• No results found

Continuous solutions

N/A
N/A
Info
Downloaden
Protected

Academic year: 2021

Share "Continuous solutions"

Copied!
61
0
0

Bezig met laden.... (Bekijk nu de volledige tekst)

Download het nu ( 61 pagina )

Hele tekst

(1)

“Continuous monitoring en continuous auditing:

continuous solutions?”

Studenten: J. Jacobs en M. Hoetjes Studentnummers: 9981121 en 9981122

Teamnummer: 612

Afstudeerbegeleider: Drs. B.J. van Staveren RE

Bedrijfscoach: Drs. W.G.M.J. van Haelst RE RA

Examencommissie: Prof. dr. ir. R.Paans RE en P. Harmzen RE RA

Amsterdam, 30 juli 2007

(2)

Voorwoord

Ter afsluiting van onze studie EDP-auditing aan de vrije Universiteit amsterdam hebben wij een scriptie geschreven over de onderzoeksvraag “continuous auditing en continuous monitoring:

continuous solutions?”.

Gezien de actualiteit van het onderwerp en de toenemende vraag binnen organisaties om aantoonbaar “in control” te zijn, vinden wij continuous auditing en continuous monitoring erg interessante ontwikkelingen.

Vanuit de Vrije Universiteit is de heer Bart van Staveren aangewezen als onze afstudeerbegeleider. Wij willen hem bedanken voor de goede inhoudelijke ideeën, uitleg en het doorlezen van onze stukken. Zijn enthousiasme heeft ons enorm gemotiveerd.

Wij willen onze bedrijfsbegeleider Werner van Haelst bedanken voor de uitleg en het lezen van onze stukken. Verder willen we de geïnterviewde personen bedanken voor hun tijd en zienswijze op het onderwerp.

Tenslotte willen we alle (gast)docenten bedanken voor de leerzame colleges die tijdens de postdoctorale opleiding zijn gegeven. Dit heeft vaak geleid tot interessante en vruchtbare discussies.

Meta Hoetjes Jacco Jacobs

Amsterdam, mei 2006

(3)

Management samenvatting Algemeen

De noodzaak voor organisaties om zorg te dragen voor een tijdige en continue verantwoording dat beheersingsmaatregelen effectief werken en waardoor de risico’s binnen bedrijfs- en financiële processen door deze beheersingsmaatregelen worden gemitigeerd, is niet nieuw.

Organisaties staan in de dagelijkse praktijk bloot aan (significante) fouten, frauderisico’s en inefficiënties binnen de bedrijfsprocessen. De aangescherpte wet- en regelgeving heeft vaak grote impact op de interne controle van organisaties. Het systeem voor interne controle moet onder meer fouten en fraude kunnen detecteren en kunnen garanderen dat de juiste informatie op tijd bij de juiste (daartoe geautoriseerde) personen terechtkomt. Het is voor organisaties van belang dat de interne controle zo effectief mogelijk werkt. De toetsing hiervan dient zowel door het management (door monitoring) als door de interne en externe auditor (door audit) te worden verricht. De laatste jaren neemt de noodzaak toe om de beheersingsmaatregelen op continue basis te toetsen. Dit is mede het gevolg van:

• de aangescherpte (externe) wet- en regelgeving (zoals de Sarbanes-Oxley act, hierna te noemen SOx);

• de nieuwe ontwikkelingen op het gebied van corporate governance;

• de globalisering van de bedrijfsactiviteiten en bedrijfsvoering;

• sterkere behoefte aan transparantie en zekerheid en actuele financiële informatie;

• de marktdruk om efficiënter te kunnen opereren om zo de kosten te kunnen beheersen en te kunnen blijven concurreren hierbij speelt ook de vraag naar het reduceren van de kosten voor interne controle .

Continuous auditing

Terwijl een (interne en/of externe) auditor nu periodiek een audit uitvoert op de systemen en de transacties, voorziet continuous auditing in een methode om deze audits meerdere keren per periode (bijvoorbeeld per dag) geautomatiseerd uit te voeren. Continuous auditing is een set van methoden die auditors gebruiken om op een continue en geautomatiseerde basis te auditen. Dit betekent bijvoorbeeld het testen van transacties gebaseerd op vooraf gedefinieerde criteria, waardoor het mogelijk is om tijdens de transactieverwerking geautomatiseerd waarnemingen te doen. Hierbij worden de verschillende verwerkingsstappen en daarbij uitgevoerde interne controlemaatregelen zichtbaar gemaakt en kunnen vervolgens aan controle door de auditor worden onderworpen. Eventuele deficiënties kunnen hierdoor bij de bron worden geïdentificeerd.

De resultaten dienen geëvalueerd te worden door een auditor en te worden gerapporteerd aan bijvoorbeeld het management of Raad van Commissarissen.

Continuous monitoring

Het management van de organisatie voert periodiek (handmatige) monitoringswerkzaamheden uit op de systemen en de transacties. Continuous monitoring voorziet in een methode om deze

(4)

werkzaamheden meerdere keren per periode geautomatiseerd uit te voeren. Continuous monitoring kan worden geïmplementeerd als:

a) de controle activiteit (controleregel). Wanneer een continuous monitoring test controleert op dubbele betalingen, dan is er sprake van een detectieve controle activiteit en dan is het continuous monitoring onderdeel van de COSO component “control activities”.

b) het testen van de controle. Als continuous monitoring wordt ingezet voor het testen van bijvoorbeeld geautoriseerde limieten, dan test het de controle zelf en is het een detectieve controle op de effectiviteit en efficiëntie van het interne controle systeem zelf. Deze manier van testen is onderdeel van de COSO component “monitoring”.

Verschil continuous monitoring en continuous auditing

Continuous auditing wordt door interne en externe auditors gebruikt als een methode voor het uitvoeren van audits op een meer continue basis, terwijl continuous monitoring door het management wordt gebruikt om de controledoelstellingen te behalen. Zowel continuous auditing als continuous monitoring is een proces dat transacties vergelijkt met voorgeschreven criteria (normen), afwijkingen constateert en rapporteert. Bij continuous auditing gebeurt dit onder verantwoordelijkheid van de auditor, bij continuous monitoring ligt de verantwoordelijkheid bij het management. Continuous monitoring kan daarnaast ook worden gebruikt als de COSO component “monitoring” waarbij continuous monitoring wordt gebruikt als een proces om het interne controle systeem zo effectief mogelijk te laten verlopen (het toetsen van de controles zelf).

Relatie continuous monitoring en continuous auditing

Het continuous monitoringsproces kan zowel de organisaties zelf (het management) als de auditors helpen om hun doelstellingen met betrekking tot interne controle te realiseren. Het management is verantwoordelijk voor het implementeren en onderhouden van een effectief interne controle systeem. Continuous monitoring geeft het management zekerheid dat het interne controle systeem effectief werkt en onmiddellijk actie kan worden ondernomen om fouten (in bijvoorbeeld de invoer of verwerking van transacties) te verhelpen, voordat het problemen worden. Interne en externe auditors zijn verantwoordelijk voor het auditen of het management op een verantwoorde wijze haar controle uitvoert. Omdat continuous monitoring onderdeel uitmaakt van het interne controle systeem, dienen auditors zich ervan te verzekeren dat het interne controle proces effectief is en dat erop kan worden gesteund. Wanneer op het continuous monitoringsproces kan worden gesteund, kunnen auditors het resultaat van continuous monitoring gebruiken om de effectiviteit van het interne controle proces te toetsen.

Implementatie van continuous monitoring

Voordat een organisatie begint met het implementeren van continuous monitoring dient allereerst een helder en effectief interne controle systeem (op basis van risico analyse) binnen de organisatie aanwezig te zijn. Voor het opstellen van een dergelijk interne controlesysteem kunnen standaard raamwerken zoals COSO worden gebruikt. Wanneer het interne controlesysteem eenmaal is opgezet en juist (effectief) werkt, wil dit nog niet zeggen dat het efficiënt is. Door de marktdruk om kosten te beheersen en te kunnen blijven concurreren, zal binnen organisaties de vraag ontstaan of het interne controle systeem wel efficiënt is ingericht. Door het uitvoeren van

(5)

een efficiëntie analyse kan worden bepaald dat continuous monitoring moet worden geïmplementeerd. Deze implementatie vindt allereerst als een zogenaamde pilot plaats in een bepaald segment (onderdeel) van de organisatie. Na een succesvolle pilot implementatie kan vervolgens per segment het continuous monitoringsproces verder worden geïmplementeerd binnen de gehele organisatie.

