Continuous auditing en de (veranderde) rol van de IAD ... - Lime Tree
Continuous auditing en de (veranderde) rol van de IAD ... - Lime Tree
Continuous auditing en de (veranderde) rol van de IAD ... - Lime Tree
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
<strong>Continuous</strong> <strong>auditing</strong><br />
E<strong>en</strong> praktijkvoorbeeld: regelgeving <strong>en</strong> CM bij <strong>de</strong> zorgverzekeraar<br />
‘Om <strong>de</strong> zorgverzekering uit te mog<strong>en</strong> voer<strong>en</strong>, moet<strong>en</strong> zorgverzekeraars<br />
e<strong>en</strong> vergunning hebb<strong>en</strong> <strong>van</strong> De Ne<strong>de</strong>rlandsche Bank (DNB) <strong>en</strong><br />
zich voor <strong>de</strong> uitvoering <strong>van</strong> <strong>de</strong> Zorgverzekeringswet hebb<strong>en</strong> aangemeld<br />
bij <strong>de</strong> Ne<strong>de</strong>rlandse Zorgautoriteit (NZa). De Ne<strong>de</strong>rlandse<br />
Me<strong>de</strong>dingingsautoriteit (NMa), <strong>de</strong> NZa <strong>en</strong> DNB houd<strong>en</strong> toezicht op<br />
<strong>de</strong> uitvoering <strong>van</strong> <strong>de</strong> Zorgverzekeringswet <strong>en</strong> <strong>de</strong> Algem<strong>en</strong>e Wet<br />
Bijzon<strong>de</strong>re Ziektekost<strong>en</strong>.’<br />
Dit kleine stukje tekst is afkomstig <strong>van</strong> <strong>de</strong> website <strong>van</strong><br />
Zorgverzekeraars Ne<strong>de</strong>rland. E<strong>en</strong> klein stukje tekst met grote gevolg<strong>en</strong>.<br />
Er zijn nogal wat regeltjes waaraan e<strong>en</strong> zorgverzekeraar zich<br />
moet houd<strong>en</strong>. Alle toezichthou<strong>de</strong>rs w<strong>en</strong>s<strong>en</strong> e<strong>en</strong> bepaald niveau <strong>van</strong><br />
inzicht. Het integrer<strong>en</strong> <strong>van</strong> <strong>de</strong> vraagstukk<strong>en</strong> <strong>en</strong> zoveel mogelijk <strong>van</strong>uit<br />
één mo<strong>de</strong>l rapporter<strong>en</strong> schept ruimte voor CM.<br />
In dit ka<strong>de</strong>r wordt bij e<strong>en</strong> <strong>van</strong> <strong>de</strong> grote zorgverzekeraars gewerkt aan<br />
het implem<strong>en</strong>ter<strong>en</strong> <strong>van</strong> e<strong>en</strong> CM-oplossing. Het doel is om op terugker<strong>en</strong><strong>de</strong><br />
basis te kunn<strong>en</strong> rapporter<strong>en</strong> over <strong>de</strong> effectiviteit <strong>van</strong> <strong>de</strong> maatregel<strong>en</strong><br />
die g<strong>en</strong>om<strong>en</strong> zijn om het proces conform regelgeving te<br />
lat<strong>en</strong> verlop<strong>en</strong>. Hiervoor is allereerst e<strong>en</strong> risicoanalyse uitgevoerd<br />
waarin <strong>de</strong> operationele risico’s in kaart zijn gebracht. Vervolg<strong>en</strong>s is<br />
beoor<strong>de</strong>eld welke maatregel<strong>en</strong> reeds g<strong>en</strong>om<strong>en</strong> zijn <strong>en</strong> is voor zover<br />
nodig, gestart met het nem<strong>en</strong> <strong>van</strong> aanvull<strong>en</strong><strong>de</strong> maatregel<strong>en</strong>. Parallel<br />
is gestart met het bekijk<strong>en</strong> op welke wijze het best over <strong>de</strong> effectiviteit<br />
