De afgelopen decennia hebben de ontwikkelingen in de IT een significante invloed op organisaties gehad. Als gevolg daarvan is de bedrijfsomgeving sterk veranderd. Allereerst hebben de IT-ontwikkelingen tot veranderingen in operationele systemen en de aansturing daarvan binnen organisaties geleid.
Management is in staat om bedrijfsprocessen continu te monitoren
Er zijn mogelijkheden gecreëerd om accountinginformatie en andere data in digitale vorm te genereren. Tegenwoordig kunnen grote hoeveelheden transactie- en procesgegevens worden vastgelegd en vervolgens automatisch worden geanalyseerd. Het management kan die informatie gebruiken om bedrijfsprocessen te monitoren en bij te sturen. Het management is daardoor in staat om de bedrijfsprocessen continu te monitoren. Ook stakeholders eisen dat een organisatie met een grote mate van efficiëntie assurance over de betrouwbaarheid van de processen kan verschaffen.
Een effectievere en efficiëntere vorm van monitoren van de bedrijfsprocessen
Daarom hebben veel organisaties de laatste jaren hun focus verlegd van een betrouwbaar en volledig internal control framework naar een effectievere en efficiëntere vorm van monitoren van de bedrijfsprocessen. Om dat doel te bereiken beoordelen organisaties welke mogelijkheden de huidige IT-technologie en het harmoniseren van IT-systemen bieden. Het in het kader (zie hieronder) opgenomen voorbeeld laat zien dat continuous monitoring en continuous auditing een belangrijke bijdrage aan het realiseren van deze doelstellingen kunnen leveren.
Voorbeeld crediteurenadministratie
Een medewerker heeft het bankrekeningnummer van een crediteur aangepast en vervolgens enkele facturen van deze crediteur ingevoerd en betaalbaar gesteld. Het management of de internal audit functie willen daar meer van weten, omdat dit kan duiden op het doorbreken van de in de organisatie ingebouwde controle-technische functiescheiding. En het liefst zo snel mogelijk, zodat kordaat kan worden opgetreden. Het antwoord daarop luidt: continuous monitoring of continuous auditing.
Implementeren en onderhouden van een effectief internal control framework
Het management is verantwoordelijk voor het implementeren en onderhouden van een effectief internal control framework. Continuous monitoring geeft het management zekerheid dat het controle systeem effectief werkt en zorgt ervoor dat onmiddellijk actie kan worden ondernomen om afwijkingen in bijvoorbeeld het invoeren of verwerken van transacties te verhelpen, voordat het problemen worden. Het is bijvoorbeeld de controller die de monitoring uitvoert of laat uitvoeren. De internal audit functie is verantwoordelijk voor het auditen of het management deze controle op een verantwoorde wijze uitvoert.
Resultaat van continuous monitoring gebruiken om de effectiviteit van internal control framework te toetsen
Omdat continuous monitoring onderdeel uitmaakt van het internal control framework, moet de internal audit functie zich ervan verzekeren dat het internal control framework effectief functioneert en dat erop kan worden gesteund. Hierdoor kan de internal audit functie het resultaat van continuous monitoring gebruiken om de effectiviteit van het internal control framework te toetsen. Er wordt gesproken over continuous auditing als een auditor, in veel gevallen de accountant of een gespecialiseerde IT-auditor de monitoring uitvoert. In figuur 1 is de relatie tussen continuous monitoring en continuous auditing schematisch weergegeven.
(“Figuur: 1. Relatie tussen continuous monitoring en continuous auditing”)
Om de auditinspanningen te optimaliseren zouden internal en external auditors op de al aanwezige continuous monitoringactiviteiten van het management moeten bouwen. Zo zal de organisatie op een optimale wijze continuous assurance realiseren. Dat betekent dat de strategie van de organisatie zich op het zoveel als mogelijk inbedden van continuous auditing in de organisatie zou moeten richten. Daarmee verwordt continuous auditing uiteindelijk tot continuous monitoring. Uiteraard is daarbij intensieve samenwerking met de IT-organisatie en -infrastructuur vereist. De IT-organisatie moet ervoor zorgen dat de bij zowel internal als external auditors aanwezige kennis naar IT-specifieke oplossingen wordt vertaald om in de monitoringsystemen in te bedden.
