In dit afsluitende hoofdstuk zullen de conclusies, die volgen uit het onderzoek, worden uiteengezet, waarna de beperkingen van dit onderzoek zullen worden benoemd.
7.1 – Conclusies
Deze scriptie had, zoals vermeld in paragraaf 2.1, het doel om 1) er achter te komen waarom continuous monitoring nog niet wordt toegepast door alle grote bedrijven, terwijl er volgens de literatuur nog maar weinig drempels zijn om continuous monitoring te gaan implementeren, 2) te ontdekken hoe continuous monitoring kan worden toegepast in het bedrijfsleven en 3) een model, ontwikkeld vanuit de literatuur en praktijk, te toetsen aan de hand van reeds uitgevoerde casestudies. Aan het begin van deze scriptie werd de volgende probleemstelling neergezet:
Hoe kan continuous monitoring aantrekkelijker worden voor bedrijven om toe te passen? Continuous monitoring is in theorie al erg aantrekkelijk voor bedrijven om toe te passen, onder andere vanwege de realtime informatie die het systeem kan leveren, de tijdsbesparing t.o.v. traditioneel handmatig controleren en de eventuele hogere tevredenheid van stakeholders. Toch is er een drempel voor bedrijven om niet over te gaan, en dat bleek voornamelijk de grote initiële investering van het systeem te zijn, vooral in de huidige economische tijd. Ook de technische kennis van functionarissen in bedrijven is vaak niet toereikend, waardoor men erg ophikt tegen de implementatie van continuous monitoring. Daarom kan continuous monitoring aantrekkelijker worden gemaakt door lagere initiële kosten. Dit is mogelijk op het moment dat er steeds meer bedrijven continuous monitoring gaan gebruiken, zodat de software goedkoper kan worden. Ten tweede is het noodzakelijk om de technische kennis van het personeel te vergroten, zodat de gebruikte systemen door hen beter te zijn doorgronden. Als derde punt om de aantrekkelijkheid van continuous monitoring te vergroten, is het gebruiken door bedrijven van de wetenschappelijke kennis die al aanwezig is. De wetenschappelijke kennis biedt veel informatie, die bedrijven kunnen gebruiken om te overwegen om continuous monitoring te gaan implementeren.
Het model uit hoofdstuk 5, dat is gebaseerd op twee modellen uit de theorie, aangevuld met informatie uit interviews, bleek goed aan te sluiten op de praktijkcases, maar nog wel voor verbetering vatbaar te zijn. Voor de beeldvorming in bedrijven is het model geschikt, omdat het op een eenvoudige wijze de werking van continuous monitoring laat zien.
Op onderzoeksgebied kunnen de modellen voor implementatie en toepassing van continuous
monitoring beter worden gemaakt door continuous monitoring van verschillende kanten te belichten, zowel het technische aspect als meer de manier waarop het aan de man moet worden gebracht binnen de organisatie, bij de mensen die het moeten gaan gebruiken, en ook bij het afbakenen van
verantwoordelijkheden.
Wanneer over een aantal jaren meer bedrijven continuous monitoring gebruiken, kan kwantitatief onderzoek worden gedaan naar het verband tussen het hebben van een systeem voor continuous monitoring met verschillende bedrijfsvariabelen. Ook kunnen dan casestudies worden gedaan naar het gebruik en werking, en niet alleen de implementatie.
pag. 31
7.2 – Vervolgonderzoek
Hieronder volgt een aantal hypothesen, die volgen uit de bevindingen uit deze scriptie, en die in toekomstig onderzoek getest kunnen worden.
- Er bestaat een positief verband tussen het gebruik van continuous monitoring en de tevredenheid van stakeholders.
In de literatuur wordt de druk vanuit onder andere stakeholders als motivatie genoemd om continuous monitoring te implementeren. De vraag is dan of de stakeholders inderdaad meer tevreden zijn over bedrijven die continuous monitoring gebruiken en of dit komt door het gebruik van continuous monitoring.
Deze hypothese kan getoetst worden wanneer er veel bedrijven zijn die continuous monitoring toepassen. Op dat moment kan kwantitatief onderzoek worden gedaan, waarbij hypothesen als bovengenoemde kunnen worden getoetst.
- De technische kennis van de meeste mensen staat de implementatie van continuous monitoring in de weg.
