Dit verhaal, geschreven door Mark Nittler, verscheen oorspronkelijk in het Engels op de Workday-blog. We bedachten dat het ook voor onze lokale lezers interessant zou zijn, dus staat het hieronder in het Nederlands.
Als je denkt aan de verschillende zaken die het hart van een CFO sneller doen kloppen, dan zullen governance, compliance, control en auditing waarschijnlijk onderaan de lijst staan. Ontwerpers van legacysoftware hebben waarschijnlijk soortgelijke lijsten opgesteld, want ze hebben control en governance als bijzaken behandeld in de financiële modules van klassieke ERP-software. Controleconcepten zijn niet zo urgent als transactieverwerking, niet zo zichtbaar als financiële rapportages en zeker niet zo sexy als analytics.
Toegegeven, control was nog geen topprioriteit in de jaren tachtig, toen ERP-software voor het eerst werd ontworpen. Dat was nog vóór Sarbanes-Oxley, Basel II en COSO/COBIT, toen auditing nog handmatig plaatsvond. Daarnaast is het ook zo dat de technologische innovatie toen nog niet eens het punt had bereikt waar het automatiseren van de functie control technisch haalbaar was. Een gigabyte aan opslag kostte toen meer dan $ 200.000 met soortgelijke beperkingen ten aanzien van verwerkingskracht. Systemen raakten al overbelast bij het vastleggen van logboeknotities en het opstellen van grootboekbalansen. In die tijd was er weinig behoefte of capaciteit om veel aandacht te besteden aan controls. De wereld is inmiddels flink veranderd.
Ontwerpers van legacysoftware hebben control en governance als bijzaken behandeld in de financiële modules van klassieke ERP-software.
Tegenwoordig kunnen we het ons niet meer permitteren om governance als bijzaak te beschouwen. De prijs voor niet-naleving is gewoon te hoog. Traditionele ERP-leveranciers hebben hierop gereageerd door technologie te kopen of toepassingen te ontwikkelen die dan worden toegevoegd aan hun legacysystemen. Deze aanpak voor compliance en control heeft echter nadelen:
Zelf doen: De gebruiker moet zelf bepalen welke controlemechanismen nodig zijn en die vervolgens toepassen. Het toepassen van elk individueel controlemechanisme kost veel tijd en moeite, waardoor de gebruiker zal eindigen met een minimaal in plaats van optimaal pakket aan controls. Als men de gebruiker leading maakt bij het instellen van controlemechanismen, garandeert dit dat die controls niet op een uniforme wijze worden geïmplementeerd.
Inefficiëntie: Omdat ze pas later aan de systemen werden toegevoegd belasten control frameworks de legacysystemen, die nooit bedoeld waren om die last te dragen, zodanig dat de performance sterk achteruit gaat. De gebruikers zullen daardoor de functies voor control binnen het systeem uitzetten en compliance handmatig beheren.
Documenteren wordt een nachtmerrie: In de huidige tijd is het documenteren bijna net zo belangrijk als de controles zelf. De verouderde aanpak vereist handmatige documentatie via spreadsheets, met de hand geschreven beschrijvingen en op maat gemaakte stroomschema's, die vervolgens handmatig moeten worden bijgewerkt.
Een berg onderhoud: De belangrijkste controlerisico's in bedrijfssystemen komen voor op het snijpunt tussen mensen en processen. Achteraf toegevoegde systemen voor control kunnen nooit worden aangesloten op het HR-administratiesysteem, waardoor controleparameters handmatig moeten worden onderhouden om rekening te houden met de regelmatige veranderingen met betrekking tot HR.
Nooit compleet, nooit allesomvattend: Omdat begrippen zoals workflow pas jaren na de introductie van de traditionele legacysystemen zijn uitgevonden, waren control frameworks nooit een fundamenteel onderdeel van het ontwerp van het kernsysteem. Dit betekent dat voor specifieke processen meer controles individueel moeten worden ontwikkeld. Dit betekent dat voor elk nieuw proces, of elke procesaanpassing, audit & control opnieuw moet worden geadresseerd. Dit is geen goed uitgangspunt als u wilt beschikken over een compleet control framework.
