Titelblad

‘Corporate Governance’ (SOx 6 , SAS70 7 ) aangescherpt. Ook spelen aandeelhouders eenbelangrijke rol doordat zij hun eisen op het gebied van continue zekerheid, meer transparantieen continue verantwoording opleggen aan het management.• De kosten 8 om te voldoen aan de aangescherpte wetgeving op het gebied van ‘compliancy’,bijvoorbeeld de ‘Office of Foreign Assets Control’ (OFAC), SOx, Basel II 9 en Solvency II 10wetgeving, zijn enorm gestegen. Enkele grote banken hebben hoge boetes opgelegd gekregen,omdat zij sanctiewetgeving overtraden. In een persbericht heeft een topbestuurder hetvolgende gezegd: "De toezichthouders hebben ons hierop terecht aangesproken. We hebbeneerder dit jaar uitgebreide maatregelen getroffen om de tekortkomingen grondig recht tezetten. Het verder verbeteren van onze compliance functie heeft de hoogste prioriteit binnende bank" 11 .• Daarnaast is de evaluatie van de interne controle een essentieel onderdeel van dejaarrekeningcontrole en jaarlijks besteden de meeste organisaties en accountancy kantorenveel tijd en geld hieraan. Tot op heden hebben auditors de keuze voor een procesmatige- ofgegevensgerichte controle aanpak. Wij zijn van mening dat wanneer organisaties gebruikmaken van CCM, auditors een effectievere en efficiëntere audit aanpak kunnen neerzetten.Kortom, door de actualiteit van het onderwerp en onze persoonlijke interesse is besloten om inonze afstudeerscriptie nader in te gaan op ‘Continuous Controls Monitoring’. Het toetsen vancontrols op continue basis wordt ‘Continuous Controls Monitoring’ genoemd.1.1.1 Relevantie met IT Audit vakgebiedIn de jaren tachtig werd het begrip ‘Continuous Audit’ geïntroduceerd in de academische wereld.Hierna werd het begrip ‘Computer Assisted Audit Techniques’ (CAAT’s) veelvuldig gebruikt alsonderdeel van de accountantscontrole. De rol van CAAT’s was toen vooral het ondersteunen vande gegevensgerichte elementen van de controle. Door de jaren heen is deze insteek van controledoor verscheidene ontwikkelingen veranderd. Tegenwoordig maakt men gebruik van dataanalyseen ‘monitoring tools’ binnen de controle. In de nabije toekomst zal steeds meergesproken worden over ‘Continuous Controls Monitoring’ en over ‘Continuous Auditing’. Aldeze ontwikkelingen binnen het vakgebied hebben gezorgd voor een effectievere en efficiëntereaanpak van de controle.Naast de IT-Auditor bestaat de primaire doelgroep voor deze scriptie onder andere uit:• Auditors, bijvoorbeeld financiële- en operationele auditors• Gebruikers, bijvoorbeeld Controllers, IT-, Proces- en Businessunit managers• Sponsors, bijvoorbeeld Chief Financial Officers (CFO) en Chief Information Officers(CIO)6 http://www.sarbanes-oxley.com7 http://www.sas70.com8 Eye on ICT digitale nieuwsbrief, jaargang 5, nummer 2 februari 20089 http://www.bis.org/publ/bcbsca.htm10 http://www.dnb.nl/openboek/extern/id/nl/vz/40-169553.html11 http://www.group.abnamro.com/pressroom/pressreleasedetail.cfm?ReleaseID=2783257

“If auditors do their job- verifying controls and risk- and management does their job – developand monitor controls, and manage risk – the organization will have a higher level of assurancethat controls are working, that risks are being managed, and that decision-making information hasintegrity.” 20Deze raakvlakken tussen de bovenstaande definities worden in onderstaande figuur 21weergegeven:Figuur 2. Samenhang Continuous Control Monitoring, Continuous Auditing en ContinuousAssuranceCA en CCM kunnen onafhankelijk van elkaar worden geïmplementeerd. Er is altijd eentegengestelde correlatie tussen de activiteiten die het management moet uitvoeren en deactiviteiten die de auditor moet uitvoeren om uiteindelijk het proces meer transparant te maken,het effectiever en efficiënter in te richten, de performance te meten en meer zekerheid te krijgenover het proces. De samenhang wordt in onderstaande figuur 22 weergegeven.20 David A. Richards, CIA, CPA, President, The institute of Internal Auditors, Inc21 www.theiia.org22 White paper on Continuous Auditing, www.theiia.org12

Management ResponseComprehensivemonitoring ofinternal controlsReducedeffortLittle monitoringof controlsSignificant effort / greaterresourcesAudit EffortFiguur 3. Samenhang management response en Audit effort bij CCM2.2 ‘Continuous Controls Monitoring’ conceptenIn opzet zijn er nauwelijks verschillen tussen CCM en CA concepten. Zowel ‘ContinuousAuditing’ als ‘Continuous Control Monitoring’ zijn processen die gebeurtenissen (bijvoorbeeldtransacties) vergelijken aan de hand van voorgeschreven criteria (normen), afwijkingenconstateren en rapporteren. Hieronder zijn twee concepten aan de hand van algemenevoorbeelden uitgewerkt.CCM Concept 1 23Het onderstaande model wordt toegelicht aan de hand van een algemeen voorbeeld in een‘Trading’ omgeving van een bank. In Trading omgevingen zijn de processen/producten complex,de volumes en risico’s zijn hoog en er moet snel worden gehandeld. Hierdoor hebben organisaties‘monitoring tools’ geïmplementeerd om de processen te bewaken. Op basis van transactie data en‘business rules’ vinden verschillende analyses plaats. Deze zijn bijvoorbeeld:• controle op functie scheiding• controle op limieten van bedragen en aantallen• aansluitcontrole tussen Front-, Back office en Custodians• statistieken van de hoogte van de posities en de creditrisico’sDe reguliere analyses zijn gebaseerd op het interne controle raamwerk van de organisatie. Demanager kan met een dashboard een totaal beeld vormen over het proces, eventuele details vantransacties inzien en wordt via een ‘alert’ geïnformeerd over afwijkingen. De afwijkingen wordendoor de manager beoordeeld en hij zorgt ervoor dat de juiste maatregelen worden genomen.Daarnaast kan men op dezelfde of historische data binnen de CCM omgeving ook aanvullendeanalyses uitvoeren. Deze zijn onder andere de handelaren (werknemers) beoordelen op dekwaliteit van de invoer en het risico profiel van handelaren in kaart brengen, fraude identificerenen knelpunten in het proces identificeren. De manager is uiteindelijk weer verantwoordelijk omde juiste maatregelen te nemen.23 White paper, Building and Implementing a CCM and Auditing Framework, ACL13

Figuur 4. Concept 1 CCM en CACCM Concept 2 24Het onderstaande model wordt toegelicht aan de hand van een algemeen voorbeeld in een betaalapplicatie van een verzekeraar. In een excasso omgeving zijn de volumes en risico’s hoog en insommige gevallen moet er snel worden uitgekeerd. Hierdoor hebben organisaties ‘monitoringtools’ geïmplementeerd om de processen te bewaken. Op basis van transactie data en ‘businessrules’ vinden verschillende analyses plaats. Deze zijn bijvoorbeeld:• controle op functie scheiding• controle op procuratieregelingen• aansluitcontrole tussen de verschillende administratie• overzicht spoedbetalingen• controle op dubbele facturen• controle op ‘master data’De reguliere analyses zijn gebaseerd op het interne controle raamwerk van de organisatie. Demanager kan met een dashboard een totaal beeld vormen over het proces, eventuele details vantransacties inzien en wordt via een ‘alert’ geïnformeerd van afwijkingen. De afwijkingen wordendoor de manager beoordeeld en hij zorgt ervoor dat de juiste maatregelen worden genomen.24 Ernst & Young, Continuous Control Concept14

