De IAF als smeerolie tussen Finance en de externe accountant

Exact heeft onder begeleiding van Internal Audit op een nieuwe, ingrijpende manier de controlewerkzaamheden van de externe accountant in het beheersingsraamwerk van Finance geïntegreerd. Een praktijkcasus.

De externe accountant komt langs: hij stelt tal van detailvragen en duikt in diverse rapportages, systemen en documenten. Maar wat hij precies doet, dat weten we niet. Elke maand doet Finance tal van checks voordat de cijfers intern en extern worden gepubliceerd. Maar doet de accountant het werk van Finance eigenlijk niet dunnetjes over? Mist Finance misschien belangrijke controles die de accountant juist wel doet? Weten zij wel van elkaar wat ze doen en maken ze optimaal gebruik van elkaars kennis en kunde? En ligt hier een rol voor Internal Audit?

Exact heeft het wereldwijd standaardiseren van al haar financieel-administratieve processen gecombineerd met het implementeren van een nieuwe set aan beheersmaatregelen die volledig afgestemd is op de informatiebehoefte van de externe accountant. De accountantsrekening kan daardoor omlaag, Finance werkt efficiënter en beter en Internal Audit kan meer tijd besteden aan processen met een hoger risico.

Er bestonden verschillende inzichten over de wijze van documenteren, zelfcontrole en de instructies vanuit het hoofdkantoor

Achtergrond

In 2012 begon de afdeling Finance met het inrichten en implementeren van een gestructureerd beheersingsraamwerk, gericht op de financiële administratie: het financial risk control framework (FRCF). Internal Audit maakte gebruik van dit FRCF als norm bij haar operational audits op diverse financiële processen.¹ Er bleek een flinke tijdsinvestering van Internal Audit nodig om vast te stellen of de beheersmaatregelen op alle locaties effectief werden uitgevoerd, omdat de uitvoering van deze beheersmaatregelen een stuk minder gestandaardiseerd bleek dan gedacht. Daarnaast had Finance onder meer door het gebrek aan harmonisatie, moeite om beheersmaatregelen te automatiseren. Ook speelden er cultuurverschillen tussen de regio’s (de VS, Maleisië en Nederland), er bestonden verschillende inzichten over de wijze van documenteren, zelfcontrole en de instructies vanuit het hoofdkantoor in Delft. Kortom, het FRCF bleek in de praktijk toch niet zo goed te passen.

‘Control-op-controlreflex’

Inmiddels had de organisatie ook een paar jaar ervaring met de nieuwe externe accountant. Een accountant die de organisatie steeds beter begreep en, gedeeltelijk gedwongen door veranderende regelgeving, diepere en meer gedetailleerde vragen stelde tijdens zijn controle. Regelmatig kwam het voor dat de accountant net een andere aansluiting wilde zien dan die Finance zelf maakte. Of dat hij andere eisen had ten aanzien van de documentatie van bepaalde beheersmaatregelen.

De organisatie schoot in de ‘control-op-controlreflex’. Er was meer controle nodig op die steeds meer gedetailleerde uitvoering en de externe accountant voegde daar vervolgens weer eigen controles aan toe. Het geheel werd steeds complexer. Voor de vastlegging van de beheersmaatregelen werd ook veel geprint, ondertekend en opgeslagen in ordners, wat de efficiëntie niet echt bevorderde. Er was duidelijk sprake van een afnemende effectiviteit van het FRCF in combinatie met een afnemende efficiëntie. En dat terwijl iedereen hard werkte om de kwaliteit en beheersbaarheid van de operationele dienstverlening aan de business juist te vergroten. Een paradox en opdracht tegelijkertijd.

Filosofie: geen verrassingen tijdens de accountantscontrole

Het doel van een CFO en een externe accountant is in essentie hetzelfde: een betrouwbare financiële verslaglegging. Wel zal een CFO meestal een lagere tolerantie voor fouten hebben en zal een accountant vaak hogere eisen stellen aan de aantoonbaarheid van uitgevoerde controles. Exact koos voor de volgende filosofie: alles wat de accountant controleert zou Exact Finance zelf al gedaan moeten hebben. De externe accountant zou zich idealiter kunnen beperken tot het vaststellen dat Finance inderdaad alles in de greep heeft. De accountant zou geen detailinformatie meer hoeven op te vragen om die vervolgens zelf te gaan aansluiten.

