Het gebruik van auditmanagementsystemen

In opdracht van IIA Nederland is een verkennend onderzoek uitgevoerd naar het gebruik van auditmanagementsystemen (AMS) binnen de IAF. De uitkomsten samengevat.

Systemen die gebruikt worden ter ondersteuning van het auditproces (workflow en vastlegging), maar mogelijk ook voor het beheren van het audituniversum, de risicoanalyse en het opstellen van een audit (jaar)plan, vatten we samen onder de noemer auditmanagementsystemen (AMS). Deze systemen kunnen onderdeel zijn van een compliance- of integraal risicomanagementoplossing of enkel auditfunctionaliteiten voor de IAF aanbieden. Om te bepalen of en hoe binnen de huidige IAF’s gebruik wordt gemaakt van een AMS, is een verkennend onderzoek uitgevoerd in opdracht van IIA Nederland.

Onderzoek (doel en reikwijdte)

Het onderzoek dat is uitgevoerd, bestaat uit drie delen:

• Er is een enquête uitgestuurd naar 220 IAF’s met een drieledige doelstelling: een beeld te krijgen van 1) het AMS-landschap in Nederland, 2) de verwachtingen van IAF’s ten aanzien van AMS-functionaliteit, 3) hun tevredenheid over de geboden en gebruikte functionaliteiten.
• Een verdieping van verwachtingen, trends en ontwikkelingen ten aanzien van AMS met een delegatie van chief audit executives (CAE’s) tijdens een CAE-forum.
• Een inventarisatie van ontwikkelingen en trends met een selectie van AMS-leveranciers en -ontwikkelaars.

De uitkomsten van deze deelonderzoeken zijn geanalyseerd en samengevat om te komen tot mogelijke handvatten voor IAF’s die overwegen een AMS te selecteren en/of te implementeren (nieuw en vervanging).

Client surveys (binnen het AMS), offline gebruik en het genereren van managementrapportages over de IAF-performance, zijn functionaliteiten die weinig worden gebruikt

Uitkomsten

Van de IAF’s die hebben gereageerd op de enquête geeft 67% aan daadwerkelijk een AMS te gebruiken in hun auditprocessen. De overige 33% gebruikt geen AMS en hanteert andere middelen voor de uitvoering en vastlegging van auditwerkzaam­heden (bijvoorbeeld shared drives, SharePoint en andere standaard applicaties).

Van de groep die wel een AMS gebruikt, geeft 68% aan in het algemeen (zeer) tevreden te zijn over het AMS en de geboden functionaliteiten; 23% is neutraal en slechts 9% is (zeer) ontevreden. Hiermee kan geconcludeerd worden dat in algemene zin IAF’s tevreden zijn over het AMS dat ze gebruiken.

De AMS-markt kent een aantal grote spelers, maar uit de enquête komt een sterk gefragmenteerd beeld naar voren; ongeveer 40% van de respondenten gebruikt een uniek AMS.

Grote verschillen gebruik functionaliteiten

Binnen de functionaliteiten die daadwerkelijk worden gebruikt, zijn er grote verschillen (zie figuur 1). Functionaliteiten die je primair verwacht aan te treffen in een AMS, zoals dossiervorming, werkprogramma’s en reviewmogelijkheden binnen het auditproces, worden veel gebruikt. Daartegenover staan de functionaliteiten die nog weinig worden gebruikt, zoals client surveys (binnen het AMS), offline gebruik en het genereren van managementrapportages over de IAF-performance. Deze functionaliteiten worden door IAF’s in de enquête dan ook minder belangrijk geacht voor de ondersteuning in de uitoefening van hun auditactiviteiten.

In figuur 2 zijn alle AMS-functionaliteiten weergegeven: hoe belangrijk vinden de IAF’s de functionaliteit, en hoe tevreden zijn zij hierover op dit moment in hun huidige AMS. Hoe groter het bolletje, hoe meer de functionaliteit wordt gebruikt.

Trends en ontwikkelingen ten aanzien van AMS

De meeste leveranciers van AMS-oplossingen bieden een goede audit-kernfunctionaliteit. Sommige bieden daarbij ook een geïntegreerde data-analysefunctionaliteit aan, maar deze is vaak relatief beperkt en kan niet vergeleken worden met die van de gespecialiseerde data-analyse- en business- intelligence-softwareoplossingen, zoals ACL, IDEA en Tableau.