Governance & control op basis van ‘bolt-ons’ in legacysystemen voldeed vroeger wellicht aan de eisen, maar kan in het huidige bedrijfsklimaat tot aanzienlijke problemen leiden. De eisen op het gebied van maatschappelijke verantwoordelijkheid, transparantie, regelgeving en verantwoording worden tenslotte steeds groter. Bij Workday geloven wij dat een bedrijfssysteem een optimale basis moet bieden voor governance & control. Als de datamanagementprocessen binnen het systeem niet betrouwbaar zijn, dan heeft dat systeem geen goede basis.
Het is letterlijk onmogelijk om controlesoftware met een bestaand bedrijfsysteem te integreren.
Om deze tekortkomingen op te lossen, koos Workday voor één fundamenteel governance-principe: Governance & control kun je niet creëren via auditing. Je kunt ze testen, maar niet creëren. De governance-kaders zoals COBIT en COSO geven duidelijk aan dat voor het realiseren van een effectieve omgeving voor governance & control de concepten en functionaliteiten nauw verweven moeten worden met de basisontwerp van het systeem. Het is letterlijk onmogelijk om software voor control met een bestaand bedrijfssysteem te integreren en voor een effectieve, volledige, documenteerbare, onderhoudbare en economische omgeving voor audit & control te zorgen.
Deze eigenschappen moeten vanaf het begin doordacht worden ontwikkeld en in het systeem ingebouwd. Voor Workday was de mogelijkheid om te beginnen met een schone lei daarom zo belangrijk voor onze aanpak van governance. In feite kregen we daardoor de kans om control & governance in te bouwen in de core van ons systeem. Hier zijn de vijf belangrijkste criteria die we gebruikten Workday Financial Management te ontwerpen en die volgens ons nodig zijn om financiële systemen aan de moderne nalevingseisen te laten voldoen:
Controls gelinkt aan het business process framework: Alles moet worden vormgegeven en bestuurd binnen een speciaal hiervoor ingericht business process framework (BPF). Er zou niets ondernomen mogen worden voordat dit is vormgegeven binnen het BPF.
Geïntegreerd met het administratiesysteem: Een effectieve compliance-omgeving is alleen mogelijk als het hele bedrijfssysteem uitgebreide informatie bevat over de gebruikers en hun rollen, bevoegdheden, goedkeuringslimieten, managers en hoe ze passen binnen de vele organisaties waarin ze actief zijn. Het 'werknemer'-onderwerp zou niet slechts een HR-onderwerp mogen zijn; het moet een 'businessonderwerp' zijn dat door finance- en HR-systemen wordt gedeeld.
Zelfdocumenterend: Bedrijfsprocessen zijn gedefinieerd en gedocumenteerd in het business process framework van Workday. Eventuele procesveranderingen worden in de BFP-tool aangebracht, zodat de processen zelfdocumenterend kunnen zijn. Aangezien de informatie uit het gehele systeem verenigd is, omvat deze documentatie ook gegevens over wanneer en door wie een bepaalde verandering is gemaakt.
Always-on audit: Dankzij de moderne in-memory datastructuur kan men met Workday overal en in real time inzicht krijgen in alle systeemdata. Dit maakt het auditgegevens op elk gewenst moment toegankelijk. Auditing is van oudsher vooral gericht op naleving en het evalueren van het verleden.
Audit het model en niet de transactie: Het testen van transacties is vaak de belangrijkste kostenpost bij audits. Legacysystemen hebben geen uitgebreid governance-model geïntegreerd waardoor er veel getest moet worden. Een systeem gebaseerd op een uniform control- en governance-kader ondersteunt de veel efficiëntere en effectieve benadering van 'het model testen'.
Governance & control is wellicht niet het leukste onderwerp binnen finance, maar het is wel belangrijk om dit op orde te hebben. Het succesvol toepassen van governance & control kan op lange termijn een enorm verschil maken, en onderscheidt nieuwe systemen en benaderingen zoals Workday van verouderde ERP-systemen.
Lees deel vier in de blogserie van Mark Nittler, “De perfecte partner: De rol die het financeteam kan spelen bij het bepalen van de bedrijfsstrategie.”