Figuur 5. Concept 2 CCM en CAMen kan met CCM oplossingen verschillende systemen (met behulp van de data) koppelen en opbasis van specifieke ‘business rules’ analyses uitvoeren. Een voorbeeld hiervan is de aansluitingtussen de inkopen, verkopen en grootboek en de medewerkers die op de afdelingen werken.2.2.1 Belangrijke aspectenOp basis van de twee concepten is hieronder aangegeven wat de belangrijke (deel)aspecten enfunctionele eisen voor een CCM model zijn hieronder beschreven.1.Bepalen controlsBepalen van de controls op basis van een geaccepteerde risicocontrole raamwerk (bijvoorbeeldop basis van COSO en COBIT) en informatiebehoefte analyse. In onderstaande figuur 25 isaangegeven voor welke typen risico’s CCM geselecteerd kan worden.25 Ernst & Young, presentatie CCM en Analytics15

Figuur 6. Positie CCM2. Bepalen normenDe normen (‘business rules’) moeten via het wijzigings-beheerproces (Ontwikkel, test, acceptatieen productie (OTAP)) worden geïmplementeerd. Het definiëren van de normen vergt een andere‘mind-set’ en in onderstaande figuur 26 is dit weergegeven. Een praktijkvoorbeeld is het fiatterenvan facturen op basis van functiescheiding (het vier-ogen principe). Bij CCM moet mendefiniëren dat facturen die niet op basis van functiescheiding worden verwerkt, moeten wordengerapporteerd (uitzonderingen).Figuur 7. CCM voorbeelden interpretatie van data naar controls26 Ernst & Young, presentatie CCM en Analytics16

3.Bepalen van data setsDe beschikbaarheid en integriteit waaronder de tijdigheid van de relevante dataset is eenaandachtspunt. De organisatie moet in een concrete en eenduidige informatie managementraamwerk 27 opzetten. De vijf belangrijke aspecten binnen het raamwerk bestaan uit:• ‘Data governance’ structuurHierin worden de richtlijnen, processen, procedures en standaarden beschreven.• Data kwaliteitHierin worden de kwaliteitsstandaarden beschreven en worden prestatie-indicatoren opgenomen(‘scorecards’).• ‘Data usage’In dit deel wordt ingegaan op het gebruik van data binnen de organisatie en op ‘monitoring’ ophet gebruik en de effectiviteit van de dienstverlening.• Data managementDe beschrijving van ‘master data’ en de koppelingen (interfaces) tussen verschillende systemen.Daarnaast moet men aangeven hoe de data kan worden opgehaald (‘data capturing’)• ArchitectureIn dit deel wordt de ‘end-to-end’ stroom van data beschreven. De data opslag, transformaties enrapportages worden ook in dit deel opgenomen.4. Bepalen van de frequentie van de testDit aspect hang mede samen met de informatiebehoefte en risico’s. Hoe hoger de risico’s, hoevaker er zal worden getoetst.5. Testen/analyseren dataHierbij is het belangrijk dat de performance van het CCM model niet sterk wordt beïnvloed dooreen grote hoeveelheid data. Tevens speelt de integriteit en vertrouwelijkheid van de data eengrote rol bij de analyses.6. Onderzoeken van fouten/exceptiesHet is belangrijk om een risico analyse uit te voeren, waarbij men probeert om het totale risico tekwantificeren. Op basis van de risico analyse moet men bepalen welke maatregelen er dienen teworden genomen en of de ‘controls’ en of processen niet moeten worden aangepast (zie figuur8 28 ).Figuur 8. Relatie tussen ‘controls’ en risico’s27 CFO research services, January 201028 2005 IIA_GTAG, Continuous Auditing:Implications for Assurance, Monitoring, and Risk Assessment17

7. Identificeren en communiceren (rapporteren) bevindingen aan managementBepalen ‘hoe’ om te gaan met fouten/excepties: Hierbij moet men een classificatie van hetrisicoprofiel koppelen.8. Maatregelen treffenDit betreft ook het (eventueel) aanpassen van het proces of de ’business rules’. Een CCMomgeving moet flexibel zijn. Wijzigingen (bijvoorbeeld datasets, ‘business rules’, rapportagesetc.) moeten snel en zonder veel inspanning verwerkt kunnen worden. Met deze aanpak zal CCMniet alleen bijdragen aan efficiency doelstellingen, maar uiteindelijk ook aan de winstgevendheidvan de organisatie (zie figuur 9 29 ).Figuur 9. Approva, 2009 Businessgoals CA en CCM29 Ernst & Young, presentatie CCM en Analytics18

3. Control evaluatie principesIn het interne controleraamwerk (algemeen beheersingskader) van organisaties zijn diversebeheersingsmaatregelen geïdentificeerd, die de risico’s waar de bedrijfsvoering aan blootgesteldis mitigeren. Voorbeelden van dergelijke risico’s zijn financiële-, operationele- en compliancerisico’s. In dit zogenaamde stelsel van interne beheersingsmaatregelen wordt in de literatuurgesproken over organisatorische -, procedurele - en technische maatregelen. In onderstaandefiguur 30 zijn de verschillende typen controlemaatregelen (“controls”) schematisch weergegeven.ManualType Of ControlAutomatedPreventDetectObjective Of ControlFiguur 10. Ernst & Young, Soorten controlsControls kunnen onderverdeeld worden bij hun type – ‘manual’, ‘automated’ of een combinatievan deze twee (‘IT-dependent manual’), of bij hun object – preventie of detectie opsporen vanfouten in bijvoorbeeld in de jaarrekening, of het ondersteunen van het functioneren vangeautomatiseerde aspecten van zulke controls (IT general controls). We categoriseren controlstussen ‘application controls’, ‘IT-dependent manual controls’, ‘manual controls’ en ‘IT generalcontrols’ (ITGC’s).3.1 Aanpak testen werking van controlsBij de traditionele audit komen de auditors slechts een paar keer per jaar langs (zie figuur 11 31 )bijeen organisatie. Hierbij kan het object van onderzoek betrekking hebben op de opzet (uitsluitendontwerp), bestaan (op een bepaald tijdstip) en/of werking (over een bepaalde periode) van30 Ernst & Young31 Information systems control journal, volume 2, 200719

‘controls’. Aangezien CCM betrekking heeft op de werking van controls hebben wij detestaanpak voor de werking van controls beschreven.Figuur 11. Effect op controls bij traditionele audit aanpak.SteekproefDe statistische steekproef 32 is wiskundig en statistisch onderbouwd. Een aantal eisen voor deattributieve steekproef 33 waaraan voldaan moet zijn, te weten:- Bepalen van de doelstelling van de audit- Vaststellen van de populatie- Vaststellen van de relevante attributen- Bepalen van de steekproef omvang- Gewenste betrouwbaarheid van de uitspraak- Gewenste tolerantie- Percentage verwachte fouten- Bepalen van de selectiemethode- Uitvoeren van de steekproef- Evalueren van de uitkomst van de steekproefElk van bovenstaande punten dient onderbouwd te worden. De steekproef is een van de meestbetrouwbare methoden om een populatie te beoordelen buiten een volledige controle van depopulatie. De werkzaamheden nemen dan ook meer tijd in beslag dan een deelwaarneming.32 De variabele steekproef is in deze scriptie niet verder uitgewerkt. Voor informatie verwijzen wij graag naar Inleiding EDPauditing,Jan van Praat en Hans Suerink, Hoofdstuk 4.9.333 Inleiding EDP-auditing, Jan van Praat en Hans Suerink, 5 e druk 1 e oplage, november 2004. Hoofdstuk 4.9.320