Kern van de aanpak

De kern van de nieuwe aanpak is dat de organisatie (Finance, hr en IT) niet alleen zelf beheersmaatregelen uitvoert, vastlegt en monitort, maar dat ook alle wensen en eisen die de accountant voor zijn controle heeft al door Finance zijn voorbereid. De accountant krijgt feitelijk een nagenoeg kant-en-klaar controledossier aangeleverd. Om deze filosofie concreet te maken en in te voeren moest een aantal randvoorwaarden worden ingevuld:

• Het FRCF dient alle beheersmaatregelen te bevatten die relevant zijn voor zowel de CFO als de externe accountant, een ‘integrated’ FRCF.
• Er moet een heldere, concrete relatie bestaan tussen alle beheersmaatregelen en de balans en resultatenrekening.
• De beheersmaatregelen moeten uniform worden uitgevoerd en controle van de uitvoering ervan moet eenvoudig zijn.

Deze randvoorwaarden maakten duidelijk dat er een volwaardig project moest worden gestart, dat ‘tooling’ nodig was, dat met de externe accountant moest worden afgestemd en dat het vermoedelijk een flinke doorlooptijd zou vergen. Besloten werd dat Internal Audit het voortouw zou nemen om tot een projectaanpak te komen, aangezien zij goed inzicht heeft in de financiële processen en de bijbehorende beheersmaatregelen, de taal van de accountant spreekt en beschikt over projectmanagement- en adviesvaardigheden. Uiteraard is toen afgesproken dat Internal Audit geen assuranceopdrachten zou uitvoeren over het FRCF tot in ieder geval een jaar na de implementatie ervan (zie figuur 1).

Het financial risk control framework (FRCF) van Exact

Het vertrekpunt van het FRCF zijn de balans en resultatenrekening. Daarin zijn de belangrijke rekeningen geïdentificeerd op basis van de omvang, het aantal mutaties, de complexiteit van de totstandkomingsprocessen en de kernrisico’s. Voor het afdekken van de kernrisico’s in de processen zijn beheersmaatregelen geformuleerd. De kernsystemen bevatten application controls, afgedekt door general IT controls.²

Niet alle beheersmaatregelen die de CFO belangrijk vindt, zijn ook van belang voor de externe accountant. Daarnaast hanteert de accountant een hogere materialiteit. Alle beheersmaatregelen in het FRCF die de accountant in haar werkzaamheden gebruikt noemt Exact ‘key controls’, de rest ‘operational controls’. Procesoverstijgende beheersmaatregelen en beheersmaatregelen op entiteitsniveau zijn gedefinieerd aan de hand van COSO Internal Control. Verder heeft de accountant documentatie nodig (zoals het organigram, een datadump voor fraudeopsporingsprocedures en bestuursnotulen) die de organisatie niet als echte beheersmaatregelen ziet, maar louter als informatiebehoeften voor de accountant. Maar ook deze informatie is in het FRCF opgenomen (zie figuur 2).

Het FRCF is in een geautomatiseerd systeem gezet, zodat er één plek is waar alle definities van beheersmaatregelen, documentatievereisten en logica zijn vastgelegd. Dit systeem stuurt ook een workflow aan, zodat de medewerkers die de beheersmaatregelen dienen uit te voeren, hierover automatisch geïnformeerd worden. De medewerkers gebruiken het systeem ook voor het documenteren van de beheersmaatregelen, zodat er een goede audittrail beschikbaar is.

Omdat alle relevantie informatie in één systeem is opgeslagen, is regelmatige monitoring eenvoudig geworden. Managers kunnen op elk gewenst moment zien hoe de voortgang van de uitvoering van ‘hun’ beheersmaatregelen is. Maar ook controlerende functies als Business Controlling en Internal Audit kunnen real time de status en kwaliteit van de uitgevoerde beheersmaatregelen bekijken en indien nodig beoordelen. Minimaal jaarlijks wordt het FRCF bijgewerkt als gevolg van veranderingen in processen, voortschrijdende automatisering, of wijzigingen in regelgeving. Maar ook de jaarlijkse herijking van de juistheid van alle aannames in het FRCF wordt in deze stap vastgelegd.