Visie op de toekomst

De term continuous monitoring is wel bekend binnen organisaties, maar de implementatie hiervan blijft veelal achterwege. De laatste jaren hebben organisaties veel tijd en geld gestoken in het “in control zijn” voor de aangescherpte wet- en regelgeving (zoals SOx). Nu dit eenmaal is opgezet, zal het interne controle systeem continue onderhevig zijn aan veranderingen. Bij de eerste opzet van het “in control” zijn hebben organisaties er voor gekozen om de volledigheid van de controles als belangrijkste eis te stellen. Dit heeft geresulteerd in een intern controle systeem met veel (handmatige) controles die periodiek dienen worden doorlopen, wat veel tijd (en geld) kost. Nu is de vraag ontstaan of de organisaties niet “over control” zijn (of er niet irrelevante controlemaatregelen zijn geïmplementeerd om “in control” te zijn) en bestaat de wens om het aantal controles te verminderen en het interne controle systeem zo in te richten dat alleen de strikt noodzakelijke controles worden uitgevoerd. Tijdens de analyse van de beperking van de controleregels wordt ook bekeken of de uit te voeren controles niet automatisch kunnen worden uitgevoerd, om zo de foutgevoeligheid en de kosten van de handmatige controles op te lossen. Dit heeft tot gevolg dat steeds meer organisatie projecten op zetten om continuous monitoring te implementeren.

Wij verwachten dat deze trend zich nog de komende jaren zal voortzetten. Niet alleen voor de primaire bedrijfsprocessen, maar ook voor de secundaire bedrijfsprocessen zullen organisaties kiezen voor het implementeren van continuous monitoring. Zeker wanneer blijkt dat tijdens het pilotproject onopgemerkte problemen en/of fouten naar boven komen die tijdens de oude handmatige controles niet opgemerkt waren waarbij grote bedragen zijn gemoeid. Door het management op de hoogte te stellen van deze positieve resultaten zullen zij de voordelen van continuous monitoring inzien en hun support leveren bij verdere implementatie in de andere segmenten van de organisatie.

(6)

INHOUDSOPGAVE

1 Inleiding 1

1.1 De aanleiding en de doelstelling van het afstudeeronderzoek 1

1.2 De afbakening 2

1.3 De onderzoeksvragen 2

1.4 Het theoretische kader 2

1.5 Leeswijzer 3

2 Definitiestudie continuous auditing en continuous monitoring 4

2.1 Uiteenzetting definitie continuous auditing 4

2.1.1 Achtergrond continuous auditing 6

2.1.2 Ontwikkelingen in continuous auditing 8

2.2 Uiteenzetting definitie continuous monitoring 10

2.2.1 Achtergrond continuous monitoring 12

2.2.2 Ontwikkelingen in continuous monitoring 14

2.3 Onderscheid continuous auditing versus continuous monitoring 16

2.3.1 Vergelijking definities 16

2.3.2 Relatie tussen continuous auditing en continuous monitoring 17 2.3.3 Praktijkvoorbeeld toepassing continuous auditing en continuous monitoring 18

2.4 Conclusie definitiestudie 20

3 Toepassing van continuous monitoring 21

3.1 Inleiding 21

3.2 Implementatie continuous monitoring 22

3.2.1 Tools 22

3.2.2 Implementatiestrategie 24

3.3 Knelpunten/randvoorwaarden toepassing continuous monitoring 26

3.4 Voorbeeld implementatie continuous monitoring 29

3.5 Visie op de toekomst 31

3.5.1 Niveaus van continuous monitoring 31

3.5.2 Ontwikkeling in de tijd 33

3.6 Samenvatting 35

4 Conclusies en aanbevelingen 37

4.1 Conclusies 37

4.2 Aanbeveling 38

(7)

Bijlagen

1 Bijlage I: In control en ERP-systemen

2 Bijlage II: Achtergronden algemeen beheersingskader 3 Bijlage III: Vastlegging interviews

4 Bijlage IV: Geschiedenis CA en CM 5 Bijlage V: Wet- en regelgeving

(8)

1 Inleiding

De scriptie die voor u ligt, vormt het sluitstuk van de postdoctorale EDP-audit opleiding die wij hebben gevolgd aan de Vrije Universiteit te Amsterdam. Op 13 december heeft het curatorium een pilot goedgekeurd om het casusgedeelte van het schriftelijke slotexamen te vervangen door een scriptie. De inhoud en het niveau van de afstudeerscriptie komt overeen met de Post Graduate graad die wordt verleend en bestaat uit:

• een afbakening en analyse van een praktisch relevant probleem uit de werkpraktijk van IT auditing;

• een methodische uitwerking van de oplossing met behulp van actuele “state of the art”

wetenschap.

Deze scriptie geeft een uitwerking hoe continuous monitoring bij bedrijven met een ERP- omgeving kan worden toegepast (zie ook hoofdstuk 1.2). Daarnaast geven wij in deze scriptie onze visie van continuous monitoring op de toekomst weer. Mede gezien continuous monitoring vaak in relatie wordt gezien met continuous auditing, hebben wij dit onderwerp eveneens in deze scriptie uiteengezet.

Dit eerste hoofdstuk zal de context van het afstudeeronderzoek verduidelijken. Als eerste zijn de aanleiding en doelstelling van het afstudeeronderzoek beschreven (zie paragraaf 1.1). Daarna is de afbakening van het afstudeeronderzoek beschreven (zie paragraaf 1.2). Vervolgens is ingegaan op de centrale onderzoeksvraag en de hieruit volgende deelvragen (zie paragraaf 1.3). Het theoretische kader van het afstudeeronderzoek is beschreven in paragraaf 1.4. Tenslotte is een leeswijzer opgenomen voor de volgende hoofdstukken van de scriptie (zie paragraaf 1.5).

1.1 De aanleiding en de doelstelling van het afstudeeronderzoek

De striktere en aangescherpte wet- en regelgeving heeft een duidelijke impuls gegeven aan het belang van een effectief systeem voor interne controle binnen organisaties. Een strategie om een effectief interne controle systeem te implementeren is continuous monitoring, al dan niet aangevuld met continuous auditing. Over deze onderwerpen wordt al jarenlang gesproken maar, door recente veranderingen in de wet- en regelgeving, de ontwikkelingen in de IT en de vraag naar het reduceren van de kosten voor interne controle, gaan organisaties nu over tot daadwerkelijke implementatie. Diverse softwareleveranciers spelen hier op in door ondersteunende software voor continuous monitoring en/of auditing op de markt te brengen.

Door de actualiteit van het onderwerp, is besloten om in onze afstudeerscriptie nader in te gaan op continuous monitoring.

(9)

1.2 De afbakening

Om het afstudeeronderzoek wetenschappelijk uit te kunnen voeren hebben wij ons beperkt tot de definitiestudie van continuous monitoring en continuous auditing. Vervolgens is het onderwerp continuous monitoring nader onderzocht; hoe kan dit concept op een concrete en structurele wijze worden toegepast bij bedrijven met een ERP-omgeving en hoe zal continuous monitoring zich in de toekomst ontwikkelen. Wij hebben ons hierbij gebaseerd op de toepassing van continuous monitoring met betrekking tot een interne controle systeem.

1.3 De onderzoeksvragen

De afstudeerscriptie heeft als doel om een antwoord te geven op de onderzoeksvraag:

"Continuous monitoring en continuous auditing: continuous solutions?”

Hierbij wordt een antwoord gegeven op de vraag of het begrip continuous monitoring ook daadwerkelijk als een structurele oplossing kan worden gezien. Om antwoord te geven op de genoemde onderzoeksvraag worden de volgende deelvragen beantwoord:

1 Wat is continuous auditing en continuous monitoring? (definitiestelling) 2 Wat is het onderscheid tussen continuous auditing en continuous monitoring?

3 Hoe kan het concept van continuous monitoring bij bedrijven met een ERP-omgeving op een concrete en structurele wijze worden toegepast?

Tot slot hebben wij als reflectie beschreven hoe wij denken dat continuous monitoring zich in de toekomst zal ontwikkelen.

1.4 Het theoretische kader

Het theoretische kader van het afstudeeronderzoek is opgebouwd uit een aantal gebruikte methoden en technieken:

• literatuurstudie;

• het houden van interviews;

• brainstormsessies.

Voor de onderzoeksvragen hebben wij de volgende methoden en technieken gebruikt:

1 Wat is continuous auditing en continuous monitoring? (definitiestelling)

Voor deze definitiestelling hebben wij allereerst een literatuurstudie verricht. Tijdens deze literatuurstudie hebben wij diverse vakbladen geraadpleegd zoals “de EDP-Auditor”,

“Information Systems and Controls Journal” et cetera. Daarnaast zijn diverse audit vakgebied gerelateerde internetsites bezocht en wetenschappelijke onderzoeken geraadpleegd. Een overzicht

(10)

van de geraadpleegde literatuur en websites is terug te vinden in de literatuurlijst. Tevens is gebruik gemaakt van collegemateriaal, dat tijdens onze studie is verstrekt.

Vervolgens is een aantal interviews gehouden met medewerkers van (inter)nationale organisaties die, ten tijde van het schrijven van deze scriptie, bezig zijn met het implementeren van continuous monitoring/auditing en met collega EDP-auditors (zowel intern als extern) met als doel informatie te vergaren die niet door de literatuurstudie verkregen kon worden, maar wel van belang zijn voor de beeldvorming van de huidige situatie.

