Rijksuniversiteit Groningen
Faculteit Economie en Bedrijfskunde
Opleiding: MSc Accountancy & Controlling
Student: Vera Keidel
Studentnummer: 1686895
Titel afstudeeropdracht: Continuous Monitoring
Maand en jaar: juni 2012
Afstudeerbegeleider: Jim Emanuels
Tweede begeleider: Erik Rutkens
Code: 06121686895
Samenvatting: In deze scriptie komt mijn onderzoek naar continuous monitoring
aan bod. Met behulp van theoretische modellen wordt bekeken hoe continuous
monitoring in de praktijk kan worden toegepast. Daarnaast worden er manieren
gezocht om continuous monitoring aantrekkelijker te maken om te
implementeren en te gaan gebruiken.
pag. 1
RIJKSUNIVERSITEIT GRONINGEN
Continuous Monitoring
Hoe kan het aantrekkelijker gemaakt worden?
29-6-2012
Auteur:
V.J. Keidel
Nijlânsdyk 187c, 8931 GE Leeuwarden
verakeidel@gmail.com
Studentnummer:
1686895
Opleiding:
Master of Science Accountancy & Controlling
Onderwijsinstelling: Rijksuniversiteit Groningen
Begeleider:
Dhr. prof. dr. J.A. Emanuels
pag. 2
‘Either way, I'm going out of my mind all the answers to my questions
I have to find’ – All Saints
Voorwoord
Voor u ligt het product van mijn afstudeeronderzoek ten behoeve van de studie MSc Accountancy & Controlling, richting Accountancy.
Terugkijkend op het proces besef ik dat mijn kennis over het onderwerp, continuous monitoring, tijdens het schrijven van deze scriptie enorm gegroeid is. Toen ik in mei 2011 startte met mijn afstudeeronderzoek naar continuous monitoring, op aanraden van dhr. Emanuels, had ik er maar enkele keren iets over gehoord of gelezen. Sindsdien heb ik er veel over gelezen, onderzocht, geleerd en natuurlijk geschreven.
Overal komt een einde aan en zo ook aan dit afstudeeronderzoek. Omdat ik het nooit allemaal alleen had kunnen doen, wil ik in de eerste plaats bedanken dhr. Emanuels, voor zijn inspiratie, kritische blik op de zaken en alle feedback die hij heeft gegeven en mij steeds weer verder op weg heeft geholpen. Ook de tweede begeleider, dhr. Rutkens bedank ik voor zijn feedback. Vervolgens wil ik de mensen die ik heb geïnterviewd, te weten, Louis van Vliet, Lex van der Drift en Anton Lissone, bedanken voor hun input, inspiratie en tijd. Ook mijn collega-scriptant, Steven Visser, bedank ik voor zijn morele en inhoudelijke steun. Als laatste wil ik nog een aantal verstandige leken bedanken voor het nalezen van de scriptie en de feedback die zij hierbij gegeven hebben.
Bij deze is mijn studieperiode aan de Rijksuniversiteit Groningen ten einde. Ik kijk terug op bijna vijf leerzame jaren, waarin mijn kennis gegroeid is en waarin ik zelf als persoon een grote ontwikkeling heb doorgemaakt op verschillende gebieden.
Ik hoop dat de lezers van dit stuk ervan zullen leren en er door geïnspireerd raken.
Leeuwarden, 29 juni 2012 Vera Keidel
pag. 3
Inhoudsopgave
Hoofdstuk 1 Inleiding 1.1 Introductie 4 1.2 Relevantie en motivatie 5 1.2.1 Aanleiding 5 1.2.2 Relevantie 5 1.3 Structuur 6Hoofdstuk 2 Probleemstelling en Onderzoeksopzet
2.1 Doel en probleemstelling 7
2.2 Definities 7
2.3 Onderzoeksopzet 9
Hoofdstuk 3 Wat is in de literatuur bekend over continuous monitoring?
3.1 Continuous Monitoring 11
3.2 Modellen voor Continuous Monitoring 13
Hoofdstuk 4 Waarom gebruiken bedrijven continuous monitoring?
4.1 Exploratief onderzoek 18
4.2 Opzet interviewvragen 18
4.3 Relevante informatie 20
Hoofdstuk 5 Model continuous monitoring 24
Hoofdstuk 6 Empirische toets
6.1 Methode van dataverzameling en toetsing 27
6.2 Toetsing model met case Siemens 27
6.3 Toetsing model met case HSP 28
6.4 Toepasbaarheid model 29
Hoofdstuk 7 Conclusies en aanbevelingen
7.1 Conclusies 30
7.2 Vervolgonderzoek 31
7.3 Beperkingen onderzoek 31
Referenties 33
Bijlage 1 – Interview met Louis van Vliet 35
Bijlage 2 – Interview Lex van der Drift 39
pag. 4
1. Inleiding
1.1 – Introductie
Organisaties willen steeds meer, vaker en beter inzicht hebben in de betrouwbaarheid van hun (financiële) processen. Dit komt voornamelijk doordat stakeholders hierom vragen en de wet- en regelgeving dit voor beursgenoteerde bedrijven voorschrijft. Mede door deze druk van binnen en buiten organisaties zijn continuous auditing en continuous monitoring ontstaan.
Bij continuous auditing en monitoring gaat het om de mogelijkheid voor het management en de (externe) accountant om op elk moment vast te kunnen stellen of de beheersingsmaatregelen, waarvan een voorbeeld hieronder wordt beschreven, goed functioneren en de organisatie in control is. In de praktijk gebeurt dit met behulp van IT-systemen.
Een voorbeeld van een beheersingsmaatregel is een kredietcontrole van afnemers in het verkoopproces binnen een bedrijf. Voordat een verkooporder mag worden verwerkt, moet eerst worden gecontroleerd of de afnemer geen grote betalingsachterstanden bij het betreffende bedrijf heeft. Dit kan handmatig plaatsvinden, door de medewerkers op de administratie. Dit is erg tijdrovend en in de praktijk gebeurt het niet altijd. Ook kan deze controle worden gedaan door een geautomatiseerd systeem, op het moment dat een verkooporder wordt ingevoerd. Het systeem toetst daarbij het krediet van de betreffende afnemer aan het vooraf ingevoerde maximaal toegestane krediet van deze afnemer. Wanneer het maximale krediet al is bereikt, blokkeert het systeem automatisch de verkooporder. Het systeem houdt op een lijst bij welke orders zijn geblokkeerd en zendt deze door aan de
verantwoordelijke manager. Dit is een voorbeeld van de toepassing van continuous monitoring. Door een beheersingsmaatregel als deze wordt voorkomen dat de organisatie niet onnodig veel openstaande debiteuren heeft, die wellicht niet meer in staat zijn om aan hun verplichtingen te voldoen. Dit proces valt onder de verantwoordelijkheid van het management en is daarom een voorbeeld van continuous monitoring. Wanneer de interne of externe accountant steunt op dit soort beheersingsmaatregelen, is sprake van continuous auditing. Continuous auditing steunt daarom idealiter op continuous
monitoring.
Continuous auditing en continuous monitoring zijn, vanwege het uitvoeren van processen door een systeem in plaats van door mensen, een andere manier van controleren van gegevens en controls dan de traditionele controlemethoden. Bij de traditionele methoden worden namelijk, vaak door middel van steekproeven, handmatig gegevens en controls getest. Bij continuous monitoring worden alle eventuele onregelmatigheden ten opzichte van de vooraf vastgestelde toetsingskaders direct herkend en zonodig snel hersteld, terwijl deze bij de traditionele audit op zijn vroegst bij kwartaalcontroles aan het licht komen. Daarnaast is realtime informatie altijd beschikbaar voor de verantwoordelijke
managers, zodat zij continu op de hoogte zijn van de stand van zaken bij hun bedrijf. In hoofdstuk 2.2 worden de begrippen nader gedefinieerd.
Onder andere Pieter de Kok (aanvoerder Tuacc) noemde in Accountancynieuws1 continuous auditing als toekomstige vervanging van het houden van steekproeven door accountants. Dit geeft aan dat continuous auditing en monitoring de interesse hebben van accountants en bekendheid aan het verwerven zijn.
1
pag. 5
In de wetenschappelijke literatuur blijkt al het een en ander geschreven te zijn over continuous monitoring en auditing sinds de jaren ‟80 van de vorige eeuw. Echter, de toepassing in de praktijk loopt hier nog op achter, zoals zal blijken in de hoofdstukken 3 en 4. Toch is er, mede door de regelgeving zoals SOx, Basel en Solvency meer belangstelling vanuit het bedrijfsleven voor continuous monitoring gekomen. Of deze belangstelling zal leiden tot een brede implementatie van continuous monitoring, valt te betwijfelen. Vooralsnog blijven de meeste bedrijven de kat uit de boom kijken voor wat betreft een pilot of volledige implementatie van continuous monitoring.
Onderzoek van KPMG Advisory (2010) liet zien dat in Nederland nog slechts 3% van de grotere ondernemingen continuous auditing en/of monitoring heeft geïmplementeerd. Hier tegenover staat dat 21% van deze steekproef al wel pilots aan het uitvoeren is. Deze scriptie gaat in op ondernemingen die continuous monitoring al gebruiken, welke ervaringen zij ermee hebben, en in hoeverre hun
ervaringen in de praktijk aansluiten bij modellen die zijn ontwikkeld vanuit de theorie. In deze scriptie wordt niet verder ingegaan op continuous auditing. Dat wordt namelijk behandeld in de scriptie van mijn collega-student Steven Visser.
