Knelpunten/randvoorwaarden toepassing continuous monitoring

Om de implementatie en werking van het continuous monitoringsproces zo effectief mogelijk te maken, moet er tijdens de implementatie al rekening worden gehouden met de knelpunten die kunnen spelen bij het proces. Om deze knelpunten te voorkomen worden randvoorwaarden opgesteld. De knelpunten zijn onder te verdelen in de OPAFIT aspecten (Organisatie, Personeel, Administratieve Organisatie, Financiën, Informatie en technologie).

Organisatie

Het grootste knelpunt is de complexiteit van de organisaties zelf. Bij het implementeren van continuous monitoring is het voor organisaties moeilijk om de organisatie onder te verdelen in losse segmenten. Het is vooral de loskoppeling van de organisatie in segmenten wat de meeste tijd en kennis gaat kosten. Daarom dient vooraf in het implementatieproject allereerst als randvoorwaarde te zijn opgesteld dat de organisatie in segmenten is onderverdeeld. Na onderverdeling in de segmenten kan de stapsgewijze implementatie (per segment) uitgevoerd worden.

Ook kunnen onduidelijkheden over de verantwoordelijke van het interne controle systeem een knelpunt zijn. Wanneer het niet duidelijk is wie verantwoordelijk is voor de interne controle, zal er geen projecteigenaar- en sponsor worden gevonden. Als randvoorwaarde voor het project dient dan ook te worden gesteld dat de verantwoordelijke voor de interne controle van de organisatie bekend is.

Personeel

Het ontbreken van kennis en ervaring op het gebied van het implementeren van continuous monitoring, maar ook van de interne bedrijfsprocessen en van de verschillende informatiesystemen is een knelpunt tijdens het implementatietraject. Hoewel het niet waarschijnlijk is dat alle benodigde kennis van de implementatie, de bedrijfsprocessen en de informatiesystemen in huis is, dient deze wel als randvoorwaarde in het implementatietraject terug te komen. Voor het verkrijgen van personeel met kennis en ervaring op het gebied van continuous monitoring kunnen (gespecialiseerde) externe consultants worden ingehuurd. De mensen met kennis van de bedrijfsprocessen zijn bijvoorbeeld de afdelingshoofden van de verschillende afdelingen, deze dienen bij het implementatieproject te worden betrokken. Voor kennis van de aanwezige informatiesystemen kan personeel van de IT afdeling worden ingeschakeld. Indien de IT afdeling geen tijd vrij kan maken om deel te nemen in het project, dan dienen externe consultants met kennis en ervaring van de informatiesystemen te worden ingehuurd. Tevens kan een interne audit dienst ondersteuning bieden in dergelijke trajecten. Zij hebben vaak zowel proces als projectkennis en kunnen eveneens als quality-assurance rol in het project worden betrokken.

Administratieve Organisatie

Tijdens het implementatietraject wordt de tool ingericht met de processtappen en de controleregels. Omdat het interne controle systeem van de organisatie hierbij als basis dient, is het van groot belang dat het interne controle systeem aanwezig is. Dit zal dan ook als randvoorwaarde moeten terugkomen.

Op basis van de in het interne controle systeem aanwezige controleregels worden de controleregels in de tool gedefinieerd. Bij het ontbreken van bepaalde controleregels zal het interne controle systeem door middel van een risicoanalyse moeten worden geanalyseerd, vastgelegd worden in de tool en de additionele controleregels worden opgezet. Omdat het interne controle systeem zo effectief mogelijk dient te zijn ingericht wordt deze periodiek geanalyseerd. Uit deze analyse kan blijken dat bepaalde controleregels niet (juist) zijn ingesteld. Wijzigingen in de tool (bijvoorbeeld wijzigingen in de controleregels) worden door middel van change management uitgevoerd. Hierbij is het van groot belang dat de controleregels dynamisch zijn ingesteld en dit dient dan ook in een randvoorwaarde en als aan de tool gestelde eis, terug te komen.