2 Wat is het onderscheid tussen continuous auditing en continuous monitoring?

Voor het beantwoorden van deze deelvraag is deskresearch verricht door het bestuderen van relevante literatuur en collegemateriaal. Tevens is aan diverse personen die zijn geïnterviewd hun visie gevraagd.

3 Hoe kan het concept van continuous monitoring bij bedrijven met een ERP-omgeving op een concrete en structurele wijze worden toegepast?

Voor het beantwoorden van deze deelvraag is tevens deskresearch verricht door het bestuderen van relevante literatuur en collegemateriaal. Daarnaast zijn interviews gehouden met medewerkers van (inter)nationale organisaties die bezig zijn met het implementeren van continuous monitoring/auditing en met collega EDP-auditors (zowel intern als extern).

1.5 Leeswijzer

Deze scriptie is verder als volgt opgebouwd; in hoofdstuk 2 worden de definities van continuous auditing en continuous monitoring uitgewerkt, in hoofdstuk 3 is beschreven hoe continuous monitoring kan worden geïmplementeerd en is onze visie op de toekomst beschreven. Tenslotte is in hoofdstuk 4 de conclusie opgenomen.

(11)

2 Definitiestudie continuous auditing en continuous monitoring

Dit hoofdstuk gaat in op de definities van continuous auditing en continuous monitoring. In paragraaf 2.1 is een uiteenzetting van de definitie van continuous auditing opgenomen, waaronder de achtergrond van continuous auditing (paragraaf 2.1.1) en de ontwikkelingen in continuous auditing (paragraaf 2.1.2). Paragraaf 2.2 gaat in op de definitie van continuous monitoring waarbij eveneens de achtergrond van continuous monitoring (paragraaf 2.2.1) en ontwikkelingen in continuous monitoring (paragraaf 2.2.2) zijn beschreven. Vervolgens is in paragraaf 2.3 het onderscheid tussen continuous auditing versus continuous monitoring beschreven. Tenslotte is in paragraaf 2.4 de conclusie van de definitiestudie opgenomen.

2.1 Uiteenzetting definitie continuous auditing

Binnen de accountancy, consultancy en het bedrijfsleven worden diverse definities van continuous auditing gehanteerd. In deze paragraaf is een aantal gehanteerde definities nader uiteengezet. Achtereenvolgens zijn de gehanteerde definities van de volgende organisaties uiteengezet:

• consultantsbureau (Tryllian);

• Instituut voor Interne Auditors (IIA);

• overkoepelende organisatie voor gecertificeerde information system auditors (ISACA);

• overkoepelende organisatie voor gecertificeerde public accountants (AICPA);

• een grote multinationale (financiële instelling);

• een groot accountantskantoor.

Definitie consultantsbureau

“Continuous auditing is een functionele implementatie van business process monitoring (bpm) en business activity monitoring (bam). Continuous auditing is een set van

methodieken en hulpmiddelen waarbij continu audits worden uitgevoerd op transacties en processen. De verantwoordelijkheid voor het uitvoeren van continuous auditing ligt bij een interne auditor en de externe auditor.”

Bron: www.tryllian.com

Definitie Instituut voor interne auditors

“Continuous auditing is a method used to perform control and risk assessments automatically on a more frequent basis. Continuous auditing changes the audit paradigm from periodic reviews of a sample of transactions to ongoing audit testing of 100 percent of transactions. It becomes an integral part of modern auditing at many levels.”

“Continuous monitoring of controls has to be performed by management of an organization whereas continuous auditing has to be performed under the responsibility of CAE (Chief audit executive) of an internal audit department.”

Bron: the institute of internal auditors: www.theiia.org

(12)

Definitie ISACA

“Continuous auditing has been defined as a methodology or framework that enables auditors (external and internal) to provide written results on the subject matter using one or a series of reports issued simultaneously. The ability to report on events in a real-time or near real-time environment can provide significant benefits to the users of audit reports.

Continuous auditing is therefore designed to enable auditors to report on subject matter within a much shorter timeframe than under the traditional model. Theoretically, in some environments it should be possible to decrease the reporting timeframe to provide almost instantaneous auditing.”

Bron: www.isaca.org

Definitie AICPA

“Continuous auditing is a methodology that enables independent auditors to provide written assurance on a subject matter using a series of auditors’ reports issued simultaneously with, or a short period of time after, the occurrence of events underlying the subject matter.” A continuous auditing relies heavily on information technology. While the continuous auditing concept is over a decade old, rapid advancements in technology have now made continuous auditing more feasible. Examples of this technology include broad bandwidth, web application server technology, web scripting solutions, and ubiquitous database management systems with standard connectivity. “

Bron: AICPA research report

Definitie grote multinational

“Continuous auditing is een methode die in een korte periode op een geautomatiseerde manier de processen en gegevens uit de processen beoordelen aan vastgestelde voorwaarden. Deze werkzaamheden worden uitgevoerd door een interne auditor of de externe accountant die onafhankelijk is, niet direct betrokken is bij het bedrijfsproces en een directe rapportagelijn heeft richting het managementboard ”

Bron: Directeur application management, gehouden interview

Definitie groot accountantskantoor (big-four)

“Continuous auditing is een methodologie waarmee (onafhankelijke) auditors een schriftelijke verklaring over een bedrijfsactiviteit kunnen afgeven, op basis van een reeks controlerapporten die (bijna) gelijktijdig met het plaatsvinden van de bedrijfsactiviteit beschikbaar zijn.

Bron: Partner accountant, gehouden interview

(13)

Conclusie

Uit de diverse definities die door toezichthoudende organisaties, interne audit afdelingen, accountantskantoren, het bedrijfsleven, et cetera worden gehanteerd blijkt het volgende:

• de verantwoordelijkheid van continuous auditing ligt bij de auditor. Deze verantwoordelijkheid kan zowel zijn belegd bij de interne auditor (indien de organisatie beschikt over een eigen onafhankelijk opererende interne audit afdeling) als bij een externe auditor (bijvoorbeeld een accountantskantoor);

• terwijl een interne en externe auditor nu periodiek een audit uitvoert op de systemen en de transacties, voorziet continuous auditing in een methode om deze audits meerdere keren per periode (bijvoorbeeld per dag) geautomatiseerd uit te voeren. De audits die kunnen worden uitgevoerd zijn divers (afhankelijk van het object van onderzoek en de betrouwbaarheidsaspecten);

• continuous auditing is een methodologie waarbij de resultaten van de audit op een bedrijfactiviteit gelijktijdig, of op een korte periode na het plaatsvinden van de bedrijfsactiviteit, beschikbaar zijn;

• het toepassen van continuous auditing kan de betrouwbaarheid van de informatie verhogen, gezien bij het uitvoeren van geautomatiseerde controles een dekking van 100% van de transacties kan worden gerealiseerd;

• continuous auditing kan zowel parallel als simultaan worden uitgevoerd met continuous monitoring, waarbij dezelfde transacties en resultaten kunnen worden gebruikt.

Continuous auditing is een set methoden die auditors (zowel intern als extern) gebruiken om op continue basis te auditen. Dit betekent het detectief testen van transacties gebaseerd op vooraf gedefinieerde criteria. Het identificeren van afwijkingen en het rapporteren hiervan aan het management, Raad van Bestuur (RvB) en/of Raad van Commissarissen (RvC) is de verantwoordelijkheid van de auditor. Hierbij is van belang dat de auditor zich conformeert aan haar beroepsregels bij het uitvoeren van continuous audits en de interpretatie van de resultaten.

De auditor kan onder meer als financial auditor (accountant), EDP-auditor en operational auditor optreden. Dit is afhankelijk van het object en de doelstelling van het onderzoek en de kwaliteitsaspecten waarop de continuous audits worden uitgevoerd.

2.1.1 Achtergrond continuous auditing

In de dagelijkse praktijk dienen organisaties zorg te dragen voor een transparante verantwoording van hun activiteiten en financiën. De externe wet- en regelgeving versterkt deze noodzaak. De interne controlemaatregelen die een organisatie heeft getroffen om haar bedrijfsprocessen te beheersen dienen bij een accountantscontrole en onder meer door de wet- en regelgeving op een periodieke basis te worden getoetst.

(14)

Organisaties hebben in haar controlesysteem vaak relatief veel interne controlemaatregelen geïmplementeerd in informatiesystemen. Van deze specifieke geprogrammeerde controlemaatregelen dient de werking te worden aangetoond.

Randvoorwaardelijk voor het steunen op geprogrammeerde controlemaatregelen zijn effectieve IT general controls (als change management en logische toegangsbeveiliging, zie ook bijlage II).