In de literatuur (Vasarhelyi et al. (1991), Kogan et al. (1990)) en door de respondenten van de interviews (zie hoofdstuk 4) werd gezegd dat de technische kennis over de werking van systemen voor continuous monitoring te beperkt is. Daardoor zou continuous monitoring onder andere nog weinig worden gebruikt. In deze scriptie zijn de redenen om continuous monitoring wel te gebruiken onderzocht, in vervolgonderzoek kan dieper worden ingegaan op de redenen om niet te kiezen voor continuous monitoring. Dit kan gedaan worden door interviews te houden en casestudies te doen bij bedrijven die continuous monitoring niet hebben geïmplementeerd, maar dit wel zouden willen.
- Alles draait om geld: continuous monitoring ook en bedrijven hebben geen helder beeld van de opbrengsten die het kan geven.
Volgens de respondenten van de interviews (hoofdstuk 4) is nog onduidelijk wat de opbrengsten zullen zijn van het gebruik van continuous monitoring. Daarnaast wezen zij tevens de huidige (slechte) economische situatie aan als reden voor bedrijven om continuous monitoring niet te gaan implementeren, vanwege de grote initiële investering die het nodig heeft.
In vervolgonderzoek zou een inventarisatie gemaakt kunnen worden van de opbrengsten die continuous monitoring geeft aan bedrijven die het gebruiken.
7.3 – Beperkingen onderzoek
Zoals elk onderzoek zijn beperkingen heeft, heeft dit onderzoek dat ook. Zo wordt in dit onderzoek alleen gekeken naar continuous monitoring: de verantwoordelijkheid van het management. Er is nog een andere kant: de verantwoordelijkheid van de accountant. Uiteindelijk draait er toch veel om de controleverklaring die de accountant over de jaarrekening geeft. Bij continuous auditing wordt veel geleund op de verklaringen van de afwijkingen die uit het systeem voor continuous monitoring rollen. Deze beperking wordt gedeeltelijk opgeheven doordat mijn studiegenoot Steven Visser zijn scriptie over continuous auditing schrijft en zich grotendeels baseert op de gegevens die in deze scriptie zijn gebruikt.
De informatie die wordt gebruikt uit de interviews komt van slechts drie personen. Er zijn nog veel andere mensen die een andere mening of werkwijze hebben. Al die andere meningen en werkwijzen zijn niet meegenomen in dit onderzoek, waardoor de breedte van het model beperkt wordt. Voor
pag. 32
toekomstig onderzoek kan het model worden uitgebreid, door van meer mensen hun mening en werkwijze te vragen en toe te voegen.
Het ontwikkelde model is getoetst aan de hand van twee casestudies. Op sommige punten kwam het overeen, op andere punten niet. Met meerdere casestudies om te toetsen, zouden de uitkomsten betrouwbaarder zijn. Daarnaast zijn de uitkomsten niet getoetst aan de hand van bijvoorbeeld enquêtes, waardoor de generaliseerbaarheid van de conclusies groter zou zijn dan bij toetsing met enkele casestudies. Echter, het aantal bedrijven dat continuous monitoring heeft geïmplementeerd is zeer beperkt, wat het niet mogelijk heeft gemaakt om op andere manieren het ontwikkelde model te testen dan met behulp van de twee uitgevoerde casestudies.
pag. 33
Referenties
Artikelen
Alles, M.G., Kogan, A. en Vasarhelyi, M.A. (2002). Feasibility and Economics of Continuous Assurance. AUDITING: A Journal of Practice & Theory, no. 1: 1-14.
Alles, M.G., Kogan, A. en Vasarhelyi, M.A. (2006). Continuous monitoring of business process controls: A pilot implementation of a continuous auditing system at Siemens. International Journal of Accounting Information Systems, no. 7: 137-162.
Alles, M.G., Kogan, A. en Vasarhelyi, M.A. (2008). Putting Continuous Auditing Theory into Practice: Lessons from Two Pilot Implementations. Journal of Information Systems, vol. 22, no. 2: 195-214.
Arnold V, Sutton SG, editors. Researching Accounting as an Information Systems Discipline. American Accounting Association; 2002.
CICA/AICPA. (1999). Continuous auditing. Research Report, Toronto, Canada: The Canadian Institute of Chartered Accountants.
Chan, D.Y. en Vasarhelyi, M.A., (2011). Innovation and practice of continuous auditing. International Journal of Accounting Information Systems, no. 12: 152-160.
Coderre, D. (2006) Global Technology Audit Guide: Continuous Auditing Implications for Assurance, Monitoring, and Risk Assessment. Montvale, NJ: The Institute of Internal Auditors.
Committee of Sponsoring Organizations of the Treadway Commission (2004). Entreprise Risk Management Integrated Framework.