(“Figuur: 2. Continuous assurance framework“)
Belang om resultaten gunstiger voor te stellen dan dat die in werkelijkheid zijn
Ook als organisaties continuous monitoring hebben geïmplementeerd, zal de internal audit functie periodiek de in de organisatie uitgevoerde continuous monitoring beoordelen en testen om op de werking van continuous monitoring te kunnen steunen. Hierdoor zal de audit effectiever en efficiënter verlopen. Dat heet ‘audit testing of continuous monitoring’, beter bekend als continuous auditing. Het management kan namelijk een belang hebben om resultaten gunstiger voor te stellen dan dat die in werkelijkheid zijn.
Continuous auditing zal eindgebruikers van informatie meer tijdige zekerheid geven
Op terreinen waar niet of nauwelijks sprake is van continuous monitoring zal de internal audit functie meer assurance krijgen door zelf al dan niet continu te auditen. Continuous auditing zal de eindgebruikers van informatie meer tijdige zekerheid geven dat de door systemen verstrekte informatie juist is. Als continuous monitoring en continuous auditing in een organisatie goed worden toegepast, ontstaat continuous assurance. Uiteindelijk stelt continuous assurance een organisatie in staat om naar aanleiding van gebeurtenissen meer accurate, meer frequente en snellere updates van (financiële) informatie te verstrekken.
Toekomstverwachting
Gezien het feit dat continuous monitoring en continuous auditing relatief nieuwe concepten zijn, wekt het geen verbazing dat de meeste organisaties hun implementatie (nog) niet volledig van de grond hebben gekregen en dat slechts een gering aantal organisaties vindt dat ze significante vooruitgang hebben geboekt. Vertrouwen op conventionele handmatige technieken, zoals steekproeven is, gezien de voortdurend veranderende en strenger wordende wet- en regelgeving echter niet altijd meer toereikend.
Gebruik van continuous monitoring en continuous auditing zal komende jaren toenemen
Dat leidt er namelijk onvermijdelijk toe dat niet alle transacties worden gecontroleerd, hetgeen het risico op niet opgemerkte fouten en fraude verhoogt. Andere organisaties zijn nog niet of pas recentelijk begonnen met het opstarten van continuous monitoring en continuous auditing. Een minderheid van organisaties maakt gebruik van geautomatiseerde real time controles en dashboards. Het valt te verwachten dat het gebruik van continuous monitoring en continuous auditing de komende jaren zal toenemen. Die verwachting is gebaseerd op onderstaande lijst niet limitatieve lijst van trends:
- het toezicht neemt toe, waardoor de regeldruk toeneemt en er sprake is van meer rapportageverplichtingen;
- de noodzaak van het management om sneller op uitzonderingen te reageren, waardoor de weerbaarheid van een organisatie wordt vergroot;
- het steeds meer steunen op de interne beheersing om de kwaliteit van rapportages te verhogen. Een voorbeeld daarvan is het invoeren van horizontaal toezicht door de Belastingdienst;
- stakeholders willen vaker en diepgaander worden geïnformeerd, niet alleen over resultaten, maar ook over de interne beheersing van processen;
- het zich steeds sneller opvolgen van IT-ontwikkelingen, zoals big data, augmented en virtual reality, semantic web en Internet of Things;
- het toenemende belang van ketensamenwerking, waardoor het belang van data-standaardisatie, zoals ten behoeve van XBRL GL en RGS, toeneemt;
- de behoefte naar de omslag van cyclisch naar dynamisch controleren;
- het toenemende gebruik en de toenemende functionaliteit van data analyse technieken.
Nog steeds in de kinderschoenen, maar zal meer volwassen worden
Continuous monitoring en continuous auditing staan nog steeds in de kinderschoenen, maar zullen zeker blijven bestaan en meer volwassen worden. Als controles steeds meer worden geautomatiseerd, is een adequate procesbeheersing zonder het toepassen van continuous monitoring en continuous auditing wellicht in de toekomst niet meer denkbaar.
Drs. R.M. Kieft RA is zelfstandig gevestigd onder de naam Bureau voor Administratie en Controle Kieft (BACK) b.v., te Hoofddorp. Hij is als consultant werkzaam op het gebied van administratieve organisatie, internal audit en financieel management voor uiteenlopende organisaties en instellingen.
In de bij dit artikel behorende e-learning wordt financieel medewerkers, managers en adviseurs een stappenplan aangeboden om continuous monitoring en continuous auditing succes vol te implementeren.
Lees ook:
Permanente Educatie
Continuous monitoring in de praktijk: ‘We zijn businesspartner geworden’