Het testen van de geprogrammeerde controlemaatregelen (“application controls”) kan op verschillende manieren plaatsvinden (zie bijlage II voor een beschrijving). De “traditionele”

manier van het testen van de beheersingsmaatregelen (controls) vindt plaats op een cyclische basis, vaak een aantal maanden later dan de business activiteiten hebben plaatsgevonden. De testprocedures zijn vaak gebaseerd op een zogenaamde “sampling approach”. Voor EDP-auditors omvat dit vaak het toetsen van de general IT controls, application controls en eventueel zogenaamde IT dependent manual controls (zie ook bijlage II).

De laatste jaren neemt de noodzaak echter toe voor een hoger niveau van assurance en is de vraag ontstaan om de controles op continue basis te toetsen. Deze vraag is mede het gevolg van:

• de aangescherpte (externe) wet- en regelgeving (zoals Sarbanes-Oxley, hierna te noemen SOx, zie ook bijlage V);

• de nieuwe ontwikkelingen op het gebied van corporate governance;

• de globalisering van de bedrijfsactiviteiten en bedrijfsvoering;

• sterkere behoefte aan transparantie en zekerheid en actuele financiële informatie;

• de marktdruk om efficiënter te kunnen opereren om zo de kosten te kunnen beheersen en te kunnen blijven concurreren hierbij speelt ook de vraag naar het reduceren van de kosten voor interne controle .

De toenemende vraag naar een hoger niveau van assurance door zowel het management van de organisatie, de controlerende accountant als toezichthoudende instanties (DNB, AFM, overheid, et cetera) kan leiden tot een hoger kostenniveau voor de organisatie. Afhankelijk van het type controlemaatregel (handmatig, automatisch, zie bijlage II), neemt de frequentie van de toetsing van deze controlemaatregel, die jaarlijks dient te worden uitgevoerd, toe. Daarnaast dienen auditors deze controles op een groot aantal locaties uit te voeren omdat grote multinationals decentraal zijn georganiseerd en beschikken over een grote diversiteit van verschillende soorten informatiesystemen.

Organisaties kunnen een ERP-oplossing hebben geïmplementeerd, maar kunnen tevens beschikken over “legacy”/mainframesystemen die reeds tientallen jaren operationeel zijn, hierdoor kunnen de uit te voeren auditwerkzaamheden worden bemoeilijkt.

Om aan de toenemende vraag aan assurance en interne beheersing op een effectieve en efficiënte (kostenbeheersende) wijze te kunnen voldoen, is het wenselijk om de controles uitgevoerd door auditors op een continue (geautomatiseerde) basis in plaats van op een periodieke (vaak handmatige) basis uit te laten voeren. Bij het uitvoeren van controles op continue basis kan, door het tijdig signaleren van fouten extra aanvullende audit werkzaamheden te verrichten en/of compenserende controlemaatregelen te identificeren, worden vastgesteld of de risico’s daadwerkelijk zijn opgetreden. Daarnaast zal de auditee (de organisatie) sneller en wellicht meer

(15)

nauwkeurig over eventuele geconstateerde deficiënties worden geïnformeerd om zo tijdig een remediation plan op te kunnen stellen.

2.1.2 Ontwikkelingen in continuous auditing

In deze paragraaf is een analyse van de ontwikkelingen in continuous auditing opgenomen vanaf een aantal jaren geleden tot heden.

De noodzaak voor organisaties om zorg te dragen voor een tijdige en continue verantwoording dat controles effectief werken en risico’s binnen bedrijfs- en financiële processen door deze controles worden gemitigeerd is niet nieuw (zie bijlage IV voor de ontwikkeling van continuous auditing en continuous monitoring in de loop der jaren).

In praktijk blijkt dat de interne auditor van grote organisaties (bijvoorbeeld grote multinationals) de beheersingsmaatregelen binnen en rondom de informatiesystemen niet op een jaarlijkse basis testen maar hiervoor een twee- of driejaar cyclus hanteren. Daarnaast blijkt dat een aantal informatiesystemen nog nooit zijn getest (bijvoorbeeld door het uitvoeren van een system audit).

Dit redenen hiervoor zijn divers; vaak zijn capaciteit-, kennis en kosten kwesties de oorzaak van het hanteren van een dergelijke cyclus.

Een hulpmiddel bij bijvoorbeeld het toetsen van beheersingsmaatregelen is het inzetten van audit tools. Audit tools en/of Computer Assistant Audit Techniques (CAAT’s) worden binnen accountantskantoren ook vaak gebruikt voor het uitvoeren van gegevensgerichte werkzaamheden.

Deze werkzaamheden kunnen geautomatiseerd worden uitgevoerd, zodat op een efficiënte manier controles kunnen worden verricht. Hierbij kan worden gedacht aan geautomatiseerde selectie van te controleren transacties door middel van steekproeven of selectie van transacties met bijzondere kenmerken. Tevens kunnen CAAT’s worden ingezet voor bijvoorbeeld het toetsen van de werking van interne controlemaatregelen. Hierbij kan gedacht worden aan het narekenen van complexe berekeningen (met diverse uitzonderingssituaties), excepties, het testen van interfaces, etc. In praktijk blijkt dat de inzet van audit tools en/of CAAT’s eveneens kan worden toegepast voor continuous auditing en continuous monitoring. Immers, deze tools kunnen worden gebruikt om invulling te geven aan een permanente monitoring van het goed functioneren van significante controlemaatregelen. Auditors zijn dan ook bezig om CAAT’s nu zodanig in te richten, zodat het voor continuous auditing doeleinden kan worden gebruikt.

In onderstaand kader is een praktijkvoorbeeld van het toepassen van CAAT’s opgenomen.

Een veelgebruikte preventieve interne controle is het toekennen van belangrijke bevoegdheden in geautomatiseerde systemen aan een specifieke groep personen. In de praktijk blijkt dat vooral het bewaken dat de instelling van deze bevoegdheden correct blijft, lastig is uit te voeren, zeker wanneer het aantal gebruikers groot is. Bijvoorbeeld bij interne jobrotaties binnen (grote) organisaties blijkt dat de “oude” bevoegdheden niet worden verwijderd maar uitsluitend extra autorisaties worden toegekend die nodig zijn voor het uitoefenen van de nieuwe functie. Ook bij

(16)

het (tijdelijk) toekennen van extra hoge bevoegdheden voor bijvoorbeeld het plegen van onderhoud of het corrigeren van inconsistenties in het bedrijfsproces, blijkt in praktijk vaak dat deze bevoegdheden achteraf niet (tijdig) worden ontnomen. In de praktijk heeft de externe auditor met behulp van CAAT’s (in dit geval ACL) een controle uitgevoerd of de gewenste functiescheiding door middel van deze toegangscontrole is gerealiseerd in een omgeving met vele duizenden transacties per dag en een groot aantal gebruikers. Dit heeft de externe auditor gedaan door de transacties van een aantal dagen op te vragen, te analyseren om vervolgens vast te stellen dat invoer en autorisatie van transacties door verschillende gebruikers heeft plaatsgevonden.

Ook bij bijvoorbeeld een inkoopproces zijn CAAT’s bij een organisatie door de externe auditor ingezet door de transactiegegevens te analyseren en excepties in het perspectief te plaatsen van het totale transactievolume. Los van het feit om bijvoorbeeld nadruk te leggen op de tabellen waarin de vaste gegevens (static data) zijn opgeslagen.

Bron: interview partner accountant groot accountantskantoor.

Door de vergaande automatisering van de transactieverwerking en door de integratie van de verschillende verwerkingsstappen is het niet altijd meer mogelijk om met de tot dusverre gebruikelijke controlemiddelen achteraf een goed inzicht te krijgen in de verschillende verwerkingsstappen, inclusief de daarbij uitgevoerde interne controles, die hebben plaats gevonden. Met behulp van continuous auditing is het echter wel mogelijk om tijdens de transactieverwerking waarnemingen te doen, zodat alsnog de verschillende verwerkingsstappen en daarbij uitgevoerde interne controles zichtbaar worden gemaakt en kunnen worden onderworpen aan controle door de auditor. Hierdoor kan de transparantie en zekerheid worden vergroot en zijn de resultaten van de effectiviteit van controlemaatregelen bijna direct zichtbaar, waardoor hier ook op kan worden geanticipeerd.

Door de toenemende behoefte aan actuele financiële informatie, transparantie en zekerheid en het reduceren van de kosten van de auditwerkzaamheden, zal de vraag naar het toepassen van continuous auditing toenemen. Daarnaast neemt de noodzaak toe om aan te kunnen tonen dat organisaties “in control” (zie ook bijlage I) zijn.

Toezichthoudende instanties en organisaties die continuous auditing willen toepassen zullen onder meer eisen dat een deskundige en onafhankelijke auditor de gegevens (over transacties):

• vertrouwelijk behandeld;

• zo efficiënt mogelijk conform onder meer de geldende wet- en regelgeving worden getoetst;

• de integriteit van de gegevens waarborgt.

