Inleiding

Internationaal zien we een duidelijke behoefte om de ‘cost of compliance’ zoveel mogelijk terug te dringen. Deze kosten worden gemaakt om te kunnen voldoen aan de wet- en regelgeving, zoals SOx, J-Sox (Japanese Sox), Basel (voor banken), etc. De ingegeven verplichtingen om de interne beheersing te verbeteren, te documenteren en aan te tonen, hebben geleid tot een significante kostenverhoging bij de bedrijven. Dit wordt door alle partijen onderkend en er wordt gezocht naar diverse methoden om de lasten te verlagen; denk in dit verband onder andere aan SEC’s Interpretive Guidance for Management ([SEC07]) en Auditing Standard 5 ([PCAO07]).

Daarnaast zien we dat bedrijven zogenaamde control-rationalisatieprojecten uitvoeren om zo meer focus aan te brengen op de allerbelangrijkste risico’s. In dit verband wordt ook gezocht naar methoden en technieken om efficiënter de interne beheersing aan te kunnen tonen. ‘Embedded Testing’ is een voorbeeld van een dergelijke methode. In het artikel wordt kort aangegeven wat ‘Embedded Testing’ is en wat dat voor IT controls kan betekenen.

‘Embedded Testing’

Voor diegenen die misschien al wel de term een keer hebben gehoord, maar er nog niet voldoende beeld bij hebben, of voor diegenen die nieuwsgierig zijn naar de laatste ‘Embedded Testing’-ontwikkelingen, volgt onderstaand een korte toelichting op het concept.

‘Embedded Testing’ is het optimaal gebruikmaken van reguliere monitoringactiviteiten (op beheersingsmaatregelen) met het doel de interne beheersing zo efficiënt mogelijk aan te kunnen tonen. Deze monitoringactiviteiten zijn bijvoorbeeld managementreviews op de adequate werking van opgenomen beheersingsmaatregelen in de onderliggende processen.

De hoeveelheid testwerk wordt met toepassing van ‘Embedded Testing’ in veel gevallen aanzienlijk verminderd. Er zijn bedrijven die zelfs een besparing van de testinspanning hebben bereikt van wel negentig procent! Deze besparingen kunnen worden gerealiseerd zonder de hoeveelheid beheersingsmaatregelen te beperken. Naast de besparing op de hoeveelheid testwerk is er ook een potentiële besparing op de hoeveelheid werk die de externe accountant moet uitvoeren. Het klinkt te goed om waar te zijn, maar is het toch.

‘Embedded Testing’ versus controlrationalisatie

Naast ‘Embedded Testing’ zijn er ook andere methoden om de kosten van interne beheersing te verlagen, bijvoorbeeld door middel van het reduceren van het aantal ‘key’ controls. Dit vindt in de praktijk veelal plaats onder de vlag van controlrationalisatie. In wezen is controlrationalisatie een manier om een inefficiënt beheersingsproces (zoals SOx 404) zo klein mogelijk te maken om zo de totale inefficiëntie tot een minimum te beperken. Hoewel dit in diverse gevallen een prima aanpak kan zijn om de kosten te verlagen, zien wij in ‘Embedded Testing’ meer toegevoegde waarde. ‘Embedded Testing’ maakt, door middel van een fundamenteel andere benadering, het beheersingsproces zélf efficiënt waardoor de behoefte om het zo klein mogelijk te maken in de regel verdwijnt. Sterker nog, we constateren dat bedrijven die hun beheersing via ‘Embedded Testing’ slimmer verkrijgen, dit uitrollen buiten de verplichte onderdelen van de organisatie. Ofwel, zij gaan verder dan de noodzaak vanuit de wet- en regelgeving.

Ten slotte willen we benadrukken dat controlrationalisatie in veel gevallen wel degelijk een prima instrument is om kosten te reduceren, maar SOx en vergelijkbare complianceprogramma’s kunnen pas écht efficiënt worden na toepassen van ‘Embedded Testing’.