1.2 – Relevantie en motivatie
In deze paragraaf wordt ingegaan op de aanleiding en motivatie van dit onderzoek. Vervolgens komen de wetenschappelijke en praktische relevantie aan bod.
1.2.1 – Aanleiding
In 2010 bracht KPMG Advisory een publicatie uit over een onderzoek dat zij hebben gedaan naar de (toen) huidige status en de mate van implementatie van continuous monitoring en continuous auditing bij Nederlandse bedrijven. Hieruit bleek dat slechts 3% van de ondervraagden, bijna zonder
uitzondering grote bedrijven, continuous monitoring geïmplementeerd heeft. Daarnaast overweegt 40% van de ondervraagden om continuous monitoring te implementeren. Al in 1991 schreven Vasarhelyi et al. dat de enige moeilijkheden die konden spelen bij de implementatie van continuous monitoring voornamelijk lagen bij het feit dat er toen hiervoor geen goede instrumenten beschikbaar waren en dat auditors vaak nog weinig ervaring hadden als auditor van geautomatiseerde systemen en daarom weinig relevante vakkennis bezaten. Naar hun idee zouden continuous auditing en monitoring snel breed kunnen worden geïmplementeerd, omdat deze problemen relatief gemakkelijk op te lossen zouden zijn. Dit duidt op een gebrek in overeenstemming tussen theorie en praktijk, waardoor de vraag rijst waarom de daadwerkelijke doorbraak van de implementatie van continuous monitoring nog op zich laat wachten.
Geconcludeerd kan worden dat er momenteel nog een kloof zit tussen wat wetenschappers zeggen over wat de mogelijkheden zijn enerzijds, en wat de werkelijke stand van zaken in het bedrijfsleven is anderzijds. Bovenstaande geeft de aanleiding tot het formuleren van de probleemstelling in paragraaf 2.1.
1.2.2 – Relevantie
Deze scriptie is om meerdere redenen een aanvulling op bestaand onderzoek. Ten eerste is er nog weinig onderzoek, zowel kwalitatief als kwantitatief, gedaan naar bedrijven die continuous monitoring hebben geïmplementeerd en naar de praktische toepassing van continuous monitoring. Mogelijk kan na meer onderzoek een antwoord op de vraag worden gegeven waarom nog steeds niet op grote schaal gebruik wordt gemaakt van continuous monitoring en hoe dit aantrekkelijker kan worden gemaakt voor bedrijven.
pag. 6
Ten tweede is er in de huidige literatuur geen model beschikbaar dat laat zien hoe continuous monitoring in bedrijven kan worden toegepast, waarin tevens de verantwoordelijkheden van de verschillende functionarissen verwerkt zijn. Het doel van dit onderzoek is daarom mede om een model op te stellen, dat deze verantwoordelijkheden van de verschillende functionarissen wel laat zien. Om tot een dergelijk model te komen zullen modellen uit de huidige theorie worden gecombineerd met informatie van bedrijven die al continuous monitoring hebben geïmplementeerd. Aan de hand van reeds uitgevoerde casestudies zal dit model vervolgens worden getest.
1.3 – Structuur
De rest van deze scriptie is als volgt opgebouwd. In hoofdstuk 2 zullen de probleemstelling en de onderzoeksopzet worden besproken. In hoofdstuk 3 is een uiteenzetting van de relevante literatuur opgenomen. In hoofdstuk 4 komt de input van de gehouden interviews aan bod. Vervolgens komt in hoofdstuk 5 de ontwikkeling van het model naar voren, dat op basis van de voorgaande twee
hoofdstukken wordt opgezet. In hoofdstuk 6 wordt dit model empirisch getoetst aan de hand van reeds uitgevoerde casestudies. In hoofdstuk 7 volgt de conclusie, waarin antwoord zal worden gegeven op de hoofdvraag. Ook worden de beperkingen van dit onderzoek aangegeven en vervolgens de aanbevelingen en mogelijkheden voor volgend onderzoek.
pag. 7
2. Probleemstelling en Onderzoeksopzet
In dit hoofdstuk komen als eerste het doel en de probleemstelling van deze scriptie aan bod. De probleemstelling wordt opgeknipt in een aantal deelvragen. Vervolgens worden de definities van veelvoorkomende begrippen nader toegelicht. Daarna wordt in paragraaf 3 de opzet van het onderzoek besproken.
2.1 – Doel en probleemstelling
Het doel van deze scriptie is 1) er achter te komen waarom continuous monitoring nog niet wordt toegepast door alle grote bedrijven, terwijl er volgens de literatuur nog maar weinig drempels zijn om continuous monitoring te gaan implementeren, 2) te ontdekken hoe continuous monitoring kan worden toegepast in het bedrijfsleven en 3) een model ontwikkelen vanuit de literatuur en praktijk, en deze te toetsen aan de hand van reeds uitgevoerde casestudies. Tevens dient deze scriptie als basis voor nader onderzoek over de toepassing van continuous monitoring.
Om bovenstaande doelstellingen te kunnen realiseren, staat de volgende hoofdvraag centraal in deze scriptie:
Hoe kan continuous monitoring aantrekkelijker worden voor bedrijven om toe te passen? Deze hoofdvraag zal in de conclusie worden beantwoord. Om de hoofdvraag gemakkelijker te kunnen beantwoorden, is deze opgeknipt in verschillende deelvragen, die luiden als volgt:
1. Wat is er in de huidige literatuur bekend over continuous monitoring?
2. Welke redenen hebben bedrijven om continuous monitoring wel of juist niet te gaan implementeren? 3. Hoe kan continuous monitoring worden toegepast?
4. In hoeverre sluit de bestaande literatuur aan op situaties in de praktijk en wat zijn de consequenties hiervan?
De beantwoording van de deelvragen komt aan bod in de hoofdstukken waar wordt ingegaan op de betreffende vraag. Naar de manier waarop een antwoord zal worden gezocht op de hoofd- en deelvragen wordt nader ingegaan in paragraaf 2.3, „Onderzoeksopzet‟.
2.2 – Definities
In deze paragraaf worden de veelvoorkomende begrippen, die worden gebruikt in deze scriptie, gedefinieerd en toegelicht.
Continuous monitoring wordt door Coderre (2006) gedefinieerd als het proces, dat onder verantwoordelijkheid van het management wordt uitgevoerd, om te kunnen verzekeren dat de bedrijfsprocessen effectief verlopen. In de praktijk komt het er op neer, dat continuous monitoring wordt uitgevoerd met behulp van een systeem, dat de bedrijfsprocessen langs een vooraf vastgesteld normenkader legt, en zo beoordeelt of de bedrijfsprocessen op de juiste manier worden uitgevoerd. Wanneer dit niet het geval is, dan geeft het systeem een melding aan de verantwoordelijke van het proces. De effectieve bedrijfsvoering is een taak van het management, vandaar ook dat continuous monitoring onder de verantwoordelijkheid van het management wordt uitgevoerd.
pag. 8
Bovenstaande is in tegenstelling tot continuous auditing. Bij continuous auditing wordt volgens onder andere Henrickson (2009) juist de verantwoordelijkheid bij de afdeling internal audit of de externe accountant neergelegd. Henrickson geeft aan dat hiermee het belangrijkste onderscheid tussen continuous monitoring en auditing gemaakt wordt.
Kogan et al. (1999) zien continuous auditing als een soort auditen waarbij de resultaten tegelijk met, of korte tijd na, het plaatsvinden van de relevante gebeurtenis bekend worden. Daarbij vinden zij dat het woord „instant‟ (direct klaar) meer van toepassing dan ‟continuous‟ (altijd gaande), omdat het gaat om een geautomatiseerd proces met toegang tot de relevante gebeurtenissen op elk gewenst moment. Het Canadian Institute for Chartered Accountants (CICA) definieert continuous auditing als „een methodologie die onafhankelijke accountants in de gelegenheid stelt om hun auditrapporten
tegelijkertijd met, of kort na de gebeurtenissen te kunnen maken‟. Het Instituut van Internal Auditors Nederland (IIA) heeft een soortgelijke definitie, met daarnaast de opmerking dat technologie een onmisbare factor is in continuous auditing.
Volgens Coderre (2006) is het noodzakelijk dat het systeem van continuous monitoring eerst goed werkt, voordat continuous auditing volledig kan worden toegepast. Continuous auditing steunt namelijk op de processen van continuous monitoring.
In de literatuur wordt ook wel de term continuous assurance gebruikt. Dit onderscheidt zich van continuous monitoring en continuous auditing: het is een uitbreiding van deze begrippen. Alles et al. (2002) definiëren continuous assurance als het geven van zekerheid, vanuit een onafhankelijke en professionele opstelling, op elk gewenst moment, over elk mogelijk type informatie. Continuous assurance onderscheidt zich volgens hen van continuous auditing op het punt van het type informatie. Continuous auditing geeft vanuit een onafhankelijke positie zekerheid over de wettelijke vastgestelde controles, zoals de jaarrekening en SOx-controls; continuous assurance is veel breder. Wel geven zij aan dat de termen vaak door elkaar worden gebruikt.
