Titelblad

More documents

Recommendations

Info

5. CCM in de praktijk en het effect op de evaluatie van de interne‘controls’5.1 InleidingVoor de toetsing van het theoretische gedeelte van onze scriptie aan de praktijk hebben wij eenaantal mensen geïnterviewd. De interviews zijn uitsluitend gebaseerd op kwalitatieve bronnen.De lijst van te interviewen personen moet voldoen aan bepaalde voorwaarden en daarom hebbenwij in het selectieproces rekening gehouden met het functieprofiel, ervaring, type organisatie enhet aandachtsgebied van de te interviewen personen. Op basis van deze criteria hebben wij voorde geïnterviewde de volgende onderverdeling gemaakt:• IT-Auditors vanaf manager niveau met een data analyse focus, ERP specialisatie en ervaringmet CCM of CA• Accountants vanaf manager niveau met een data analyse focus en ervaring met CCM of CA• Operational Auditors vanaf manager niveau met een data analyse focus en CCM of CAervaringAl deze personen hebben veel evaring met ‘Controls Monitoring’ en auditing in de breedste zinvan het woord. Daarnaast hebben twee van de tien geïnterviewden zelf een scriptie geschrevenover ‘Continuous Control Monitoring’. Een van de geïnterviewden heeft een onderzoekuitgevoerd naar de verbanden tussen de begrippen CA en CM. De andere heeft een onderzoekuitgevoerd naar de monitoring-technieken die een externe auditor kan toepassen binnen dejaarrekingcontrole. Het is ons niet gelukt om een consultant van een leverancier te interviewen endaardoor hebben wij ervoor gekozen om deel te nemen aan een ‘webcast’ van Approva 42(Leverancier CCM oplossingen).De interviews zijn opgebouwd uit open vragen die in principe dezelfde opbouw hadden. Dehoofdlijnen van de vragenlijst bestond uit de onderstaande vragen:1. Geef uw definitie van CCM?2. Zou u een praktijkvoorbeeld van CCM willen beschrijven, en hoe?3. Welke eisen zouden volgens u nodig zijn om CCM te laten slagen en hoe zou debusinesscase eruit moeten zien?4. Kunt u aangeven/uitleggen hoe CCM binnen het COSO raamwerk past?5. Kunt u aangeven/uitleggen hoe CCM binnen het COBIT raamwerk past?Bij de uitwerking van de vragen geven wij bij elke vraag in het kort eerst onze verwachting diewij op basis van de theorie hebben. Na de uitwerking van de vragen geven wij een korteconclusie op het verschil dan wel overeenkomst tussen onze verwachting en de praktijk.42 http://www.approva.net/30
5.2 Uitwerking vragenVraag 1: Geef uw definitie van CCM?VerwachtingWij verwachten hier een definitie zoals die in de theorie (hoofdstuk 2) beschreven wordt tekrijgen.PraktijkDe interviewden waren het met elkaar eens over de principes van het CCM concept. De definitiesvan de geïnterviewden liepen wel uiteen. Elke persoon keek vanuit zijn eigen gezichtspunt naarCCM. Hieronder hebben wij het begrip ‘Continuous Control Monitoring’ opgedeeld in drie delenom de verschillende standpunten te beschrijven.‘Continuous’De geïnterviewden waren het niet met elkaar eens over de frequentie van toetsen. Deverschillende opvattingen hebben wij in drie groepen ingedeeld. De eerste groep geïnterviewdenvind dat het woord “Continuous” meer neigt naar ‘real-time’ toetsen. Het signaal van deafwijking op de norm van de activiteit moet direct naar het management wordengecommuniceerd.De tweede groep geïnterviewden vind een frequentie van zes keer per uur of dagelijks ofwekelijks of maandelijks ook reëel onder de definitie van het woord “Continuous”. Hierbij gevenze aan dat de frequentie samenhangt met de risico’s en de toegevoegde waarde binnen het proces.Voor processen met een relatief hoge risico factor is een dagelijkse ‘Monitoring’ (day-to-day)beter omdat de signalen/problemen direct aangepakt kunnen worden.Het overige deel vindt dat het woord “Continuous” samenhangt met de volledigheid van deactiviteiten en niet zo zeer met de frequentie van toetsen aan de norm (de controle). Hierbij gevenze aan dat je op ieder willekeurig moment een analyse kan uitvoeren over een voorafgedefinieerde populatie. Dit is tevens het grote verschil met de conventionele aanpak waarbij mendoor middel van een steekproef zekerheid probeert te krijgen over een proces. Door CCM toe tepassen kan men de foutomvang kwantificeren en kan met behulp van data uit het verleden hetproces in de toekomst verbeteren.ControlDe interpretatie van het begrip ‘Control’ was voor alle geïnterviewden gelijk. De ’Control’ is denorm in het proces waaraan getoetst wordt.MonitoringDe interpretatie van het begrip ‘Monitoring’ was voor alle geïnterviewden gelijk. Deverantwoordelijkheid en de gebruiker van CCM liggen volgens de geïnterviewden bij de business(manager). Deze groep geeft aan dat het management ervoor moet zorgen dat doelstellingenbehaald worden. De toepassing van CCM was echter verschillend. De IT- en Operational auditorsplaatsen CCM vooral binnen IT-controle aspecten waaronder security monitoring en31
Page 7: ‘Corporate Governance’ (SOx 6 ,
Page 13 and 14: Management ResponseComprehensivemon
Page 15 and 16: Figuur 5. Concept 2 CCM en CAMen ka
Page 17 and 18: 3.Bepalen van data setsDe beschikba
Page 19 and 20: 3. Control evaluatie principesIn he
Page 21 and 22: DeelwaarnemingVoor een deelwaarnemi
Page 23 and 24: De elementen die van invloed zijn o
Page 25 and 26: communicatie over interne beheersin
Page 27 and 28: De bovenstaande lijst is niet limit
Page 29: 4.2.1 MonitoringHet COBIT raamwerk
Page 33 and 34: de maandcijfers op te stellen en de
Page 35 and 36: environment’, ‘Risk Assessment
Page 37 and 38: 6. Aandachtsgebieden IT auditorOp b
Page 39 and 40: Hiervoor kunnen data-analyse tools,
Page 41 and 42: Uitdagingen CCM in de praktijkEr wo
Page 43 and 44: Geraadpleegde literatuurdrs. F.J. B
Page 45 and 46: Bijlage A - CA/CCM driversBelangrij
Page 47 and 48: Bijalge C - Stappenplan implementat

Titelblad

Create successful ePaper yourself

Delete template?

Save as template?