Titelblad

More documents

Recommendations

Info

functiescheiding, terwijl de Accountants CCM plaatsten binnen niet IT-controle aspecten (dusmeer gericht op business doeleinden). Volgens de Accountants leiden de signalen op de ITcontroleobjecten vaker tot zogenaamde ‘non-events’, ook wel ‘false-positives’ genoemd.ConclusieWij hadden vanuit de theorie niet verwacht dat we van elk geïnterviewde persoon een anderedefinitie zouden krijgen. In het theoretische kader wordt CCM als algemeen goed beschreven engaat hier niet specifiek in op de gezichtspunten van de verschillende betrokken partijen.Vraag 2: Zou u een praktijkvoorbeeld van CCM willen beschrijven, en hoe?VerwachtingOnze verwachting is dat bij de meeste grotere organisaties, denk aan financiële instellingen ofmultinationals, de fundamenten van CCM zijn ingericht en draaiend zijn.PraktijkEen groot deel van de geïnterviewden heeft geen concreet voorbeeld van CCM bij eenonderneming kunnen beschrijven. De geïnterviewden geven vijf belangrijke verklaringen voorhet feit dat CCM niet of nauwelijks wordt toegepast.• De eerste verklaring heeft betrekking op de volwassenheid van organisaties. In de meesteorganisaties is ‘data governance’ onvoldoende om een volwaardige CCM omgeving teimplementeren. De eerste stap hierin zou zijn om een goede ‘DataWareHouse’ (DWH) in terichten.• De tweede verklaring heeft betrekking op het kennisniveau op het gebied van CCM. Deondernemingen weten nog te weinig af van CCM en daardoor is er geen breed draagvlak omCCM toe te passen en te onderhouden. Ondernemingen houden zich bezig met ‘Exceptiemanagement’ en ‘Capiacity management’ en denken te weinig aan risico’s, verbeteringen enhebben geen analytische focus. Een van de geïnterviewden geeft aan dat het belangrijk is omschoolverlaters in dienst te nemen om de ‘mind-set’ in een organisatie te veranderen.• De derde verklaring heeft betrekking op de beschikbaarheid van data. In de meeste gevallen isniet alle data elektronisch aanwezig. Daarnaast zijn er verschillende systemen en dusverschillen (technische) bestandbeschrijvingen en gaat het in de meeste gevallen om heel veeldata.• De vierde verklaring heeft betrekking op de flexibiliteit van de ‘CCM tools’. Processen zijnonderhevig aan veranderingen. Een geïnterviewde geeft aan dat het te veel inspanning (geld)kost om de ‘CCM tool’ aan te passen.• De laatste verklaring heeft betrekking op de kennisgebieden (personen) die moetensamenwerken om een CCM omgeving te implementeren.Voorbeeld 1Zo gaf een geïnterviewde het voorbeeld van een man bij een bank die een ‘monitoring tool’ voorhet grootboek had opgezet. Hij bekeek per dag de stromen per bedrijfsonderdeel, per systeem oprekeningniveau en bij onregelmatigheden kon hij identificeren waar de mogelijke problemenzaten en welke mogelijke bronsystemen het proces beïnvloedde. Door de juiste opvolging vancorrectieve maatregelen en de juiste documentatie had de controller volledige informatie op om32