<strong>van</strong> cont<strong>rol</strong>emaatregel<strong>en</strong> gerapporteerd zou kunn<strong>en</strong> word<strong>en</strong> <strong>en</strong><br />
hoe <strong>de</strong> cont<strong>rol</strong>evrag<strong>en</strong> het best beantwoord zoud<strong>en</strong> kunn<strong>en</strong> word<strong>en</strong>.<br />
E<strong>en</strong> <strong>de</strong>el <strong>van</strong> <strong>de</strong> cont<strong>rol</strong>evrag<strong>en</strong> is beantwoord door mid<strong>de</strong>l <strong>van</strong> dataanalyse.<br />
Voorbeeld<strong>en</strong> zijn ‘het aantal huisarts<strong>en</strong><strong>de</strong>claraties voor<br />
<strong>de</strong>zelf<strong>de</strong> verzeker<strong>de</strong> op e<strong>en</strong> dag’, <strong>en</strong> ‘het beoor<strong>de</strong>l<strong>en</strong> of norm<strong>en</strong> voor<br />
vergoeding<strong>en</strong> niet word<strong>en</strong> overschred<strong>en</strong>’. De analyseresultat<strong>en</strong> word<strong>en</strong><br />
gerapporteerd als on<strong>de</strong>r<strong>de</strong>el <strong>van</strong> het totale cont<strong>rol</strong>evraagstuk <strong>en</strong><br />
word<strong>en</strong> tev<strong>en</strong>s gebruikt t<strong>en</strong> behoeve <strong>van</strong> mogelijke verbetering<strong>en</strong> in<br />
process<strong>en</strong>. Uiteraard is <strong>de</strong> risico-analyse hierbij leid<strong>en</strong>d: eerst <strong>de</strong><br />
belangrijkste risico’s! De data-analysescripts word<strong>en</strong> vervolg<strong>en</strong>s<br />
geplaatst in e<strong>en</strong> continu draai<strong>en</strong><strong>de</strong> rapportagetool dat in dit geval<br />
maan<strong>de</strong>lijks resultat<strong>en</strong> g<strong>en</strong>ereert.<br />
verwerkingrapportages op te vrag<strong>en</strong>. Doorgaans word<strong>en</strong> door<br />
mid<strong>de</strong>l <strong>van</strong> e<strong>en</strong> aantal queries gegev<strong>en</strong>s opgehaald uit <strong>de</strong> databases.<br />
Deze gegev<strong>en</strong>s word<strong>en</strong> ingelez<strong>en</strong> in <strong>de</strong> te gebruik<strong>en</strong> dataanalysetools<br />
waarna e<strong>en</strong> cont<strong>rol</strong>eaansluiting met <strong>de</strong> brongegev<strong>en</strong>s<br />
noodzakelijk is. D<strong>en</strong>k aan e<strong>en</strong> aansluiting tuss<strong>en</strong> saldi per<br />
grootboekrek<strong>en</strong>ing in Exact <strong>en</strong> <strong>de</strong> ont<strong>van</strong>g<strong>en</strong> download uit Exact.<br />
Immers, in <strong>de</strong> loop <strong>van</strong> het traject word<strong>en</strong> conclusies verbond<strong>en</strong><br />
aan <strong>de</strong> gegev<strong>en</strong>s <strong>en</strong> <strong>de</strong> integriteit <strong>van</strong> die gegev<strong>en</strong>s is dus <strong>van</strong><br />
cruciaal belang.<br />
Analyseer transacties <strong>en</strong> transactiestrom<strong>en</strong><br />
Het is nuttig eerst e<strong>en</strong> aantal basale analyses uit te voer<strong>en</strong> om <strong>de</strong><br />
plausibiliteit <strong>van</strong> <strong>de</strong> ont<strong>van</strong>g<strong>en</strong> gegev<strong>en</strong>s vast te stell<strong>en</strong>. Voorbeeld<strong>en</strong><br />
zijn e<strong>en</strong> ver<strong>de</strong>ling <strong>van</strong> alle product<strong>en</strong> naar omzet of e<strong>en</strong><br />