(17)

2.2 Uiteenzetting definitie continuous monitoring

Voor het begrip continuous monitoring worden diverse definities gehanteerd. Achtereenvolgens zijn de gehanteerde definities van de volgende organisaties uiteengezet:

• consultantsbureau en softwareleverancier(ACL);

• Instituut voor interne auditors (IIA);

• overkoepelende organisatie voor gecertificeerde information system auditors (ISACA);

• een multinational (grote financiële instelling);

• een groot accountantskantoor.

Daarnaast zijn voor het begrip monitoring de gehanteerde definities uiteengezet van de volgende organisaties:

• COSO;

• Federale overheidsdienst financiën België;

Definitie ACL

“Continuous monitoring of controls is a process that management puts in place to ensure that its policies and procedures are adhered to, and that business processes are operating effectively. Continuous monitoring typically involves automated continuous testing of all transactions within a given business process area against a suite of controls rules.”

Bron: www.acl.org

Definitie IIA

“Continuous monitoring refers to the process that management puts in place to ensure that the policies, procedures and business processes are operating effectively”.

Bron: the institute of internal auditors: www.theiia.org

Definitie ISACA

“Continuous monitoring is an automated process that regularly validates the accuracy and/or validity of transactions to provide ongoing feedback/assurance to management as to the effectiveness of internal controls. The end result of continuous monitoring is to obtain information about the performance of a process, system or data, not the issuance of an audit report. As a result, there are key differences.”

Bron: www.isaca.org

Definitie grote multinational

“Continuous monitoring is een methode die in een korte periode op een geautomatiseerde manier de processen en gegevens uit de processen kan beoordelen aan vastgestelde voorwaarden, waarbij deze werkzaamheden worden uitgevoerd door het management al dan niet direct betrokken bij of verantwoordelijk voor het onderhavige bedrijfsproces. Deze methode verhoogt de betrouwbaarheid van de informatie die wordt verstrekt aan diverse

(18)

partijen (bijvoorbeeld rapportages aan het management) gezien de controles worden uitgevoerd op alle ruwe data (transactieniveau).”

Bron: Directeur application management,. gehouden interview

Definitie groot accountantskantoor (big-four)

“Continuous monitoring is niets anders dan continuous auditing, met het verschil dat de verantwoordelijkheid is belegd bij het management en de uitvoering ook plaatsvindt door functionarissen betrokken binnen de bedrijfsprocessen van de organisatie. Bij continuous auditing wordt een (geautomatiseerde) audit uitgevoerd door de auditor.”

Bron: Partner accountant, gehouden interview

Definities monitoring:

Definitie COSO

“Monitoring is a process that assesses the quality of the internal control process over time.

This is accomplished through ongoing monitoring activities, separate evaluations or a combination of the two.”

Bron: www.coso.org

Definitie Federale overheidsdienst financiën België

“Monitoring is het continue proces van overzicht van de consequente en juiste werking van de interne controlemaatregelen. Deze monitoring kan door het management zelf gebeuren of uitbesteed worden aan een onafhankelijk orgaan (bijv. audit). monitoring maakt integraal deel uit van het interne controlesysteem . Bovendien kan het management en het personeel zelf de werking van het intern controle systeem evalueren via een bepaalde methodiek, Control Self Assessment genaamd (CSA).”

Bron: http://minfin.fgov.be

Conclusie

In deze verschillende definities zien we een aantal aspecten terugkomen:

• het is een geautomatiseerd proces (verzameling van gerelateerde activiteiten met hetzelfde doel);

de verantwoordelijkheid van continuous monitoring ligt bij het management van de betreffende organisatie;

de uitvoering kan bij het management liggen, maar kan ook elders in de organisatie zijn ondergebracht of zelfs zijn uitbesteed;

• het toepassen van continuous monitoring kan, net als bij het toepassen van continuous auditing, de betrouwbaarheid van de informatie verhogen, gezien bij het uitvoeren van geautomatiseerde controles een dekking van 100% van de transacties kan worden gerealiseerd;

• het wordt gezien als proces met als doel de bedrijfsprocessen, procedures en policies zo efficiënt mogelijk op te stellen. Hierbij kan gebruik worden gemaakt van geautomatiseerde controles;

(19)

• het verschil tussen continuous monitoring en (standaard) monitoring is dat continuous monitoring een geautomatiseerd proces is waarbij monitoring zelf als een handmatig proces kan worden gezien. Traditioneel wordt periodiek door het management handmatig en achteraf getoetst of haar controlemaatregelen toereikend zijn. In grote organisaties kan dit zijn uitbesteed aan een operational risk management afdeling. De toetsing wordt direct gerapporteerd aan het management. Continuous monitoring vindt weliswaar plaats nadat bijvoorbeeld transacties hebben plaatsgevonden (detectief), maar kunnen gedurende het proces plaatsvinden;

• continuous monitoring wordt in relatie gebracht met interne controle. Interne controle wordt uitgevoerd om te voorkomen dat binnen organisaties door onvolledige of incorrecte gegevens een verkeerd beeld ontstaat, waardoor verkeerde beslissingen kunnen worden genomen. Interne controle heeft als doel om redelijke mate van zekerheid te geven aan het behalen van de bedrijfsdoelstellingen:

• effectieve en efficiënte bedrijfsprocessen;

• betrouwbare en actuele financiële rapportages;

• voldoen aan de geldende wet- en regelgeving.

Naast de terugkomende aspecten, is het opmerkelijk dat continuous monitoring op twee verschillende manieren kan worden geïmplementeerd:

1 als controleactiviteit (controleregel). In dit geval is continuous monitoring onderdeel van de interne controle en wordt gebruikt als een detectieve controle. Een voorbeeld hiervan is een controleregel dat automatisch controleert op dubbele betalingen.

2 als doel om inzicht te verkrijgen in de juiste werking van de interne controle. In dit geval wordt continuous monitoring gebruikt als toetsingsmechanismen van het (gehele) interne controle systeem. Hierbij is continuous monitoring een detectieve controle op de effectiviteit en efficiëntie van het interne controle systeem zelf. Een voorbeeld hiervan is als continuous monitoring wordt ingezet voor het testen van geautoriseerde limieten.

2.2.1 Achtergrond continuous monitoring

Zoals in de vorige paragraaf is aangegeven is continuous monitoring onderdeel van het interne controle systeem. Interne controle dient binnen organisaties altijd aanwezig te zijn, in eerste instantie is het er op gericht om te zorgen dat de interne informatie correct is, zodat het management op basis van juiste gegevens beslissingen neemt. In tweede instantie wordt door interne controle ook de gegevens gecontroleerd die een bedrijf naar buiten brengt.

De aangescherpte wet- en regelgeving (zie bijlage V) heeft vaak grote impact op de interne controle van organisaties. Het systeem voor interne controle moet onder meer fouten en fraude kunnen detecteren en kunnen garanderen dat de juiste informatie op tijd bij de juiste (daartoe geautoriseerde) personen terechtkomt. Het is voor organisaties van belang dat de interne controle zo effectief mogelijk is ingericht en wordt uitgevoerd. Voor het opzetten van effectieve interne controle systemen maken organisaties vaak gebruik van standaard raamwerken. Voorbeelden

(20)

hiervan zijn COSO, COBIT, SAC en SAS90. Deze raamwerken hebben hetzelfde doel, maar de toepassing en de doelgroep verschilt per raamwerk. Zo zijn COSO en COBIT vooral raamwerken die gebruikt worden door het management, terwijl SAC en SAS90 meer gebruikt worden door de (interne en externe) auditors. In alle gevallen geldt dat het management verantwoordelijk blijft voor de interne controle. Voor ons onderzoek hebben wij als voorbeeld het COSO raamwerk verder uitgewerkt.

Veel organisaties kiezen ervoor om het COSO raamwerk voor interne beheersing te implementeren. Dit raamwerk biedt een gestructureerde aanpak van interne controle door het proces onder te verdelen in vijf onderling afhankelijke componenten:

• “Control environment”, deze eerste component kan worden gezien als de basis van het COSO raamwerk. Het omvat de controlecultuur in een organisatie, waaronder de integriteit en de competenties van de leidinggevenden, de managementfilosofie en stijl en de manier waarop verantwoordelijkheden en bevoegdheden toegekend worden.

• “Risk assessment”, de tweede component. Risk assessment begint met het identificeren van risico’s die een rol spelen bij het behalen van de bedrijfsdoelstellingen. Het vereist het evalueren van interne- en externe factoren, en de impact hiervan op de operationele processen, de financiële rapportages en compliance.

• “Control activities”, de derde component. Deze component bestaat uit alle procedures en beleidsmaatregelen die ervoor zorg dragen dat de bedrijfsdoelstellingen worden gehaald.

Deze controle activiteiten dienen door de gehele organisatie te zijn opgenomen en te worden uitgevoerd voor het beheersen en/of mitigeren van de risico’s.