Daarnaast maken IAF’s steeds vaker gebruik van binnen de organisatie aanwezige datameren en analysecapaciteit ten behoeve van auditanalyses. Dit doen zij in plaats van een eigen auditdata-analysefunctionaliteit aan te schaffen of op te bouwen.

Verreweg de duidelijkste ontwikkeling in het kader van deze digitalisering is dat vrijwel alle AMS-leveranciers hun product aanbieden als SaaS-product of plannen daartoe hebben, waarbij de keuze geboden wordt om dit on-premise te doen of in the cloud.^1,2 De meeste IAF’s kiezen overigens voor de laatste vorm.

Ontwikkelingen

Leveranciers van AMS-oplossingen houden de ontwikkelingen binnen de IA-professie in het algemeen ook goed in de gaten, om te beoordelen of en hoe zij door middel van hun producten deze ontwikkelingen kunnen ondersteunen dan wel faciliteren. Hierbij kan gedacht worden aan de volgende recente ontwikkelingen:

• Dynamische risk assessment – De filosofie waarbij het auditplan met hoge frequentie wordt aangepast door een dynamische(re) risicoanalyse.
• Agile auditen – Dit betreft de auditaanpak, om daarmee ook de audits mee te laten bewegen met de veranderingstrajecten en -snelheid van de organisatie.
• Robotic Process Automation (RPA) – Het automatiseren van repetitieve stappen in processen.
• Artificial Intelligence (AI): – Het lerend vermogen van het systeem. De vraag is nog in hoeverre auditwerk in zijn algemeenheid makkelijk te leren valt, zodat toepasbaarheid van AI mogelijk is.

Belangrijke thema’s voor de selectie van een AMS

Tijdens twee roundtables (roundtable Retail en het Chief Audit Executive Forum), zijn door het gebruik van stellingen discussies gevoerd over diverse thema’s rondom het gebruik van een AMS. De punten die tijdens de bijeenkomsten werden genoemd, en die vanuit een holistisch oogpunt als basis kunnen dienen voor een businesscase voor de aanschaf of gebruik van een AMS:

• AMS als katalysator voor efficiëntie en kwaliteitsbeheersing – Zet een AMS in om het eigen auditproces te versimpelen, met name door repeterende werkzaamheden en output te standaardiseren, zoals dossiervorming en issue-tracking.
• Een goed werkende AMS draagt bij aan tevredenheid van een auditor – Hoe beter een systeem functioneert hoe tevredener de auditor is over het systeem en het auditproces.
• Een must-have voor de digitale transformatie van een Interne IAF – Gebruik voor de eigen digitale transformatie het AMS niet alleen als vastleggingsmiddel, maar ook als instrument om de belangrijkste prestaties van de IAF te meten en op die manier meer datagedreven te werken. Daarnaast is het AMS onmisbaar voor thuiswerken of andere hybride werkvormen, omdat alle medewerkers van de IAF te allen tijde toegang tot alle benodigde informatie kunnen hebben.
• Met verbeterde efficiëntie meer mogelijkheden om de vrijgekomen capaciteit in te zetten – Door de automatisering kan er capaciteit vrijkomen voor andere activiteiten, waardoor de capaciteit als geheel efficiënter wordt ingezet.
• Eén tool voor alle lines of defense als voorwaarde voor een goede samenwerking tussen de lijnen – Indien de wens is om één geïntegreerde tool te willen gebruiken voor de eerste, tweede en derde lijn, zorg dan voor een gezamenlijk vertrekpunt. Hiermee kunnen onnodige discussies worden voorkomen. Het belangrijkste is dat dezelfde taal wordt gesproken.

Het volledige rapport met meer gedetailleerde resultaten is te vinden op de website van het IIA.  In het najaar wordt in samenwerking met een aantal AMS-leveranciers een webinarreeks georganiseerd om kennis te maken met een aantal veelgebruikte auditmanagementsystemen.

Noten

1. SaaS = Software as a Solution. De software wordt als online dienst afgenomen, waarbij de aanbieder zorgt voor installatie, onderhoud en beheer.
2. On premises = de software draait op de servers en infrastructuur van de eigen organisatie.