DeelwaarnemingVoor een deelwaarneming zijn minder strenge eisen gesteld en wordt een meer “professionaljudgement” verwacht van de gebruiker. De deelwaarneming wordt uitgevoerd aan de hand vanonderstaande tabel.Nature of Controls andFrequency ofPerformanceFull test of Controls - MinimumNumber of Items to Test (Extent ofTest of Controls)Meerdere malen per dag 25 10Dagelijks 34 25 5Wekelijks 5 2Maandelijks 2 1Elk kwartaal 2 1Jaarlijks 1 1Application controlITGC'sTest of one application of eachapplication control for each type oftransaction if supported by effectiveITGC's (that have been tested);otherwise test 25Follow guidance above for manualand automated aspects of ITGC'sTabel 12. aantal samples bij deelwaarnemingLimited Test of Controls -Minimum Number of Items toTest (Extent of Test of Controls)Test of one application of eachapplication control for each type oftransaction if supported by effectiveITGC's (that have been tested);otherwise test 25Follow guidance above for manualand automated aspects of ITGC'sBij een deelwaarneming zijn het aantal te trekken posten een stuk kleiner dan bij de statistischesteekproef. De betrouwbaarheid ten opzichte van een statistische steekproef is dan ook een stukkleiner.3.2 Rol van CCMCCM is een aanpak waarbij de volledige populatie wordt gecontroleerd en kan worden toegepastvoor alle typen controls. Om dit mogelijk te maken moeten vooral de ‘manual’ en ‘IT-dependentmanual controls’ geherformuleerd worden.CCM voor ITGC’sEen voorbeeld hiervan is het toekennen van autorisaties in applicaties en de functiescheiding diehiervoor geldt. Zo gauw iemand nieuwe autorisaties krijgt waarbij functiescheiding in het gedingkomt wordt door CCM een ‘tricker’ in werking gesteld zodat de scheiding van functies niet in hetgeding komt.Een ander voorbeeld is het gebruik van een ‘account’ met hoge rechten. Deze ‘accounts’ dienenaanwezig te zijn om bij problemen de applicatie weer aan de praat te krijgen. Het is niet debedoeling dat er dagelijks gewerkt wordt met deze accounts. Wanneer dan een van deze34 Sommige controls mogen vaker voorkomen maar minder dan dagelijks. Voor deze controls, de te trekken posten is interpolatievan de bovenstaande tabel. Normaal, voor controls die tussen de 50 en 250 keer per jaar voorkomen, is minimaal te trekkenposten is 10% van het totaal aantal posten.21

‘accounts’ inlogt in de applicatie kan een ‘tricker’ in werking gesteld worden zodat gekeken kanworden wat er met het account wordt gedaan en of het via de formele procedure verloopt.CCM voor ‘manual / IT-dependent manual controls’De bedrijfsprocessen in een geautomatiseerde omgeving worden ondersteund doorinformatiesystemen, waarbij een steeds groter deel van de interne controlemaatregelen isondergebracht in die systemen. Niet meer tekenen voor ontvangst van goederen op een papiertje,maar alles gebeurt in het systeem (ERP), is hier een voorbeeld van. Een onderneming kan nogeen stap verder gaan. Om na te gaan of de ‘controls’ in het systeem effectief zijn, kan eenonderneming gebruik maken van CCM.CCM voor ‘application controls’Volgens de regelgeving (met name van de PCAOB 35 met zijn Auditing Standard no.2 van maart2004) zijn er enkele methoden om de werking van ‘application controls’ vast te stellen. Enerzijdskan de auditor gebruikmaken van de resultaten van een gebruikerstest. Een nadeel is dat dezevaak geruime tijd geleden is uitgevoerd en moeilijk kan worden achterhaald. Anderzijds kan mende tests opnieuw uitvoeren. Een nadeel is dat hiervoor vaak een testomgeving moet wordeningericht, wat veel tijd en geld kan kosten. Een andere optie kan zijn om de programmacode telaten beoordelen. Een nadeel is dat deze code vaak complex is. In de PCAOB richtlijnen issimulatie/heruitvoering met behulp van data-analyse ook een optie om de werking van‘application controls’ vast te stellen. CCM maakt gebruik van data-analyse oplossingen en hierbijkan het gebruik van data analyse gezien worden als een ‘dual-purpose’: enerzijds wordt eenoordeel verkregen over de werking van de interne controle (bijvoorbeeld door herberekening) enanderzijds wordt tevens een beeld verkregen van de concrete uitkomsten van de controle.3.3 Invloed op de mate van zekerheid“Het is praktisch onmogelijk om de mate van zekerheid van een oordeel van een IT Audit tekwantificeren” 36 . Men maakt een onderscheidt in opdrachten gericht op het verschaffen van eenredelijke mate van zekerheid en een beperkte mate van zekerheid.Opdrachten met een redelijke mate van zekerheid zijn situaties waarin de IT-Auditor toereikendbewijsmateriaal heeft verkregen om te kunnen oordelen dat er geen materiële afwijkingen in hetproces zijn. Bij opdrachten met een beperkte mate van zekerheid heeft de IT-Auditor niet kunnenvaststellen of er materiële afwijkingen in het proces zijn.De opdrachten met een redelijke mate van zekerheid worden in de accountancy aangeduid met determen ‘audit’ en controle. De opdrachten met een beperkte mate van zekerheid wordenaangeduid met de termen ‘review’ of beoordeling.35 PCAOB: Public Company Accounting Oversight Board36 Grondslagen IT-auditing, R. Fijneman, E. Lindgreen, P. Veltman22

De elementen die van invloed zijn op de bepaling van de mate van zekerheid zijn in onderstaandetabel weergegeven.Elementen IT-auditopdrachtInvloed op mate van zekerheidBeoogde gebruikersDe mate van zekerheid moet aansluiten bij de kennis en behoefte van debeoogde gebruikers. Bij een uitgebreide kring van onbekende gebruikers(maatschappelijk verkeer) kan niet worden verwacht dat zij het verschiltussen een redelijke en een beperkte mate van zekerheid doorgronden en/ofdat een beperkte mate van zekerheid zonder meer past bij hun behoeften.Onderzoeksobject en criteria Naar mate het onderzoeksobject minder eenduidig kan worden gedefinieerdof een toetsing van de kwaliteitsaspecten minder goed mogelijk is, heeft ditinvloed op de mate van zekerheid die kan worden verschaft.BewijsmateriaalBij een onderzoek met een beperkte mate van zekerheid zal waarschijnlijk deomvang van de onderzoekswerkzaamheden minder omvangrijk zijn dan bijeen onderzoek met een redelijke mate van zekerheid.Tabel 13. De mate van zekerheid van de auditDoor de toepassing van CCM verandert er niets aan deze tweedeling. Slechts inuitzonderingsgevallen kan de auditor absolute zekerheid verschaffen. Bijvoorbeeld wanneer hetbewijsmateriaal volkomen sluitend en betrouwbaar is omdat het object van onderzoek en de tehanteren criteria volkomen eenduidig zijn en het toegepaste onderzoeksproces allesomvattendkan zijn.23

4. Positionering CCM binnen COSO en CCM binnen COBITVoor het inrichten en onderhouden van algemene IT-beheersmaatregelen zijn verschillenderaamwerken en standaarden ontwikkeld. Het algemeen aanvaarde COSO 37 -model (‘Commitee OfSponsoring Organization’) voor interne beheersing kan worden gezien als de basis voor al dezeraamwerken en om deze reden wordt de positionering van CCM binnen het COSO raamwerktoegelicht.Daarna besteden we aandacht aan COBIT 38 (‘Control Objective for Information and relatedTechnology’), een raamwerk voor de beheersing van informatietechnologie. Het COBITraamwerk is gebaseerd op het COSO raamwerk en is opgesteld door het Amerikaanse ‘ITGovernance Institute’. Volgens het IT Governance Institute is het COBIT raamwerk eenoverkoepelend raamwerk dat de meeste facetten van IT-beheersing raakt.4.1 Raakvlakken CCM en COSO4.1.1 Inleiding COSO frameworkHet COSO raamwerk bestaat uit de onderstaande componenten.• ‘Control Environment’De beheersomgeving omvat factoren als integriteit, ethische waarden, de competenties vanmedewerkers, de filosofie van het management, de manier waarop verantwoordelijkhedenworden belegd, de manier waarop de organisatie met het personeel omgaat en de houding vanhet topmanagement. De beheersomgeving bepaalt de toon binnen de organisatie en beïnvloedde manier waarop personen binnen een organisatie over interne beheersing denken. Debeheersomgeving vormt de basis voor alle andere componenten van interne beheersing.• ‘Risk Assesment’Dit component betreft het identificeren en analyseren van de relevante risico’s waaraan deorganisatie is blootgesteld en die de doelstellingen van de organisatie in gevaar kunnenbrengen.• ‘Control Activites’Beheersactiviteiten (maatregelen) bestaan onder meer uit beleid, richtlijnen, procedures engeprogrammeerde controles die ervoor zorgen dat de doelstellingen van de organisatieworden gerealiseerd. Beheersingsmaatregelen komen voor op alle niveaus in de organisatie.Voorbeelden zijn tekenbevoegdheden, limieten, autorisaties, controles,beveiligingsmaatregelen en functiescheiding.• ‘Information and Communication’Het identificeren, vastleggen en verstrekken van relevante informatie is essentieel voorinterne beheersing. Interne beheersing moet worden ondersteund door systemen die deorganisatie voorzien van informatie over operationele, financiële en op naleving gerichteinformatie, evenals informatie over externe gebeurtenissen en activiteiten. Ook de37 www.coso.org38 www.iasaca.org/cobit/24