Een ander knelpunt dat kan spelen bij zowel de implementatie als het tijdens het continuous monitoringsproces zelf is de rapportage. Indien te veel rapportages naar het management wordt opgeleverd bestaat de kans dat het management niet naar deze rapportages zal kijken. Daarnaast dient een prioriteit aan de melding te worden gekoppeld. Meldingen met een zeer hoge prioriteit dienen onmiddellijk aan het management te worden doorgespeeld zodat het management direct actie kan ondernemen(zoals kritische SOx gerelateerde issues). Dit dient dan ook als randvoorwaarde terug te komen. Zowel de verantwoordelijkheden voor het inrichten en onderhouden van controleregels als het opvolgen van rapportages n.a.v. continuous monitoringproces dienen in de organisatie te zijn belegd. Hierbij moet duidelijk zijn welke functionarissen zowel eindverantwoordelijk zijn alsmede operationeel verantwoordelijk zijn voor de uitvoering.

Financiën

De kosten voor het “in control” zijn voor de wet- en regelgeving zijn de laatste jaren enorm gestegen. Organisaties hebben grote investeringen gedaan.. Als randvoorwaarde dient dan ook te zijn opgesteld dat voldoende budget vrijgemaakt wordt voor het implementatietraject. Hiervoor dient het management overtuigt te worden van het nut een noodzaak voor continuous monitoring. Na de eenmalige investeringen in continuous monitoring blijven kosten bestaan voor het onderhoud. Wanneer echter duidelijk aan de organisaties kan worden gemaakt dat de totale kosten voor de interne controle minder worden door bijvoorbeeld het ontdekken van problemen/fouten (bijvoorbeeld tijdens de pilot), dan zal het management de voordelen voor onder andere de Return On Investment (ROI) zien en enthousiast worden voor (verdere) implementatie van het traject.

Het volgende figuur laat het verloop van de kosten zien wanneer het standaard (handmatige) controle systeem wordt gebruikt. Hierbij ziet men dat wanneer er weinig controles zijn, het de organisatie ook niet veel kost. Maar wanneer het aantal controles toeneemt, lopen de kosten al

snel op (hierbij is de effectiviteit van het interne controle systeem niet meegerekend). Organisaties hebben de laatste jaren alleen nog maar een toename van de controlemaatregelen gehad, waarbij ook de totale kosten zijn toegenomen.

Bron: onderzoeksrapport ACL

Onderstaand figuur laat vervolgens zien hoe de ROI eruit zal zien bij de implementatie van continuous monitoring. Uit de figuur blijkt dat continuous monitoring een positieve bijdrage levert aan de zekerheid, immers (grote) fouten worden (eerder) ontdekt, waarbij eerder actie kan worden ondernomen om de fout te herstellen. Daarnaast valt uit onderstaand figuur af te lezen dat ook bij implementatie van veel geautomatiseerde controles, de kosten hiervoor niet zeer snel zullen toenemen. Deze voordelen dienen zeker voordat met het implementatietraject wordt gestart aan het management te worden gecommuniceerd zodat zij ook hun volledige medewerking zullen geven aan het traject.

Informatie

Een knelpunt wat tijdens de implementatie kan spelen is de toegang tot de data. Zo mogen de bedrijfsprocessen geen hinder ondervinden van de extractie van de data uit de systemen, de data dient vertrouwelijk te worden behandeld en niet gemuteerd te worden. Daarom dienen ook aan de data(extractie) randvoorwaarden te worden gesteld.

Ook kan de gegenereerde informatie (rapportages) als een knelpunt worden gezien, immers een overkill aan te gedetailleerde informatie kan ervoor zorgen dat er niets met de continuous monitoringsrapportage zal worden gedaan. Bij de eerste implementatie van het proces dient men ervoor te zorgen dat de op te leveren rapportages niet te ambitieus worden opgesteld en dat er niet op te veel dataniveaus wordt gerapporteerd.

Technologie

Het is mogelijk dat voor de implementatie van continuous monitoring nog niet alle benodigde technologie in huis is. Omdat de bedrijfsprocessen geen hinder mogen ondervinden van het continuous monitoringsproces, is het van groot belang dat vooraf wordt geanalyseerd of de huidige ICT voldoet aan de aan continuous monitoring gestelde eisen. Dit dient als randvoorwaarde terug te komen. Indien blijkt dat de huidige ICT onvoldoende is, dienen additionele investeringen in de ICT te worden gedaan voordat met tot de daadwerkelijke implementatie over gaat.