De robot rukt op in internal auditing
Robotic process automation (RPA) als auditobject wordt steeds vaker opgenomen in het internal auditjaarplan bij organisaties. Tegelijkertijd worstelen internal auditfuncties (IAF’s) met de vraag hoe een RPA-audit uit te voeren. Daarnaast wordt er door IAF’s nog niet optimaal gebruikgemaakt van RPA. Tips voor het uitvoeren van een succesvolle RPA-audit en het automatiseren van audit (test)werkzaamheden.
In Audit Magazine 2018 nummer 4 schreven we dat RPA in opkomst is bij internal auditors.1 RPA is een hot topic binnen veel organisaties en dit is niet zonder reden. RPA is een softwareoplossing waarmee handmatige, repetitieve en relatief saaie taken worden geautomatiseerd, zodat medewerkers meer tijd hebben voor waardetoevoegende activiteiten. Wegens de relatief korte implementatietijd en hoge return on investment hebben veel bedrijven RPA als technologie binnen hun organisatie geïmplementeerd en een Center of Excellence (CoE) opgericht. De toepassingen groeien in hoog tempo. Hierdoor ontstaat er een hele workforce van software robots, die verspreid over afdelingen als inkoop, hr en finance voor de uitvoering van processen worden ingezet. Daarnaast heeft RPA grote invloed op de verschillende rollen in het three-lines-of-defensemodel (wat nu het three-linesmodel heet) en meer specifiek de rol van internal audit.2
Kwestie van tijd
Deze ontwikkelingen blijven dus ook binnen IAF’s niet onopgemerkt. Soms zijn processen gerobotiseerd die een directe impact kunnen hebben op de managementinformatie en de jaarrekening, of worden (key)controles die eerst door medewerkers werden gedaan nu door robots uitgevoerd. Het is een kwestie van tijd voordat het merendeel van controls geautomatiseerd zullen worden uitgevoerd. Daarom is het verstandig voor IAF’s om op tijd grip te krijgen op de vraag welke risico’s er ontstaan op werkzaamheden die robots uitvoeren. Hoewel RPA op de agenda staat binnen IAF’s worstelen veel internal auditors nog steeds met de vraag hoe ze een gedegen RPA-audit uit kunnen voeren. De technologie is immers anders dan het controleren van een reguliere applicatie. Daarnaast zien IAF’s ook kansen voor het gebruik van RPA. Diverse audit(test)werkzaamheden die normaliter veel tijd kosten, kunnen namelijk met behulp van RPA worden gerobotiseerd. Dit artikel belicht hierna beide onderwerpen. Allereerst worden tips gedeeld over het uitvoeren van een RPA-audit, zodat IAF’s een vliegende start kunnen maken met het uitvoeren van RPA-audits (zie figuur 1). Daarnaast zullen toepassingen van RPA binnen internal audit worden toegelicht, zodat internal auditors zelf gebruik kunnen maken van robots om hun werkzaamheden uit te voeren.
Hoe voer ik een goede RPA-audit uit?
Stel een multidisciplinair team van RPA-expertise en IAF samen – De eerste stap die een internal auditor moet maken bij het uitvoeren van een audit is het verzamelen van de juiste kennis en ervaring in het team. RPA als technologie is namelijk anders dan een traditionele applicatie. Naast dat het een op zichzelf staande softwareapplicatie is waarop general IT controls (GITC’s) kunnen worden toegepast, interacteert RPA ook met andere doelapplicaties net zoals een medewerker dat zou doen. Het betrekken van de juiste kennis over deze applicatie en hoe de toepassing van RPA software robots kan worden gecontroleerd, is van grote toegevoegde waarde. Daarnaast is het noodzakelijk om RPA-scripts te controleren om echt zekerheid te kunnen geven over de betrouwbaarheid van de processen. Kortom, een multidisciplinair team bestaande uit mensen met kennis en ervaring omtrent de dynamiek in de organisatie, internal audit en RPA zal zorgen voor een efficiëntere en kwalitatief betere audit.
