor.
6.3 Aanbevelingen
Accountantscontrole gebaseerd op uitzonderingen is nu nog niet mogelijk. Controlerende accountants van middelgrote accountantsorganisaties zullen nog steeds moeten analyseren in hoeverre ze op het systeem kunnen steunen en de output moeten controleren. Pas als bij een vergaande systeemgerichte benadering mogelijk is, kan de haalbaarheid van CA getoetst worden aan de hand van de 20 attributen. Het advies aan de accountant is om te kijken of er andere ondernemingen zijn binnen het totale cliëntenportefeuille in Nederland met een hoog IT-risicoprofiel en zich in dit soort cliënten te specialiseren. Vanuit deze expertise kan vervolgens het IT-systeem als controlemiddel ingezet worden.
Het management van Taartenmaker kan voor haar interne beheersing voorlopig vooruit met de vele mogelijkheden binnen SAP. Nu wordt tijdens het wekelijkse MT-overleg de
voortgang van de belangrijkste projecten besproken. Maar de projecten die niet besproken worden verdienen ook aandacht. Met een afgeslankte vorm van CA – een vorm waarbij de accountant niet kan steunen op het systeem - kan intern toch zekerheid verkregen worden dat projecten goed lopen en tijdig afgesloten worden.
Het management vindt de kosten van implementatie van CA te hoog. Of dit werkelijk een belangrijke belemmering is, is de vraag, aangezien SAP circa 4 miljoen euro heeft gekost. Het is echter te billijken dat het MT zich de komende jaren richt op het IT-systeem en de
organisatie erom heen en andere uitdagingen waar ze sinds de kredietcrisis voor gesteld worden.
6.4 Samenvatting
Het is niet haalbaar om CA toe te passen bij een grote MKB-onderneming. Hiervoor is nodig dat het IT-systeem 24 uur per dag operationeel is en beveiligd is tegen alle bedreigingen die systeem onbruikbaar kunnen maken. De ruime bevoegdheden van werknemers in het systeem verhinderen dit. Tevens biedt het IT-systeem geen technische mogelijkheden om geprogrammeerde controles in te bouwen en rapportages te genereren en te bewaren als bewijsmateriaal. Tenslotte zit er qua risicomanagement een ‘kloof’ tussen
afdelingsmanagers en het MT. Het MT houdt toezicht door communicatie over en weer en controle op de output.
Accountants van grote MKB-ondernemingen moeten nog steeds analyseren in hoeverre ze op het systeem kunnen steunen en de output moeten controleren. Hiermee blijft de traditionele controle voorlopig gehandhaafd.
Literatuurlijst
Literatuur met betrekking tot Continuous auditing
• Audit automation for implementing continuous auditing: principles and problems, M. G. Ales, paper Rutgers Business School 2009, gepubliceerd op
http://accounting.uwaterloo.ca/uwcisa/symposiums/documents/Kogan.pdf • Auditor Ethics for Continuous Auditing and Continuous Monitoring, J.J. Daigle, R.J.
Daigle, J.C. Lampe, Information Systems Control Journal, vol.3, 2008 • Continuous auditing: building automated auditing capability, Z. Rezaee, A.
Sharbatouglie R. Elam e.a. , A Journal of practice & Theory, maart 2002, p. 147-156 • Continuous auditing from a practical perspective, K. Handscombe, Information
Systems, Control Journal, vol. 2 , 2007, p. 1-5.
• Continuous auditing in ERP System enviroments: the current state and future directions, J.R. Kuhn, S.G. Sutton, Journal of Information Systems, 2010, p. 91–112 • Continuous Auditing: Is It Fantasy or Reality? C.C. Clair e.a., Information Systems
Control Journal, Volume 5, 2002, p. 1-4.
• Continuous auditing: the USA experience and considerations for its implementation in Brazil, M.G. Alles, F. Tostes, M.A. Vasarhelyi e.a., Journal of Information Systems and Technology Management, vol. 3, 2006, p. 211-224
• Continuous auditing: the auditing of the future, Z. Rezaee, R. Elam, A. Sharbatouglie , Managerial Auditing journal, 2001, p. 150-158.
• Continuous monitoring of business process controls: A pilot implementation of a continuous auditing system at Siemens, M. G. Alles, G. Brennan, A. Kogan, M.A. Vasarhelyi , International Journal of Accounting Information Systems, vol. 7, 2006, p. 137–161.
• Continuous online auditing: a program of research, A. Kogan, B. Sudit, M.A. Vasarhelyi, Journal of Information Systems, vol. 13, 1999, p. 87–103.
• Developping a continuous auditing assistance system based on information process models, S. Li, G. Lin, S. Huang, Journal of Computer Information systems, 2007 • Innovation and practice of continuous auditing, D.Y. Chan & M. A. Vasarhely, paper
Rutger Business School, gepubliceerd op http://raw.rutgers.edu/MiklosVasarhelyi/ Resume%20Articles/MAJOR%20REFEREED%20ARTICLES/M51.Innovation_Practice_o fCA.pdf, p. 3
• Principles for analytic monitoring for continuous Assurance, M.A. Vasarhelyi, M.G. Alles, A. Kogan, Journal of emerging technologies in accounting, vol. 1, 2004. • Putting Continuous Auditing Theory into Practice: Lessons from Two Pilot
Implementations, M.G. Alles, A. Kogan e.a., Journal of Information Systems, vol. 22, no. 2, p. 195–214
• The Continuous audit of online Systems, M.A. Vasarhelyi, F.B. Halper, Journal of Practice and Theory, 1991, p. 110-125.
Literatuur met betrekking tot de onderzoeksmethode
• Case study research, design and methods, R.K. Yin, London 2009
Literatuur met betrekking tot controle van SAP IT-systemen
•
SAP ERP: security, audit and control features, div. auteurs, publicatie ISACA 2009, USABijlagen
Bijlagen 1. Dataverzameling 52
2. Interviews 54
3. Netwerkoverzicht 60
4. Rechten financiële transacties 61
5. Verkoopproces in SAP 64 6. Urenregistratie in SAP 66 7. Modules SAP 68 8. Notulen MT 68 9. Urenklok 70 Bijlage 1 Dataverzameling