Debreceny, R. S., G. L. Gray, J. Jun-Jin Ng, K. Siow-Ping Lee, and W. Yau. (2005). Embedded Audit Modules in Enterprise Resource Planning Systems: Implementation and Functionality. Journal of Information Systems 19 (2): 7-27
Groomer, M., & Murthy, U. (1989). Continuous auditing of database applications: An embedded audit module approach. Journal of Information Systems, Spring, 53-69.
Henrickson, R. (2009). Practitioner discussion of “principles and problems of audit automation as a precursor for continuous auditing. University of Waterloo Centre for Information Integrity and Information Systems Assurance 6th Bi-Annual Research Symposium. Toronto, October
Hunton, J.E., Mauldin, E.G. en Wheeler, P.R. (2008). Potential Functional and Dysfunctional Effects of Continuous Monitoring. The Accounting Review, Vol. 83, no. 6: 1551-1669.
Kogan, A., Sudit, E.F. en Vasarhelyi, M.A. (1999). Continuous Online Auditing: A Program of Research. Journal of Information Systems. Vol. 13, No. 2: 83-103
KPMG Advisory (2010). Continuous Auditing en Continuous Monitoring: Levert het de beloofde voordelen op?
Kuhn, J.R. en Sutton, S.G. (2009). Continuous Auditing in ERP System Environments: The Current State and Future Directions. SSRN Working Paper 1511990
pag. 34
Peng, J. en Vasarhelyi, M.A. (1999). Qualitative Corporate Dashboards for Corporate Monitoring. IS Audit
and Control Journal Vol. 5: 45–48.
Teeter, R. en Brannan, G. (2010). Aiding the Audit: Using the IT Audit as a Springboard for Continuous Controls Monitoring. SSRN Working Paper 1668743
Vaassen, E.H.J. (2009). An eclectic approach to accounting information systems. International Journal of Accounting Information Systems. Vol 10: 173-176
Vasarhelyi, M. A., en Halper, F.B. (1991). The continuous audit of online systems. Auditing: A Journal of Practice & Theory vol. 10, no. 1: 110–125.
Vasarhelyi, M.A., Halper, F.B. en Ezawa, K.J. (1991). The continuous audit process system: A UNIX-based auditing tool. The EDP Auditor Journal, Vol. 3: 85-91.
Vasarhelyi, M.A., Alles M., and Kogan A. (2004). Principles of Analytic Monitoring for Continuous Assurance. Journal of Emerging Technologies in Accounting 1: 1-21.
Vasarhelyi, M.A. en Alles, M. (2008). The “now” economy and the traditional accounting reporting model: Opportunities and challenges for AIS research. International Journal of Accounting
Information Systems vol. 9: 227-239.
Vasarhelyi, M.A., Alles, M., en Williams, K.T. (2010). Continuous Assurance for the Now Economy. Thought Leadership Paper for the Institute of Chartered Accountants in Australia.
Zambon, S. (2007). The Continuous Evolution of Continuous Auditing: Insights and Issues from the Outside In. Working Paper University of Ferrara.
Tijdschriften
Interview Pieter de Kok van Coney Accountants: Ik geloof niet meer in de jaarrekening. Accountancynieuws, nr 8, 2010.
Websites
http://raw.rutgers.edu/continuousauditingpapers - verschillende tijdstippen, laatste keer 17-12-2011 om 20:54
pag. 35
In bijlage 1 t/m 3 staan de complete uitwerkingen van de gehouden interviews
Bijlage 1
Interview met Louis van Vliet, Group Internal Audit Manager van Provimi Holding B.V. d.d. 12/10/2011
Inleiding
„Provimi Holding, een internationale agro-onderneming met diverse activiteiten variërend van het vermarkten van grondstoffen tot het ontwikkelen, produceren en vermarkten van diervoeders, veterinaire producten en voedingstechnologie.‟2 Het hoofdkantoor is gevestigd in Rotterdam. Louis van Vliet is bij dit bedrijf Internal Audit Manager en als zodanig is het betrokken bij de implementatie van continuous monitoring in het bedrijf.
Louis van Vliet heeft als voorbereiding op het interview verschillende documenten opgezocht, waaronder het Audit Magazine, waarin een special was over CM/CA. Handige namen om op te zoeken:
- Bas van Megeren – BinckBank - Lucassen
- Werner van Haalst van CSI
Andere bedrijven die CM hebben geïmplementeerd of een eind op weg zijn: - Dow Chemical
- Sara Lee
Volgens dhr. Van Vliet is het niet direct de kennis van de auditor of de afwachtende houding van bedrijven die een grote implementatie van CM in de weg staat. Het is juist de techniek, die pas sinds kort in staat is om volledig realtime te kunnen monitoren.