COSO: monitoring van controls

De COSO-commissie heeft op 4 juni jl. een Exposure Draft uitgebracht met betrekking tot de monitoringcomponent van hun Internal Control – Integrated Framework. Zij benadrukt in de executive summary dat nog te veel bedrijven te weinig gebruikmaken van de resultaten van hun reguliere monitoringactiviteiten, waardoor er nog te veel onnodig separaat testwerk wordt verricht. Dit is precies de boodschap van ‘Embedded Testing’. Daarmee herhaalt COSO de aanbevelingen die de SEC en de PCAOB in 2007 in het kader van SOx reeds hebben gedaan. In de Interpretive Guidance for Management en in Auditing Standard 5 wordt eveneens gewezen op de mogelijkheden om te steunen op de monitoringactiviteiten die veelal binnen de processen aanwezig zijn.

De kern van het ‘Embedded Testing’-concept ligt in het onderscheid tussen ‘controls’ en ‘monitoringactiviteiten’. De eerste hebben betrekking op het voorkomen of detecteren en oplossen van fouten die in processen kunnen optreden, de tweede betreffen het toezien op de effectieve werking van die ‘controls’. Verreweg de meeste van deze monitoringactiviteiten worden uitgevoerd binnen de reguliere procesgang teneinde de risico’s zo dicht mogelijk bij de bron te kunnen managen. Deze zogenaamde ‘on-going’ monitoringactiviteiten hebben ook de voorkeur, naast separaat ingestelde monitoringactiviteiten, bijvoorbeeld door interne auditors.

Feitelijk moeten we constateren dat het COSO-raamwerk weliswaar op grote schaal door organisaties wereldwijd is aangewezen als het raamwerk dat ze voor hun interne beheersing willen hanteren, maar dat de concrete toepassing ervan in de praktijk, in ieder geval op het monitoringaspect, nog onvoldoende handen en voeten heeft gekregen. Want het COSO-raamwerk zoals dat in 1992 verscheen, bevatte al de nodige handvatten voor het efficiënt inrichten van monitoringactiviteiten en het steunen daarop vanuit interne beheersing.

Op zich is de ‘Embedded Testing’-gedachte uiteraard niet revolutionair. Wat echter wel nieuw is, is de concrete vertaling van de monitoringprincipes, zoals deze onder andere door COSO zijn bedoeld, naar de praktijk van alledag. Lijnmanagers, risk managers, compliance officers, controllers, CFO’s, internal auditors, externe accountants alsook audit committees en andere toezichthouders, hebben allemaal behoefte aan een duidelijke rolverdeling als het gaat om het verkrijgen van zekerheid over de inrichting en werking van interne beheersingsmaatregelen. Er worden vaak nog te veel, of niet de juiste, testactiviteiten uitgevoerd – zoals ook door COSO zelf geconstateerd.

Control selfassessment-activiteiten, zoals veel organisaties de laatste jaren in gang hebben gezet, zijn daarbij wel een stap in de goede richting; echter, deze gaan in de regel niet zo ver en zijn niet zo concreet als COSO aanbeveelt. Voorbeelden hiervan zijn de verankering binnen de reguliere bedrijfsactiviteiten door middel van maand/kwartaalafsluitingen en het gebruikmaken van overkoepelende controles.

Monitoring van IT controls

Het ‘Embedded Testing’-concept en de monitoring controls zijn uiteraard ook van toepassing op de IT- omgeving, maar hoe gaat dat in de praktijk en welke ervaringen worden daarbij opgedaan? We kunnen in dit verband onderscheid maken tussen het geautomatiseerd en het ‘handmatig’ vaststellen dat IT controls hebben gewerkt. In het tweede geval kan worden gedacht aan de review controls door het management, waarbij gebruik wordt gemaakt van informatie uit het systeem. Beide opties werken we iets concreter uit.

Geautomatiseerd controlebewijs verkrijgen

Bij het geautomatiseerd vaststellen of IT controls hebben gewerkt, wordt bewijsmateriaal direct uit de onderliggende systemen verkregen. Door middel van ingestelde ‘regels’ wordt vastgesteld of er zich geen functiescheidingsconflicten hebben voorgedaan of wordt vastgesteld dat bijvoorbeeld de 3-way match heeft gewerkt binnen de gestelde limieten. Het geautomatiseerd vergaren van dergelijk bewijs, vindt plaats met behulp van GRC-tooling zoals Approva of SAP GRC (zie elders in deze Compact voor meer details over deze tools en mogelijkheden). Dit bewijs kan ook worden verkregen door gebruik van dataminingtechnieken (gegevens direct verkrijgen uit de bronsystemen en deze analyseren). Het testen is als het ware ‘ingebed’ in de processen van de organisatie. Als de organisatie zelf de werking van de ingerichte controles test, noemen we dat continuous monitoring. Wordt de werking specifiek door de interne/externe auditor uitgevoerd, dan noemen we dit continuous auditing.