de maandcijfers op te stellen en deze te verklaren. In de praktijk zie je dat controllers aan heteinde van maand veel moeite hebben om de juiste cijfers te presenteren. Dit heeft alles te makenmet het feit dat men geen zicht heeft op de problemen die bijvoorbeeld aan het begin van demaand zijn ontstaan. Volgens de geïnterviewde, die meer dan 20 jaar ervaring heeft met‘auditing’ en ‘monitoring’, is het toepassen van CCM binnen een Finance/Controlling afdelingeen ‘quick’ win. Hierbij geeft hij aan dat het formaliseren van de procedures rondom deimplementatie van de CCM omgeving nadelig kunnen zijn (hoge kosten).Voorbeeld 2Een ander voorbeeld had betrekking op een trading omgeving. De geïnterviewde gaf aan datCCM wordt toegepast voor verschillende deelprocessen/activiteiten binnen de trading omgeving.Als voorbeeld gaf hij aan dat men voor de transactieverwerking CCM toepast op de controle vande functiescheiding en voor de verwerking van de financiële administratie CCM toepast op decontrole van de reconciliatie en de controle op de juistheid van de invoer. Gedurende de dag vindtCCM plaats op de controle van de limieten op het kredietrisico. Op een hoger niveau worden deuitzonderingen samengevoegd in de vorm van een rapportage en vinden na analyse de juistemaatregelen plaats. Door het toepassen van CCM heeft men een applicatieve fout ontdekt en kanmen de performance van handelaren meten. Een handelaar (‘trader’) wordt bijgeschoold wanneerhij niet voldoet aan de norm.Voorbeeld 3Feitelijk hadden alle geïnterviewden ervaring met CA. Een geïnterviewde gaf als voorbeeld vanCA aan dat de interne audit middels een analyse tool (ACL) de rechten binnen AS400 en UNIXmachines periodiek en integraal beoordeelde. De uitzonderingen worden in het audit-rapportopgenomen en voorgelegd aan het management. Het management neemt vervolgens de juistemaatregelen. Door het toepassen van CCM heeft men de audit-kosten (reizen, tijd voor analyse)enorm verlaagd. Daarnaast kan men het management voorzien van een ‘to-do’ lijst.ConclusieWij hadden vanuit de theorie niet verwacht dat CCM nog maar zo weinig wordt toegepast. Deverklaring wordt zelf door de geïnterviewden gegeven.Vraag 3: Welke eisen zouden volgens u nodig zijn om CCM te laten slagen en hoe zou de‘businesscase’ eruit moeten zien?VerwachtingWij verwachten hier een antwoord in de trant van efficiënter en effectiever inrichting van controlswat tot gevolg heeft dat de kosten zullen dalen.PraktijkDe meeste geïnterviewden geven aan dat het management achter CCM moet staan zodat het eenkans van slagen heeft. De CFO of de CIO zijn volgens de geïnterviewden de sponsors en zijndaarom de meest aangewezen personen. Verder dient de organisatie volwassen genoeg te zijn omCCM toe te passen. De meeste geïnterviewden vinden dat de organisaties hier niet aan toe zijn.Zij vinden dat ‘data governance’ eerst van voldoende niveau moet zijn. Om CCM teimplementeren moet het project team bestaan uit mensen met verschillende kennisgebieden. De33
Page 7: ‘Corporate Governance’ (SOx 6 ,
Page 13 and 14: Management ResponseComprehensivemon
Page 15 and 16: Figuur 5. Concept 2 CCM en CAMen ka
Page 17 and 18: 3.Bepalen van data setsDe beschikba
Page 19 and 20: 3. Control evaluatie principesIn he
Page 21 and 22: DeelwaarnemingVoor een deelwaarnemi
Page 23 and 24: De elementen die van invloed zijn o
Page 25 and 26: communicatie over interne beheersin
Page 27 and 28: De bovenstaande lijst is niet limit
Page 29 and 30: 4.2.1 MonitoringHet COBIT raamwerk
Page 31: 5.2 Uitwerking vragenVraag 1: Geef
Page 35 and 36: environment’, ‘Risk Assessment
Page 37 and 38: 6. Aandachtsgebieden IT auditorOp b
Page 39 and 40: Hiervoor kunnen data-analyse tools,
Page 41 and 42: Uitdagingen CCM in de praktijkEr wo
Page 43 and 44: Geraadpleegde literatuurdrs. F.J. B
Page 45 and 46: Bijlage A - CA/CCM driversBelangrij
Page 47 and 48: Bijalge C - Stappenplan implementat

Titelblad

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?