Vasarhelyi et al. (2010) definiëren continuous assurance als het geautomatiseerd auditen van
gegevens, waarbij de resultaten op elk gewenst moment beschikbaar zijn. Dit kan dus, afgaand op deze definitie om alle soorten gegevens gaan. Zij zien continuous assurance als een mooie benadering op zich, maar waarschuwen wel dat het enkel een technologische / methodologische tool is. Het is niet is staat om fraude en materiële fouten, zoals die gemaakt zijn bij banken als Freddie Mac, Lehman Brothers en Fannie Mae, te voorkomen, tenzij de ontwerpers van het systeem de risico‟s van dit soort fouten zien aankomen, opnemen in de vooraf vastgestelde normenkaders waaraan de gegevens getoetst worden en laten monitoren.
In dit onderzoek wordt de definitie voor continuous assurance van Alles et al. (2002) aangehouden namelijk, continuous assurance als verbreding in controleobject ten opzichte van continuous auditing. Deze definitie ligt in lijn met die van Vasarhelyi et al. (2010), maar is explicieter geformuleerd. Continuous monitoring en auditing kunnen volgens Chan en Vasarhelyi (2011) worden opgedeeld. Enerzijds kan het zich richten op controls, anderzijds op data. Wanneer continuous monitoring zich richt op de beheersing van controls, dan is sprake van continuous control monitoring (CCM). Chan en Vasarhelyi (2011) definiëren CCM als een control waarbij acties die werknemers doen worden vergeleken met vooraf vastgestelde regels. Hierbij kan gedacht worden aan in de inleiding genoemde control die zegt dat bij een verkooporder eerst een kredietcheck van de afnemer gedaan moet worden, waarbij een maximum bedrag is vastgelegd. Wanneer een verkooporder wordt ingevoerd zonder dat de kredietcheck is gedaan, geeft het systeem een seintje aan de verantwoordelijke van het proces, of een harde melding, zodat het proces niet verder kan.
pag. 9
Wanneer een continuous monitoring systeem ingericht wordt om data te controleren, is sprake van continuous data assurance (CDA). Chan en Vasarhelyi (2011) zien continuous data assurance (CDA) als proces waarin de ongeaudite gegevens en details, worden vergeleken met vooraf vastgestelde normen.
Het verschil tussen CCM en CDA zit hem in het feit dat bij CCM processen worden gecontroleerd, terwijl bij CDA alleen data wordt vergeleken met de van toepassing zijnde normen. CCM vindt plaats tijdens of kort na het proces; CDA kan alleen achteraf plaatsvinden. Daarmee kan CDA alleen
correctief gebruikt worden: alle afwijkingen opsporen en vervolgens waar nodig verbeteren. CCM gaat dus verder in het verschaffen van informatie over al dan niet in control zijn.
Tussen de wetenschappers bestaan verschillende meningen over wanneer een audit continu is en wanneer periodiek. Chan en Vasarhelyi (2011) zien de periodieke/traditionele audit als een proces dat vaak op jaarlijkse basis plaatsvindt en pas als het proces al is geweest. Wanneer processen niet verlopen zoals gewenst is, kan dit maandenlang spelen zonder dat dit ontdekt wordt. Zij definiëren continuous audit of monitoring als controle die frequent of continu plaatsvindt. Zij maken dus geen onderscheid tussen echt continu of vaak. Bijzondere transacties kunnen direct worden geïsoleerd door het systeem en later worden bekeken en beoordeeld door auditors. Zij brengen vervolgens rapport uit aan het verantwoordelijke management. Op deze manier, door de processen al te controleren terwijl ze nog niet zijn afgelopen, wordt auditing meer proactief dan reactief.
In de interviews, die worden behandeld in hoofdstuk 4, kwam de visie naar voren dat wanneer bijvoorbeeld eens per drie maanden controls worden uitgevoerd, dit ook onder „continuous‟ kan vallen.
Zoals hierboven genoemd, kunnen processen al gecontroleerd worden terwijl ze nog niet zijn afgelopen. Het nadeel van dit real-time auditing, het direct op de hoogte zijn en inspelen op afwijkingen die het systeem aangeeft, is dat het niet altijd kostenefficiënt is, daarom is het vooral bruikbaar in bedrijfsprocessen waarin grote risico‟s spelen (Chan en Vasarhelyi 2011).
2.3 – Onderzoeksopzet
Om tot een antwoord op de probleemstelling en de deelvragen uit paragraaf 2.1 te komen, is een model ontwikkeld. Dit model wordt geïntroduceerd in hoofdstuk 5. Het model is afgeleid uit de theorie, aangevuld met behulp van bevindingen uit de praktijk, die door middel van interviews zijn verzameld. Er is voor interviews als methode van dataverzameling gekozen om verschillende redenen. Ten eerste is het voor dit onderzoek interessant om diep in te gaan op de materie. Hiervoor leent het houden van enquêtes zich niet. Tevens is maar bij enkele bedrijven in Nederland de implementatie en toepassing van continuous monitoring een feit (KPMG, 2010). Daarnaast is het opnemen en analyseren van verschillen in de mate van interne beheersing tussen bedrijven met en zonder continuous monitoring is op dit moment niet zinvol, vanwege de vele andere factoren die invloed hebben op de mate van interne beheersing.
Voor de ontwikkeling van het model is het belangrijk om continuous monitoring vanuit verschillende hoeken te bekijken. Daarom vinden er interviews plaats met zowel een bedrijf dat continuous
pag. 10
Nadat het model is ontwikkeld met behulp van theorie en aangevuld met bevindingen uit de praktijk, zal dit empirisch worden getest op basis van de casestudies van Alles et al. (2006) en Alles et al. (2008). Dit om vast te kunnen stellen of het model in deze casestudies net zo blijkt te werken als geschetst wordt bij de ontwikkeling.
Mijn medestudent Steven Visser onderzocht voor zijn scriptie continuous auditing. In mijn scriptie wordt alles vanuit het management bekeken, Steven doet ditzelfde voor de interne en externe accountant. Het afnemen van de interviews hebben we gezamenlijk gedaan. Naar aanleiding van de interviews heeft hij bekeken wat de rol van de interne en externe accountant is; ik ben ingegaan op de rol van het management.
pag. 11
3. Wat is in de literatuur bekend over continuous monitoring?
In dit hoofdstuk wordt de literatuur over het onderwerp continuous monitoring uiteengezet. Daarmee wordt in dit hoofdstuk een antwoord gezocht op deelvraag 1 uit paragraaf 2.1.
In de literatuur worden verschillende definities gehanteerd voor continuous monitoring. Sommige auteurs bedoelen met „continuous auditing‟ ook zaken die volgens de eerder genoemde definitie vallen onder continuous monitoring. Omdat er geen eenduidige definities worden gebruikt in de literatuur, wordt alle voor dit onderzoek van toepassing zijnde literatuur beschreven, passend binnen de definitie uit paragraaf 2.2, ongeacht of de schrijver dit continuous monitoring of continuous auditing noemt. Zoals genoemd in paragraaf 2.2. steunt continuous auditing volgens Coderre (2006) op continuous monitoring, dus als er continuous auditing wordt gebruikt, is de kans groot dat er ook continuous monitoring wordt toegepast.
3.1 – Continuous monitoring
Aan het begin van de jaren ‟70 van de vorige eeuw begon de behoefte aan en de discussie over continuous monitoring te groeien door de ontwikkeling van Electronic Data Processing (EDP). In de wetenschappelijke literatuur is met het artikel van Groomer en Murthy (1989) het begin van
onderzoekspublicaties over continuous monitoring aan te merken. Zij onderzochten een manier om grote databases te auditen met behulp van ingebedde auditmodules in de programma applicaties. Vasarhelyi et al. (1991) deden later ook onderzoek naar het auditen van databases. In het artikel wordt eerst uitgelegd waarom het belangrijk is om continuous auditing te gaan gebruiken bij het auditen van grote databases. Vervolgens maken de auteurs een vergelijking tussen de continuous auditing
methodologie die zij gebruiken in twee praktijkvoorbeelden en de traditionele auditing methodes. Verder gaan de onderzoekers in op de implementatie van continuous auditing in de praktijk. De conclusie van het artikel was dat destijds de enige moeilijkheden die konden spelen bij implementatie voornamelijk lagen bij het feit dat er toen geen goede instrumenten en technieken beschikbaar waren en dat auditors vaak korte ervaring hadden in het vak, dus weinig vakkennis bezaten.
Later in 1991 werd een artikel van Vasarhelyi et al. gepubliceerd, waarin ze ingingen op het bouwen van een Continuous Process Auditing System (CPAS), gebruik makend van het besturingssysteem UNIX. Om CPAS te kunnen gebruiken, veranderen volgens Vasarhelyi et al. het bewijs, de timing, de procedures en de inspanning van de controle ten opzichte van traditionele auditing methoden. De auditor zal in zijn auditing activiteiten meer gaan steunen op bewijs dat komt van de operationele activiteiten en minder op de omliggende processen. Hierbij kan bijvoorbeeld gedacht worden aan meer focus op de (ongebruikelijke) tijdstippen van banktransacties en memoriaalboekingen in plaats van op de autorisatieprocessen hier omheen. De auditing activiteiten worden meer toegespitst op
uitzonderingen die door het systeem worden opgespoord, wanneer het eenmaal werkend is, in plaats van achteraf steekproeven te nemen en die te testen op uitzonderingen (timing). Qua procedures richt CPAS zich op de opgeslagen data, die direct gerelateerd zijn aan de operationele activiteiten. Tevens wordt er minder gebruik gemaakt van steekproeven en papieren bewijsstukken. Destijds was de verwachting dat het gebruik van CPAS minder inspanning zou kosten, omdat de focus ligt op de continue review van gegevens die uit het systeem rollen. Daarmee hoeft minder gekeken te worden naar zaken die al goed lopen.