• “Information & communication”, deze vierde component zorgt ervoor dat binnen de organisaties alle personen over de benodigde informatie beschikken om effectief hun verantwoordelijkheden uit te kunnen dragen.

• “Monitoring”, de laatste component waarin ervoor wordt gezorgd dat de interne controls periodiek worden geanalyseerd om te zorgen voor een effectief en efficiënt interne controle systeem.

Bij de COSO componenten “control activities” en “monitoring” kan continuous monitoring een belangrijke rol spelen. Continuous monitoring kan worden geïmplementeerd als:

a) de controle activiteit (controleregel). Wanneer een continuous monitoring test controleert op dubbele betalingen, dan is er sprake van een detectieve controle activiteit en dan is het continuous monitoring onderdeel van de COSO component “control activities”.

b) het testen van de controle. Als continuous monitoring wordt ingezet voor het testen van bijvoorbeeld geautoriseerde limieten, dan test het de controle zelf en is het een detectieve controle op de effectiviteit en efficiëntie van het interne controle systeem zelf. Deze manier van testen is onderdeel van de COSO component “monitoring”.

(21)

2.2.2 Ontwikkelingen in continuous monitoring

Diverse organisaties zijn al jaren bezig om continuous monitoring (zowel als controle activiteit als het testen van de controles) uit te voeren. De eerste vorm van continuous monitoring was het implementeren van code aan bestaande software met als doel dat de software zichzelf periodiek controleerde en analyseerde of er problemen waren. Deze vorm wordt “embedded audit modules”

genoemd, maar het concept is nooit echt aangeslagen omdat het implementeren en het onderhoud teveel kosten met zich mee bracht en het te veel programmeertijd kostte (zie bijlage IV voor de ontwikkeling van continuous auditing en continuous monitoring in de loop der jaren).

Terwijl de technologische ontwikkeling van de technologie en de technologische infrastructuur van bedrijven steeds sneller en beter werd, namen ook de pogingen voor het opzetten van een effectief interne controle systeem toe. Bij grote organisaties werden steeds meer Enterprise Resource Planning (ERP) systemen ingevoerd voor de ondersteuning van haar (primaire) bedrijfsprocessen. Deze ERP-systemen hebben controlemechanismen ingebouwd en kunnen, in de ideale situatie, zo worden ingericht dat deze controlemechanismen een effectief stelsel van geprogrammeerde controlemaatregelen bevat. In de praktijk bleek echter dat tijdens implementaties van ERP-systemen onvoldoende aandacht werd gegeven aan de inrichting van dergelijke controlemechanismen. Zelfs wanneer deze controlemechanismen adequaat waren ingericht, vonden gebruikers na verloop van tijd manieren om deze controlemechanismen te omzeilen of aan te passen. Hierdoor bleef de wens naar een effectief controlemechanisme bestaan.

In de loop der jaren stellen organisaties steeds meer eisen aan de interne controle voor wat betreft juistheid en tijdigheid van informatie. De huidige handmatige monitoringsactiviteiten nemen veel tijd in beslag nemen en, omdat het een manueel proces is, bestaat de kans dat de monitoring fouten bevat of dat fraude niet opgemerkt wordt tijdens het monitoringsproces.

Al deze ontwikkelingen hebben ertoe geleid dat organisaties het nut en de noodzaak van continuous monitoring inzien en deze ook willen implementeren of zelfs al aan het implementeren zijn. Een beschrijving van de manier waarop continuous monitoring kan worden geïmplementeerd is terug te vinden in hoofdstuk 3.

Hieronder volgt een voorbeeld ter illustratie van het toepassen van continuous monitoring binnen een organisatie:

In de “klassieke” manier van “monitoren” zijn de verantwoordelijke functionarissen binnen een organisatie gericht op het periodiek uitvoeren van bepaalde controleactiviteiten. De frequentie van deze controle is afhankelijk van het type bedrijfsproces.

In onderstaand figuur is voor de controleomgeving van de voorraadpositie van een organisatie weergegeven, waarbij op een periodieke basis controleactiviteiten worden uitgevoerd.

(22)

Gedurende een bepaalde periode (t1 – t2) wordt gecontroleerd of de voorraadpositie niet kleiner is dan het geldende acceptatieniveau. Bij de eerste monitoringscontrole (audit 1) is de voorraad toereikend. Bij de tweede monitoringscontrole (audit 2) blijkt echter dat de huidige voorraad beneden het geldende acceptatieniveau ligt. Zoals in het figuur is te zien is het op het moment van controleren de voorraad al enige tijd beneden het acceptatieniveau.

Bij het toepassen van continuous monitoring ziet de figuur er als volgt uit:

In bovenstaande figuur is weergegeven dat de controlewerkzaamheden nu op continue basis (geautomatiseerd) worden uitgevoerd. Op continue basis wordt nu gecontroleerd of de voorraad niet onder het daartoe geldende acceptatieniveau ligt. Mocht blijken dat de positie onder het acceptatieniveau dreigt te komen, wordt dit gesignaleerd en wordt het management tijdig gewaarschuwd.

(23)

2.3 Onderscheid continuous auditing versus continuous monitoring

In de definitiestudie en gehouden interviews is gebleken dat de termen continuous auditing en continuous monitoring veel door elkaar worden gebruikt, maar dat vaak hetzelfde wordt bedoeld.

Toch is wel degelijk een onderscheid tussen de twee termen te maken.

2.3.1 Vergelijking definities

De IIA maakt het volgende onderscheid:

“Continuous monitoring is management-driven and continuous audit is audit-driven.

Continuous monitoring is a process used as part of the control structure part of the COSO monitoring role. Continuous auditing is part of the assurance process — an aspect of audit.”

Bron: the institute of internal auditors: www.theiia.org

Binnen de accountancy is het volgende onderscheid gemaakt tussen continuous auditing en continuous monitoring:

“Continuous auditing is een set methoden die accountants gebruiken om op continue basis te auditen. Dit betekent het testen van transacties gebaseerd op een vooraf gedefinieerde criteria. Het identificeren van afwijkingen en het rapporteren hiervan aan het management en RVC is de verantwoordelijkheid van de accountant.”

“Continuous monitoring is een methode die het management gebruikt om bij te dragen aan zijn vertrouwen in de bedrijfsvoering. Hierbij wordt gefocussed op de controleomgeving als geheel en niet uitsluitend op transacties. Het management is verantwoordelijk voor de beheersing van haar interne controleomgeving.”

Bron: koninklijk Nederlands instituut van Registeraccountants: www.nivra.nl

Voor onze afstudeerscriptie zullen wij de volgende inhoud geven aan deze begrippen:

“Continuous auditing wordt door auditors gebruikt als een methode voor het uitvoeren van audits op een meer continue basis, terwijl continuous monitoring door het management wordt gebruikt om de controledoelstellingen te behalen. Zowel continuous auditing en continuous monitoring zijn processen die transacties vergelijken aan voorgeschreven criteria (normen), afwijkingen constateert en rapporteert. Bij continuous auditing gebeurt dit onder verantwoordelijkheid van de auditor, bij continuous monitoring ligt de verantwoordelijkheid bij het management. Continuous monitoring kan daarnaast ook worden gebruikt als onderdeel van de COSO component “monitoring”, waarbij continuous monitoring wordt gebruikt als een proces om het interne controle systeem zo effectief mogelijk te laten verlopen (hierbij worden de controles zelf getoetst op effectiviteit).”

(24)

2.3.2 Relatie tussen continuous auditing en continuous monitoring

Het continuous monitoringsproces kan zowel de organisaties zelf (het management) evenals de auditors helpen hun doelstellingen met betrekking tot interne controle te realiseren. Het management is verantwoordelijk voor het implementeren en onderhouden van een effectief interne controle systeem. Continuous monitoring geeft het management zekerheid dat het controle systeem effectief werkt en onmiddellijk actie kan worden ondernomen om fouten (in bijvoorbeeld de invoer of verwerking van transacties) te verhelpen, voordat het problemen worden. Interne en externe auditors zijn verantwoordelijk voor het auditen of het management op een verantwoorde wijze haar controle uitvoert. Omdat continuous monitoring onderdeel uitmaakt van het interne controle systeem, dienen auditors zich ervan te verzekeren dat het interne controle proces effectief is en dat erop kan worden gesteund. Hierdoor kunnen auditors het resultaat van continuous monitoring gebruiken om de effectiviteit van het interne controle proces te toetsen.

In onderstaande figuur is de relatie tussen continuous auditing en continuous monitoring weergegeven.

Bron: onderzoeksrapport AICPA

Zelfs wanneer bedrijven continuous monitoring hebben geïmplementeerd, zal er nog periodiek een audit door een auditor moeten worden verricht voor het verkrijgen van assurance. De auditor zal wel deels kunnen steunen op de werking van continuous monitoring. Hierdoor zal de audit effectiever en efficiënt verlopen. Wanneer de auditor zelf gebruik maakt van continuous auditing voor het uitvoeren van de auditing werkzaamheden, wordt ook wel gesproken over “continuous assurance”. Continuous assurance heeft als doel om assurance op een zo effectief, efficiënt en tijdig mogelijke manier te verkrijgen (zie onderstaand figuur).