Risicobeheersing en bedrijfsprocessen. Governance Risk en Compliance.
External auditor alleen jaarrekening, normenkader ligt vast in wet- en regelgeving Internal auditor normenkader zelf vastleggen en vervolgens toetsen.
Interviewvragen:
- Hoe wordt CM gedefinieerd bij dit bedrijf? Welke andere definities worden er gehanteerd en waarom?
Continuous auditing through continuous monitoring. Er is sprake van echt continuous monitoring wanneer er een alert afgaat op de afdeling Internal Audit of bij het management direct op het moment dat er een keycontrol wordt doorbroken, bijvoorbeeld dat er een order wordt doorgevoerd zonder dat er een creditcheck heeft plaatsgevonden op een klant.
pag. 36
Wel geeft Louis van Vliet aan, dat wanneer er bijvoorbeeld eens per drie maanden de controls automatisch worden getest, er naar zijn idee ook sprake is van continuous monitoring. - Wat zijn de redenen geweest om over te gaan op CA/CM? Is het initiatief geweest van het
management of van de audit-afdeling?
Het doel van de implementatie van CM is en was het verkrijgen van een beter inzicht naar de mate waarin men de belangrijkste processen beheerst. Hierbij kan gedacht worden aan het kwantificeren van beheersing, de afwijkingen hierop, en non-compliances.
Kennen van de risico‟s, de beheersing en de wetenschap van de mate waarin beheerst wordt.
Hoofd Internal Audit, Louis van Vliet, nam bij Provimi het initiatief om over te gaan op CM. De reden hiervoor was zijn ontevredenheid over het feit dat hij niet kon vaststellen in welke mate de onderneming in control was. Toen er een nieuwe CFO aanschoof, is men begonnen met het onderzoeken van de mogelijkheden. Het begin was de implementatie van een goed risicomanagementsysteem.
- Is hierbij rekening gehouden met de bereidheid van de organisatie om zo’n verandering te accepteren?
Ja, hier is zeker bij stilgestaan. De implementatie ging per cluster (7 clusters wereldwijd). 2 aspecten: implementatie en inrichting van de tool, er moet een grote investering worden gedaan. Daarnaast moet per locatie een control owner worden aangewezen, die
selfassessments gaan doen. Die moeten zelf wel de benefits zien van wat ze doen. Ze doen de selfassessments niet voor de afdeling Internal Audit, maar voor hun eigen cluster. Het is erg belangrijk dat dit inzicht er is.
Er wordt per cluster iemand verantwoordelijk gemaakt als projectmanager. De algemeen directeur moet als eerste wordt overgehaald, en dat gaat vaak door hem te vertellen dat hij alles direct kan zien wat er gebeurd wanneer CM goed geïmplementeerd wordt. Bij de
acceptatie van de verandering in de organisatie zijn geen grote problemen geweest, de mensen werkten soepel mee.
Vanuit de audit committee komen er vragen, dat helpt ook.
- Wat is de globale planning geweest van eerste idee tot implementatie?
Wereldwijd is de gehele firma in 2007 overgegaan op een ERP-systeem van SAP (Waldorf). Na implementatie door IA van een goede Governance-Risk-Compliancetool zijn de
accesscontrols geïmplementeerd. Dit houdt in dat alle conflicterende toegangsrechten uit het systeem worden gefilterd en er een melding tevoorschijn komt bij de manager, IA of de systeemeigenaar.
De RCM bestaat uit 80 keycontrols: 40 manual en 40 automated. SAP Business en
pag. 37
implementatie van SAP GRC 10.0. Sindsdien is er pas echt sprake van continuous monitoring: er gaan lampjes branden op het moment dat er een keycontrol doorbroken wordt.
De geautomatiseerde controls gaan aan het einde van het jaar over op CM.
Elke maand wordt door elk cluster een selfassessment uitgevoerd op de controls. Het doel is om ook de selfassessments te automatiseren.
De gehele implementatie wordt gedaan door de afdeling Internal Audit, in samenwerking met PWC en SAP.
- Wat is de rol van de softwareleverancier geweest?
Provimi gebruikt de softwaresystemen van SAP. Doordat er nog geen andere bedrijven waren geweest d
ie wilden experimenteren met systemen die continuous monitoring kunnen faciliteren, kon SAP Provimi als proeftuin gebruiken.
- Wat is de rol van de externe accountant geweest? Hoe heeft hij de onafhankelijke rol intact gehouden? Is er nog een extern adviesbureau ingeschakeld, eventueel van hetzelfde kantoor als de externe accountant?
