Hero Background Image

Dit verhaal, geschreven door Mark Nittler, verscheen oorspronkelijk in het Engels op de Workday-blog. We bedachten dat het ook voor onze lokale lezers interessant zou zijn, dus staat het hieronder in het Nederlands.

Bekentenissen van een auditor: Waarom enterprisesoftware met slechte functionaliteiten voor control slecht voor je gezondheid is

 

Laat ik om te beginnen volledige openheid van zaken geven: Ik ben een auditor die aan het bijkomen is van zijn ervaringen. Ik begon mijn loopbaan als accountant bij het vroegere Deloitte Haskins & Sells in San Francisco. Nu we de disclaimers gehad hebben, zult u begrijpen waarom mijn hart sneller gaat kloppen van audits, compliance, governance en control.

Audits & control is niet altijd de grootste zorg geweest voor bedrijven die enterprisesoftware evalueren. Ze vonden deze functie gewoon niet zo bedrijfskritisch als transactieverwerking, niet zo zichtbaar als financiële rapportage en niet zo intrigerend als analytics.

 

Bedrijven kunnen ernstige problemen ondervinden als zij niet over de juiste systematiek voor governance en controles beschikken.

 

Om eerlijk te zijn was het jaren geleden, vóór Sarbanes-Oxley, niet echt nodig dat bedrijven de effectiviteit van hun interne controles onder de loep namen. Dit was technisch ook onmogelijk. On-premise systemen met opslagkosten van $ 200.000 per gigabyte en beperkte verwerkingscapaciteit gebruikten de volledige capaciteit alleen al voor het vastleggen en verzamelen van journaalposten in grootboekrekeningen.

Dat is tegenwoordig een ander verhaal. In het huidige bedrijfsklimaat waar corporate accountability steeds belangrijker is geworden kan governance niet langer als bijzaak worden gezien. Bedrijven kunnen ernstige problemen ondervinden als zij niet over de juiste systematiek voor governance & control beschikken.

Leveranciers van financiële legacysystemen hebben op deze ontwikkeling gereageerd door nieuwe add-ons te ontwikkelen en deze achteraf aan hun softwareoplossing toe te voegen. Deze aanpak heeft echter enkele nadelen, waardoor aanzienlijke fouten en risico's kunnen ontstaan. Specifieker gezegd, is deze aanpak:

  • Inefficiënt. De tools voor control die achteraf zijn toegevoegd aan het core systeem belasten de bestaande processen, waardoor de performance sterk achteruit gaat. Als gevolg daarvan schakelen gebruikers vaak de systeemcontroles uit en beheren ze compliance handmatig.
  • Lastig te documenteren. Legacysoftware vereist handmatige documentatie van controleprocessen via spreadsheets, met de hand geschreven beschrijvingen en stroomschema's die vervolgens handmatig moeten worden bijgewerkt.
  • Lastig in onderhoud. Een ‘bolt-on’ tool voor control verbindt personen nooit volledig met geautomatiseerde bedrijfsprocessen, dus controleparameters – zoals welke werknemers welke processen kunnen goedkeuren – moeten handmatig worden bijgewerkt als er veranderingen plaatsvinden. Bovendien moet de beveiliging voor elk systeem apart worden beheerd, waardoor het complex en duur in onderhoud is.
  • Onvolledig. Omdat concepten zoals workflow pas jaren na de traditionele legacysystemen zijn ontworpen, maakte het control framework nooit deel uit van de core van het systeem. Voor elk specifiek proces moest een individuele controle worden ontwikkeld. Deze versnipperde aanpak is onvolledig en houdt in dat elke nieuwe of aangepaste proces, audit & control apart en opnieuw moet worden aangepakt.

Een nieuwe benadering

Tegenwoordig beschikt een enterprisesysteem voor finance over in de basis ingebouwde concepten voor control. Het is letterlijk onmogelijk om control achteraf in een bestaand systeem te integreren voor een effectieve, volledige, documenteerbare, en auditeerbare omgeving te zorgen.

Daarom was onze kans bij Workday om in 2005 met een schone lei te beginnen zo cruciaal. Hierdoor konden we governance & control in de basis van ons systeem inbouwen om zo de uitdagingen waar bedrijven mee te maken hebben direct aan te pakken. Dat hebben we op de volgende manier gedaan:

Eén businessmanagementsysteem

We hebben audit & control direct in het Workday-systeem en rondom de workflow – ons Business Process Framework – gebouwd, zodat alle bedrijfsactiviteiten in één systeem worden vormgegeven en bestuurd.

 

Governance & control is niet altijd het spannendste onderwerp, maar vormt wel de basis voor een enterprisesysteem dat uw organisatie op de lange termijn ondersteunt.

 

Doordat financeHR en control in één systeem is ondergebracht, wordt een groot risico op het gebied van control weggenomen, namelijk de disconnectie tussen het systeem en de gebruikers hiervan, wat kenmerkend is voor legacysystemen. Privacy en beveiliging zijn in het systeem geïntegreerd en bepalen wat elke persoon of functie kan zien en doen. Wanneer een personeelswijziging of organisatorische wijziging plaatsvindt, weet het Workday-systeem dit en worden de controles automatisch aangepast, zonder dat hiervoor duur en tijdrovend onderhoud vereist is. Ik durf zelfs te beweren dat een effectieve compliance-omgeving tegenwoordig alleen mogelijk is als het gehele enterprisesysteem informatie omvat van de systeemgebruikers, inclusief hun functies, bevoegdheden, goedkeuringslimieten, managers en hoe zij passen binnen de vele organisaties waarin zij actief zijn.

Always-on auditing

Dankzij de moderne in-memory gegevensarchitectuur van Workday zijn alle systeemdata toegankelijk in real time, zodat er altijd toegang tot auditgegevens kan worden verkregen. Daarnaast is het systeem zelfdocumenterend, zodat elke proceswijziging wordt vastgelegd, inclusief wie wanneer een wijziging heeft aangebracht. Hierdoor hebben auditors een uitgebreid overzicht van alle transacties, waardoor het verzamelen van de financiële en operationele gegevens die nodig zijn voor zowel interne als externe audits, eenvoudiger wordt.

Rapporten in real time

Auditors kunnen rechtstreeks in Workday rapporten opstellen op basis van realtime gegevens, zodat informatie altijd actueel is. Vooraf geconfigureerde auditorrapporten en -dashboards tonen real time trends (bijvoorbeeld wanneer een toenemend aantal werknemers te hoge onkostendeclaraties indient), zodat eventuele issues snel kunnen worden aangepakt.

Control is niet altijd de spannendste discussie, maar fruit en groenten vormen de basis voor een goede gezondheid, en governance & control vormen de basis voor een enterprisesysteem dat uw organisatie ook op de lange termijn ondersteunt. Neem het maar aan van deze auditor: Op deze gebieden onderscheiden moderne systemen als Workday zich van de 'big ERP' legacysystemen.