Ontwikkeling in de tijd

De term continuous monitoring is wel bekend binnen organisaties, maar de implementatie hiervan blijft veelal achterwege. De laatste jaren hebben organisaties veel tijd en geld gestoken in het “in control zijn” voor de aangescherpte wet- en regelgeving (zoals SOx). Nu dit eenmaal is opgezet, zal het interne controle systeem continue onderhevig zijn aan veranderingen. Bij de eerste opzet van het “in control” zijn hebben organisaties ervoor gekozen om de volledigheid van de controles als belangrijkste eis te stellen. Dit heeft geresulteerd in een intern controle systeem met zeer veel (handmatige) controles die periodiek dienen worden doorlopen. Nu is de vraag ontstaan of de organisaties niet “over control” zijn (of er niet irrelevante controlemaatregelen zijn geïmplementeerd om “in control” te zijn) en bestaat de wens om het aantal controles te verminderen en het interne controle systeem zo in te richten dat alleen de strikt noodzakelijke controles worden uitgevoerd. Tijdens de analyse van de restrictie van de controleregels wordt ook bekeken of de handmatige controles niet automatisch kunnen worden uitgevoerd, om zo de foutgevoeligheid en de kosten te verminderen. Dit heeft tot gevolg dat steeds meer organisaties projecten op zetten om continuous monitoring te implementeren.

Wij verwachten dat deze trend zich nog de komende jaren zal voortzetten. Niet alleen voor de primaire bedrijfsprocessen, maar ook voor de secundaire bedrijfsprocessen zullen organisaties kiezen voor het implementeren van continuous monitoring, zeker wanneer blijkt dat tijdens het pilotproject onopgemerkte problemen en/of fouten naar boven komen waarbij grote bedragen zijn

gemoeid. Door het management op de hoogte te stellen van deze positieve resultaten zullen zij de voordelen van continuous monitoring inzien en hun support leveren bij verdere implementatie in de andere segmenten van de organisatie.

Daarnaast zien we de trend ontstaan dat steeds meer software pakketten op de markt komen om het continuous monitoringsproces te ondersteunen. Ook de ERP-systeem leveranciers zelf zullen met “add ons” komen voor het ERP-systeem om aan de vraag van de klant te voldoen. Door deze add-on zal en het continuous monitoring onderdeel zijn van het ERP-systeem in een bepaalde module. Bij deze laatste ontwikkeling hebben wij zelf nog wel wat vraagtekens voor wat betreft de compatibiliteit met de niet standaard ERP-systemen. Het is nu nog onduidelijk of de data uit andere aanwezige (legacy) systemen ook in deze continuous monitoringsmodule van het ERP-systeem kan worden gebruikt, of dat alleen de data uit het ERP-ERP-systeem zelf kan worden gebruikt, zonder de mogelijkheid van koppelingen naar externe systemen. In dit laatste geval zal het voor organisaties dan niet mogelijk zijn om continuous monitoring binnen de gehele organisatie en voor alle segmenten en systemen te implementeren.

Een belangrijk discussiepunt binnen organisaties is de betrouwbaarheid en integriteit van de data. Toezichthoudende instanties en organisaties eisen dat de gegevens (over transacties):

• vertrouwelijk worden behandeld;

• zo efficiënt mogelijk conform onder meer de geldende wet- en regelgeving worden getoetst;

• de integriteit van de gegevens is gewaarborgd.

Om aan deze eisen tegemoet te komen zullen voldoende maatregelen moeten worden genomen om de data en software alleen toegankelijk te maken voor geautoriseerde personen. Zo dient de toegang tot de ondersteunende software afgeschermd te zijn en dienen alleen geautoriseerde personen door middel van de change managementprocedure toegang te krijgen tot het bijstellen van de gedefinieerde controleregels.

De huidige software die op de markt is, bevat nog niet alle functionaliteiten voor een effectief continuous monitoring systeem, of is nog niet geschikt voor alle verschillende informatiesystemen. Hierdoor zal na implementatie van het continuous monitoringsproces met bijbehorende software nog een deel van de interne controlewerkzaamheden handmatig moeten worden verricht. Ondanks dit zal het gedeelte wat wel geautomatiseerd kan worden een grote effectiviteit en efficiency slag voor de organisaties betekenen.

Organisaties die continuous monitoring willen implementeren of hebben geïmplementeerd zullen steeds hogere eisen stellen. Er zullen veelal wensen en eisen zijn ter verbetering van:

• de tijdigheid van de data (in de ultieme situatie zal het management al van fouten op de hoogte zijn voordat de transactie is voltooid);

• de impact op de performance van de gehele IT dient gereduceerd te worden;

• door steeds veranderende wet- en regelgeving dienen de controleregels goed onderhoudbaar en aanpasbaar te zijn (via een change management proces);

• de inzet in de organisatie. Veelal is continuous monitoring allereerst in het primaire proces ingevoerd, maar na verloop van tijd dient het door de gehele organisatie te worden ingevoerd;

• het interne controle systeem dient zo efficiënt mogelijk te zijn ingericht, dit betekent dat de kosten zo laag mogelijk moeten zijn.