berek<strong>en</strong>ing <strong>van</strong> marge per klant. Het analysetraject is e<strong>en</strong> iteratief<br />
proces, <strong>de</strong> focus ligt immers op het proces maar <strong>de</strong> k<strong>en</strong>nis in orga-<br />
AUDIT magazine<br />
nummer 5 <strong>de</strong>cember 2008<br />
22<br />
nisaties is veelal versplinterd over af<strong>de</strong>ling<strong>en</strong>. Afhankelijk <strong>van</strong> <strong>de</strong><br />
doelstelling is het zaak antwoord<strong>en</strong> op cont<strong>rol</strong>evrag<strong>en</strong> op te lever<strong>en</strong><br />
door <strong>de</strong> gew<strong>en</strong>ste aansluiting<strong>en</strong> tuss<strong>en</strong> system<strong>en</strong> te realiser<strong>en</strong><br />
of door <strong>de</strong> integriteit <strong>van</strong> transactiestrom<strong>en</strong> te beoor<strong>de</strong>l<strong>en</strong>. Voor<br />
ie<strong>de</strong>r doel kan e<strong>en</strong> specifiek aantal analyses word<strong>en</strong> gemaakt.<br />
Conclusies trekk<strong>en</strong> op basis <strong>van</strong> analyseresultat<strong>en</strong> wordt beter<br />
naarmate er meer chall<strong>en</strong>ge op het niveau <strong>van</strong> process<strong>en</strong> plaatsvindt.<br />
Chall<strong>en</strong>ge <strong>van</strong>uit <strong>de</strong> hoek <strong>van</strong> proceseig<strong>en</strong>aar <strong>en</strong> <strong>van</strong>uit<br />
auditperspectief is e<strong>en</strong> noodzakelijke <strong>en</strong> kwaliteitsverhog<strong>en</strong><strong>de</strong><br />
factor. De data-analyse eindigt met het docum<strong>en</strong>ter<strong>en</strong> <strong>van</strong> <strong>de</strong><br />
opzet <strong>en</strong> het bevriez<strong>en</strong> <strong>van</strong> <strong>de</strong> manier waarop het resultaat<br />
bereikt is. Veelal is dit het vastlegg<strong>en</strong> <strong>van</strong> queries in scripts zodat<br />
<strong>de</strong> analyses periodiek gedraaid kunn<strong>en</strong> word<strong>en</strong>. De basis is nu<br />
gelegd voor het realiser<strong>en</strong> <strong>van</strong> e<strong>en</strong> draai<strong>en</strong><strong>de</strong> CM-omgeving.<br />
Rapporteer<br />
Afhankelijk <strong>van</strong> <strong>de</strong> aard <strong>van</strong> <strong>de</strong> opdracht kunn<strong>en</strong> in <strong>de</strong>ze stap <strong>de</strong><br />
afgestem<strong>de</strong> resultat<strong>en</strong> gerapporteerd word<strong>en</strong>, respectievelijk kan<br />
e<strong>en</strong> plan gepres<strong>en</strong>teerd word<strong>en</strong> om op basis <strong>van</strong> <strong>de</strong> resultat<strong>en</strong><br />
naar <strong>de</strong> draai<strong>en</strong><strong>de</strong> CM-omgeving te kom<strong>en</strong>.<br />
Realiseer <strong>de</strong> CM-omgeving<br />
Na <strong>de</strong> stapp<strong>en</strong> 1 tot <strong>en</strong> met 5 is het realiser<strong>en</strong> <strong>van</strong> e<strong>en</strong> draai<strong>en</strong><strong>de</strong><br />
CM-omgeving e<strong>en</strong> stuk e<strong>en</strong>voudiger geword<strong>en</strong>. De belangrijkste<br />
red<strong>en</strong><strong>en</strong> hiervoor zijn: a) er is e<strong>en</strong> draai<strong>en</strong>d prototype <strong>van</strong> <strong>de</strong><br />