communicatie over interne beheersing dient helder en eenduidig te zijn, zodat elke betrokkenpartij binnen en buiten de organisatie weet wat zijn of haar rol is op het gebied van internebeheersing.• ‘Monitoring’Interne beheersingssystemen dienen te worden bewaakt. ‘Monitoring’ is een proces waarbijde kwaliteit van de interne beheersing over een bepaalde periode wordt gemeten. Hierdoorkunnen wij concluderen dat het ‘monitoring’ component van COSO vele raakvlakken heeftmet de definitie van CCM en CA. Het meten van de kwaliteit van de interne beheersing vindtplaats door voortdurende ‘monitoring’, tussentijdse evaluaties of een combinatie van beide.Ernstige tekortkomingen in de interne beheersing dienen daarbij aan de hoogste leiding teworden gerapporteerd.4.1.2 MonitoringVolgens een rapportage 39 van COSO is gebleken dat de evaluatie van de interne controls door hetmanagement erg tijdrovend en vaak inefficiënt is. In dit document wordt beschreven dat hetmanagement van een organisatie met behulp van ‘monitoring’ het evaluatieproces effectiever enefficiënter kan inrichten. Tot op heden is gebleken dat het management door gebrek aan kennis,nauwelijks gebruik maakt van de belangrijke component van interne beheersing.CCM wordt dus binnen het ‘monitoring’ component van COSO gepositioneerd en heeftraakvlakken met de overige vier componenten. De samenhang en relaties tussen ‘monitoring’ ende overige componenten worden in onderstaande figuur weergegeven.Figuur 14. Monitoring binnen het proces van interne controle4.1.2.1 Toegevoegde waarde van monitoring binnen governance processenMonitoring wordt binnen het COSO raamwerk beschreven als een middel dat als doel heeft omervoor te zorgen dat de werking van controls continu effectief zijn en daarom zullen controls dieniet worden bewaakt op den duur niet werken. Volgens de onderzoekers hebben organisaties veel39 COSO Guidance on Monitoring Internal Control Systems, January 200925

aat bij een correcte implementatie van de COSO component ‘Monitoring’. De redenen hiervoorzijn:• Continu identificeren van problemen en het verbeteren van processen.• Waarborgen van data integriteit ten behoeve van juiste informatie bij belangrijke keuzes.• Het tijdig produceren van financiële cijfers.• In staat zijn om gecertificeerd te worden.Kortom, op de lange termijn zal effectieve monitoring organisaties zowel kostenvoordelen alsefficiency voordelen brengen. Het belangrijke verschil ten opzichte van de conventionele manieris dat de problemen bij effectieve monitoring op proactieve manier worden geïdentificeerd inplaats van op een reactieve manier.4.1.2.2 Fundamenten van effectieve monitoringEr zijn twee fundamentele principes 40 die van belang zijn voor effectieve monitoring. Enerzijdsmoeten controls continu (of periodiek) worden geëvalueerd. Anderzijds moeten problemen tijdigworden geïdentificeerd en naar de juiste personen worden gecommuniceerd. De aspecten die vanbelang zijn bij deze twee fundamenten zijn:• Een goede basis voor ‘monitoring’ inclusief een correcte ‘tone-at-the-top’, effectieveorganisatie structuur en een baseline of startpunt.• Ontwikkelen en implementeren van monitoring procedures waarbij de focus ligt op derisicovolle aspecten.• Evalueren en rapporten van uitkomsten inclusief de schadebepaling en de follow acties vangeremedieerde controls.4.1.2.3 Monitoring proceduresOrganisaties kunnen zelf bepalen welke procedures en instrumenten zij voor monitoring inzetten.In de COSO guidance worden de volgende procedures genoemd:• Periodiek evalueren en testen van control door de interne audit dienst.• Continuous monitoring programma’s.• Data-analyse.• Review van controls.• Self-assesments door het bestuur.• Interview door Audit committee van interne- en externe auditor.• Quality Assurance reviews van de interne audit dienst.40 Attributes of effective communication and follow-upNo system can provide absolute assurance that control failures will not occur, but an effective system should be designed toidentify and correct problems before they become material to the organisation’s objectives. Principle 20 (’ReportingDeficiencies’) from COSO’s 2006 Guidance identified three attributes that are consistent with that goal.• Report findings – findings of internal control weaknesses are reported (1) to the individual who owns the process and relatedcontrols and who is in a position to take corrective actions and (2) to at least one level of management above the processowner.•Report weaknesses – significant weaknesses are communicated to top management and the board or audit committee.•Correct problems on a timely basis – weaknesses reported from both internal and external sources are considered and timelycorrective actions are taken.These attributes reinforce the need for the right people to receive information such that (1) corrective action can be taken and (2)management can provide sufficient oversight to gain an understanding that the corrective action has been taken.26

De bovenstaande lijst is niet limitatief en door technologische ontwikkelingen en nieuwetechnieken zullen monitoring procedures in de toekomst veranderen.4.2 Raakvlakken CCM en COBITCOBIT is een raamwerk van een interne controle systeem dat het management handvaten biedtom ervoor te zorgen dat de ICT continue aansluit bij de organisatiedoelstellingen.Het startpunt van COBIT 41 is het definiëren of overnemen van de organisatie- en compliancydoelstellingen.Zonder deze input bestaat er geen garantie dat de navolgende stappen een bijdragezullen leveren aan het behalen van de bedrijfsdoelstellingen. De doelstellingen voor de ICTfunctieworden verder uitgewerkt in vier domeinen (zie onderstaande figuur):• ‘Plan and Organise’Het definiëren van de ICT-strategie en ICT-architectuur.• ‘Acquire and Implement’Het vertalen van de ICT-strategie naar het implementeren van ICT-oplossingen.• ‘Deliver and Support’Gericht op het opleveren en beheren van de geïmplementeerde oplossingen.• ‘Monitor and Evaluate’Het beoordelen of ICT de gewenste bijdrage levert aan de bedrijfsdoelstellingen.41 www.iasaca.org/cobit/27

Figuur 15. COBIT 4.1 raamwerkDe vier domeinen staan met elkaar in verbinding en bestrijken het gehele ICT-landschap.Beslissingen die in ‘Plan and Organise’ worden genomen, worden in ‘Acquire and Implement’geïmplementeerd. In het domein ‘Deliver and Support’ worden de ‘deliverables’ in gebruikgenomen door de operationele afdelingen en tegelijkertijd begint het monitoring proces om vastte stellen of de genomen beslissingen datgene opleveren wat de organisatie voor ogen had in defase ‘Plan and Organise’.Per domein zijn de bijbehorende processen gedefinieerd. De domeinen bestaan uit in totaalvierendertig processen. Eisen zijn gedefinieerd waaraan de output van ICT dient te voldoen. Dezeeisen zijn vertaald naar de volgende kwaliteitscriteria: ‘effectivity’, ‘efficiency’, ‘confidentiality’,‘integrity’, ‘availability’, ‘compliance’ en ‘reliability’. Naast de vier domeinen enkwaliteitscriteria besteedt COBIT ook aandacht aan de te gebruiken resources. COBIT verstaatonder resources: applicaties, informatie, infrastructuur en mensen.COBIT is te gebruiken ongeacht de wijze waarop de infrastructuur tot stand is gekomen. COBITschrijft niet voor of een organisatie gebruik dient te maken van een ERP-pakket of een legacysysteem.28

4.2.1 MonitoringHet COBIT raamwerk is gebaseerd op het COSO raamwerk en daarom wordt CCMgepositioneerd binnen het domein ‘monitor and evaluate’ van het COBIT framework. Net als bijCOSO is dit domein verbonden met de overige domeinen binnen het COBIT framework. Enkelespecifieke monitoring activiteiten binnen het COBIT raamwerk zijn: monitoring van performancemanagement, monitoring van de interne beheersing, compliancy monitoring.29