Incorporeer unieke RPA-elementen in het toetsingskader – RPA software bevat vele lagen. Zo kan een RPA-platform bestaan uit zowel een workflow tool, software robot en monitoring tool, elk met hun eigen servers. Daarbovenop komen nog de doelapplicaties waarmee de robot interacteert, inclusief alle gebruikersaccounts. Het opstellen van een helder toetsingskader waarbij de risico’s en verwachte controls in kaart worden gebracht, helpt bij het aanbrengen van focus binnen een RPA-audit.3 Het advies is om ook een waardeoordeel te geven over de geïdentificeerde risico’s met een classificatie als high, medium en low. De classificatie wordt aan elk risico toegewezen en is de basis om de scoping vast te stellen. Dit toetsingskader kan zowel zelf worden opgesteld als worden ontleend aan een extern opgesteld toetsingskader.
Licht het belang van controls binnen RPA-processen aan de auditee toe – Voor een succesvolle RPA-audit is het van groot belang om de auditee goed in het proces mee te nemen. Dit begint al bij de start van het proces, waarbij een auditee vaak in het duister tast over wat er gaat gebeuren, vooral omdat RPA-audits relatief nieuw zijn binnen een organisatie. Een heldere toelichting over het proces en wat er van de auditee wordt verwacht, helpt derhalve bij het uitvoeren van de audit. Daarnaast is het belangrijk om de auditee goed mee te nemen in de beweegredenen van de audit en dat deze ook van toegevoegde waarde voor het CoE kan zijn. Als internal auditor kun je gevraagd worden om een audit uit te voeren over de impact van RPA op de financiële managementinformatie, en door middel van de RPA-audit kan het CoE aanvullende assurance krijgen over de opzet, het bestaan en de werking van de controls op de gerobotiseerde processen en hoe goed deze controls ingericht zijn. Hier zit de toegevoegde waarde van audit.
RPA- audit, een korte case study
Een voorbeeld van een organisatie die meer inzicht wilde verkrijgen in de risico’s en controles rondom RPA was Renewi. Renewi is een beursgenoteerd waste-to-productbedrijf dat inmiddels al enkele jaren gebruikmaakt van RPA om bedrijfsprocessen te automatiseren en te verbeteren. Als internal audit co-sourcing partner heeft KPMG een RPA-audit uitgevoerd binnen het shared service center van Renewi. Jeroen Kooij, head of Risk & Audit van Renewi, over zijn ervaringen tijdens de RPA-audit: “RPA biedt ons grote efficiencyvoordelen, maar is niet zonder risico. Het toetsingskader, en dan vooral de governancecomponent, bracht direct inzicht in de RPA-gerelateerde risico’s en controls. Door inzet van een RPA-specialist konden we direct multidisciplinair toegevoegde waarde leveren. De opdrachtgever en auditcommissie waren zeer tevreden met deze audit, maar dat de auditee direct de toegevoegde waarde zag van deze audit hadden we niet verwacht, en de sparringpartnerrol van internal audit werd daardoor zeer waardevol gevonden.”
RPA inzetten bij het uitvoeren van een internal audit
Naast het uitvoeren van RPA-audits liggen er veel kansen voor IAF’s om zelf gebruik te maken van RPA om de eigen werkzaamheden te robotiseren. KPMG heeft een ‘bots’-platform ontwikkeld waar internal auditors makkelijk en eenvoudig toegang krijgen tot deze bots om bepaalde auditwerkzaamheden te automatiseren en uiteindelijk te robotiseren. Het platform noemen wij Intelligent Platform Automation (IPA).
Voorbeelden van bots zijn functiescheidingcontroles, GITC-checks, logische toegangsbeveiliging, changemanagement op verschillende sourceapplicaties als SAP, Oracle, JDE, et cetera. IPA werkt op dezelfde manier als een app store waar je niet alleen gebruik van kunt maken, maar ook zelf bots kunt toevoegen. Op dit moment zijn er meer dan driehonderd bots beschikbaar en het aantal groeit iedere dag. Door gebruik te maken van IPA kan de IAF veel efficiënter repetitieve auditwerkzaamheden uitvoeren, waardoor er meer tijd overblijft om te investeren in waardetoevoegende auditactiviteiten. Daarnaast is er geen noodzaak meer om gebruik te maken van sample testing, aangezien de bot de volledige populatie zonder problemen kan testen. Hierdoor leidt het gebruik van IPA niet alleen tot een efficiëntere, maar ook tot een kwalitatief hoogwaardigere audit. Ten slotte kunnen ook ‘non-IT-auditors’ deze IT- en data-analyse-audits eenvoudig uitvoeren.
