Continuous auditing en de (veranderde) rol van de IAD ... - Lime Tree

Continuous auditing
Een praktijkvoorbeeld: regelgeving en CM bij de zorgverzekeraar
‘Om de zorgverzekering uit te mogen voeren, moeten zorgverzekeraars
een vergunning hebben van De Nederlandsche Bank (DNB) en
zich voor de uitvoering van de Zorgverzekeringswet hebben aangemeld
bij de Nederlandse Zorgautoriteit (NZa). De Nederlandse
Mededingingsautoriteit (NMa), de NZa en DNB houden toezicht op
de uitvoering van de Zorgverzekeringswet en de Algemene Wet
Bijzondere Ziektekosten.’
Dit kleine stukje tekst is afkomstig van de website van
Zorgverzekeraars Nederland. Een klein stukje tekst met grote gevolgen.
Er zijn nogal wat regeltjes waaraan een zorgverzekeraar zich
moet houden. Alle toezichthouders wensen een bepaald niveau van
inzicht. Het integreren van de vraagstukken en zoveel mogelijk vanuit
één model rapporteren schept ruimte voor CM.
In dit kader wordt bij een van de grote zorgverzekeraars gewerkt aan
het implementeren van een CM-oplossing. Het doel is om op terugkerende
basis te kunnen rapporteren over de effectiviteit van de maatregelen
die genomen zijn om het proces conform regelgeving te
laten verlopen. Hiervoor is allereerst een risicoanalyse uitgevoerd
waarin de operationele risico’s in kaart zijn gebracht. Vervolgens is
beoordeeld welke maatregelen reeds genomen zijn en is voor zover
nodig, gestart met het nemen van aanvullende maatregelen. Parallel
is gestart met het bekijken op welke wijze het best over de effectiviteit
van controlemaatregelen gerapporteerd zou kunnen worden en
hoe de controlevragen het best beantwoord zouden kunnen worden.
Een deel van de controlevragen is beantwoord door middel van dataanalyse.
Voorbeelden zijn ‘het aantal huisartsendeclaraties voor
dezelfde verzekerde op een dag’, en ‘het beoordelen of normen voor
vergoedingen niet worden overschreden’. De analyseresultaten worden
gerapporteerd als onderdeel van het totale controlevraagstuk en
worden tevens gebruikt ten behoeve van mogelijke verbeteringen in
processen. Uiteraard is de risico-analyse hierbij leidend: eerst de
belangrijkste risico’s! De data-analysescripts worden vervolgens
geplaatst in een continu draaiende rapportagetool dat in dit geval
maandelijks resultaten genereert.
verwerkingrapportages op te vragen. Doorgaans worden door
middel van een aantal queries gegevens opgehaald uit de databases.
Deze gegevens worden ingelezen in de te gebruiken dataanalysetools
waarna een controleaansluiting met de brongegevens
noodzakelijk is. Denk aan een aansluiting tussen saldi per
grootboekrekening in Exact en de ontvangen download uit Exact.
Immers, in de loop van het traject worden conclusies verbonden
aan de gegevens en de integriteit van die gegevens is dus van
cruciaal belang.
Analyseer transacties en transactiestromen
Het is nuttig eerst een aantal basale analyses uit te voeren om de
plausibiliteit van de ontvangen gegevens vast te stellen. Voorbeelden
zijn een verdeling van alle producten naar omzet of een
berekening van marge per klant. Het analysetraject is een iteratief
proces, de focus ligt immers op het proces maar de kennis in orga-
AUDIT magazine
nummer 5 december 2008
22
nisaties is veelal versplinterd over afdelingen. Afhankelijk van de
doelstelling is het zaak antwoorden op controlevragen op te leveren
door de gewenste aansluitingen tussen systemen te realiseren
of door de integriteit van transactiestromen te beoordelen. Voor
ieder doel kan een specifiek aantal analyses worden gemaakt.
Conclusies trekken op basis van analyseresultaten wordt beter
naarmate er meer challenge op het niveau van processen plaatsvindt.
Challenge vanuit de hoek van proceseigenaar en vanuit
auditperspectief is een noodzakelijke en kwaliteitsverhogende
factor. De data-analyse eindigt met het documenteren van de
opzet en het bevriezen van de manier waarop het resultaat
bereikt is. Veelal is dit het vastleggen van queries in scripts zodat
de analyses periodiek gedraaid kunnen worden. De basis is nu
gelegd voor het realiseren van een draaiende CM-omgeving.
Rapporteer
Afhankelijk van de aard van de opdracht kunnen in deze stap de
afgestemde resultaten gerapporteerd worden, respectievelijk kan
een plan gepresenteerd worden om op basis van de resultaten
naar de draaiende CM-omgeving te komen.
Realiseer de CM-omgeving
Na de stappen 1 tot en met 5 is het realiseren van een draaiende
CM-omgeving een stuk eenvoudiger geworden. De belangrijkste
redenen hiervoor zijn: a) er is een draaiend prototype van de
gewenste rapportages, b) er is in scripts en documentatie vastgelegd
welke systemen, tabellen en velden nodig zijn en c) er is
een uitgebreide challenge geweest om de bruikbaarheid van de
rapportages te beoordelen. Het is nu zaak om de rapportages om
te vormen naar dashboards per proces, om vervolgens de dashboards
per proces op te hangen in een compliance cockpit en om
de ontsluiting van gegevens op structurele basis te realiseren.
Voor deze laatste stap kan veelal aangesloten worden bij bestaande
business intelligence-oplossingen.
CM versus business intelligence?
De oplettende lezer zal zich afvragen wat het verschil is met
business intelligencetoepassingen. Voorbeelden hiervan zijn toepassingen
op basis van Business Objects of SAP Business
Warehouse. Technisch en functioneel is er weinig verschil.
Business intelligence (BI) wordt veelal toegepast vanuit bredere
operationele doelstellingen. Zo kan een doelstelling zijn dat de
logistieke processen beoordeeld worden om te zien of leveringen
aan dezelfde cliënt mogelijk gebundeld kunnen worden om kosten
te besparen. Dezelfde technische faciliteiten van een dergelijke
toepassing kunnen ook gebruikt worden voor het realiseren
van een CM-toepassing.
Het eerste verschil is dan ook de doelstelling. In tegenstelling tot
BI gaat het bij CM om het aantonen van het in control zijn. In
het kader van het beoordelen van controls rond logistieke processen
zou dan bijvoorbeeld gemonitord kunnen worden of afleverkosten
per order correct vastgesteld worden en vervolgens ook of
deze daadwerkelijk in rekening worden gebracht en correct
geboekt worden.