Magazine 01 april 2006

Toekomst is nu

De accountant van de toekomst - zowel de interne als externe - controleert niet meer around the system, maar ondersteunt zijn systeemgerichte werk met moderne software tools. Die toekomst is echter nu, meent Peter Paul Brouwers: grote ondernemingen gaan die tools namelijk zelf inzetten om efficiënt in te spelen op wetgeving als Sarbanes-Oxley en Tabaksblat.

Dit artikel is verschenen in de Accountant nr. 8, 2006

Bekijk alle artikelen uit dit nummer

» Download dit artikel in pdf

Peter Paul Brouwers

Geautomatiseerde tools niet meer weg te denken

De combinatie informatietechnologie en accountancy blijkt in de praktijk vaak een slecht huwelijk. Veel accountants zeggen weliswaar dat ze hun controle van omvangrijke routinematige processen systeemgericht uitvoeren, maar dat is - uitzonde ringen daargelaten - niet meer dan een dun laagje vernis. Dat laagje vernis moet verhullen dat er in werkelijkheid vooral rondom het systeem - en dus gegevensgericht - wordt gecontroleerd. Voor de inrichting van de interimcontrole, die grotendeels is gericht op de beheersing van de routinematige posten, is dat echter niet langer houdbaar, vooral niet bij ondernemingen die worden geconfronteerd met de Sarbanes-Oxley Act (SOx).

Voorkomen bureaucratie

De impact van die wetgeving, die van toepassing is op alle bedrijven met een Amerikaanse beursnotering, is niet te onderschatten. SOx 404 vereist namelijk dat bedrijven expliciet aantonen dat key-controls binnen belangrijke processen die uitmonden in de jaarrekening effectief werken. Zij moeten de uitgevoerde interne controlemaatregelen structureel testen en documenteren.

De ervaringen van Amerikaanse bedrijven, die eerder dan hun Europese collega’s met een Amerikaanse beursnotering moeten voldoen aan SOx, laten zien dat zij grote moeite hebben om dat op een efficiënte en effectieve manier in te richten. De praktijk neigt hier en daar naar bureaucratie van de bewijsvoering van de controlemaatregelen - het documenteren wordt vaak gedaan door handmatige registraties.

Stevige impuls

Ook in Nederland zoeken bedrijven naar manieren om intensief handmatig werk te vervangen door structurele applicatiecontroles. Deze controles kunnen veelal worden ingericht in standaardsystemen, zoals bijvoorbeeld SAP of Oracle. Voor het eenvoudig inzichtelijk maken van de ingerichte controles en de werking ervan is echter vaak additionele software nodig. Daar is dan ook veel vraag naar.

Het komt erop neer dat men waar mogelijk de slag wil maken van handmatige en repressieve controls naar automatische en preventieve controls. Er zijn diverse tools op de markt die daarop inspelen. Deze worden bijvoorbeeld ‘bovenop’ ERP-systemen geïmplementeerd en maken inzichtelijk of de checks en balances in deze systemen goed functioneren. Soortgelijke tools kunnen voor de verschillende componenten (databases, operating-systemen) van de onderliggende technische infrastructuren de adequate werking van de basisvoorwaarden automatisering (toegangsbeveiliging, back-up/recovery en change management) aantonen.

In feite is dat alles dus al jaren mogelijk. De opkomst van SOx geeft echter een stevige impuls aan het gebruik van deze instrumenten.

Sterkere waarborgen

Nu ondernemingen die tools langzamerhand gaan gebruiken, kunnen accountants simpelweg niet langer achterblijven. Als zij niet overgaan op systeemgerichte controles ondersteund door software tools, plaatsen ze zichzelf buiten de realiteit van hun klanten. Bovendien kunnen ze daarmee hun controle efficiënter inrichten, wat gezien de druk op de kosten en de vergrijzing in het accountantsvak zeker op termijn noodzakelijk is. En last but not least: met die tooling kunnen ze ook meer zekerheid krijgen. Met tooling krijgen ze immers factfinding van een systeemgerichte controlebenadering in de dossiers over de werking van interne controle, en dat biedt sterkere waarborgen dan gespreksverslagen en gedocumenteerde steekproeven.