Intelligent Platform Automation in de praktijk
Om gebruik te maken van IPA logt de internal auditor in op het IPA-platform en navigeert naar de controle die hij door een bot van het IPA wil laten uitvoeren, bijvoorbeeld SAP password testing. Hier ziet de auditor de voorwaarden voor het gebruik van de bot, inclusief de verwachte voordelen. De auditor hoeft vervolgens alleen een bronbestand dat moet worden gecontroleerd op te halen uit de relevante databron om deze te uploaden in het platform. Om te zorgen dat de brondata voldoen aan het format dat kan worden gebruikt door de bot, zullen de data worden getransformeerd. Indien deze data niet voldoen aan de structuur zullen deze niet in zijn geheel worden toegelaten. Dit wordt ook wel het opschonen van data genoemd. Zodra de bot klaar is met zijn werkzaamheden wordt er een testsheet inclusief ondersteunende documentatie door de bot gegenereerd. Deze documentatie voldoet aan de hoogste auditkwaliteitseisen.
Voor een succesvolle RPA-audit is het van groot belang om de auditee goed in het proces mee te nemen
Continuous auditing en monitoring
Het robotiseren van auditwerkzaamheden is een concreet voorbeeld van het toepassen van continuous auditen/continuous monitoring (CA/CM) en is een van de pijlers van internal audit services binnen KPMG. Op dit moment is KPMG het botsplatform aan het piloten bij verschillende organisaties, en de verwachting is dat vele IAF’s in de nabije toekomst laagdrempelig en grootschalig bots en RPA kunnen toepassen. De eerste stap is dat bedrijven door middel van een databaseconnectie zelf de data kunnen uploaden naar IPA, die dan vervolgens door de auditor worden verwerkt. De internal auditor kan zelfs ervoor kiezen om (zeer) frequent de bot te laten draaien waardoor er de facto sprake is van continuous auditing.
Het is dan nog een kleine stap om deze controlewerkzaamheden door te schuiven naar de tweedelijnsfunctie, zoals interne controle of GRC-functies, waardoor zij te allen tijde processen kunnen auditen met behulp van RPA-technologie.4 Dit levert voordelen op aangezien er tijds- en plaatsonafhankelijk controlewerkzaamheden uitgevoerd kunnen worden waardoor continuous monitoring haar intrede doet. Onze verwachting is dat IPA een belangrijke meerwaarde biedt in het optimaliseren van internal audits, zodat IAF’s op een praktische wijze door middel van technologie worden ondersteund in het uitvoeren van (RPA-)audits.
Noten
- Chuah, Huck en Matthijs Pouwer, ‘Internal audit en robotic process automation (RPA)’, Audit Magazine, 4-2018.
- IIA-website: https://www.iia.nl/kenniscentrum/innovatie-publicaties/publicatie/internal-audit-and-rpa-1
- In auditliteratuur ook wel referentiemodel genoemd.
- https://www.iia.nl/kenniscentrum/innovatie-publicaties/publicatie/internal-audit-and-rpa-2
Over
Huck Chuah is partner bij KPMG Advisory en verbonden aan de Universiteit van Amsterdam als associate program director en docent van de executive master (MSc) of internal audit.
Nirmala Chaturi is senior manager bij KPMG op het gebied van digital process excellence.
Robbert Sweijen is senior consultant bij KPMG op het gebied van digital process excellence.
Reacties (0)
Lees meer over dit onderwerp:
Leen Paape: een terugblik op een veelzijdige en bewogen carrière
Op 8 december 2022 gaf Leen Paape zijn emeritaatscollege als hoogleraar Corporate Governance aan Nyenrode Business Universiteit. Stopt hij dan helemaal? Zeker niet! Een terugblik op zijn loopbaan en de ontwikkelingen binnen het vakgebied van internal auditing.
Lees meerDe software robot: vriend of vijand van de auditor?
“I’ll be back”, zei Arnold Schwarzenegger in de film The Terminator. Deze film is sciencefiction, maar de opkomst van software robots in het bedrijfsleven is echt. Robotic process automation (RPA), hoe zit dat? En wat betekent dit voor de auditor? Volgens Wikipedia is robotisering het laten uitvoeren van menselijke taken door robots. Deze definitie ligt […]
Lees meer
Wilt u ook een reactie plaatsen?
Voor het plaatsen van een reactie vereisen wij dat u bent ingelogd. Heeft u nog geen account? Registreer u dan nu. Wilt u meer informatie over deze vereiste? Lees dan ons privacyreglement.