Governance Risk & Compliance (GRC), het thema van deze Compact, richt zich op de algemene risicobeheersing van de organisatie door het management en hoe men zich aan alle wet- en regelgeving houdt. Niets nieuws onder de zon, maar wel actueel geworden na de invoering en aanscherping van diverse ‘governancewetten’, waarvan de Sarbanes-Oxley Act en de code-Tabaksblat voor ons wellicht de bekendste zijn. Deze aanvankelijk strenge regels, met name om te voldoen aan SOx 404, zijn inmiddels wat afgezwakt en meer gericht op de te hanteren principes dan op het zich houden aan gedetailleerde regels. Een versoepeling die in de praktijk niet heeft geleid tot verminderde aandacht voor GRC, maar tot een bewustere aanpak, waarbij wordt gezocht naar een efficiënte en uitgebalanceerde beheersing.
In deze Compact wordt ingegaan op praktijkvoorbeelden om te komen tot een dergelijke verbeterde beheersing. Hierbij worden mogelijke auditaspecten eveneens behandeld. Het eerste artikel staat stil bij de invloed van GRC-software op de jaarrekeningcontrole: wat is het, wat zijn de voordelen en welke invloed heeft het gebruik hiervan door de organisatie op het auditrisico van de accountant? In het tweede artikel wordt gesteld dat een efficiëntere, en beter aantoonbare, beheersing ook mogelijk is door meer gebruik te maken van de reeds aanwezige monitoring binnen de organisatie. Deze aanpak wordt in de praktijk vaak aangeduid met ‘Embedded Testing’ en selfassessments.
Het nadrukkelijker top-down en risicogebaseerd inrichten van de beheersing blijkt in de praktijk niet altijd eenvoudig. Maar binnen ERP-systemen is hier mogelijk een oplossing voor: ‘single client ERP’, ofwel zoveel mogelijk centraal inrichten en hierbij de verantwoordelijkheden zo helder mogelijk afbakenen tussen centraal versus decentraal. De risicogebaseerde aanpak betekent ook dat er geen ‘one size fits all’-methode bestaat. Hoe kan een goed bestuurbare, maar ook werkbare beheersing worden verkregen? Bij deze afweging wordt in deze Compact ook stilgestaan.
De ‘principle-based’ ontwikkeling in de wet- en regelgeving geeft ook mogelijkheden om rekening te houden met de opgedane kennis omtrent de interne beheersing en niet ieder jaar dezelfde maatregelen te hoeven beoordelen. Ook hier kan meer worden geredeneerd vanuit de risico’s en kunnen geautomatiseerde controls efficiënter worden beoordeeld. Een voorbeeld betreft ‘benchmarking IT application controls’, met name de aantoonbaarheid van goed functionerende geautomatiseerde controls.
In het slotartikel wordt een oplossing geboden indien de beheersing niet kan worden aangetoond, bijvoorbeeld bij gebruik van Oracle eBS. Een alternatief wordt gegeven door een geautomatiseerde gegevensgerichte controle, waardoor de mogelijkheden voor de accountant om efficiënter en gerichter controlewerkzaamheden uit te voeren toenemen.
GRC, en met name het verhogen van de efficiency hieromtrent, is hot! Deze Compact bewijst het.