‘Prepared by client’-lijst

Exact heeft de externe accountant expliciet gevraagd te beoordelen of het FRCF voorziet in haar informatiebehoefte, die grotendeels wordt omschreven in de zogenaamde ‘prepared by client’-lijst. Daarmee is de accountant betrokken geweest in de nieuwe aanpak. Nu is het zo dat tijdens de interimcontrole wijzigingen vanuit zowel Exact als de accountant met elkaar besproken worden, zodat gewaarborgd is dat de accountant tijdens de jaareinde in principe alle benodigde documentatie in het FRCF kan vinden. Hierdoor kan de accountant zich tijdens de controle heel efficiënt richten op analyse. Het daadwerkelijk uitvoeren van diverse controles (maken van aansluitingen, uitvoeren van steekproeven en dergelijke) wordt door de organisatie zelf gedaan. Daarmee ligt ook de druk om deze werkzaamheden zo efficiënt mogelijk uit te voeren en daar waar mogelijk te automatiseren op de juiste plek, namelijk bij Finance, hr en IT.

Door FRCF kan veel beter dan voorheen worden aangetoond waar de organisatie ten aanzien van haar financiële verantwoording in control is en waar wat minder

Verantwoordelijkheden

Binnen Exact neemt het internal control committee, bestaande uit de CFO en de verantwoordelijken van onder meer de financiële administratie, control & reporting, IT, hr en Internal Audit, de formele beslissingen ten aanzien van wijzigingen. De diverse ‘global process owners’ zijn verantwoordelijk voor een juiste definitie, implementatie en juiste en tijdige uitvoering van de beheersmaatregelen. Internal Audit beheert de tool waarin het FRCF (en andere beheersraamwerken) is opgeslagen en assisteert Finance in besprekingen met de externe accountant in geval van wijzigingen in opzet van het FRCF. Wijzigingen worden geïnitieerd in de periodieke updates van het FRCF, door internal audits, naar aanleiding van werkzaamheden van de externe accountant of omdat proceseigenaren hun proces wijzigen.

Aantoonbaar in control

Exact heeft nu twee jaar ervaring met het nieuwe FRCF en tweemaal is het framework gebruikt als belangrijkste informatiebron voor de accountant. Het resultaat is dat veel beter dan voorheen kan worden aangetoond waar de organisatie ten aanzien van haar financiële verantwoording in control is en waar wat minder. De organisatie is nu gedurende het hele jaar aantoonbaar in control. En als de externe accountant haar prepared by client-lijst instuurt om documentatie op te vragen, is de organisatie al grotendeels voorbereid. Alle noodzakelijke documentatie zit namelijk al in de tool. Daarnaast neemt de efficiëntie toe, omdat werkzaamheden nu slechts eenmaal worden uitgevoerd en de informatiebehoefte van financemedewerkers en management, business control, de CFO, Internal Audit en de externe accountant in één keer wordt afgedekt.

Belangrijkste lessen

Internal Audit speelde een sleutelrol in dit beheersingsproject. Een paar lessen:
­

• Commitment vanuit de top en draagvlak in de organisatie én bij de externe accountant. Zorg voor draagvlak bij het gehele management in de organisatie: een samenwerking tussen de CFO, de IAF en de accountant is essentieel.
• Goed begrip van de controleaanpak van de externe accountant. De opgevraagde documentatie wordt soms aangeleverd aan de externe accountant zonder dat de organisatie voldoende begrijpt wat de accountant met deze documenten doet. Wanneer je weet welke werkzaamheden op deze documenten worden uitgevoerd en welk auditrisico deze werkzaamheden moet afdekken, kan vaak een efficiëntere aanpak worden gekozen of blijkt misschien dat andere documenten waardevoller zijn voor de accountant.
• Automatisering en monitoring. Zorg voor een systeem om efficiënt de uitvoering van beheersmaatregelen te kunnen ondersteunen en monitoren. Daarmee voorkom je ook dat de externe accountant bij zijn controle ongeplande (en dus dure) extra werkzaamheden moet uitvoeren.
• Zorg ervoor dat de onderbouwing van het FRCF gedegen is en in lijn met diverse auditstandaarden (belangrijke elementen zijn bijvoorbeeld de relatie met grootboekrekeningen, management assertions, verhouding preventieve-detectieve controls en het gebruik van prepared-by-entitydocumenten).

Noten

1. Exact’s IAF heeft een dynamisch, risk-based auditprogramma met assurance- en consultingactiviteiten. Het richt zich met name op operational audits op processen met hoge risico’s en is niet direct betrokken bij (regelmatige) standaardwerkzaamheden in het kader van de jaarrekening of de controle daarop.
2. Om het raamwerk niet te complex te maken en vanwege een aantal grote geplande verbeteracties op de IT infrastructuur, is besloten om in eerste instantie de application controls en general IT controls buiten het formele FRCF te laten. Deze worden momenteel geleidelijk toegevoegd.