Continuous Auditing & Monitoring: best practices bij ASML

Een CFO zit ontspannen achter een bureau, waarop twee beeldschermen staan. Een vriendelijke stem zegt: “Read urgent message: potential control override at sales department in Santiago.” De CFO opent het bericht en bestudeert de verdachte transactie, terwijl op het andere scherm de geconsolideerde omzetcijfers binnenkomen.

Volgens Jim Emanuels, hoogleraar bestuurlijke informatieverzorging aan de Rijksuniversiteit Groningen, is dat geen toekomstmuziek, maar is Continuous Auditing & Monitoring (hierna CA/CM) voor veel multinationals een concrete volgende stap in het beheersen van de complexe informatiestromen.

Emanuels leidt de door Yacht gefaciliteerde CFO sessie. Hij stelt dat organisaties die de business-, accounting- en reportingprocessen al in grote mate hebben gestandaardiseerd en een uniform businessmodel en datamodel hebben, toe kunnen zijn aan een volgende stap ‘in control’.

Emanuels: “Deze volgende stap is het directer en efficiënter bewaken van risicovolle processen, CA/CM dus. Een manier van werken die technisch al meer dan twintig jaar mogelijk is, maar pas de laatste jaren echt ontwikkeld wordt, zoals bij ASML, waar op realtime basis aan monitoring gedaan wordt. Waarom zo laat? Allereerst omdat accountants niet de innovators zijn wanneer het om audit gaat: die hebben hun eigen oplossingen. Bedrijven willen er zelf graag lean in worden, maar lopen tegen te veel vragen aan om een en ander intern te kunnen oppakken. Wanneer CA/CM eenmaal geïmplementeerd is, begint het immers pas. De manier waarop data geïnterpreteerd worden, is vaak nog belangrijker dan de manier waarop data worden verzameld.”

Emanuels legt uit: “Voorraadverschillen kun je bijvoorbeeld perfect met CA/CM in de gaten houden, en daarmee kun je goed bijsturen wanneer er iets fout dreigt te gaan. Maar wat doe je als er al zes maanden geen enkele fout in de voorraden zit? Dan gaat er waarschijnlijk iets mis met de wijze van monitoren. Dat moet wel gesignaleerd worden. Het gaat er dus ook om wat je met de data doet.”

Volgens Emanuels dienen de niet-functionerende beheersingsmaatregelen inzichtelijk gemaakt te worden, alvorens CA/CM echt effect kan hebben. “Je dient te weten wat je in de gaten moet houden en hoe je dat doet. Pas dan kun je kansen identificeren om processen en beheersingsmaatregelen te verbeteren. Wanneer je dat goed uitvoert, verhoog je de efficiency van interne beheersing en haal je het optimale uit CA/CM.”

Praktijkcase: ASML
ASML is een bedrijf waar CA/CM op dit moment wordt doorgevoerd en bijdraagt aan een efficiënte en betrouwbare manier van risico- en procesmanagement. Volgens Hanco Sinke, senior manager Financial Control bij de chipmachinefabrikant, is CA/CM iets wat vanuit het eigen bedrijf moet worden aangepakt en daarom veel tijd en inzet kost.

Sinke: “Onze huisaccountants hadden er hun eigen methoden voor, maar wij hebben bewust besloten het zelf te doen. Het voordeel daarvan is dat je na zo’n proces zelf helemaal op de hoogte bent van alle risico’s die er binnen het bedrijf bestaan. Inmiddels zijn er zeer veel controlemechanismen die de risico’s beheersen. Toch moet je daar bovenop blijven zitten. Wij hebben bijvoorbeeld veel maatregelen om te zorgen dat de inkoopfacturen snel verwerkt worden, maar die verwerking moet natuurlijk wel direct goed zijn. Procesinterventie blijft altijd nodig.”

Sinke beziet de CA/CM-businesscase meer vanuit kwalitatief dan vanuit kwantitatief oogpunt. “De opbrengsten ervan zijn immers niet direct in cijfers uit te drukken. Het is eerder een visie waarmee we onze financiële processen zo efficiënt mogelijk willen inrichten. ASML zit over de hele wereld, heeft daar 170 financials in dienst en levert bijna 80 procent van zijn machines aan Azië. CA/CM maakt de processen aantoonbaar efficiënter. Allereerst door samen met internal audit goed te kijken naar ons risk & control framework. Internal audit wilde meer diepgang en dynamiek in de audit-activiteiten, vanuit finance willen wij meer waarde toevoegen aan het bedrijf. CA/CM doet beide.”
__________________________________________________________________________________
Volg de Vijfdaagse opleiding Risicomanagement | 35 PE punten
Tijdens deze opleiding ontdekt u in vijf dagen alle facetten van integraal risicomanagement. Na afloop scant u uw organisatie op risico’s en stelt u een praktisch en toepasbaar beheersplan op. Verstevig groei en waarborg continuïteit. Klik hier voor meer informatie en aanmelden.
__________________________________________________________________________________

Hoe heeft Sinke vervolgens voor implementatie van CA/CM bij ASML gezorgd? “Door allereerst de definitie en focus van ASML en de verschillende afdelingen helder te krijgen en te zorgen dat CA/CM breed gedragen werd. Vervolgens stap voor stap verder, waarbij het van belang is de toegevoegde waarde van CA/CM aan te tonen. Wij hebben besloten meteen de lastigste CA/CM-toepassingen te selecteren en te implementeren. Als je erin slaagt CA/CM te implementeren in de bedrijfskritische en complexe gebieden, toon je direct aan dat de aanpak breed toepasbaar is.”

“Inmiddels zijn we buitengewoon verheugd dat we deze stap hebben gezet”, vervolgt Sinke. “Bij ASML werken we aan continue verbetering van de bedrijfsprocessen, en procesmanagement is een ontwikkeling die steeds belangrijker wordt in finance. De roll-out is lastig: de hele organisatie moet wennen aan een continue procesbewaking. Je kunt CA/CM in het proces zelf inbouwen of de parameters uit het proces halen. Wij hebben voor een integrale benadering gekozen. Dat kost tijd, maar we plukken er nu al de vruchten van. We hebben nog beter het gevoel ‘in control’ te zijn.”

Wat is CA/CM?
CA/CM is een automatisch feedbackmechanisme dat vanuit het management binnen een bedrijf wordt geïmplementeerd. Risico en procesmanagement worden geheel in beheersingsmaatregelen en ICT gevangen om ervoor te zorgen dat zaken als facturering, leveranties en bevoorrading volgens de gestelde normen worden verwerkt. Door CA/CM is het management in staat continu analyses uit te voeren op beschikbare gegevens. Op die manier kunnen zaken als procesfouten, fraude of uitval vroegtijdig worden gesignaleerd.