(25)

Bron: www.iia.org

2.3.3 Praktijkvoorbeeld toepassing continuous auditing en continuous monitoring

In het onderstaande kader is een praktijkvoorbeeld opgenomen voor het toepassen van continuous monitoring binnen een groot verzekeringskantoor in combinatie van continuous auditing door de interne en externe accountant.

Journal entry testing

In 2006 zijn de richtlijnen van de accountantscontrole ten opzichte van het detecteren van fraude aangescherpt. ISA240 schrijft voor dat accountants bij controles van jaarrekeningen over periodes beginnend op of na 15 december 2004 specifieke controlewerkzaamheden opzet om in te kunnen spelen op het risico van doorbreking van interne beheersingsmaatregelen door de leiding van de organisatie. De achtergrond van deze bepaling is dat leidinggevenden vaak in een bijzondere positie verkeren om fraude te plegen, omdat zij in staat zijn direct of indirect de financiële administratie te manipuleren en een jaarrekening op te stellen die frauduleus is beïnvloed door interne beheersingsmaatregelen te doorbreken die voor het overige goed blijken te werken.

Hoewel de omvang van het risico van het doorbreken van interne beheersingsmaatregelen door de leiding verschilt per organisatie, is het risico in alle organisaties aanwezig en vormt het een belangrijk risico voor een afwijking van materieel belang als gevolg van fraude.

Hierdoor zijn de controlewerkzaamheden gericht op journaalposten (‘journal entry testing’) verder uitgebreid. De controlerende accountant is verantwoordelijk voor het uitvoeren van een aantal gedetailleerde analyses op alle journaalposten die zijn geboekt in het controlejaar. Hiertoe is het noodzakelijk een extractie te ontvangen van alle journaalposten uit het grootboek van de organisatie. Bij grote organisaties zal vaak sprake zijn van complexe omgevingen (zoals SAP).

Eveneens zal de omvang van de op te vragen bestanden (vaak uit diverse tabellen) en het feit dat vaak gebruik wordt gemaakt van real-time verwerking van transacties en boekingen (in de financiële wereld ook wel gekenmerkt als ‘straight-through-processing’) de complexiteit van de uit te voeren analyses toenemen.

(26)

Frauduleuze journaalposten of frauduleuze correctieboekingen hebben vaak bijzondere, typerende kenmerken. Dergelijke kenmerken kunnen zijn dat de posten bijvoorbeeld (a) betrekking hebben op daarmee geen verband houdende, ongebruikelijke of zelden gebruikte rekeningen, (b) zijn vervaardigd door personen die gewoonlijk geen journaalposten boeken, (c) zijn geboekt aan het einde van het jaar of als nagekomen posten met nauwelijks of geen toelichting of omschrijving, (d) zijn vervaardigd voor of gedurende het opstellen van de jaarrekening zonder dat rekeningnummers zijn vermeld, of (e) ronde getallen of consistente eindcijfers bevatten.

Binnen een groot verzekeringskantoor is een toepassing geïmplementeerd waarbij automatisch (via de avond batchverwerking) alle journaalposten die een bepaalde dag zijn geboekt in het grootboek worden verzonden naar een separate omgeving op het netwerk. Binnen deze omgeving wordt direct een aantal analyses uitgevoerd op deze journaalposten. De analyses zijn scripts die geautomatiseerd worden toegepast. De analyses hebben onder andere tot doelstelling frauduleuze journaalposten of correctieboekingen te detecteren en zijn gericht op de hierboven genoemde typerende kenmerken. De uitkomsten van de analyses worden vervolgens geautomatiseerd verwerkt in een rapportage, waarin de afwijkingen per analyse op transactie (journaalpost)-niveau zijn opgenomen. Daarnaast bevat de rapportage een overzicht van het totale aantal geleverde boekingen uit het grootboek en de corresponderende bedragen in relatie tot het aantal die zijn geanalyseerd. Hierdoor is de integriteit van de data vast te stellen. De rapportage wordt dagelijks opgevolgd door een speciaal ingerichte afdeling binnen het verzekeringskantoor, dat niet primair verantwoordelijk is voor het productieproces en het boeken van journaalposten in het grootboek.

Daarnaast wordt de rapportage verstrekt aan de het management van de financiële afdeling van het verzekeringskantoor.

Het op continue basis “monitoren” van journaalposten door het management (waarbij uitgevoerd door een afdeling die rapporteert aan dit management) is een toepassing van continuous monitoring.

De rapportage die dagelijks wordt uitgevoerd wordt tevens verstrekt aan de interne audit afdeling van het verzekeringskantoor. Deze afdeling voert tevens een aantal controles uit. Ten eerste toetst zij of het management en de specifiek ingerichte afdeling de rapportages (aantoonbaar) heeft opgevolgd. Dit is een zogenaamde ‘formele controle’, waarbij de interne audit afdeling controleert dat eventuele frauduleuze journaalposten door deze afdeling zijn uitgezocht, zijn verklaard en dat bijvoorbeeld de analyses zijn ondertekend. Daarnaast voert de interne audit afdeling een ‘materiele controle’ uit, waarbij zij zelf de eventuele fraudeleuze journaalposten opgenomen op de rapportages controleert aan de hand van bijvoorbeeld brondocumenten of brongegevens uit onderliggende (aanleverende informatiesystemen). Het op continue basis controleren (auditen) van journaalposten door de interne of externe auditor is een voorbeeld van continuous auditing.

Aandachtspunten voor de interne en externe (EDP)-auditor bij het uitvoeren van de hierboven genoemde controles zijn:

• IT-beheersingsmaatregelen rondom de separaat ingerichte omgeving en de automatisch

(27)

uitgevoerde scripts. De omgeving waarnaar de journaalposten in de batchverwerking automatisch worden overgezet dient bijvoorbeeld niet toegankelijk te zijn voor functionarissen die verantwoordelijk zijn voor het boeken van journaalposten. Daarnaast dient te worden vastgesteld dat de uitgevoerde scripts daadwerkelijk alle (volledigheid) en de correcte journaalposten en bedragen (juistheid) dezelfde dag verwerkt (tijdigheid) en wordt opgenomen op de rapportage.

• de hierboven genoemde controle is een voorbeeld van een IT dependent manual control (zie ook bijlage II). Hierbij dient te worden vastgesteld dat de gegevens opgenomen op de rapportage die aan de diverse partijen wordt verstrekt, integer zijn.

• daarnaast dient uiteraard een effectief stelsel van controlemaatregelen te zijn geïmplementeerd met betrekking tot (a) de informatiesystemen die (geautomatiseerd) boekingen aanleveren aan het grootboek (b) rondom het uitvoeren van handmatige boekingen en correctieboekingen (c) het grootboek (bijvoorbeeld logische toegangsbeveiliging, autorisaties en functiescheiding rondom en binnen het grootboeksysteem).

2.4 Conclusie definitiestudie

Nadat in de voorgaande paragrafen de gehanteerde definities van beide begrippen uiteengezet zijn, kunnen wij concluderen dat door onder meer (1) de toenemende vraag naar assurance en betrouwbaarheid van informatie met (2) zo laag mogelijke kosten en (3) de steeds strenger wordende wet- en regelgeving het voor organisaties van groot belang is te beschikken over een kwalitatief goed en toereikend intern controle systeem. Het systeem voor interne controle moet onder meer fouten en fraude kunnen voorkomen (preventief) en/of achteraf detecteren en kunnen garanderen dat de juiste informatie op tijd bij de juiste, de daartoe geautoriseerde, personen terechtkomt.

Zowel continuous auditing als continuous monitoring kan worden gebruikt als controle activiteit onderdeel van het interne controle systeem. Beide worden ingezet als methode voor het vergelijken van transacties aan vastgestelde criteria (normen/controleregels), constateren afwijkingen en rapporteren deze aan dan wel het management, dan wel de (interne of externe) auditor. Daarnaast kan continuous monitoring ook worden gebruikt om de controles te toetsen met als doel het gehele proces van interne controle zo effectief mogelijk in te richten en wordt het als de COSO component “monitoring” gebruikt. Een auditor kan tijdens een audit steunen op een effectief ingerichte continuous monitoring, wat een vermindering in te besteden tijd en kosten met zich mee kan brengen tijdens reguliere audits.

(28)

3 Toepassing van continuous monitoring

3.1 Inleiding

Zoals beschreven in het vorige hoofdstuk is het voor het management van groot belang dat in haar organisatie een effectief interne controle systeem is geïmplementeerd. Binnen dit interne controlesysteem dienen voldoende en juiste controlemaatregelen te worden toegepast, om ervoor te zorgen dat aanwezige risico’s (zoals financiële, operationele en bedrijfsrisico’s) binnen de bedrijfsprocessen worden gemitigeerd. Deze controlemaatregelen worden, onafhankelijk van het type controle (handmatig of geautomatiseerd), periodiek uitgevoerd. Hierbij is het zelfs mogelijk dat een aantal (handmatige) controles meerdere keren per dag moeten plaatsvinden. (denk hierbij bijvoorbeeld aan het uitvoeren van een tweede controle op de invoer van een polis bij een verzekeringsmaatschappij).

