Inleiding

Bedrijven moeten veel bewerkstelligen om te voldoen aan de verschillende wet- en regelgevingen, zoals bijvoorbeeld ingegeven door SOx. In het kader van SOx zijn ondernemingen verplicht om aan te tonen dat hun stelsel van internecontrolemaatregelen effectief is. Dit vereist veel werkzaamheden, al is dat sinds de publicatie van de Auditing Standard 5 van de PCAOB wel enigszins verlicht ([PCAO07]). De vereisten met betrekking tot het documenteren van processen, het documenteren van internecontrolemaatregelen en conclusies over afwijkingen zijn hoog. Simpel gezegd: ‘Als het niet gedocumenteerd is op een fatsoenlijke wijze, bestaat het niet’ ([Diek05]). De afgelopen paar jaar zijn er meer en meer softwarepakketten op de markt gebracht die het documenteren van processen en internecontrolemaatregelen ondersteunen. Daarnaast ondersteunen deze softwarepakketten ook nog eens het testen van (key) internecontrolemaatregelen en het rapporteren over de internecontrolemaatregelen. In dit artikel noemen we deze software GRC-software.

Het gebruik van GRC-tools door een onderneming kan mogelijk van invloed zijn op de werkzaamheden die een accountant tijdens de jaarrekening uitvoert. Wat is de mogelijke invloed van het gebruik van GRC-software door een onderneming op het werk van een accountant? Die vraag zullen we beantwoorden in dit artikel.

We beginnen met kort uiteen te zetten uit welke onderdelen de audit bestaat. Vervolgens beschrijven we wat voor mogelijkheden GRC-software biedt. Ten slotte leggen we het verband tussen de mogelijkheden van GRC-software en de onderdelen van de jaarrekeningcontrole.

Bij de jaarrekeningcontrole bevat de accountantscontrole risico’s

De jaarrekeningcontrole, of financial audit, bestaat uit een aantal stappen. We gaan er niet te gedetailleerd op in, aangezien de inhoud van de jaarrekeningcontrole bekend mag worden geacht. Maar een aantal aspecten is in dit kader dusdanig belangrijk dat we ze zullen bespreken. De belangrijkste is het accountantscontrolerisico (Audit Control Risk, ACR).

Het accountantscontrolerisico wordt bepaald door drie risico’s

Tijdens de financial audit wordt beoordeeld of de financiële gegevens van bedrijven een getrouw beeld geven van de werkelijkheid, en of de interne controle effectief is. Bij het beoordelen van de effectiviteit van de interne controle worden drie risicofactoren in acht genomen, te weten: inherente risico, internecontrolerisico en detectierisico. Deze drie vormen samen het accountantscontrolerisico.

Figuur 1. Accountantscontrolerisico ([Knec01]).

Ten eerste wordt gekeken naar het inherente risico. Dit risico geeft de kans aan dat er material weaknesses[Fouten (tekortkomingen in de interne controle) die voor significante afwijkingen in de jaarrekening kunnen zorgen.] ontstaan zonder dat er rekening wordt gehouden met internecontrolemaatregelen ([Aren06]). Het is afhankelijk van factoren als het marktsegment of het management van een organisatie. Bijvoorbeeld: als in een bepaald marktsegment veel gefraudeerd wordt, dan is het risico dus groter dat er bij een organisatie die zich in dat segment bevindt material weaknesses worden aangetroffen. Ten tweede wordt er gekeken naar het internecontrolerisico. Dit is de kans dat materiële fouten niet worden voorkomen of opgemerkt door de internecontrolemaatregelen. Ten slotte is er ook nog het detectierisico. Dit is de kans dat er bij de gegevensgerichte controle material weaknesses onopgemerkt zijn gebleven.

De accountant kan met zijn werkzaamheden het detectierisico beïnvloeden

De drie genoemde risico’s vormen samen het accountantscontrolerisico. Dit beschrijft het risico dat er na de audit materiële fouten onopgemerkt zijn. Als het inherente risico, het internecontrolerisico en het detectierisico laag zijn, dan is het accountantscontrolerisico logischerwijs ook laag. Het is het doel van de accountant om het accountantscontrolerisico zo laag mogelijk te houden, wat betekent dat hij de audit naar behoren heeft uitgevoerd. De gedachtegang achter het accountantscontrolerisico is dat naarmate het inherente risico en het internecontrolerisico kleiner worden, er een hoger detectierisico geaccepteerd wordt. Zijn het inherente en internecontrolerisico hoog, dan moet een lager detectierisico dat compenseren. In sommige literatuur wordt deze gedachtegang verpakt in een formule, maar dat is niet juist. Het accountantscontrolerisico is namelijk een denkmodel. Tabel 1 geeft dit model weer. Het grijze vlak laat zien wat de hoogte van het detectierisico mag zijn in het geval van het bijbehorende inherente risico en internecontrolerisico.