5. CCM in de praktijk en het effect op de evaluatie van de interne‘controls’5.1 InleidingVoor de toetsing van het theoretische gedeelte van onze scriptie aan de praktijk hebben wij eenaantal mensen geïnterviewd. De interviews zijn uitsluitend gebaseerd op kwalitatieve bronnen.De lijst van te interviewen personen moet voldoen aan bepaalde voorwaarden en daarom hebbenwij in het selectieproces rekening gehouden met het functieprofiel, ervaring, type organisatie enhet aandachtsgebied van de te interviewen personen. Op basis van deze criteria hebben wij voorde geïnterviewde de volgende onderverdeling gemaakt:• IT-Auditors vanaf manager niveau met een data analyse focus, ERP specialisatie en ervaringmet CCM of CA• Accountants vanaf manager niveau met een data analyse focus en ervaring met CCM of CA• Operational Auditors vanaf manager niveau met een data analyse focus en CCM of CAervaringAl deze personen hebben veel evaring met ‘Controls Monitoring’ en auditing in de breedste zinvan het woord. Daarnaast hebben twee van de tien geïnterviewden zelf een scriptie geschrevenover ‘Continuous Control Monitoring’. Een van de geïnterviewden heeft een onderzoekuitgevoerd naar de verbanden tussen de begrippen CA en CM. De andere heeft een onderzoekuitgevoerd naar de monitoring-technieken die een externe auditor kan toepassen binnen dejaarrekingcontrole. Het is ons niet gelukt om een consultant van een leverancier te interviewen endaardoor hebben wij ervoor gekozen om deel te nemen aan een ‘webcast’ van Approva 42(Leverancier CCM oplossingen).De interviews zijn opgebouwd uit open vragen die in principe dezelfde opbouw hadden. Dehoofdlijnen van de vragenlijst bestond uit de onderstaande vragen:1. Geef uw definitie van CCM?2. Zou u een praktijkvoorbeeld van CCM willen beschrijven, en hoe?3. Welke eisen zouden volgens u nodig zijn om CCM te laten slagen en hoe zou debusinesscase eruit moeten zien?4. Kunt u aangeven/uitleggen hoe CCM binnen het COSO raamwerk past?5. Kunt u aangeven/uitleggen hoe CCM binnen het COBIT raamwerk past?Bij de uitwerking van de vragen geven wij bij elke vraag in het kort eerst onze verwachting diewij op basis van de theorie hebben. Na de uitwerking van de vragen geven wij een korteconclusie op het verschil dan wel overeenkomst tussen onze verwachting en de praktijk.42 http://www.approva.net/30

5.2 Uitwerking vragenVraag 1: Geef uw definitie van CCM?VerwachtingWij verwachten hier een definitie zoals die in de theorie (hoofdstuk 2) beschreven wordt tekrijgen.PraktijkDe interviewden waren het met elkaar eens over de principes van het CCM concept. De definitiesvan de geïnterviewden liepen wel uiteen. Elke persoon keek vanuit zijn eigen gezichtspunt naarCCM. Hieronder hebben wij het begrip ‘Continuous Control Monitoring’ opgedeeld in drie delenom de verschillende standpunten te beschrijven.‘Continuous’De geïnterviewden waren het niet met elkaar eens over de frequentie van toetsen. Deverschillende opvattingen hebben wij in drie groepen ingedeeld. De eerste groep geïnterviewdenvind dat het woord “Continuous” meer neigt naar ‘real-time’ toetsen. Het signaal van deafwijking op de norm van de activiteit moet direct naar het management wordengecommuniceerd.De tweede groep geïnterviewden vind een frequentie van zes keer per uur of dagelijks ofwekelijks of maandelijks ook reëel onder de definitie van het woord “Continuous”. Hierbij gevenze aan dat de frequentie samenhangt met de risico’s en de toegevoegde waarde binnen het proces.Voor processen met een relatief hoge risico factor is een dagelijkse ‘Monitoring’ (day-to-day)beter omdat de signalen/problemen direct aangepakt kunnen worden.Het overige deel vindt dat het woord “Continuous” samenhangt met de volledigheid van deactiviteiten en niet zo zeer met de frequentie van toetsen aan de norm (de controle). Hierbij gevenze aan dat je op ieder willekeurig moment een analyse kan uitvoeren over een voorafgedefinieerde populatie. Dit is tevens het grote verschil met de conventionele aanpak waarbij mendoor middel van een steekproef zekerheid probeert te krijgen over een proces. Door CCM toe tepassen kan men de foutomvang kwantificeren en kan met behulp van data uit het verleden hetproces in de toekomst verbeteren.ControlDe interpretatie van het begrip ‘Control’ was voor alle geïnterviewden gelijk. De ’Control’ is denorm in het proces waaraan getoetst wordt.MonitoringDe interpretatie van het begrip ‘Monitoring’ was voor alle geïnterviewden gelijk. Deverantwoordelijkheid en de gebruiker van CCM liggen volgens de geïnterviewden bij de business(manager). Deze groep geeft aan dat het management ervoor moet zorgen dat doelstellingenbehaald worden. De toepassing van CCM was echter verschillend. De IT- en Operational auditorsplaatsen CCM vooral binnen IT-controle aspecten waaronder security monitoring en31

functiescheiding, terwijl de Accountants CCM plaatsten binnen niet IT-controle aspecten (dusmeer gericht op business doeleinden). Volgens de Accountants leiden de signalen op de ITcontroleobjecten vaker tot zogenaamde ‘non-events’, ook wel ‘false-positives’ genoemd.ConclusieWij hadden vanuit de theorie niet verwacht dat we van elk geïnterviewde persoon een anderedefinitie zouden krijgen. In het theoretische kader wordt CCM als algemeen goed beschreven engaat hier niet specifiek in op de gezichtspunten van de verschillende betrokken partijen.Vraag 2: Zou u een praktijkvoorbeeld van CCM willen beschrijven, en hoe?VerwachtingOnze verwachting is dat bij de meeste grotere organisaties, denk aan financiële instellingen ofmultinationals, de fundamenten van CCM zijn ingericht en draaiend zijn.PraktijkEen groot deel van de geïnterviewden heeft geen concreet voorbeeld van CCM bij eenonderneming kunnen beschrijven. De geïnterviewden geven vijf belangrijke verklaringen voorhet feit dat CCM niet of nauwelijks wordt toegepast.• De eerste verklaring heeft betrekking op de volwassenheid van organisaties. In de meesteorganisaties is ‘data governance’ onvoldoende om een volwaardige CCM omgeving teimplementeren. De eerste stap hierin zou zijn om een goede ‘DataWareHouse’ (DWH) in terichten.• De tweede verklaring heeft betrekking op het kennisniveau op het gebied van CCM. Deondernemingen weten nog te weinig af van CCM en daardoor is er geen breed draagvlak omCCM toe te passen en te onderhouden. Ondernemingen houden zich bezig met ‘Exceptiemanagement’ en ‘Capiacity management’ en denken te weinig aan risico’s, verbeteringen enhebben geen analytische focus. Een van de geïnterviewden geeft aan dat het belangrijk is omschoolverlaters in dienst te nemen om de ‘mind-set’ in een organisatie te veranderen.• De derde verklaring heeft betrekking op de beschikbaarheid van data. In de meeste gevallen isniet alle data elektronisch aanwezig. Daarnaast zijn er verschillende systemen en dusverschillen (technische) bestandbeschrijvingen en gaat het in de meeste gevallen om heel veeldata.• De vierde verklaring heeft betrekking op de flexibiliteit van de ‘CCM tools’. Processen zijnonderhevig aan veranderingen. Een geïnterviewde geeft aan dat het te veel inspanning (geld)kost om de ‘CCM tool’ aan te passen.• De laatste verklaring heeft betrekking op de kennisgebieden (personen) die moetensamenwerken om een CCM omgeving te implementeren.Voorbeeld 1Zo gaf een geïnterviewde het voorbeeld van een man bij een bank die een ‘monitoring tool’ voorhet grootboek had opgezet. Hij bekeek per dag de stromen per bedrijfsonderdeel, per systeem oprekeningniveau en bij onregelmatigheden kon hij identificeren waar de mogelijke problemenzaten en welke mogelijke bronsystemen het proces beïnvloedde. Door de juiste opvolging vancorrectieve maatregelen en de juiste documentatie had de controller volledige informatie op om32