In de praktijk blijkt dat de controlemaatregelen veelal manueel van aard zijn en daardoor tijdrovend en foutgevoelig zijn. In termen van een optimaal effectief audit- en controle proces, heeft deze traditionele werkwijze zeker beperkingen. Om deze beperkingen tegen te gaan en het controlesysteem meer effectief in te richten, kan worden gekozen voor het continue monitoren van de transacties. Hierdoor kan tijdens, of onmiddellijk nadat een transactie heeft plaatsgevonden, de controle worden uitgevoerd waardoor afwijkingen direct worden geconstateerd en gerapporteerd.

Voor grote en middelgrote organisaties worden regelmatig geïntegreerde ERP-systemen regelmatig voor het ondersteunen van de bedrijfsprocessen. Hierbij is het van belang dat het ERP-systeem betrouwbaar, effectief en efficiënt is om “in control” te zijn (zie bijlage I voor een uiteenzetting van de term “in control” gericht op het gebruik van ERP-systemen). Wanneer continuous monitoring wordt ingezet bij organisaties met een ERP-systeem lijkt het dat sprake is van redundantie, immers een ERP-systeem zelf bevat veelal interne controlemechanismen met diverse (geprogrammeerde) controlemaatregelen. In de praktijk blijkt echter dat deze interne controlemechanismen veelal niet (juist) zijn geïmplementeerd of dat de gebruikers manieren hebben gevonden om deze interne controlemechanismen te omzeilen of aan te passen.

Door continuous monitoring binnen ERP-systemen te implementeren worden bovenstaande problemen opgelost waardoor het interne controle systeem betrouwbaarder wordt. Als voorbeeld is in de volgende figuur weergegeven hoe continuous monitoring binnen een ERP-systeem is geïmplementeerd. In deze figuur is weergegeven dat na het uitvoeren van een transactie deze direct wordt getoetst aan de vooraf opgestelde controleregels (normen). Bij een kritische overschrijding van deze controleregels, zal er direct een melding van deze issue naar het management plaatsvinden waarna het management direct actie op de overtreding zal ondernemen.

Wanneer niet een kritische overschrijding, maar bijvoorbeeld een verdachte transactie wordt uitgevoerd wordt door het continuous monitoringssysteem een analyse gedaan van deze transactie met de historische data. Op basis van de uitgevoerde analyse stelt het monitoringssysteem een

(29)

bevinding op. Deze bevinding zal aan het management worden gemeld waarna het management de juiste actie onderneemt.

Bron: onderzoeksrapport ACL

3.2 Implementatie continuous monitoring

Het implementeren van continuous monitoring zal verlopen door middel van een implementatie van een continuous monitoring tool (paragraaf 3.2.1). Het implementatieproces dient te verlopen volgens de standaard implementatieproces stappen verlopen (project voorbereiding, opstellen blueprint, implementatie/bouw, voorbereiden voor go-live, go-live en nazorg). Voor ons onderzoek zijn wij niet concreet op het implementatieproces zelf ingegaan, maar hebben wij de implementatiestrategie met de benodigde mijlpalen (paragraaf 3.2.2) beschreven.

3.2.1 Tools

Voor ondersteuning van het continuous monitoringsproces wordt gebruik gemaakt van continuous monitoring tool(s). Het lijkt een logische stap om voor het continuous monitoringsproces gebruik te maken van de query tools die beschikbaar zijn in het ERP-systeem zelf. Deze query tools kunnen ook gebruikt worden voor het analyseren en monitoren van transacties en data uit het ERP-systeem zelf, maar zal niet data uit andere informatiesystemen (bijvoorbeeld legacy) kunnen analyseren en monitoren. Hierdoor dienen organisaties met

(30)

meerdere (verschillende) informatiesystemen tot aanschaf van een specifieke continuous monitoring tool over te gaan.

Voordat begonnen wordt met de implementatie van het continuous monitoringsproces dient duidelijk te zijn aan welke eisen de tool zal moeten voldoen. Hierbij moet onder meer gedacht worden aan de mogelijkheid van de tool om:

• relaties aan te brengen tussen data uit verschillende bronnen;

• zeer grote data populaties te kunnen verwerken;

• “dataopschoning” te doen zoals het aanpassen van veldlengtes en dergelijke (hierbij dient de data niet verwijderd te worden);

• geautomatiseerd data te kunnen selecteren en testen;

• verschillende rapportage mogelijkheden te kunnen genereren voor het rapporteren van geconstateerde afwijkingen/fouten;

• compatible te zijn met de verschillende soorten data en informatiesystemen (inlezen en analyseren van data uit alle mogelijke informatiesystemen die aanwezig zijn binnen de organisatie).

Voor het kiezen van de ondersteunende tool kan worden gekozen voor een bestaand pakket of het ontwikkelen van maatwerk. De keuze voor standaard tools wordt steeds groter en deze tools beschikken over steeds meer functionaliteiten als:

• evaluatie van het interne controle systeem;

• documenteren van de interne controlemaatregelen;

• flowcharting;

• fraude detectie/preventie (door middel van controleregels);

• real time reporting;

• web based reporting.

Bij het selecteren van een bestaand pakket wordt op basis van de door de organisatie opgestelde eisen en wensen aan de functionaliteit, een pakketselectie traject doorlopen. Naast deze bestaande standaard pakketten kunnen bedrijven ook kiezen om zelf maatwerk software te ontwikkelen.

Uit de gehouden interviews is gebleken dat voor het implementeren van de tools allereerst het interne controle systeem zelf (met alle controlehandelingen en -processen) wordt vastgelegd in de tool. Dit gebeurt in de vorm van het vastleggen van de processtappen en de controleregels.

Vervolgens wordt, door middel van automatische koppelingen met het (ERP-) systeem, de analyses gedaan, afwijkingen gerapporteerd en meldingen verstuurd naar het management. Het opzetten van de tool is een eenmalig proces. Wanneer wijzigingen in de tool (bijvoorbeeld wijzigingen van de controleregels) moeten worden uitgevoerd, dan dient hiervoor door geautoriseerde personen het change managementproces te worden doorlopen. Tevens is de logische toegangsbeveiliging in de tools een aandachtspunt (welke personen zijn geautoriseerd tot het aanpassen van de normen).

Referenties

Download het nu ( PDF - 61 pagina - 1.27 MB )

Outline

Knelpunten/randvoorwaarden toepassing continuous monitoring Ontwikkeling in de tijd Conclusies en aanbevelingen Wet- en regelgeving

GERELATEERDE DOCUMENTEN

THE COSO PERSPECTIVE BLOCKCHAIN AND INTERNAL CONTROL

This paper describes the use of the COSO Internal Control – Integrated Framework (2013 Framework) to evaluate risks related to blockchain 1 in the context of financial reporting

Toepassing van de monitoring component van het COSO-raamwerk

Eén van de grootste kostenposten vormt hierbij het vast- stellen dat de voor de internal control over financial reporting als relevant geïdentificeerde beheersmaatregelen al dan niet

Het COSO-studierapport

Alleen op deze wijze kan het management een duidelijke relatie leggen tussen de taakstellingen van mensen, de manier waarop deze taken worden uitgevoerd en de

Om de controle door de raad. Een onderzoek naar de toepassing van het raadsinstrumentarium voor controle en kaderstelling in de gemeentelijke praktijk

Voor sommige instrumenten zijn voldoende alternatieven – zo hoeft een beperkt aantal mondelinge vragen in de meeste gevallen niet te betekenen dat raadsleden niet aan hun

De rol van de provincies in het sociale domein

Deze middelen worden ingezet voor het integreren van de sociale pijler (onder andere wonen – welzijn – zorg) in het beleid voor stedelijke vernieuwing en voor

Het imago van de publieke sector als werkgever

Wij hebben voor vijf groepen nagegaan hoe zij zich tol het overheidsimago verhouden: vrouwen, jongeren, hoog opgeleiden, werknemers in de publieke sector ('ambtenaren') en mensen

Tonen van de Top: De rol van topambtenaren in het integriteitsbeleid

Dergelijke inbedding (a) onderstreept de relevantie van integriteit in het dagelijkse werk, (b) draagt bij aan verdere normalisering van het gesprek over integriteit, (c) kan

De GBA als basisregistratie: Onderzoek naar het gebruik van de GBA

Ongeveer driekwart geeft aan de GBA in alle relevante werkprocessen te gebruiken.De gemeenten die nog niet in alle relevante werkprocessen de GBA gebruiken (28%), geven daarvoor de