Tabel 1. Accountantscontrolerisico ([NIVR02]).

Normaal gesproken heeft de accountant geen invloed op het inherente risico en het internecontrolerisico. Die worden van tevoren en tijdens de beoordeling van de interne controle vastgesteld. Echter, op de hoogte van het detectierisico kan wel invloed worden uitgeoefend. Hoe meer en hoe intensiever de accountant controleert bij de gegevensgerichte controle, des te kleiner de kans dat er onjuistheden in de financiële gegevens van de klant onopgemerkt blijven. kan in dit geval gebruikt worden om te bepalen hoe de accountant de gegevensgerichte controle gaat uitvoeren. Als het inherente risico en het internecontrolerisico laag zijn, dan mag het detectierisico wat hoger zijn.

Internecontrolemaatregelen

Over het algemeen heeft een onderneming een mix van controlemaatregelen geïmplementeerd. Deze mix bestaat uit een aantal verschillende soorten controlemaatregelen die grofweg te verdelen vallen in preventieve en detectieve controles. Hierbij is een preventieve controle een controlemaatregel met als doel te voorkomen dat een risico zich manifesteert, en heeft een detectieve controle als doel het opsporen van een risico dat zich heeft gemanifesteerd. Hierbij geldt dat een preventieve maatregel over het algemeen sterker is dan detectieve controles, omdat de eerstgenoemde het zich manifesteren van een risico voorkomt.

GRC-software biedt nuttige functionaliteiten voor de jaarrekeningcontrole

Sinds de invoering van de SOx-wetgeving zijn bedrijven verplicht om aan te tonen dat ze in control zijn. Onder meer de effectiviteit van de interne controle wordt daarbij beoordeeld. GRC-software wordt gebruikt om organisaties te helpen in het aantonen van compliance. We zullen nu dieper ingaan op de mogelijkheden van GRC-software. Wat kan hij allemaal, waar moet hij aan voldoen, waarom zouden bedrijven of accountants er gebruik van moeten maken en wat zijn de nadelen? Voorbeelden van tools op het gebied van Governance, Risk & Compliance zijn onder andere:

• ACL Services;
• Approva;
• Control Software International (CSI);
• D2C Solutions;
• LogicalApps;
• Oracle;
• Oversight Systems;
• SAP GRC Access Controls en SAP GRC Process Controls.

Figuur 2. Resultaten uit The Global CFO Study 2008 ([IGGS08]).

GRC-software is efficiënt en effectief

Automatisering speelt een belangrijke rol in de verbetering van de effectiviteit van de interne controle. In een onderzoek onder leidinggevenden ([IGGS08]) bleek dat ongeveer 66 procent van de ondervraagden het beheersen en verminderen van risico’s prioriteit geeft, terwijl dit een factor is die bepaalt of een bedrijf financieel succesvol is. Dit is weergegeven in figuur 2. GRC-software kan belangrijk zijn bij het automatiseren van interne controle. Deze software biedt als voordeel dat hij effectief en efficiënt is. Ook werkt hij doorgaans consistenter en gebruikersvriendelijker dan het handmatig beoordelen van de effectiviteit van interne controle.

SAP GRC is een voorbeeld van een bruikbare tool

Bij het beschrijven van functionaliteiten van GRC-software wordt in dit artikel in eerste instantie gekeken naar de GRC-oplossingen van SAP. Er zijn nog veel meer oplossingen, maar om het afgebakend te houden wordt er hier naar één oplossing gekeken. Bovendien biedt SAP meerdere oplossingen voor de verschillende problemen die kunnen optreden bij het in compliance blijven van bedrijven. Het GRC-platform van SAP bevat een aantal verschillende onderdelen die hier kort worden behandeld.

SAP GRC Access Controls bekijkt en voorkomt kritieke toegangsrechten en functiescheidingsconflicten

De SAP GRC Access Controls-oplossing richt zich op de toegangsrechten in SAP en een aantal andere ERP-applicaties. De basis van GRC Access Controls betreft een module voor ‘risk identification & remediation’. De basis van deze module is als het ware een grote lijst waarin regels voor functiescheiding en kritische systeemtoegang staan gedefinieerd. Met behulp van deze functionaliteit (ook wel compliance calibrator genoemd) kan een onderneming in kaart brengen welke gebruikers functiescheidingsconflicten (wie kan er crediteuren onderhouden en betalen) in hun bevoegdheden hebben en welke gebruikers toegang hebben tot kritische functionaliteit in het systeem (wie kan er crediteuren aanleggen of wie kan er betalen). Indien een gebruiker een combinatie van kritieke bevoegdheden dient te hebben (bijvoorbeeld een kleine afdeling of vestiging), dan is het mogelijk een mitigerende maatregel aan het risico voor de gebruiker te koppelen.

