De reden dat continuous auditing en initiatieven daartoe bij ondernemingen spelen is dat het gezien wordt als toekomst van de audit. De techniek heeft potentie op gebieden als risicomanagement, rapportage en assurance. Het besluit om zonder een sluitende businesscase toch in continuous auditing te investeren is vaak een beslissing op het gevoel, geïnspireerd door het streven naar operationeel excellence of een enthousiasme voor de techniek en de potentie daarvan.
De belangrijkste barrière voor continuousauditinginitiatieven is het ontbreken van een duidelijke businesscase. Een van de accountants stelde tijdens de interviews zelfs: “er is gewoon geen goede businesscase, en als je die wel hebt is die half bij elkaar gelogen”. In alle interviews bleek het rondkrijgen van de business case een van de belangrijkste redenen waarom initiatieven of voorstellen niet van de grond komen. Doordat weinig succesvolle pilots bekend zijn en weinig duidelijkheid bestaat over de benodigde investeringen en de resultaten die het oplevert.
Andere barrières die aan bod zijn geweest tijdens de interviews zijn sociale, financiële en bedrijfseconomische barrières. De overgang naar continuous auditing vergt een andere wijze van denken en werken. De grote cultuurschok die dit oplevert maakt mensen hui-verig mee te gaan in deze ontwikkeling. Ook de vaak forse investeringen, zowel in tijd als in geld, die continuous auditing vergt blijken barrières. In het bijzonder in het huidige economische klimaat waarin tijd vaak krap is en ondernemingen onder financiële druk staan geldt een forse investering als een belangrijke barrière.
De aanwezigheid van een commercieel belang werd gezien als een van de sterkste triggers om continuous auditing te implementeren. Bij de ICT-dienstverlener bleek de directie niet warm te lopen voor een investering in continuous auditing. Toen zij eenmaal overtuigd waren van het feit dat een on-demand certificering van hun producten een dienst is waar klanten om vroegen, namen zij het initiatief over en kwam de invoering in een stroomversnelling. Ook andere triggers zoals nieuwe wetgeving of boetes bleken redenen te zijn die de doorslag kunnen geven bij een investeringsbeslissing.
7.8 Voorwaarden voor continuous auditing
De meeste geïnterviewden deelden de mening dat continuous auditing niet zonder meer toepasbaar is. Om een goede continuous audit uit te kunnen voeren zijn vernuftige
selectieregels, geschikte brongegevens, uitvoerende software, getrainde, deskundige pro-fessionals en acceptatie van de techniek. Deze voorwaarden worden toegelicht op basis van de interviews.
Belangrijk onderdeel van een continuous audit is het toetsen van deze aan een vooraf opgestelde richtlijn. Continuousauditingsoftware gebruikt filters, een in logische regels geformuleerde vormen van die richtlijn, om te bepalen of iets een exception is. Wanneer filters te eenvoudig zijn leveren zij een grote hoeveelheid false positives op. De behandeling van al deze false positives maakt continuous auditing contraproductief. Consequentie is dat een substantiële investering nodig is om continuous auditing rendabel te maken.
Om een goede continuous audit uit te kunnen voeren moeten de brondata geschikt zijn voor data-analyse. Hoe harder en hoe objectiever de data, hoe beter zij geschikt is voor data-analyse. Bovendien moet de invoer van de data voldoende consistent zijn in zijn vorm en opmaak, om door filters effectief te kunnen worden gebruikt. In een goed georganiseerde administratie is dit meestal geregeld door bijvoorbeeld application controls.
De uitvoering van een continuous audit gebeurt in grote delen in analytische software. Deze software moet betrouwbaar zijn, aangekocht worden en worden onderhouden. De software moet ook overweg kunnen met de beschikbare bestanden en de gecreëerde filters. Om de gebruikte software in te kunnen stellen en te kunnen beheren is getraind personeel nodig. Ook de gebruikers van de software moeten voldoende kennis hebben van het gebruik en de werking van de software om te kunnen steunen op de resultaten die zij produceert.
Tot slot moeten de gebruikers van continuous auditing in hun mindset meegaan met de ontwikkelingen in de methode van werken. Men moet zich vertrouwd voelen met de gebruikte technieken. De gewenning aan deze nieuwe methoden kan een redelijke hoeveel-heid tijd kosten en zal zich gefaseerd op moeten bouwen. Een van de geïnterviewden gaf aan dat een onderneming die intern al met data-analyse werkt de praktijk van continuous auditing makkelijker op zal pakken.
Opvallend is dat deze voorwaarden duidelijke overeenkomsten hebben met de voor-waarden voor continuous auditing zoals geschetst door het CICA/AICPA (1999) en be-sproken in paragraaf 4.8.
8 Beantwoording van deelvragen
8.1 Continuous auditing en de volwassenheid van interne
be-heersing
Deelvraag 2b: Wat is de relatie tussen continuous auditing en de volwassenheid van interne beheersing?
In de analyse stel ik drie scenario’s voor (zie paragraaf 5.5) die mogelijke verbanden tussen de inzet van continuous auditing en de volwassenheid van de interne beheersing beschrijven. Mede uit de interviews is gebleken dat de interne beheersing aan bepaalde voorwaarden moet doen om continuous auditing toe te kunnen passen. Hierbij gaat het met name om de noodzaak van een gereguleerde, consistente data-invoer en om de aanwezigheid van een set logische regels om op uitzonderingen te kunnen filteren.
Om de normen ten aanzien van de data input en de bepaling van uitzonderingen te kunnen gebruiken moeten deze normen worden geformaliseerd op basis van een beschrij-ving van het proces en de bijbehorende registraties. Wanneer een proces in zodanige mate georganiseerd is dat deze normen kunnen worden geformaliseerd, en deze formali-sering ook plaatsvindt, is inherent sprake van een interne beheersing die op het 3e niveau (“systematisch”) in het ICRM.
Op de hogere niveaus in het ICRM komen veel van de thema’s terug die ook spelen in het kader van continuous auditing. Het gaat daarbij om onderwerpen als de verankering en integratie in de bedrijfsvoering, awareness bij het management en medewerkers en de benadering van real-time monitoring. Terwijl deze onderwerpen een rol spelen in de groei naar een ideaal continuousauditingsysteem, zijn zij voor een basale implementatie van continuous auditing niet noodzakelijk.
Het bovenstaande bevestigt het eerste scenario uit paragraaf 5.5, namelijk dat con-tinuous auditing alleen mogelijk is wanneer de volwassenheid van de interne beheersing het derde niveau heeft bereikt. Hogere niveaus van volwassenheid sluiten goed aan bij de visie van een ideaal continuousauditingsysteem. Vanuit de interpretatie dat continuous auditing onderdeel is van de interne beheersing, zie ik continuous auditing als een feno-meen dat vanaf het derde niveau van volwassenheid op kan treden, en meegroeit wanneer de interne beheersing hogere volwassenheidsniveaus aanboort.
De verwachting dat continuous auditing er aan bijdraagt de interne beheersing naar een hoger plan te tillen lijkt in eerste instantie niet bij het eerste scenario te passen, omdat hierbij ook gedoeld wordt op een meer integrale aanpak en een real-time bewaking van de interne beheersing. Continuous auditing en het gebruik van automatisering maken de technische elementen van het realiseren van deze hogere niveaus van volwassenheid echter bijzonder efficiënt, en nemen daarmee de rol van technische enabler op zich vanaf volwassenheidsniveau drie.