de maandcijfers op te stellen en deze te verklaren. In de praktijk zie je dat controllers aan heteinde van maand veel moeite hebben om de juiste cijfers te presenteren. Dit heeft alles te makenmet het feit dat men geen zicht heeft op de problemen die bijvoorbeeld aan het begin van demaand zijn ontstaan. Volgens de geïnterviewde, die meer dan 20 jaar ervaring heeft met‘auditing’ en ‘monitoring’, is het toepassen van CCM binnen een Finance/Controlling afdelingeen ‘quick’ win. Hierbij geeft hij aan dat het formaliseren van de procedures rondom deimplementatie van de CCM omgeving nadelig kunnen zijn (hoge kosten).Voorbeeld 2Een ander voorbeeld had betrekking op een trading omgeving. De geïnterviewde gaf aan datCCM wordt toegepast voor verschillende deelprocessen/activiteiten binnen de trading omgeving.Als voorbeeld gaf hij aan dat men voor de transactieverwerking CCM toepast op de controle vande functiescheiding en voor de verwerking van de financiële administratie CCM toepast op decontrole van de reconciliatie en de controle op de juistheid van de invoer. Gedurende de dag vindtCCM plaats op de controle van de limieten op het kredietrisico. Op een hoger niveau worden deuitzonderingen samengevoegd in de vorm van een rapportage en vinden na analyse de juistemaatregelen plaats. Door het toepassen van CCM heeft men een applicatieve fout ontdekt en kanmen de performance van handelaren meten. Een handelaar (‘trader’) wordt bijgeschoold wanneerhij niet voldoet aan de norm.Voorbeeld 3Feitelijk hadden alle geïnterviewden ervaring met CA. Een geïnterviewde gaf als voorbeeld vanCA aan dat de interne audit middels een analyse tool (ACL) de rechten binnen AS400 en UNIXmachines periodiek en integraal beoordeelde. De uitzonderingen worden in het audit-rapportopgenomen en voorgelegd aan het management. Het management neemt vervolgens de juistemaatregelen. Door het toepassen van CCM heeft men de audit-kosten (reizen, tijd voor analyse)enorm verlaagd. Daarnaast kan men het management voorzien van een ‘to-do’ lijst.ConclusieWij hadden vanuit de theorie niet verwacht dat CCM nog maar zo weinig wordt toegepast. Deverklaring wordt zelf door de geïnterviewden gegeven.Vraag 3: Welke eisen zouden volgens u nodig zijn om CCM te laten slagen en hoe zou de‘businesscase’ eruit moeten zien?VerwachtingWij verwachten hier een antwoord in de trant van efficiënter en effectiever inrichting van controlswat tot gevolg heeft dat de kosten zullen dalen.PraktijkDe meeste geïnterviewden geven aan dat het management achter CCM moet staan zodat het eenkans van slagen heeft. De CFO of de CIO zijn volgens de geïnterviewden de sponsors en zijndaarom de meest aangewezen personen. Verder dient de organisatie volwassen genoeg te zijn omCCM toe te passen. De meeste geïnterviewden vinden dat de organisaties hier niet aan toe zijn.Zij vinden dat ‘data governance’ eerst van voldoende niveau moet zijn. Om CCM teimplementeren moet het project team bestaan uit mensen met verschillende kennisgebieden. De33

usinesscase voor het toepassen van CCM moet eenvoudig, maar concreet zijn en moet niet teveel middelen (geld/tijd/inspanning) kosten. Verder is het van belang om een prototype inclusiefeen dashboard als eindproduct af te leveren. Tot slot moet interne audit een voortrekker zijn enCCM middels een ‘push’ strategie de business overtuigen.Welke ‘trickers’ zijn aanwezig voor CCMCCM kan toegepast worden voor Business Process Controls, Application Controls en IT GeneralControls. De meest genoemde voordelen zijn transparantie, betere kwaliteit en efficiencyvoordelen waaronder kostenbesparing voor de business. De kostenbesparing op dejaarrekeningcontrole was het minst genoemde punt. Het efficiency voordeel bestond uit het feitdat processen aangepast konden worden doordat de zwakke punten van de ‘controls’ door CCMnaar voren komen. Andere voordelen zijn:• Analyse op populatie in plaats van een deelwaarneming.• Uitsluiten van problemen.• Geen discussie over bevindingen, concrete evidence.• ‘To do’ lijst voor de manager.• Minder tijd kwijt aan reizen.• Automatiseren, minder handenwerk en over meerdere locaties tegelijk.• Voorspellingen maken.• Vergelijken van controls, bijvoorbeeld tussen afdelingen.• Betere samenwerking met de business.De geïnterviewden geven aan dat het moeilijk is om de voordelen in financiële waarde uit tedrukken. In het begin zal men kosten moeten maken en is het onzeker of het project zal slagen.Het is dus belangrijks om een duidelijke keuze voor de implementatie van CCM te makenwaarbij men de rekening moet houden met de volgende aspecten:• Risico’s, er zijn meer voordelen te behalen in processen met hoge risico’s• Eisen om te voldoen aan wet- en regelgeving• Aantal audit-uren, er zijn meer voordelen te behalen bij grotere audits• Vergelijkbare processen in verschillende locaties• Hoog geautomatiseerde omgevingenConclusieWij hadden vanuit de theorie verwacht dat meer op het kostenaspect gewezen zou worden omCCM toe te passen wat in de praktijk dus niet het geval is.Vraag 4: Kunt u aangeven/uitleggen hoe CCM binnen COSO past?VerwachtingWij verwachten hier dat de geïnterviewde vooral CCM in het ‘Monitoring’ vlak zullen plaatsenwaarbij men tevens de relatie met de andere vlakken benadrukt.PraktijkNiet alle geïnterviewden hebben deze vraag beantwoord omdat ze niet zo bekend waren met alleaspecten van COSO. De overgebleven geïnterviewden zien CCM vooral in ‘Control34

environment’, ‘Risk Assessment’, ‘Monitoring’ en ‘Information & Communication’. Door CCMhierin te plaatsen ontstaat een ronde cirkel. Vanuit het monitoren kunnen weer aanpassingengemaakt worden in het controle ‘framework’.ConclusieWij hadden verwacht dat alle geïnterviewde CCM wel in een vlak van COSO zou kunnenplaatsen. Degene die CCM wel in COSO hebben kunnen plaatsen waren volgens onzeverwachtingen.Vraag 5: Kunt u aangeven/uitleggen hoe CCM binnen COBIT past?VerwachtingWij verwachten hier dat de geïnterviewde CCM in het ‘Monitor and Evaluate’ vlak zullenplaatsen, waarbij men tevens de relatie met de andere vlakken benadrukt.PraktijkEen aantal geïnterviewden hebben deze vraag niet beantwoord omdat ze niet zo bekend warenmet alle aspecten van COBIT. De overgebleven geïnterviewden zien CCM in het ‘Monitor andEvaluate’ vlak van COBIT.ConclusieWij hadden verwacht dat alle geïnterviewden CCM wel in een vlak van COBIT zou kunnenplaatsen. Degene die CCM wel in COBIT hebben kunnen plaatsen waren volgens onzeverwachtingen.5.3 Algemene conclusie interviewsDe principes en CCM concepten die in de verschillende interviews zijn besproken verschillenniet van de theoretische principes en concepten. Er is ook geen discussie over de voordelen vanCCM en CA. Echter zijn er verschillende opvattingen over de interpretatie van het woord“Continuous”.Wij hebben opgemerkt dat organisaties CCM nog te weinig toepassen en daardoor zijn devoordelen niet te kwantificeren. Het is dus niet in kosten/tijd uit te drukken wat de voordelen zijnten opzichte van de conventionele manier van testen of ten opzichte van bijvoorbeeld‘Benchmarking’. Men is unaniem van mening dat een CCM aanpak veel voordelen heeft. Om desponsors van CCM te overtuigen moet een prototype inclusief een dashboard als eindproduct heteindproduct in de businesscase worden opgenomen. CA en CCM kunnen onafhankelijk vanelkaar worden toegepast. De interne audit afdelingen hebben meer kennis van CA en CCMtechnieken en kunnen daarom CCM middels een ‘push’ strategie de business overtuigen. Inonderstaande tabel hebben wij de voor- en tegenargumenten samengevat.Strenghts• Efficient• Kosten voordeel• Integraal beoordelen• Tijdig fouten identificeren en oplossenWeaknesses• Flexibiliteit van de interpretaties35