Om een auditor zekerheid te kunnen geven dat de gegevens die uit het CPAS rollen betrouwbaar zijn, wordt een aantal randvoorwaarden gesteld aan een CPAS. In samenwerking met een EDP-auditor stelt de auditor onder andere vast of de functiescheidingen en autorisaties binnen het systeem juist geregeld
pag. 12
zijn. Daarnaast mag het niet mogelijk zijn voor functionarissen om de uitzonderingen die het systeem uit het bedrijfsproces haalt te verwijderen of te bewerken. Ook moeten de gegevens uit het systeem realtime beschikbaar zijn.
In 1999 publiceerden Kogan et al. een artikel waarin ze een onderzoeksprogramma voor continuous online auditing (COA) voorstellen met als verwachting dat de frequentie van periodieke audits enorm opgeschroefd zou kunnen worden door COA te gaan toepassen. Dit is mogelijk door de opkomst van internet en de enorme sprongen die de technologie heeft gemaakt sinds de jaren voorafgaand aan het onderzoek. En hoewel de eerste (wetenschappelijke) artikelen al tien jaar eerder waren gepubliceerd, geven Kogan en zijn collega‟s in hun artikel aan dat COA zich nog in een „embryonale‟ fase bevond op dat moment. Vasarhelyi et al. schreven in 1991 dat er nog slechts enkele belemmeringen in de kennis en ervaring van auditors en de beschikbare technieken waren om continuous auditing te kunnen implementeren in de praktijk. Gezien de conclusies die Kogan et al. in 1999 trekken, valt achteraf te concluderen dat de gedachten van Vasarhelyi et al. in 1991 wellicht te optimistisch waren Wel zou volgens Kogan et al. de technologie al de mogelijkheid bieden voor continuous monitoring, maar is er nog niet genoeg onderzoek gedaan was naar bijvoorbeeld het ontwerp van de systemen en de
invoering van COA.
Als eerste halen Kogan et al. (1999) de praktische toepasbaarheid van COA aan. Wanneer deze niet zou toenemen, dan zou COA nooit breed worden ingevoerd. Deze toepasbaarheid bestaat uit een technisch en een economisch aspect. Het technische aspect vereist voornamelijk het gebruik van netwerken in plaats van stand-alone aansluitingen, een kleinere variëteit in verschillende software en meer standaardisatie en integratie van gerelateerde subsystemen. Kogan et al. verwachtten destijds dat dit aspect in de toekomst zou verbeteren. Het economische aspect van de praktische toepasbaarheid bestaat uit een kosten-baten afweging. Enerzijds kan COA auditors veel geld besparen door
bijvoorbeeld minder reiskosten, (snellere) digitale aanlevering van bewijs, onderbouwingen, etc. Anderzijds kost de implementatie van COA geld door de ontwikkeling en implementatie van software, hardware en netwerkverbindingen. Deze kosten daalden ten tijde van publicatie van het onderzoek. Al met al concluderen Kogan et al. dat COA zowel technisch als economisch toepasbaar zal worden en presenteren daarom een onderzoeksprogramma. Hierin staat aangegeven voor verschillende gebieden, zoals de algemene structuur, audit risk assessment, scope van audits en systeem audits, wat er
onderzocht zou moeten worden om een goede theoretische basis te ontwikkelen voor het gebruik van COA in de praktijk. De ontwikkeling van deze theoretische basis is nog steeds gaande: er worden nu nog steeds artikelen gepubliceerd over de ontwikkeling van continuous monitoring, terwijl er nog weinig artikelen gepubliceerd worden over bijvoorbeeld casestudies die gedaan zijn bij bedrijven die continuous monitoring toepassen.
Peng en Vasarhelyi (1999) haken al in op het voorgenoemde onderzoeksprogramma van Kogan et al.: zij onderzoeken de monitoring van interne bedrijfsprocessen en ontwikkelen een praktische oplossing voor de grote hoeveelheden informatie: het mediadashboard. Dit is een toepassing waarmee selecties kunnen worden gemaakt uit grote hoeveelheden (audit)data die uit de monitoring van de processen rollen.
Alles et al. (2006) hebben in hun onderzoek een methode ontwikkeld om continuous monitoring bij Siemens te implementeren. Vervolgens hebben ze gekeken welke lessen hieruit getrokken konden worden. Als eerste komen ze tot de conclusie dat de formaliseerbaarheid van audit procedures en beoordelingen schromelijk wordt onderschat. Tevens concluderen zij dat de technologieën, benodigd voor de implementatie van continuous audit, veelal voorhanden zijn. Ook de wetgeving en
pag. 13
standaarden laten de implementatie toe. Zij verwachtten ten tijde van hun onderzoek, inmiddels meer dan 5 jaar geleden, dat continuous monitoring op grote schaal geïmplementeerd zou kunnen worden. In 2008 hebben Alles et al. (2008) een artikel gepubliceerd waarin zij terugblikken op de ontwikkeling van continuous auditing sinds het artikel van Vasarhelyi et al. in 1991. Zij bekijken hierin twee cases die in die tijd onderzocht zijn. Daarnaast komen ze tot de conclusie dat het optimisme over de snelle, brede implementatie van continuous auditing te groot was geweest destijds. Wel zien zij een
ontwikkeling in het gebruik van de technieken.
Kuhn en Sutton (2009) blikken in hun artikel terug op de laatste ontwikkelingen in praktische ontwerpen voor continuous auditing. Daarna formuleren zij, op basis van de terugblik, in hun artikel 21 uitdagingen voor het efficiënter en effectiever gebruik maken van continuous monitoring en auditing in de toekomst. Twee van deze uitdagingen hebben raakvlak met deze scriptie:
‘Challenge #20: What are the organizational factors that lead an organization to adopt continuous
audit technologies?‟
‘Challenge #21: What are the organizational factors that drive strong assimilation of continuous
audit technologies?‟
Deze uitdagingen komen terug in deelvraag 2 uit paragraaf 2.1: Welke redenen hebben bedrijven om continuous monitoring wel of juist niet te gaan implementeren?
Chan en Vasarhelyi (2011) blijven optimistisch over de implementatie van continuous assurance als een audit methodologie om real time assurance te kunnen ondersteunen. Zij verwachten ondermeer dat continuous audit processen steeds meer zullen integreren in de traditionele auditprocessen en dat real time continuous assurance spoedig zal worden ingevoerd in bedrijfsprocessen waarin grote risico‟s spelen. Daarnaast zien zij voordelen in de mogelijkheid tot het testen van alle aanwezige data, in plaats van het testen van een steekproef uit deze data. Het grootste voordeel dat wordt genoemd is dat hierbij namelijk de kans dat materiële fouten, weglatingen en fraude worden ontdekt groter is dan bij
steekproeven.
3.2 – Modellen voor Continuous Monitoring
In figuur 1 staat het conceptueel model van Coderre (2006) over continuous auditing, monitoring en assurance weergegeven. Continuous (audit) assurance, het eindresultaat, is volgens hem de verklaring over de effectiviteit van de controls en de integriteit van informatie. De input van de controls bestaat uit de transacties, activiteiten en gebeurtenissen die plaatsvinden in de bedrijfsprocessen. Continuous monitoring staat in het model in het deel dat valt onder de verantwoordelijkheid van het management. Het is dan ook de taak van het management om de effectiviteit van de controls en processen vast te stellen. Veel van de technieken die door het management worden gebruikt voor continuous
monitoring, zijn gelijk aan de technieken van de afdeling internal audit voor continuous auditing, vandaar de parallelle pijlen van continuous monitoring en auditing.
Coderre (2006) heeft een aantal fasen gedefinieerd, waaruit implementatie en werking van continuous monitoring bestaat:
- Definieer de controls, indien mogelijk volgens het COSO ERM raamwerk. Dit raamwerk geeft volgens Coderre een goede leidraad bij het ontwikkelen van controls en wordt wereldwijd gebruikt.
pag. 14
Een control zou bijvoorbeeld kunnen zijn: de wijzigingen in een betaalbatch voor de uitbetaling van de salarissen. Deze betaalbatches worden aangeleverd door de
salarisadministratie en geaccordeerd door de directie, waarna ze worden betaald. Tussen de accordering van de directie en de daadwerkelijke uitbetaling mogen geen wijzigingen worden aangebracht. Het totaal van de rekeningnummers en het totaal uit te betalen bedrag van de oorspronkelijke geaccordeerde betaalbatch wordt hierbij vergeleken met de totalen van de uitbetaalde betaalbatch.
- Identificeer de doelstellingen voor elke control.
Verdergaand op bovenstaand voorbeeld kan een doelstelling voor de control zijn: alle wijzigingen die worden aangebracht in de betaalbatch voor de salarissen moeten worden opgespoord en onderzocht.
- Implementeer een aantal geautomatiseerde testen die een sein afgeven op het moment dat er een transactie plaatsvindt die niet overeenkomt met de control doelstellingen.