gew<strong>en</strong>ste rapportages, b) er is in scripts <strong>en</strong> docum<strong>en</strong>tatie vastgelegd<br />
welke system<strong>en</strong>, tabell<strong>en</strong> <strong>en</strong> veld<strong>en</strong> nodig zijn <strong>en</strong> c) er is<br />
e<strong>en</strong> uitgebrei<strong>de</strong> chall<strong>en</strong>ge geweest om <strong>de</strong> bruikbaarheid <strong>van</strong> <strong>de</strong><br />
rapportages te beoor<strong>de</strong>l<strong>en</strong>. Het is nu zaak om <strong>de</strong> rapportages om<br />
te vorm<strong>en</strong> naar dashboards per proces, om vervolg<strong>en</strong>s <strong>de</strong> dashboards<br />
per proces op te hang<strong>en</strong> in e<strong>en</strong> compliance cockpit <strong>en</strong> om<br />
<strong>de</strong> ontsluiting <strong>van</strong> gegev<strong>en</strong>s op structurele basis te realiser<strong>en</strong>.<br />
Voor <strong>de</strong>ze laatste stap kan veelal aangeslot<strong>en</strong> word<strong>en</strong> bij bestaan<strong>de</strong><br />
business intellig<strong>en</strong>ce-oplossing<strong>en</strong>.<br />
CM versus business intellig<strong>en</strong>ce?<br />
De oplett<strong>en</strong><strong>de</strong> lezer zal zich afvrag<strong>en</strong> wat het verschil is met<br />
business intellig<strong>en</strong>cetoepassing<strong>en</strong>. Voorbeeld<strong>en</strong> hier<strong>van</strong> zijn toepassing<strong>en</strong><br />
op basis <strong>van</strong> Business Objects of SAP Business<br />
Warehouse. Technisch <strong>en</strong> functioneel is er weinig verschil.<br />
Business intellig<strong>en</strong>ce (BI) wordt veelal toegepast <strong>van</strong>uit bre<strong>de</strong>re<br />
operationele doelstelling<strong>en</strong>. Zo kan e<strong>en</strong> doelstelling zijn dat <strong>de</strong><br />
logistieke process<strong>en</strong> beoor<strong>de</strong>eld word<strong>en</strong> om te zi<strong>en</strong> of levering<strong>en</strong><br />
aan <strong>de</strong>zelf<strong>de</strong> cliënt mogelijk gebun<strong>de</strong>ld kunn<strong>en</strong> word<strong>en</strong> om kost<strong>en</strong><br />
te bespar<strong>en</strong>. Dezelf<strong>de</strong> technische faciliteit<strong>en</strong> <strong>van</strong> e<strong>en</strong> <strong>de</strong>rgelijke<br />
toepassing kunn<strong>en</strong> ook gebruikt word<strong>en</strong> voor het realiser<strong>en</strong><br />
<strong>van</strong> e<strong>en</strong> CM-toepassing.<br />
Het eerste verschil is dan ook <strong>de</strong> doelstelling. In teg<strong>en</strong>stelling tot<br />
BI gaat het bij CM om het aanton<strong>en</strong> <strong>van</strong> het in cont<strong>rol</strong> zijn. In<br />
het ka<strong>de</strong>r <strong>van</strong> het beoor<strong>de</strong>l<strong>en</strong> <strong>van</strong> cont<strong>rol</strong>s rond logistieke process<strong>en</strong><br />
zou dan bijvoorbeeld gemonitord kunn<strong>en</strong> word<strong>en</strong> of afleverkost<strong>en</strong><br />
per or<strong>de</strong>r correct vastgesteld word<strong>en</strong> <strong>en</strong> vervolg<strong>en</strong>s ook of<br />
<strong>de</strong>ze daadwerkelijk in rek<strong>en</strong>ing word<strong>en</strong> gebracht <strong>en</strong> correct<br />
geboekt word<strong>en</strong>.