Figuur 1. Continuous auditing vs. continuous monitoring.

We zien dat veel organisaties zich in het proces bevinden waarin handmatige controles worden vervangen door geautomatiseerde controles en dat toegangsbeveiligingssoftware wordt geïmplementeerd. Het gebruikmaken van een geïntegreerde oplossing voor de gehele organisatie zien we nog niet zoveel in de praktijk.

Daarnaast worden de uitkomsten van het gehele testproces veelal geregistreerd in zogenaamde ERM-tools, zoals Bwise, Axentis of Paisley ([Forr07]). Met behulp van dashboards, eventueel via aparte reporting tools opgesteld, kan het management de status en voortgang van zijn interne beheersing volgen. Deze ‘c-level’-controle is ook een belangrijke monitoring control, maar dan van het internecontroleproces.

Handmatig controlebewijs verkrijgen

De werking van de IT controls kan ook door middel van ‘handmatige’ controls worden vastgesteld. Dit zijn de management review controls, waarbij er geen tools aanwezig zijn om de werking vast te stellen. Een goed voorbeeld in dit verband is het beoordelen van de logische toegangsbeveiliging. We zien doorgaans dat ingerichte beveiligingsinstellingen (zoals wachtwoordlengte), autorisatiecontroles (toekennen bevoegdheden) en review controls naast elkaar worden beoordeeld, zonder onderscheid te maken naar het soort controles. Ook hier zou de goede werking van review controls enige zekerheid moeten verschaffen dat onderliggende process level controls goed hebben gewerkt. Indien bijvoorbeeld periodiek wordt vastgesteld dat de ingerichte functiescheiding overeenkomt met de vereiste functiescheiding en dat de mutaties tussen de perioden (in-/uitdienst) worden beoordeeld door het management, in hoeverre zijn de process level controls omtrent in- en uitdiensttreding dan voldoende afgedekt?

Figuur 2. Review control IT vs. process level controls.

Uiteraard hangt de exacte invulling sterk af van de feitelijke omstandigheden, bijvoorbeeld wat is het risico als een fout in de functiescheiding pas na drie maanden wordt ontdekt?

Hetzelfde principe van de monitoring controls geldt min of meer voor de review controls in het change-managementproces. Ook hier kan het management beoordelen dat de verplichte stappen zijn gevolgd aan de hand van een checklist en met behulp van enkele deelwaarnemingen vaststellen dat de diverse goedkeuringen in het proces (acceptatietest, etc.) terecht zijn gegeven. Dit vervangt dan uitgebreid testwerk op de onderliggende controles en kwalificeert zich als ‘Embedded Testing’.

Wij constateren in de praktijk dat monitoring controls volop worden toegepast met betrekking tot IT controls, maar dat organisaties hier vaak nog onvoldoende efficiënt gebruik van maken om hun beheersing aan de buitenwereld aan te tonen. Veel werk wordt als gevolg hiervan nog dubbel gedaan.

Conclusie

Er is steeds meer aandacht voor het ‘Embedded Testing’-concept in de praktijk en vanuit gezaghebbende organisaties, en met heel goede redenen. Wij verwachten dat deze aandacht in de toekomst verder zal toenemen op alle terreinen waar interne beheersing van belang is. Dit wordt versterkt door uitingen zoals die van COSO, maar vooral ook door bedrijven en organisaties die ‘Embedded Testing’ in de praktijk toepassen en er de voordelen van ervaren.

Daarnaast is het ‘Embedded Testing’-concept ook zeker van toepassing op IT controls, waar naar de mening van de auteurs een inhaalslag zal kunnen plaatsvinden om hier efficiënter gebruik van te kunnen maken, al dan niet met behulp van beschikbare tooling. De GRC-tooling, waarover meer in deze Compact, zal hieraan bijdragen.