Daarbij kan bijvoorbeeld gedacht worden aan een handmatige wijziging die de controller van een bedrijf maakt in de betaalbatch voor de salarissen. Wijzigingen worden door het systeem opgespoord en opgeslagen.
- Onderwerp alle transacties aan de testen kort nadat deze hebben plaatsgevonden.
Alle wijzigingen die zijn gemaakt in de bovengenoemde betaalbatch worden getest op grootte, soort wijziging, etc.
- Onderzoek de transacties die niet aan de test voldeden.
Alle wijzigingen die bijvoorbeeld groter waren dan €50, worden onderzocht door de verantwoordelijke manager.
- Corrigeer indien mogelijk en noodzakelijk de transactie of de control.
De wijzigingen die ten onrechte zijn gemaakt worden weer teruggezet naar hun
oorspronkelijke staat. Wanneer het systeem wijzingen ten onrechte heeft opgespoord, dan moet de control worden aangepast.
De afdeling internal audit verifieert de afwijkingen op de controls die uit het systeem rollen en de verklaringen die de proceseigenaren daarbij hebben. Vervolgens rapporteren zij de resultaten, waarna het mogelijk wordt een uitspraak te doen over de mate waarin de onderneming in control is.
pag. 15
Figuur 1 - Conceptueel model Coderre (2006)
In figuur 2 staat het model weergegeven van Chan en Vasarhelyi (2011), dat hun concept van het proces van de ontwikkeling van continuous monitoring weergeeft. Net als in het model van Coderre (2006) geven de bedrijfsprocessen de input van de ontwikkeling van continuous monitoring. Dit proces verdelen zij in verschillende stages:
- In stage 1 wordt het bedrijfsproces waarop continuous monitoring toegepast gaat worden geïdentificeerd. Vervolgens worden de typen monitoring en testen geformaliseerd en geautomatiseerd.
- In stage 2 wordt data modeling gebruikt om daarmee normenkader te ontwikkelen waarmee de transacties die gaan plaatsvinden worden vergeleken (stellen van een „normenkader‟). De normenkaders (benchmarks) worden vastgesteld met behulp van onder andere schattingen en historische data. Wanneer de normenkaders zijn vastgesteld, worden de toleranties bepaald. Deze worden gebaseerd op de materialiteit van de jaarrekeningcontrole.
- In stage 3 worden data analyses gebruikt om internal controls, transacties en boekingen te evalueren aan de hand van de benchmarks die in stage 2 zijn vastgesteld. Dit gebeurt op twee verschillende manieren: continuous controls monitoring (CCM) en continuous data assurance (CDA). In CCM worden de acties van medewerkers vergeleken met het beleid voor interne beheersing op overtredingen. In CDA worden transactiedetails vergeleken met het
normenkader. Van de afwijkingen en overtredingen die worden gevonden door het systeem in deze stage, wordt een rapport opgeleverd, waarin de details van de betreffende afwijking staan vermeldt. Het is aan de auditor om deze rapporten te beoordelen. Hiermee is te zeggen dat CCM verder gaat dan CDA, vanwege de geautomatiseerde vergelijking van processen, naast alleen de transactiedata.
pag. 16
- In stage 4 worden de afwijkingen, die bleken uit stage 3, onderzocht door de auditor. Wanneer er geen rapporten met afwijkingen worden opgeleverd door het systeem, kan ervan uit worden gegaan dat de onderliggende informatie vrij is van fouten of afwijkingen ten opzichte van de normen. Op basis daarvan zou assurance over de onderliggende informatie kunnen worden gegeven.
Samengevat komt het er op neer dat, wanneer het proces goed loopt, de pure data en alle acties van medewerkers in het CA/CM systeem komen, om vervolgens te worden vergeleken met de
normenkaders, waarna de afwijkingen worden voorzien van een verklaring.
Figuur 2 - Model Continuous Monitoring Process Chan en Vasarhelyi (2011)
Wat Coderre wel meenam in zijn model, en Chan en Vasarhelyi niet, is datgene wat gebeurt na de analyse van de afwijking. Hij stelt voor om, wanneer het mogelijk is, de control of de transactie aan te passen, afhankelijk van de conclusie die volgt op de bestudering van de afwijking.
Wat opvalt in het proces dat Chan en Vasarhelyi beschrijven, is dat zij het continuous auditing noemen. Echter, de processen die plaatsvinden zouden beter passen onder de naam continuous monitoring. Juist omdat het management en de proceseigenaren verantwoordelijk zijn voor het verklaren van de afwijkingen in de processen. Om die afwijkingen vervolgens voor te leggen aan
pag. 17
internal audit of de externe accountant. Dit is juist wat Coderre (2006) (figuur 1) beschrijft in de linkerkant van zijn model: eerst monitoren de proceseigenaren de afwijkingen die het systeem aangeeft uit de processen, voorzien deze van een verklaring en vervolgens kan het gedeelte continuous auditing plaatsvinden door het onderzoek dat internal audit doet en wat zij daarvan vinden. Hierop wordt in hoofdstuk 5 verder ingegaan, bij de ontwikkeling van een nieuw model.
In dit hoofdstuk is stilgestaan bij de eerste deelvraag die in de inleiding is gesteld: 1. Wat is er in de huidige literatuur bekend over continuous monitoring?
Wat als eerste naar voren kwam, is dat in de literatuur geen eenduidige definities worden gehanteerd. Daarom zijn veel artikelen waarin gesproken werd over continuous auditing bruikbaar voor deze scriptie over continuous monitoring. Sinds 1991 is een beperkt aantal schrijvers artikelen aan het publiceren over continuous monitoring. Hierin wordt continuous monitoring van allerlei kanten belicht, zowel de technische als meer sociale kanten en ook casestudies. Ook komen vanuit de
literatuur verklaringen voor het wel of niet implementeren van continuous monitoring door bedrijven. Geen van de gevonden studies was kwantitatief van aard: dit is te verklaren doordat nog weinig bedrijven continuous monitoring hebben geïmplementeerd, waardoor het vakgebied nog niet in die fase is aangeland.
In de literatuur zijn verschillende modellen gepubliceerd, die in dit hoofdstuk zijn besproken. In hoofdstuk 5 zullen deze modellen mede gebruikt worden om een nieuw model te ontwerpen, dat de werking van continuous monitoring weergeeft.
pag. 18
4. Waarom gebruiken bedrijven continuous monitoring?
Om de theoretische modellen die in hoofdstuk 3 aan bod zijn geweest, aan te kunnen vullen met enige kennis uit de praktijk, zijn er interviews gehouden. De relevante informatie die uit deze interviews naar voren kwam, is in paragraaf 3 uiteengezet. Daarna wordt deze informatie in hoofdstuk 5 gebruikt voor de ontwikkeling van een nieuw model. In dit hoofdstuk wordt eerst ingegaan op de methodiek van het onderzoek, daarna worden de vragen voor de interviews gepresenteerd, vervolgens wordt de relevante informatie uit de gehouden interviews toegelicht. Voor de complete uitwerkingen van de interviews wordt verwezen naar de bijlagen 1 t/m 3.
4.1 – Exploratief onderzoek
Het onderzoeksgebied van continuous monitoring is op technisch vlak al goed ontwikkeld, zoals bleek uit paragraaf 3.1: de systemen waarmee continuous monitoring kan worden uitgevoerd worden steeds verder ontwikkeld. Echter, de toepassing hiervan in de praktijk en de ontwikkeling van verschillende methoden is nog in een pril stadium.
Vaassen (2009) geeft een inventarisatie van de verschillende soorten onderzoek op het gebied van accounting information systems. Dit onderzoeksgebied was op dat moment nog in een ontginnende fase, mede door de smalle scheiding tussen accounting enerzijds en information systems anderzijds. Daarom geeft Vaassen aan op welke manier het onderzoeksgebied kan worden gedefinieerd en verkend. Hiertoe heeft in 2002 de American Accounting Association een monograaf gepubliceerd waarin zij het onderzoeksgebied beschrijven voor zover het er is en een gids te geven om verder onderzoek te doen. Dit doen zij door een aantal eerdere onderzoeken te bundelen en op basis hiervan een analyse te maken van de verschillende bevindingen. Vaassen (2009) heeft eenzelfde soort aanpak: hij onderscheidt verschillende onderzoeksstromen, die tezamen het onderzoeksgebied voor accounting information systems vormen. Vervolgens baseert hij hierop zijn aanbevelingen en hypotheses voor nader onderzoek.
Deze scriptie draagt bij aan het onderzoeksgebied van continuous monitoring door te werk te gaan als Vaassen (2009) en de American Accounting Association: het bundelen van huidige kennis, vervolgens analyseren en kijken welke stukken nog nader onderzoek verdienen. Een verschil is dat voorgenoemde artikelen een geheel onderzoeksgebied beslaan, en deze scriptie alleen continuous monitoring. Er zal in hoofdstuk 5 een zelf ontwikkeld model worden geïntroduceerd, dat vervolgens wordt getoetst aan enkele praktijkcases. Hierna zullen, zoals in de twee voorgenoemde artikelen, aanbevelingen en hypotheses voor nader onderzoek worden geformuleerd.
4.2 – Opzet interviewvragen
De volgende personen hebben meegewerkt aan een interview:
- Louis van Vliet, Internal Audit Manager bij Provimi, een bedrijf dat continuous monitoring toepast. Als early adopter van continuous monitoring is hij op de hoogte van de voor- en nadelen ervan. Hij voerde de coördinatie van de implementatie en heeft daarom een waardevolle ervaring met continuous monitoring.