• Dichterbij het procesOpportunities• Bijdragen aan een effectievere governance structuur• Procesverbeteringen• Bijdragen winstgevendheidTabel 16. Voor- en tegen argumenten CCMThreats• Hoge implementatie kosten• Onderhoudskosten• BeveiligingsaspectenVerder merken wij op dat CA nog in de kinderschoenen staat. In de praktijk zie je datorganisaties de voordelen van het ERP pakket niet maximaal benutten en dat er eenverscheidenheid aan applicaties zijn. Er heest een soort eiland cultuur waarbij men voor iederdeelproces een afzonderlijke analyse uitvoert. Wellicht heeft dit deels te maken met het feit dat‘Monitoring’ systemen vrij duur zijn en minder flexibel zijn dan een handige, betrouwbare enbekende tool als ACL. Dit kan erg inefficiënt zijn omdat de extraction, transportation and loading(ETL) procedure bij iedere analyse van toepassing is. Het zou efficiënter en effectiever zijn alsmen in een ‘Monitoring’ omgeving meerdere ‘controls’ van het proces kan toetsen.Op basis van de verstrekte antwoorden over de positionering van CCM binnen COSO en COBITkunnen wij concluderen dat CCM gezien wordt aan een nieuwe manier van toetsen en niet zozeer op een andere kijk of toevoeging op het proces, risico en controle raamwerk van deorganisatie. Men moet op basis van de procesfactoren, risico classificatie en informatie behoeftenbesluiten om CCM toe te passen.36

6. Aandachtsgebieden IT auditorOp basis van het uitgevoerde literatuur- en praktijkonderzoek concluderen wij dat IT eenbelangrijke rol speelt bij het monitoren van ‘controls’. Door de grote afhankelijkheid van IT is deIT-Auditor de aangewezen persoon om een oordeel te geven over de opzet, bestaan en werkingvan de controls voor een CCM omgeving.De werkzaamheden van een IT-Auditor kunnen worden omschreven als het verschaffen vanzekerheden en advies over alle soorten IT-objecten binnen een organisatie. IT-objecten zijn ininformatiesystemen, onderdelen daarvan, of aan informatiesystemen gerelateerde entiteiten. In ditkader hebben wij IT-objecten vertaald als databases, data, interfaces, business rules en systemen(applicaties). Op grond van opleiding en praktijkervaring beschikt een IT-Auditor overdeskundigheid op het gebied van IT, bestuurlijke informatievoorziening en organisatiekunde.Tevens heeft een IT-Auditor kennis van methoden en technieken voor onderzoek, toetsing enrisicoafweging.Naast de standaard controle van de algemene IT beheersmaatregelen (IT General Controls) zal deIT-Auditor tijdens de controle op de CCM omgeving moeten vaststellen of de integriteit van deinformatie gewaarborgd is. Daarnaast zal de IT-Auditor moeten vaststellen dat de ‘business rules’juist zijn en dat wijzigingen op de ‘business rules’ via een formeel wijzigingsbeheer procedurelopen. Tenslotte moet de IT-Auditor nagaan of de exceptiemanagement procedure (inclusief deopvolging van ondernomen acties) heeft gewerkt.Vanwege onze veronderstelling dat de ITGC’s een bekend begrip is en dat de lezers redelijk veelervaring hebben met de controle op de ITGC’s, zullen wij uitsluitend ingaan op het begripintegriteit. Het begrip integriteit wordt in het IT audit vakgebied vaak gebruikt en hangt samen(zie onderstaande figuur 43 ) met andere begrippen waaronder informatie-integriteit,informatiekwaliteit, data-integriteit en datakwaliteit en systeem-integriteit.43 Scriptie VU Amsterdam: “De rol van data-analyse bij het beoordelen van informatie-integriteit”, drs. F.J. Boerkamp en ir. S.P.Soerjoesing37

Figuur 17. Samenhang integriteitIntegriteit 44 is de mate waarin het object (d.w.z. in deze situatie: ICT-dienst of ICT-middel)in overeenstemming is met de afgebeelde werkelijkheid. De laatste jaren speelt data-analyse eenbelangrijke rol bij de vaststelling van informatie-integriteit. Volgens een onderzoek 45 naar de rolvan data-analyse bij het beoordelen van informatie-integriteit bestaat het stappenplan voorinformatieanalyse met data-analyse tools minimaal uit de zeven aspecten:• Vaststellen van de rol van informatie binnen het bredere verantwoordingproces van hetmanagementDe auditor zal samen met de gebruiker van de informatie moeten vaststellen wat de rol is van debetreffende informatie binnen het verantwoordingsproces.• Beschrijven van de functionele en technische informatiestromenBeschrijven van functionele of technische documentatie. Deze beschrijvingen moeten afgestemd(gevalideerd) worden met de gebruikers.• Opstellen en valideren analyse model en integriteiteisenDe functionele eisen worden opgesteld door de gebruikers, deze worden doorvertaald door detechnische specialisten in technische eisen. De analyses moeten afgestemd (gevalideerd) wordenmet de gebruikers.• Opstellen verwachtingen uitkomst analyses, uitval en afvalHet resultaat is een SOLL situatie.• Uitvoeren van onderzoek door middel van data-analyse tools44 NOREA, 200745 Scriptie VU Amsterdam: “De rol van data-analyse bij het beoordelen van informatie-integriteit”, drs. F.J. Boerkamp en ir. S.P.Soerjoesing38

Hiervoor kunnen data-analyse tools, bijvoorbeeld ACL, gebruikt worden.• Beoordelen volledigheid en juistheid van de transformatie van de informatie enbeoordelen afval en uitval van informatie.Op basis van de SOLL situatie kunnen de uitkomsten van de analyse beoordeeld worden.• Samenstellen van eindoordeel informatie-integriteit en decharge rapportDoor het integraal beoordelen van de volledigheid en juistheid van de informatie kan een oordeelgegeven worden over de integriteit van de informatie. Het resultaat van de integrale beoordelingzal een ratio aangeven in welke mate de vastgelegde informatie voldoet aan de eisen zoalsgeformuleerd in stap 2.39

7. Conclusies, aanbevelingen en vervolgonderzoek7.1 ConclusieIn deze scriptie hebben wij onderzoek gedaan naar toepassing van CCM bij de evaluatie vaninterne controls. Daarbij hebben wij de volgende onderzoeksvraag gedefinieerd:“Hoe kan Continuous ‘Controls Monitoring’(CCM) het evaluatieproces vanbeheersingsmaatregelen (interne ‘controls’) ondersteunen?”Een samenvattend antwoord op deze hoofdvraag is dat organisaties met CCM kunnen zorgdragen voor een effectievere naleving van beleid, richtlijnen en procedures. De doelstellingen vanCCM sluiten aan bij de doelstellingen van interne controle, namelijk het terugdringen van deinterne controle-risico’s binnen een organisatie. CCM werkt zowel preventief als defectief en dekracht van CCM ligt daarin dat zij een directe link kan leggen tussen meerderebeheersingsmaatregelen, transacties en kenmerken van bijvoorbeeld producten, medewerkers encrediteuren. Uiteindelijk is CCM gericht op:• Het terugdringen van interne controle risico’s binnen een organisatieDoor integraal de gegevens te beoordelen kan men exact aangeven wat de fouten en risico’s zijn.Het management geeft vervolgens aan welke correcties (correctieve maatregelen) moetenplaatsvinden. CCM stelt de account in staat om een betere risico analyse uit te voeren waardoorde accountant zich kan richten op de afwijkingen.• De controle zo goedkoop mogelijk uit te voerenCCM maakt gebruik van data-analyse oplossingen en hierdoor worden ‘controls’ automatischgetoetst. In CCM omgevingen is de ‘audittrail’ geïntegreerd waardoor de auditor minderinspanning hoeft te verrichten om tot een oordeel te komen. Daarnaast wordt de snelheidwaarmee gereageerd kan worden op een incident aanzienlijk verkort. Hierdoor wordt demogelijkheid om de gevolgen te beperken veel groter en de gevolgenschade minder. Tevensworden klachten voorkomen, dubbel werk wordt uitgespaard en het aantal handmatige controlswordt aanzienlijk teruggebracht.• Het vergroten van het vertrouwen van de (financiële) informatie binnen een organisatieBevindingen kunnen niet meer worden afgedaan met de opmerking dat er weliswaar een risico is,maar dat deze gevallen zich toch nooit zullen voordoen. De concrete situaties kunnen gegevenworden, zowel in situaties waar het niet goed gaat als in situaties waar het wel goed gaat.• De verbetering van de (financiële) operaties binnen een organisatie, door verlaging van defoutkans en de kans op fraude• De verbetering van de winstgevendheid van een organisatie door betere sturing enterugdringen van operationele fouten• Verbeteren van de communicatie tussen de organisatie en de auditorsHet juist spreken over concrete gevallen maakt de communicatie een stuk plezieriger. Daarnaastwordt er meer zekerheid verkregen uit de ‘controls’ die in het primaire proces zijn ingericht en ditzal de kwaliteit van de controle verhogen.40