3.6 Samenvatting

Organisaties dienen zorg te dragen voor een tijdige en continue verantwoording dat beheersingsmaatregelen effectief werken en risico’s binnen bedrijfs- en financiële processen door deze beheersingsmaatregelen worden gemitigeerd. De laatste jaren neemt deze noodzaak echter toe om de beheersingsmaatregelen op continue basis te toetsen. Een toereikend (continuous) monitoringsmechanisme richt zich op het gehele proces, waarbij uitzonderingen binnen dit proces worden gesignaleerd.

Door het toepassen van continuous monitoring is het mogelijk om tijdens de transactieverwerking geautomatiseerd waarnemingen te doen. Hierbij worden de verschillende verwerkingsstappen en daarbij uitgevoerde interne controlemaatregelen zichtbaar gemaakt. Eventuele deficiënties worden kunnen hierdoor bij de bron worden geïdentificeerd. Hierdoor is vrijwel direct inzichtelijk welke inconsistenties binnen het proces optreden waardoor sneller (proactief) kan worden geanticipeerd op situaties, die de geautomatiseerde gegevensverwerking nadelig kunnen beïnvloeden.

De term continuous monitoring is wel bekend binnen organisaties, maar de implementatie hiervan blijft veelal achterwege. De laatste jaren hebben organisaties veel tijd en geld gestoken in het “in control zijn” voor de aangescherpte wet- en regelgeving (zoals SOx). Nu dit eenmaal is opgezet, zal het interne controle systeem continue onderhevig zijn aan veranderingen. Bij de eerste opzet van het “in control” zijn voor de aangescherpte wet- en regelgeving hebben organisaties er voor gekozen om de volledigheid van de controles als belangrijkste eis te stellen. Dit heeft geresulteerd in een intern controle systeem met veel (vaak handmatige) controles die periodiek dienen te worden doorlopen, wat veel tijd (en geld) kost. Nu is de vraag ontstaan of de organisaties niet “over control” zijn (of er niet irrelevante controlemaatregelen zijn geïmplementeerd om “in control” te zijn) en bestaat de wens om het aantal controles te verminderen en het interne controle systeem zo in te richten dat alleen de strikt noodzakelijke controles worden uitgevoerd. Tijdens de analyse van de restrictie van de controleregels wordt ook bekeken of de uit te voeren controles niet automatisch kunnen worden uitgevoerd, om zo de foutgevoeligheid en de kosten van de handmatige controles op te lossen. Dit heeft tot gevolg dat steeds meer organisatie projecten op zetten om continuous monitoring te implementeren.

Verschillende technieken en ondersteunende applicaties (tools) kunnen worden gebruikt bij de implementatie van continuous monitoring. Tevens kan gebruik worden gemaakt van reeds bestaande functionaliteit die ERP-pakketten bieden op dit vlak. De implementatie van continuous monitoring is van invloed op gehele interne controleraamwerk van de organisatie, dat vaak meerdere processen raakt. Hierdoor dient de implementatie projectmatig en gefaseerd te worden

aangepakt, waarbij diverse partijen binnen de organisatie betrokken zijn. Het verdient aanbeveling zowel techneuten, procesanalisten, financiële analisten en eindgebruikers (vaak lijnmanagers) te laten participeren in de projectgroep.

Bij het toepassen van continuous monitoring kan onderscheid worden gemaakt in diverse niveaus. In dit volwassenheidsmodel kan een bedrijf van het handmatig monitoren groeien naar een continue geautomatiseerd monitoringsproces, waarbij naast het analyseren van gegevens zelfs automatische interpretatie en vertaling naar de juiste actie mogelijkheden worden.

Wij verwachten dat deze trend zich nog de komende jaren zal voortzetten. Niet alleen voor de primaire bedrijfsprocessen, maar ook voor de secundaire bedrijfsprocessen zullen organisaties kiezen voor het implementeren van continuous monitoring. Zeker wanneer blijkt dat tijdens het pilotproject onopgemerkte problemen en/of fouten naar boven komen die tijdens de oude handmatige controles niet opgemerkt waren. Hierbij kunnen grote bedragen zijn gemoeid. Door het management op de hoogte te stellen van deze positieve resultaten zullen zij de voordelen van continuous monitoring inzien en hun support leveren bij verdere implementatie in de andere segmenten van de organisatie. Zij hebben vaak zowel proces- als projectkennis en kunnen eveneens als quality-assurance rol in het project worden betrokken.