Daarnaast kan met behulp van GRC Access Controls worden voorkomen dat functiescheidingsconflicten in het systeem worden geïntroduceerd. Hiervoor bestaat de module ‘complaint user provisioning’, waarmee kan worden voorkomen dat conflicten worden geïntroduceerd door middel van toekenning van rollen aan gebruikers. Indien een gebruiker een conflicterende rol krijgt, zal GRC Access Controls de toekenning blokkeren totdat er goedkeuring wordt gegeven en het conflict direct wordt gemitigeerd door het toekennen van een mitigerende maatregel. Ook bestaat de module ‘enterprise role management’, waarmee wordt voorkomen dat er conflicten in een autorisatierol worden geïntroduceerd.

Het laatste onderdeel van GRC Access Controls betreft het onderdeel ‘super user privilage management’. Deze oplossing biedt de mogelijkheid om eindgebruikers of beheerders extra functionaliteit te geven. Indien de gebruikers de extra functionaliteit moeten gebruiken, moeten zij voordat ze starten aangeven waarom ze de functionaliteit gaan gebruiken. Vervolgens wordt de activiteit gelogd en kan aan een reviewer een mail worden gestuurd om de activiteit (in de logging) te controleren. Het grote voordeel van deze functionaliteit is dat er geen echte reden meer is om een beheerder niet alle bevoegdheid in het systeem te geven. De beheerder kan nu wel super user rechten krijgen omdat alles wat hij of zij doet, wordt gelogd.

De grootste voordelen van het gebruik van GRC Access Controls voor een onderneming zijn:

1. De onderneming heeft de functiescheidingsconflicten kunnen identificeren.
2. Door het gebruik van GRC kan de onderneming het aantal functiescheidingsconflicten beperken.
3. De onderneming heeft noodzakelijke conflicten op het netvlies en heeft de risico’s kunnen mitigeren.
4. Het concept zal in de toekomst, bij de juiste toepassing, verschoond blijven van nieuwe, ongemitigeerde conflicten.
5. Super user bevoegdheid kan gecontroleerd worden uitgegeven waarbij uitgevoerde activiteiten worden gemonitord.

Andere voorbeelden van GRC tooling die zich richt op het beheersen van toegangsrechten en functiescheidingsconflicten zijn Approva Bizrights, Security Weaver, CSI Authorization Auditor en SecurInfo.

SAP GRC Process Controls ondersteunt de vastlegging van internecontrolemaatregelen

In de SAP GRC Process Controls-oplossing kan een onderneming voor elke organisatie het stelsel van internecontrolemaatregelen definiëren. In de tool wordt allereerst een organisatorische hiërarchie vastgelegd. Vervolgens kunnen van de verschillende organisaties de relevante subprocessen worden vastgelegd. Per subproces kan in de tool worden aangegeven wat de control objectives, de assertions en de te ondersteunen account(group)s zijn. Vervolgens kunnen aan de subprocessen de relevante risico’s worden gekoppeld en kunnen de gedefinieerde controlemaatregelen aan de processen worden gekoppeld. Met behulp van deze inrichting kunnen het ontwerp van een proces en de risico’s worden beoordeeld en kan de effectiviteit van de controls worden getest. Daarna kunnen er in de tool met behulp van assessment surveys een aantal assessments worden uitgevoerd:

• een control design assessment: het nagaan of een control een risico afdekt;
• een control self assessments: het laten testen van een control;
• een subprocess design assessment: het laten beoordelen van een subproces (zijn alle risico’s gedefinieerd);
• een entity level control assessments: het laten beoordelen van controles die worden uitgedragen door het hogere management.

Daarnaast kan met behulp van GRC Process Controls een workflow worden ingericht om de gedefinieerde controls te laten testen op hun effectiviteit. Per control wordt een testplan gedefinieerd. Een tester zal vervolgens een mail krijgen waarin staat opgenomen welke control getest moet worden, hoe de control getest moet worden en wat de sample size van de control is. Indien de control niet effectief is, dient de tester in de tool aan te geven dat de control niet effectief is. Vervolgens wordt er een remediationplan gemaakt waarmee de control deficiency zal moeten worden opgelost. De uitkomsten van de test en eventueel de test evidence kunnen in de tool worden vastgelegd. Indien de controlemaatregelen niet voor de deadline getest worden, bestaat de mogelijkheid om een escalatie te sturen naar een andere persoon, die er vervolgens voor kan zorgen dat de controlemaatregel alsnog getest kan worden.