Uitdagingen CCM in de praktijkEr wordt al langer gesproken over de CCM en CA. De theorieën en concepten zijn doorvooraanstaande instituten uitontwikkeld. Kijken we echter naar de huidige praktijk, dan zien wedat deze concepten nog maar beperkt worden toegepast. In de toekomst zal CCM en CA zekereen dominante rol gaan spelen in de evaluatie van interne beheersmaatregelen.Voor het toepassen van CCM zijn een aantal zaken van belang. Om te beginnen moet men een‘data governance’ structuur opzetten en een grondige informatiebehoefte analyse uitvoeren. In de‘data governance’ structuur moet men aandacht besteden aan de inrichting van de data warehouseen de informatie-integriteit. In de informatiebehoefte analyse moet men onderzoeken welkeinformatie het management nodig heeft om ‘in control’ te zijn over de uitvoerende processen.Feitelijk moet men denken aan de audit-trail van de transacties in de (verschillende) systemen.Daarnaast vraagt CCM en CA om een andere ‘state-of-mind’. Men controleert niet meer of deverantwoordelijke iedere transactie heeft goedgekeurd, maar men controleert of er afwijkingenzijn gesignaleerd in het goedkeuringsproces. De ‘control’ verschuift immers van deonderliggende transacties naar een hoger niveau van het proces.Perspectief van de auditorDe mate van zekerheid die een auditor kan geven over het te auditen object hangt af vanverschillende factoren. Op basis van CCM heeft een auditor in ieder geval meer bewijsmateriaalom zijn oordeel te bekrachtigen.Interne auditors kunnen een bijdrage leveren aan een bredere implementatie van CCM. Zijkunnen aangeven welke processen effectiever en efficiënter getoetst kunnen worden en kunnenCCM middels een ‘push strategy’ de organisatie binnenkrijgen.Voor de jaarrekeningcontrole zal de accountant gebruik maken van de rapportages uit de CCMomgeving. Deze exceptielijsten zullen belangrijke input zijn voor de risico analyse van deaccountant. De accountant zal zich in de controle vooral richten op de afwijkingen en deopvolging die daarop betrekking heeft. De IT-Auditor zal zich gaan richten op de informatieintegriteiten de beheersmaatregelen die betrekking hebben op de CCM omgeving.7.2 AanbevelingTijdens de uitvoering van dit onderzoek hebben wij vastgesteld dat CCM een veel gehoorde kreetis maar nog weinig concreet wordt toegepast. Enerzijds hebben organisaties te weinig kennis omCCM op te pakken en anderzijds ziet het management de voordelen nog niet in om daadwerkelijkover te gaan op CCM. Wij bevelen aan vervolgonderzoek uit te voeren naar het kwantificeren vande voordelen van CCM zodat het voor het management makkelijker is om een wel afgewogenbesluit hierover te nemen.7.3 ReflectieVoordat wij zijn gestart met het afstudeeronderzoek, hadden wij reeds als IT-Auditorpraktijkervaring opgedaan met data analyse. Terugkijkend op dit afstudeeronderzoek, zijn wij vanmening dat wij een diepgaander inzicht hebben gekregen in CCM en hoe de praktijk hiertegenaan kijkt. Deze inzichten zijn toe te schrijven aan het feit dat wij de mogelijkheid hebben41

gekregen om met verschillende functionarissen van verschillende bedrijven te kunnen spreken.Ook het feit dat wij gedwongen werden meer afstand te nemen van de daadwerkelijk uit te voerenwerkzaamheden en expliciete toepassing van theoretische concepten, heeft tot aanvullendeinzichten geleid die verder reiken dan de werkzaamheden die wij eerder hadden uitgevoerd.Daarnaast heeft het onderzoek bijgedragen aan de vorming van een breder perspectief dat verdergaat dan uitsluitend het perspectief van een IT-Auditor. In het bijzonder de bedrijfseconomischeafwegingen die organisaties nemen bij het besluit om CCM toe te passen. Dit zal ons helpen bijde formulering van bevindingen en aanbevelingen die beter aansluiten bij de verwachtingen vante controleren organisaties en daarmee mogelijk tot een hogere acceptatiegraad zullen leiden.42

Geraadpleegde literatuurdrs. F.J. Boerkamp en ir. S.P. SoerjoesingScriptie VU Amsterdam: “De rol van data-analyse bij het beoordelen van informatie-integriteit”Mei 2009R. Christiaanse en J. van PraatInrichten en beheersen van organisatiesThiemeMeulenhoff, 2005R. Fijneman, E. Roos, P. VeltmanGrondslagen IT-Auditing1e druk, hoofdstuk 4R. Fijneman, E. Roos, K Hang HoIT-auditing en de praktijk1e druk, 2006J. Jacobs en M. HoetjesScriptie VU Amsterdam: “Continuous monitoring en continuous auditing: continuous solutions?”Juli 2007NEN-ISO/IEC 27002 (Nederlands) Code voor Informatiebeveiliging, Nederlands NormalisatieInstituut (NEN)Jan van Praat en Hans SuerinkInleiding EDP-auditing, ,5 e druk 1 e oplage, november 2004John Verver, Vice President ACLBuilding and implementing a continuous Controls monitoring and auditing FrameworkMay 2005COSO Guidance on Monitoring Internal Control Systems, January 2009Information systems control journal, volume 2, 2007White paper, Building and Implementing a CCM and Auditing Framework, ACLWhite paper on Continuous Auditing, www.theiia.orgApprovahttp://www.approva.net/43

Control Objectives for Information and related Technologyhttp://www.iasaca.org/cobit/The Committee of Sponsoring Organizations of the Treadway Commisionhttp://www.coso.orgNOREA,http://www.norea.nlWikipediahttp://www.wikipedia.org44

Bijlage A - CA/CCM driversBelangrijke business factoren voor CA en CCM, verdeeld over drie groepen:• Strategische factoren• Externe factoren• Operationele factorenOrganisaties kunnen op basis van dergelijke overzichten hun drijfsferen voor CA en CCM in hetbusinessplan beschrijven.Bron: 2009 CA/CM whitepaper KPMG45

Bijalge B - Potentiële gebruikersDe aandachtpunten voor de sponsors van CA en CCM (‘C-level’) en potentiële gebruikers zijn inonderstaande tabel weergeven. In het businessplan kan men de evaluatie van de ‘controls’koppelen aan de wensen en eisen van de sponsors. De management informatie uit de CA /CCMomgeving kan tevens gebruikt worden als bewijsmateriaal voor de sponsor.Bron: 2009 CA/CM whitepaper KPMG46

Bijalge C – Stappenplan implementatie CACCM wordt nauwelijks toegepast en de interne audit afdeling kan dit stimuleren uitgevoerdewerkzaamheden met behulp van data analyse (een vorm van CA). Hieronder is een stappenplanvoor de implementatie van CA.Bron: 2005 IIA_GTAG, Continuous Auditing:Implications for Assurance, Monitoring, and RiskAssessment47

Bijalge D – Voorbeeld positionering COSO en COBIT binnen CCMMen kan CCM binnen het COBIT raamwerk toepassen op de IT gerelateerde aspecten (NonFinancial) waaronder:• Operational system controls• Database security controls• Program change controls• Application controls• Access and authorization controlsMen kan CCM binnen het COSO raamwerk toepassen op de financiële aspecten(Transactional/Proces level/Financial controls) inclusief de Access and authorization controls.Bron: 2006, WP_Continuous Monitoring of FIN transactions48