- Lex van der Drift, Partner Systems & Process Assurance bij PwC. Naast partner bij PwC is Lex van der Drift ook hoofd van de opleiding voor EDP-auditors aan de Erasmus Universiteit
pag. 19
in Rotterdam. Op deze twee manieren is hij goed op de hoogte van recente ontwikkelingen op het gebied van continuous monitoring.
- Anton Lissone, Product Manager continuous monitoring bij BWise, een bedrijf dat software levert, onder andere voor de toepassing van continuous monitoring. Dhr. Lissone heeft in het verleden ook een scriptie geschreven over CA/CM. Daarna is hij gaan werken bij KPMG Advisory en heeft daar trajecten met continuous monitoring gedaan. Vervolgens is hij vier jaar geleden bij BWise gaan werken, om software te kunnen ontwikkelen voor de toepassing van continuous monitoring. Hij is goed op de hoogte van de technische werking van de systemen voor continuous monitoring.
Door deze mensen te interviewen wordt het continuous monitoring proces vanuit 3 verschillende hoeken bekeken. Op die manier kan het te ontwikkelen model vanuit drie verschillende invalshoeken worden aangevuld. Louis van Vliet is als eerste benaderd voor een interview, omdat Steven Visser (collega-student) en ik een persoon wilden interviewen die zelf verantwoordelijk was voor een
continuous monitoring proces. Bedrijven waarin continuous monitoring wordt toegepast zijn bijzonder schaars in Nederland. Viavia zijn we bij Louis van Vliet uitgekomen. Hij bracht ons vervolgens in contact met Lex van der Drift, die wij ook een goede aanvulling vonden, vanwege zijn brede en actuele kennis op het gebied van continuous monitoring. Daarna hebben we contact gezocht met het bedrijf BWise, leverancier van software voor onder andere continuous monitoring en auditing, waar we in contact werden gebracht met Anton Lissone.
Het doel van het houden van de interviews was om er achter te komen: 1) hoe continuous monitoring aantrekkelijker kan worden voor bedrijven om te implementeren, en 2) waarom bedrijven er voor kiezen om continuous monitoring wel of juist niet te implementeren. Daarnaast boden de interviews de kans om een zo breed mogelijke kennis op te bouwen over continuous monitoring. De
interviewvragen, die zijn gebruikt om tot de gewenste informatie te komen, zijn de onderstaande en staan in relatie tot deze twee doelstellingen. Per geïnterviewde zijn de meest relevante vragen gesteld en is eventueel dieper ingegaan op bepaalde vragen.
- Wat is naar uw mening de definitie van CM/CA en waarom? - Wat zijn de redenen geweest om over te gaan op CA/CM? - Bij welke functionaris of afdeling kwam het initiatief vandaan?
- Is hierbij rekening gehouden met de bereidheid van de organisatie om zo‟n verandering te accepteren?
- Wat is de globale planning geweest van eerste idee tot implementatie? - Wat is de rol van de softwareleverancier geweest?
- Wat is de rol van de externe accountant geweest? Hoe heeft deze de onafhankelijke rol intact gehouden? Is er nog een extern adviesbureau ingeschakeld, eventueel van hetzelfde kantoor als de externe accountant?
- Is er voor gekozen om alle bestaande controls aan te passen voor de implementatie van CA/CM of is het nieuwe systeem aangepast op de al bestaande controls? In hoeverre waren de controls geautomatiseerd? Moesten er veel manuele controls geautomatiseerd worden, was dit een lastig proces?
pag. 20
- Hoe verloopt de uitvoering van de CM/CA momenteel?
- Hoe is het samenspel tussen continuous monitoring en continuous auditing?
- Is er harde data bekend dat de verschillen laat zien tussen de traditionele audit en CA? Is er bijvoorbeeld sprake van efficiëntieverschillen of kostenverschillen?
In de interviews is eerst de ruimte gelaten aan de geïnterviewde om een introductie te geven met zijn relatie tot continuous monitoring. Op deze manier zijn de interviews open gehouden. Vervolgens zijn we overgegaan op de vragen uit de bovenstaande vragenlijst, voor zover deze nog niet beantwoord waren, om de informatie van de verschillende personen met elkaar te kunnen vergelijken. Steven Visser stelde de vragen en ik zat achter de laptop al het gezegde te typen.
Na afloop van elk interview heb ik de informatie dezelfde dag nog uitgewerkt, waarna mijn mede-interviewer Steven Visser deze uitwerking heeft aangevuld en verbeterd. Vervolgens zijn de
uitwerkingen naar de geïnterviewden gestuurd, waarna zij hun akkoord, met soms enige verbeteringen, gaven.
4.3 – Relevante informatie
De informatie die uit de interviews naar voren kwam, was erg uitgebreid. Niet alle informatie is nodig gebleken om het nieuw te ontwikkelen model, dat in hoofdstuk 5 aan de orde zal komen, te kunnen aanvullen. Alle informatie die betrekking had op de implementatie en de definitie van continuous monitoring, en de rolverdeling van de verschillende functionarissen is meegenomen. Hieronder volgt een opsomming van de informatie die voor deze doeleinden interessant is. Vervolgens staat bij elk onderwerp een korte samenvattende conclusie. Deze conclusie neem ik in de meeste gevallen mee naar het model. Omdat het aantal geïnterviewden slechts drie personen is, kan het zijn dat er nog meer verschillende meningen zijn, die niet worden meegenomen in dit onderzoek. Dit is een beperkende factor op de hardheid van de conclusies. Helaas is het aantal bedrijven dat continuous monitoring heeft geïmplementeerd zeer beperkt en was Provimi (Louis van Vliet) het enige bedrijf waar wij terecht konden om een interview af te nemen met iemand die dagelijks werkt in een continuous monitoring omgeving. Dhr. Van Vliet gaf aan dat zijn bedrijf een proeftuin is van SAP en van PwC voor de implementatie van continuous monitoring. Dhr. Van der Drift (partner PwC) onderschreef dit en zei dat hij nog geen bedrijven heeft gezien in Nederland die continuous monitoring volledig hebben geïmplementeerd. Echter, het zijn wel drie verschillende invalshoeken die behandeld worden en daarom wel een completer beeld geven dan wanneer bijvoorbeeld drie personen van eenzelfde bedrijf worden geïnterviewd.
Definitie continuous monitoring:
Deze informatie is van belang voor dit onderzoek, om de informatie die de geïnterviewden geven, te kunnen inschatten. Wanneer zij een andere definitie hanteren dan in deze scriptie, moet de informatie uit de rest van het interview ook vanuit die definitie worden bekeken. Daarnaast is het interessant om te weten welke definities er worden gehanteerd.
Van Vliet en Van der Drift zijn het eens over de definitie van continuous monitoring. Zij definiëren het als: Op elk gewenst moment als leidinggevende kunnen weten of de activiteiten in control zijn uitgevoerd, met behulp van dashboards en andere IT-instrumenten. Dhr. Lissone trekt het wat breder en neemt ook de efficiëntie van bedrijfsprocessen mee. Daarnaast hoeft continuous monitoring niet
pag. 21
vanuit een systeem plaats te vinden, naar zijn idee, maar kan dit ook handmatig gebeuren met behulp van bijvoorbeeld MS Excel. Door MS Excel te gebruiken om data uit transacties op te slaan, en vervolgens met behulp van draaitabellen de benodigde gegevens (grootste tien, bedragen groter dan x euro, etc) op te zoeken. Alle respondenten geven aan dat het testen van de controls niet perse op het moment van uitvoeren van de bedrijfsprocessen hoeven plaats te vinden: mensen zouden immuun kunnen worden voor de vele meldingen die het systeem dan geeft. Beter is een zekere selectie te maken in bijvoorbeeld de grootte van de afwijking.
Conclusie: de definitie zoals deze door de heren Van Vliet en Van der Drift wordt gegeven is ook wat in deze scriptie gebruikt zal worden, omdat dit ook de definitie bleek in de meeste gepubliceerde artikelen zoals dat van Coderre (2006), Alles et al. (2002) en Henrickson (2009).
Implementeren van continuous monitoring:
Deze informatie is nodig voor dit onderzoek, omdat eruit blijkt waarom bedrijven continuous monitoring willen implementeren en waarom juist niet en daarmee een antwoord kan geven op de tweede deelvraag.
Volgens dhr. Van Vliet is het niet direct de kennis van de auditor of de afwachtende houding van bedrijven die een grote implementatie van continuous monitoring in de weg staat. Het is juist de technologie, die pas sinds kort in staat is om volledig realtime te kunnen monitoren. Dit staat in contrast met de bevindingen uit de literatuurstudie, waaruit juist bleek dat de techniek helemaal klaar is voor continuous monitoring, maar dat de houding van bedrijven nog te afwachtend is. Dhr. Lissone geeft ook aan dat de technologie niet de drempel kan zijn, wel de hoge initiële kosten van die
technologie. Alle drie de respondenten geven aan dat nog niet duidelijk is wat continuous monitoring op termijn een bedrijf kan opleveren. Naast de hoge kosten kan ook de starheid binnen bedrijven een mogelijke belemmering zijn volgens dhr. Lissone. Een reden om wel over te gaan op continuous monitoring is voor hem bijvoorbeeld wederom nieuwe wet- en regelgeving, in de orde van grootte van SOx, Basel en Solvency. Dhr. Van der Drift is van mening dat het voornamelijk het economische klimaat is waardoor bedrijven niet willen investeren in een dergelijk systeem. Daarnaast triggert de wet- en regelgeving hier ook niet toe. De werking van de systemen is ook dermate ingewikkeld dat men zich hier niet graag in verdiept en kan verdiepen.