De belangrijkste voordelen van SAP GRC Process Controls met betrekking tot handmatige controls zijn:

• het vastleggen van internecontrolemaatregelen;
• het inzichtelijk maken of de gedefinieerde controlemaatregelen alle risico’s adequaat afdekken (aan de hand van de assertions gekoppeld aan de control objectives);
• het faciliteren van het testen van de effectiviteit van de controlemaatregelen.

In de markt is een aantal tools beschikbaar die soortgelijke functionaliteit bevatten. Hierbij kan onder andere gedacht worden aan de oplossing van Bwise en bijvoorbeeld de ARIS audit manager.

SAP GRC Process Controls bevat nuttige en efficiënte automatische controles

Een tweede belangrijk onderdeel in deze tools betreft het gedeelte automatische controls. Binnen SAP GRC Process Controls (en bijvoorbeeld in GRC-tools zoals Synnaxion of Approva) kunnen automatische controls worden geactiveerd. Deze controls haken in op:

• customizing controls (komen de ingerichte instellingen overeen met voorgedefinieerde threshold);
• masterdata (identificeert kritische velden die worden veranderd);
• transactionele data (identificeert exceptions gebaseerd op voorgedefinieerde waarden).

Het gebruik van de aangeboden automatische controle kan tot gevolg hebben dat bepaalde handmatige controles vervangen worden door geautomatiseerde controles. In plaats van op lijsten naar exceptions te zoeken, worden de exceptions nu automatisch geïdentificeerd en ter review aangeboden. Dit heeft tot gevolg dat een onderneming veel eerder een exception identificeert en dus ook veel sneller kan ingrijpen op een exception indien noodzakelijk.

Het laten uitvoeren van automatische controles door GRC-software leidt tot continuous monitoring van controls. De voordelen van continuous monitoring zijn legio:

Efficiency:

• het automatiseren van controls die handmatig veel tijd in beslag zouden nemen;
• het reageren op controls die stoppen met werken in plaats van het testen van de effectiviteit van controlemaatregelen;
• het kunnen identificeren van alle exceptions in plaats van steekproefsgewijs;
• het direct kunnen reageren op exceptions.

Verbeterde controlemaatregelen:

• transitie van handmatige, detectieve controlemaatregelen naar preventieve controlemaatregelen;
• automatische fraudepreventie en -detectie.

Verbeterde informatievoorziening:

• versneld uitvoeren van controlemaatregelen (continu);
• versnelde rapportagemogelijkheden (real-time);
• gebruik van resultaten in de auditplanning (definiëren van aandachtsgebieden);
• centraal kunnen uitvoeren van audits;
• verbeterd gebruik van automatisering.

Lagere complexiteit:

• versterkte focus op echte control issues;
• demonstreren van good governance aan het management;
• mogelijkheid tot business process improvement.

Overige SAP GRC-applicaties

Overige modules binnen SAP GRC zijn de modules SAP GRC Risk Management voor het identificeren en beheersen van risico’s op strategisch niveau, SAP GRC GTS voor het voldoen aan de verschillende handels- en exportwetgeving en SAP Environmental & Safety, dat een oplossing biedt voor de verschillende wetgeving betreffende de verschillende environmental en health & safety gerelateerde wetgevingen.

GRC-software brengt zaken aan het licht waar de auditor naar zoekt

Hoe hebben de functionaliteiten effect op de jaarrekeningcontrole? Dat wordt duidelijk door te kijken naar welke zaken bij de audit vaak aan het licht komen.

De procedures die een accountant uitvoert tijdens de normale gang van zaken kan een aantal soorten bevindingen opleveren, welke in onderstaand rijtje zijn opgenomen ([Knec01]).

• onvolledige transacties;
• mogelijk ongeautoriseerde transacties;
• mogelijk frauduleuze transacties;
• gebrek aan documentatie bij transacties;
• ongebruikelijke verplaatsingen van fondsen;
• belastingtransacties onjuist of onvolledig vastgelegd;
• betalingen aan overheidsfunctionarissen.