Standaardisering ERP

Tooling software kan bovendien bijdragen aan het vergroten van de effectiviteit en efficiency van de interne beheersing in en rondom bedrijfsprocessen. Dat vergt echter wel een mentaliteitsverandering, zowel bij de bedrijven als bij accountants. De mogelijkheden die een ERP-systeem bijvoorbeeld biedt voor het gebruik van geautomatiseerde controles worden momenteel veelal niet goed benut. Neem een automatische signaallijst die rapporteert over dubbel geboekte inkoopfacturen. Het is vaak niet duidelijk wie binnen een organisatie verantwoordelijk is voor de opvolging van deze lijst. De externe accountant stelt daarin in een aantal gevallen vast dat die signaallijst intern onvoldoende follow up heeft gekregen.

Alleen als de processen rond die signaallijst op orde zijn, kan tooling zijn waarde volledig bewijzen. Dan kan de software namelijk vaststellen of die signalering correct werkt én of de signaallijst op de juiste manier (door een geautoriseerde persoon) is afgewerkt. Dergelijke tooling rapporteert dan alleen over uitzonderingen, en is inzetbaar op verschillende gebieden: de configuratie van geprogrammeerde controles (zoals limieten, toleranties en verplichte velden), autorisaties (toegang tot kritieke systeemtransacties en doorbreking van functiescheidingen) en uitzonderingsrapportages op activiteiten en processen (bijvoorbeeld signaleringen van het aantal nog niet gefactureerde orders of de stand van tussenrekeningen).

Reageren of anticiperen?

Het lijdt geen twijfel dat veel bedrijven hier de komende jaren stevig op zullen inzetten, om efficiencywinst te realiseren en de bureaucratie voor te zijn. De ontwikkelingen zullen dan ook hard gaan de komende jaren, zeker omdat er naast SOx nog andere ontwikkelingen spelen die vragen om strakkere interne beheersing, zoals Food & Drug Administration (FDA), Basel 2, Risk Adjusted Return on Capital (RAROC) en Tabaksblat. Door op slimme wijze gebruik te maken van tooling kunnen bedrijven een duurzaam antwoord formuleren op de eisen die vanuit verschillende kanten op ze afkomen.

De rol van de externe accountant verandert daardoor niet. Zijn activiteiten echter wel. Hij beoordeelt de manier waarop zijn klant de uitzonderingsregels heeft ingericht, en stelt vast dat de tools continu hebben gewerkt. Bovendien zal de accountant met eigen tools een aantal controlemaatregelen opnieuw uitvoeren. De vraag is: gaan accountants reageren op de ontwikkelingen bij het bedrijfsleven, of kiezen ze ervoor om te anticiperen? Ik pleit voor het laatste. We zijn het als controle-experts aan onze stand verplicht.

Noot
Peter Paul Brouwers is partner bij KPMG Information Risk Management. Hij heeft dit artikel geschreven op persoonlijke titel.

Vier niveaus van tooling

Er zijn vier niveaus van tooling te onderscheiden. Het hoogste niveau is tooling voor enterprise risk management, bijvoorbeeld voor gebruik in workshops waarin op directieniveau de risico’s van de bedrijfsvoering in kaart worden gebracht.

Het niveau daaronder is het tactische niveau, waar de taken en procedures worden vastgelegd die de risico’s mitigeren.

Het derde niveau, operational risk management, behelst de daadwerkelijke uitvoering van deze procedures. Goede tooling op dit niveau zorgt dat procedures niet ontaarden in een stoffig handboek, maar dat er een systeem is dat bewaakt dat key controls inderdaad worden getest.

Het vierde niveau betreft factfi nding vanuit de onderliggende IT-systemen. De toolingsoftware rapporteert dan of de checks en balances in het systeem en de onderliggende technische infrastructuur goed hebben gefunctioneerd, en geeft signalen af als dat niet zo is. In dat verband spreken we over operating effectiveness.