Conclusie: er kan worden gesteld dat het huidige economische klimaat in elk geval niet meewerkt aan een brede belangstelling voor continuous monitoring. De ene respondent zegt dat de technologie niet de mogelijkheid biedt tot continuous monitoring, de andere juist wel. Dit ligt waarschijnlijk in een verschil in definiëren. Dhr. Lissone gaf namelijk eerder al aan dat continuous monitoring zelfs met MS Excel kan worden uitgevoerd. Dan is het niet mogelijk om volledig realtime continuous monitoring toe te passen. Voor de ontwikkeling van het model in hoofdstuk 5 ga ik er van uit dat de technologie wel de mogelijkheid biedt tot continuous monitoring, en dat de trigger tot implementeren voornamelijk het makkelijker kunnen voldoen aan wet- en regelgeving zal zijn. Dit is in overstemming met wat in de literatuur naar voren kwam. In de literatuur werd weinig tot geen aandacht besteed aan het huidige economische klimaat, waarin bedrijven zo veel mogelijk de hand op de knip houden. Toch denk ik dat dit een grote invloed heeft op het al dan niet implementeren van continuous monitoring, zeker omdat de opbrengsten van continuous monitoring op lange termijn nog niet duidelijk zijn, zoals de
pag. 22
Initiator van continuous monitoring:
Deze informatie is bruikbaar voor het onderzoek, omdat eruit blijkt welke functionaris continuous monitoring wil gaan gebruiken en door wie het idee gedragen moet worden.
Bij Provimi nam de het hoofd internal audit het initiatief om continuous monitoring te gaan implementeren. Echter, zoals dhr. Lissone aangaf, lijkt het dan een audit tool te zijn, waardoor de proceseigenaren minder snel geneigd zijn de implementatie te dragen en het systeem op de juiste manier te gebruiken. Daarnaast wees dhr. Van Vliet op het feit dat er een vorm van zelftoetsing ontstaat wanneer internal audit de implementatie zou leiden. Vaak is het wel de afdeling internal audit of de externe accountant die de organisatie wijst op continuous monitoring. De meeste kans op een succesvolle implementatie is er wanneer het management deze initieert en vervolgens het idee breed gedragen wordt door de organisatie.
Conclusie: het management zou het voortouw moeten nemen in de implementatie van continuous monitoring, mogelijk op aangeven van de interne of externe accountant, vanwege de vakkennis die zij bezitten. Het management is namelijk verantwoordelijk voor de betrouwbaarheid van de
bedrijfsprocessen. Om deze betrouwbaarheid op een andere (betere) manier te testen, is het naar mijn idee dan ook logisch dat degene die verantwoordelijk is het voortouw neemt en de rest van het bedrijf motiveert er in mee te gaan.
Opvangen meldingen van afwijkingen:
Deze informatie is voor de ontwikkeling van het model van belang, omdat daarin wordt weergegeven wat de rollen zijn van de verschillende functionarissen in het proces.
Dhr. Van Vliet krijgt bij de afdeling internal audit van Provimi de signalen uit het systeem wanneer er een control doorbroken wordt; dhr. Lissone en dhr. Van der Drift zijn juist van mening dat de
proceseigenaren, vaak het middenmanagement, verantwoordelijk zijn voor de verklaring bij
afwijkingen. De afdeling internal audit beoordeelt dan of deze verklaringen afdoende zijn en legt de focus op trends in de meldingen.
Conclusie: de verantwoordelijkheid voor het verklaren van afwijkingen op de controls die uit het systeem rollen ligt bij de proceseigenaren. Dit is ook wat Coderre (2006) schreef en verwerkt heeft in zijn model.
In dit hoofdstuk is de tweede deelvraag van deze scriptie aan bod geweest:
2. Welke redenen hebben bedrijven om continuous monitoring wel of juist niet te gaan implementeren? Redenen voor implementatie van continuous monitoring moeten vooral worden gezocht in het beter en makkelijker voldoen aan wet- en regelgeving. Er is geen wet- en regelgeving die continuous
monitoring en auditing voorschrijft, maar het is wel een manier om te voldoen aan wet- en
regelgeving. Daarnaast vinden bedrijven het belangrijk om te weten in hoeverre ze hun processen in control hebben.
Voor wat betreft de redenen om continuous monitoring nog niet te implementeren, bleken de literatuur enerzijds en de ervaringen uit de praktijk anderzijds te verschillen. In de literatuur werd veelal de kennis van de functionarissen binnen bedrijven en de koudwatervrees van bestuurders aangewezen als
pag. 23
drempels voor implementatie van continuous monitoring. Uit de interviews met mensen die in hun vak al te maken hebben (gehad) met continuous monitoring bleek juist dat de techniek nog niet zover was om real time continuous monitoring toe te passen. Daarnaast is het vertrouwen van ondernemers in de economie laag, waardoor men niet de initiële investering in een groot monitoringsysteem wil doen. Verschillende bronnen in de literatuur melden dat een systeem voor continuous monitoring op termijn geld zal besparen, anderen zeggen dat de investering nooit uit zal kunnen.
pag. 24
5. Model continuous monitoring
In dit hoofdstuk zal het model worden geïntroduceerd, dat is gebaseerd op figuur 2 uit Chan en Vasarhelyi (2011) en het conceptueel model uit Coderre (2006), aangevuld met de informatie die naar voren kwam uit de interviews. Daarna wordt een antwoord op deelvraag 3 geformuleerd.
Onderstaand model, weergegeven in figuur 3, is gebaseerd op de modellen die in hoofdstuk 3 zijn geïntroduceerd, ontworpen door Coderre (2006) en Chan en Vasarhelyi (2011). Deze modellen zijn aangevuld met de informatie die uit de interviews bleek.
Bovenin worden de bedrijfsprocessen weergegeven: de processen die in het bedrijf spelen om de omzet te genereren en alle andere processen die daarin ondersteunen. De gegevens die voortvloeien uit deze bedrijfsprocessen komen in de geautomatiseerde monitoring procedures. De bedrijfsprocessen vallen onder de verantwoordelijkheid van de proceseigenaren. Deze stappen zijn conform het model van Chan en Vasarhelyi (2011).
Vanuit de geautomatiseerde monitoring procedures komt de data in de data analyse, alwaar de
processen (CCM) worden getoetst aan de daarvoor vastgelegde normen en tevens de data (CDA) naast het normenkader voor de data wordt gehouden. De ontwikkeling en het actueel houden van het normenkader is de verantwoordelijkheid van de proceseigenaren.
Ten opzichte van het model van Chan en Vasarhelyi is in figuur 3 de ontwikkeling van het
normenkader niet zichtbaar gemaakt. Dit gebeurt wel op basis van de data die eerder uit het proces is gekomen, maar wanneer dit normenkader vaststaat, verandert het systeem hier niets aan. Het
onderhouden van dit normenkader wordt gedaan door de proceseigenaar, al dan niet met behulp van de interne of externe accountant. Door het model op deze wijze weer te geven ziet het er eenvoudiger uit, zonder dat er informatie verloren gaat: immers, de proceseigenaar heeft de verantwoordelijkheid voor het normenkader en zou het daarom ook moeten wijzigen wanneer daar aanleiding toe is. Het
neerleggen van deze verantwoordelijkheid bij de proceseigenaren is conform wat dhr. Lissone aangaf in zijn interview: degenen die verantwoordelijk zijn voor het (deel)proces onderhouden ook de normen waaraan getoetst wordt. Chan en Vasarhelyi (2011) geven in hun model niet expliciet aan bij wie deze verantwoordelijkheid ligt.
Nadat de processen en data getoetst zijn aan het normenkader, zijn er twee mogelijkheden: 1) er zijn geen afwijkingen naar voren gekomen tijdens de toetsing of 2) er zijn wel afwijkingen tussen de processen en data enerzijds, en de gestelde normen anderzijds. In het eerste geval kan door de afdeling internal audit een audit rapport worden opgesteld met de bevinding dat er geen afwijkingen zijn. Dit is naar idee van Coderre (2006), die deze stap ook bij de afdeling internal audit neerlegt. In het tweede geval geeft het systeem aan welke afwijkingen gevonden zijn. De proceseigenaar dient vervolgens bij elke afwijking een verklaring te geven. Het kan bijvoorbeeld voorkomen dat de control afdwingt dat van elke afnemer een btw-nummer bekend is. Wanneer goederen zijn gefactureerd aan een afnemer zonder btw-nummer, dan geeft het systeem hier een melding van afwijking tussen het normenkader en wat er in het proces gebeurd. De proceseigenaar geeft hierbij een verklaring: bijvoorbeeld, het ging om een buitenlandse afnemer, of het btw-nummer is niet opgevraagd, er was sprake van een spoedorder aan een nieuwe afnemer, etc. Vervolgens beoordeelt de afdeling internal audit deze verklaring. Dit conform het idee van Coderre (2006) en dhr. Lissone. Op basis van deze beoordeling wordt 1) de control aangepast, bijvoorbeeld door de controle op btw-nummer bij buitenlandse afnemers op te heffen. Hierbij onderhoudt de proceseigenaar dus het normenkader. 2) de transactie wordt
gecorrigeerd, door bijvoorbeeld van de betreffende afnemer alsnog het btw-nummer op te vragen of 3) de afwijking wordt gerapporteerd door internal audit aan het management. Het aanpassen van ofwel de
pag. 25
transactie, ofwel de control is overgenomen van Coderre (2006). In dit model wordt het management dus niet realtime van iedere afwijking op de hoogte gesteld, maar achteraf. De realtime bewaking van de processen vindt plaats bij de betreffende proceseigenaren.