PWC is als adviseur ingeroepen, Deloitte is de externe accountant. PWC was op het moment waarop Provimi CM wilde gaan implementeren ook onderzoek aan het doen naar CM en kon daarom Provimi erg goed gebruiken als proeftuin.
Deloitte kan als externe accountant steunen op het werk van de afdeling internal audit. IA heeft zich al beziggehouden met de risico‟s die spelen. De opzet van de controls ligt vast in de RCM, het bestaan wordt door de controlowners vastgelegd in de GRC-tool en Deloitte test enkel de werking.
- Is er gekozen voor een EAM (embedded audit module) of een MCL (monitoring and control layer), of een variant hiervan? Wat waren de redenen om hiervoor te kiezen? Betreffende plus en minpunten van deze architectures behandelen.
Hier is zeker sprake van MCL, een extra tool, die moet communiceren met het ERP-systeem van SAP. GRC is met een connector met SAP verbonden en haalt gegevens op uit de database. - Is er voor gekozen om alle controls aan te passen voor de nieuwe architectuur of is de
architectuur aangepast op de controls? In hoeverre waren de controls geautomatiseerd? Moesten er veel manuele handelingen geautomatiseerd worden, was dit een lastig proces? Volgens mij ook aan bod geweest in andere vragen.
- Zijn bij de inrichting prototypes gedraaid?
Nee, er zijn geen prototypes gedraaid. Wel is het systeem eerst gebruikt in een testomgeving alvorens het volledig in productie is genomen en dit was genoeg. Er was ook een protocol voor test- naar productieomgeving. Wijzigingen worden ook eerst getest en dan pas gebruikt. - Hoe verloopt de uitvoering van de CM/CA momenteel? Zijn er nog veel kinderziektes naar
pag. 38
Er is sprake van verstrengeling, omdat IA de implementatie van CM verzorgt, iets wat het management eigenlijk zou moeten doen.
- Hoe is het samenspel tussen continuous monitoring en continuous auditing?
Continuous auditing through continuous monitoring. Van continuous auditing is volgens Louis van Vliet nog geen sprake, hiervoor moet eerst de implementatie van CM volledig zijn
afgerond.
- Is er harde data bekend dat de verschillen laat zien tussen de traditionele audit en CA? Efficientieverschillen, kostenverschillen?
Nee, zijn er niet.
Een interessante naam om contact mee te zoeken en verder te praten over het onderwerp continuous monitoring is Lex van der Drift. Hij is werkzaam bij PWC in Amsterdam en is betrokken bij de implementatie van CM bij Provimi. Ook is hij voorzitter van het curriculum van de RE-opleiding aan de Erasmusuniversiteit Rotterdam.
Leuk boek: SAP GRC for dummies. Investors reward good governance. Uitleg Mirthe (medewerkster Internal Audit bij Provimi):
Modules:
- RAR ruleset, haalt informatie van gebruikers uit SAP en scheidt de rsicio‟s : zoeken op SAP GRC.
- Enterprise Role Management: wordt niet gebruikt.
- Superuser Privilege Management: iemand tijdelijk meer rechten geven. De eigenaar kijkt wat degene ermee gedaan heeft. Gebruik van GRC tool nadat er SAP ERP geïmplementeerd is. - Compliant user provisioning: autorisatie en authenticatie bij elkaar.
pag. 39
Bijlage 2
Interview met Lex van der Drift, partner Systems & Process Assurance bij PwC, d.d. 15-11-2011.
- Uw ervaring met continuous auditing/monitoring kan ons erg bruikbare informatie geven, met name omdat u met meerdere bedrijven heeft samengewerkt die dit geïmplementeerd hebben. Zou ik u mogen vragen hoeveel bedrijven dit in Nederland zijn?
Het zijn echt heel weinig bedrijven in Nederland die CM of CA hebben geïmplementeerd, dhr. Van der Drift is nog geen bedrijven tegengekomen die het volledig geïmplementeerd hebben. Wel is een aantal bedrijven, zoals Provimi, een eind op weg met de implementatie.
- Onduidelijkheid over definities in de continuous methodologie: CA/CM, Continuous assurance. Wat is de definitie die u gebruikt, of door PwC gebruikt wordt? Wat is volgens u het verschil tussen continuous monitoring en auditing? En hoe staat dit in relatie tot continuous assurance? Wat betekent continuous voor u?
De definitie van continuous monitoring is strikt genomen: Op elk gewenst moment als leidinggevende kunnen weten of de activiteiten in control zijn uitgevoerd, met behulp van