Een aantal van dit type bevindingen kan reeds door de onderneming gedeeltelijk zijn ondervangen door het inzetten van GRC-software. Immers, de organisatie heeft continuous monitoring geïmplementeerd. In dit geval monitort de onderneming op een continue basis een of meer internecontrolemaatregelen. Doordat de organisatie zelf al bevindingen in kaart kan brengen, kan de accountant op deze resultaten steunen. Daarnaast is bekend aan welke processen meer aandacht moet worden geschonken doordat er vaker problemen rond de controlemaatregelen voorkomen.

Het blijkt dus dat het gebruik van GRC-software door de onderneming invloed kan hebben op de werkzaamheden die door de accountant moeten worden uitgevoerd. Wat voor effect het werkelijk heeft kunnen we concluderen aan de hand van de Audit Control Risk.

GRC-software vermindert de gegevensgerichte activiteiten van de accountant

We weten dat de inspanningen van de accountant worden bepaald door de hoogte van het detectierisico dat hij accepteert. Ook weten we dat de hoogte van het detectierisico mede afhankelijk is van de hoogte van het inherente risico en het internecontrolerisico. Afhankelijk van de ingezette GRC functionaliteit heeft GRC een positieve invloed op het internecontrolerisico:

1. Functiescheidingsconflicten zijn beperkt, bekend en gemitigeerd.
2. Super user bevoegdheid is niet meer noodzakelijk in het systeem. Er zijn weinig tot geen gebruikers die alle functionaliteit kunnen uitvoeren.
3. Continuous monitoring van bepaalde controls is ingezet, waardoor mogelijk risico’s direct worden geïdentificeerd en gecommuniceerd.
4. De GRC-applicatie dwingt het testen van handmatige interne controles af. De onderneming kan op elk moment aantonen wat de status is ten aanzien van het testen van internecontrolemaatregelen en het oplossen van mogelijke issues ten aanzien van deze maatregelen.
5. Testen wordt onderdeel van de manier waarop de onderneming haar processen uitvoert (embedded testing).

Bij het gebruik van GRC-software wordt het internecontrolerisico dus lager. We weten aan de hand van het accountantscontrolerisico dat het detectierisico dan hoger mag liggen. Er kan dus een hoger detectierisico geaccepteerd worden, wat weer betekent dat de accountant minder gegevensgerichte activiteiten hoeft te verrichten bij de jaarrekeningcontrole.

De accountant kan bij bepaalde voorwaarden steunen op GRC-software

We kunnen concluderen dat het gebruik van GRC-software van invloed is op de werkzaamheden van de accountant. Immers, de accountant kan naar alle waarschijnlijkheid voor een gedeelte steunen op de uitkomsten van de testen van de controlemaatregelen door de onderneming.

Er is echter een aantal voorwaarden te stellen die door de accountant onderzocht moeten worden, wil hij op de uitkomsten van de GRC-tools kunnen steunen. Hierbij kan onder andere gedacht worden aan:

1. Staan in de GRC-tool alle internecontrolemaatregelen opgenomen die relevant zijn voor de jaarrekening controle?
2. Zijn de regels zoals gedefinieerd voor functiescheidingen en voor continuous monitoring technisch goed gedefinieerd? Zijn de uitkomsten van continuous monitoring betrouwbaar?
3. Hoe waarborgt de onderneming dat de mitigerende maatregelen voor functiescheidingsconflicten ook daadwerkelijk worden uitgevoerd?
4. Welke procedures heeft de onderneming geïmplementeerd in het geval dat een exception wordt gerapporteerd? Hoe lost de onderneming mogelijke gebreken in de internecontrolemaatregelen op?
5. Hoe kan het testen van de IT general controls rondom de GRC-applicaties worden uitgevoerd?

Daarnaast staat het de accountant natuurlijk vrij om zelf nog aanvullende of andere controles op effectiviteit te testen.

Conclusie: GRC-software beïnvloedt de jaarrekeningcontrole

De afgelopen paar jaar zijn diverse ondernemingen gestart met de implementatie van tooling voor Governance Risk & Compliance. Hierbij kan gedacht worden aan functiescheidingstools, controledocumentatietools, tools die het testen van controlemaatregelen ondersteunen en tools voor continuous monitoring. Door het gebruik van dergelijke geavanceerde tooling door ondernemingen voor het documenteren en testen van internecontrolemaatregelen kan het internecontrolerisico voor de accountant worden verlaagd. De accountant blijft echter eindverantwoordelijk voor de jaarrekeningcontrole. Hij zal dus moeten bepalen in hoeverre hij kan steunen op de resultaten van GRC-software. Echter, aangezien hij voor een zeer groot gedeelte zal gaan steunen op de werking van de GRC-tooling voor de internecontrolemaatregelen, zullen de GRC-tools zelf onderwerp van onderzoek worden.