Het gehele proces van continuous monitoring valt onder de verantwoordelijkheid van het
management, te zien aan de gele kleur die de rechthoek rondom het proces heeft. Vanuit de positie van het management is het beter draagvlak te creëren voor CM binnen de organisatie dan vanuit een andere positie. Initiatief vanuit bijvoorbeeld de afdeling internal audit stuit vaak eerst nog op onbegrip en tegenstand bij het management en wordt daarom meestal minder snel binnen de gehele organisatie geaccepteerd, zoals dhr. Lissone aangaf in zijn interview. Daarnaast wordt, zoals dhr. Van Vliet zei, de mogelijkheid van zelftoetsing voorkomen, wat mogelijk optreedt wanneer de afdeling internal audit de initiatie en implementatie van continuous monitoring leidt.
Dit model zal in hoofdstuk 6 empirisch worden getoetst met behulp van twee casestudies.
Continuous Controls Monitoring Bedrijfsprocessen Geautomatiseerde monitoring procedures
Figuur 3 – Model toepassing continuous monitoring
Continuous Data Assurance Data Analyse Normenkader Geen afwijkingen Audit rapport Wel afwijkingen Verklaring bij afwijkingen Beoordeling verklaring Aanpassen control of transactie Audit rapport Management Internal Audit Systeem Proceseigenaar Bedrijfsprocessen
pag. 26
In dit hoofdstuk is deelvraag 3 uit paragraaf 2.1 naar voren gekomen: 3. Hoe kan continuous monitoring worden toegepast?
Continuous monitoring kan worden toegepast op de manier zoals in het model, ontwikkeld in dit hoofdstuk, wordt voorgesteld. Hierbij is een softwarepakket nodig, dat de vereiste mogelijkheden kan uitvoeren, zoals het realtime afgeven van meldingen aan proceseigenaren, wanneer het afwijkingen constateert.
Het model dat is ontwikkeld in dit hoofdstuk is ook zeer geschikt om op eenvoudige wijze te laten zien hoe continuous monitoring werkt en hiermee het enthousiasme te wekken van potentiële gebruikers.
pag. 27
6. Empirische toets
In dit hoofdstuk wordt het model dat ontwikkeld is in hoofdstuk 5 getoetst aan de hand van de casestudies uit de literatuur. In paragraaf 6.1 wordt de methode toegelicht. In 6.2 wordt het model getoetst met de case van Siemens uit Alles et al. (2006) en in paragraaf 6.3 met de case van HSP uit Alles et al. (2008). Het hoofdstuk wordt afgesloten met de beantwoording van deelvraag 4 uit paragraaf 2.1.
6.1 – Methode van dataverzameling en toetsing
Het doel van deze toetsing is er achter te komen in hoeverre het ontwikkelde model aansluit bij casestudies over continuous monitoring. De cases van Siemens en HSP zijn geselecteerd als
testmateriaal omdat deze als enige in hun soort gingen over continuous monitoring zoals gedefinieerd in hoofdstuk 2.2. Er zijn wel meerdere casestudies gedaan, maar deze bleken niet te gaan over echt continuous monitoring, maar om een systeem dat zo werd genoemd.
De benodigde informatie om het model te kunnen toetsen heb ik aan de hand van de blokken in het model van hoofdstuk 5 bekeken hoe deze zijn geregeld in het bedrijf van de casestudie. Daarbij heb ik aangegeven welke delen wel, en welke juist niet overeen komen.
6.2 – Toetsing model met case Siemens
Alles et al. (2006) hebben bij Siemens de implementatie van continuous auditing gevolgd. Ondanks het feit dat zij dit continuous auditing noemen, valt het ook binnen mijn eerder genoemde definitie van continuous monitoring, omdat het gaat om een intern systeem, dat er niet alleen is voor de accountant, maar ook voor het management. Alles et al. onderscheiden zes stappen in de implementatie van continuous monitoring bij Siemens:
1. Het bepalen van de beste manier voor het monitoren van de gekozen controls van bedrijfsprocessen.
2. Het ontwikkelen van een systeem architectuur voor deze taak, of dit een monitoring en control laag is, die communiceert met het al bestaande ERP-systeem bij Siemens, of een geïntegreerde audit module van het bestaande ERP-systeem.
3. Het bepalen van de interactie en integratie tussen het continuous monitoring mechanisme en het ERP-systeem.
4. Het ontwikkelen van richtlijnen voor de formalisering van de audit richtlijnen (normenkader) naar een formaat dat het systeem kan toepassen.
5. Het creëren van processen voor het managen van de seinen die het systeem geeft.
6. Het formuleren van een veranderingsmanagement programma om de pilot bedrijfsbreed in te voeren.
Dit is hoe de implementatie van continuous monitoring in het ontwikkelde model uit hoofdstuk 5 ook is geregeld. Wel heb ik minder aandacht geschonken aan de architectuur van het systeem op technisch vlak (stap 2 en 3), die in de pilotimplementatie van Siemens wel duidelijk naar voren komt. Daarnaast is in het model van hoofdstuk 5 weinig aandacht besteed aan de werkelijke implementatie en hoe de organisatie op deze verandering reageert.
pag. 28
Met betrekking tot de meldingen die het systeem geeft in geval een control wordt overschreden, geven Alles et al. (2006) aan dat deze in principe thuishoren bij het management, maar dat elke control zijn eigen belang heeft. Daarom moet er een geschikte plaats gevonden worden om een melding af te laten gaan. Tevens kan ervoor gekozen worden bepaalde meldingen uit te schakelen wanneer dit gewenst is. Voor het model van hoofdstuk 5 was een van de doelstellingen om de rollen van de verschillende functionarissen zichtbaar te maken. In dat model is er juist voor gekozen om de meldingen niet bij het management neer te leggen, maar bij degene die verantwoordelijk is voor het proces. Dit omdat de verantwoordelijke functionaris de meldingen beter kan oplossen en vaak in staat is om een verklaring te zoeken voor de melding.
In het geheel kan worden geconcludeerd dat het model dat is weergegeven in hoofdstuk 5,
overeenkomt met dat van Alles et al. (2006), maar dat eerstgenoemde model een stuk beknopter is en enige uitbreiding kan gebruiken. Bijvoorbeeld door de afwijkingen meer uit te diepen en meer gevolgen en verschillende mogelijkheden aan te geven wanneer een control wordt overschreden. Ook kan het technische gedeelte gedetailleerder beschreven worden, maar dat valt buiten de scope van deze scriptie. De implementatie van het complete systeem in de organisatie brengt weer een geheel ander specialisme met zich mee, namelijk het gedrag van de mensen die uiteindelijk het systeem gaan gebruiken tijdens hun werkzaamheden. Hierover zijn in de interviews ook verschillende inzichten naar voren gekomen, maar zijn niet gebruikt in hoofdstuk 5, omdat dit niet de doelstelling van dat model was. Wel zou dit een mogelijke uitbreiding kunnen zijn voor het model uit hoofdstuk 5.
6.3 – Toetsing model met case HSP
Waar bij Siemens sprake was van een geautomatiseerd bedrijfsproces, waarin ERP-systemen
geïmplementeerd zijn, was bij HSP in mindere mate sprake van automatisering. Bij Siemens gebruikte men continuous control monitoring; bij HSP continuous data assurance. De vraag is of het model voor continuous monitoring uit hoofdstuk 5 ook kan worden toegepast op dit bedrijf.
Bij HSP werd het continuous auditen gedaan vanuit een groot data warehouse, waarin alle gegevens van transacties worden opgeslagen. Dit werd zo gedaan omdat de interne systemen niet goed op elkaar aansloten en daarom geen mogelijkheid boden tot continuous monitoring, zoals dat bij Siemens wel gedaan kon worden op basis van het ERP-systeem wat daar al aanwezig was. Vanuit het data
warehouse bij HSP kon een systeem continu aansluitingen maken tussen de normenkaders en de data uit het data warehouse. Wanneer er een afwijking naar voren kwam, werd de afdeling internal audit ingelicht en verscheen er een rapport, waardoor zij de mogelijkheid hadden om de afwijkingen te beoordelen en te herstellen.
Ook van deze case komen delen naar voren in mijn model: wederom worden er normenkader gebruikt waarmee het systeem de data vergelijkt. Er kan veel meer data worden gecontroleerd dan met de traditionele auditmethoden zoals steekproeven. Een tegenstelling met het model uit hoofdstuk 5 is dat de meldingen voor afwijkingen bij HSP terecht komen bij de afdeling internal audit, terwijl de processen niet direct tot hun verantwoordelijkheid behoren. Daarom geeft dit geen reden om mijn model aan te passen.
