De CFO als spin in het web bij digitale transformaties
Het advies voor de CFO is om bij een digitale transformatie vanaf het begin een interne auditor in de kernstuurgroep te betrekken. Dit past in de brede evolutie die we de laatste decennia binnen finance hebben zien gebeuren: de job gaat steeds meer over anticiperen op de toekomst. “En daarvoor is een goede rapportering van cruciaal belang. Als er bepaalde zaken verkeerd dreigen te lopen, moet je dat aan de hand van je monitorsystemen snel opmerken”, stelt Bulens. “Als je alleen aan het einde van de rit kan vaststellen dat je ernaast zit, is er niemand mee gebaat. Het uitdenken van hoe de interne controles eruit moeten zien en de aanverwante tijd- en middelenbenodigdheden moet je dus zien als een investering.”
Interne audit maakt deel uit van wat men het three-lines-model noemt, waarbij je drie lijnen hebt die samen borg staan voor een optimale werking van je interne controles. Ter opfrissing: de eerste lijn bestaat uit de werknemers die operationeel aan de slag zijn, zoals de medewerkers binnen de finance organisatie, de tweede lijn bestaat uit functies zoals risicobeheer, compliance en GDPR en tot de derde lijn behoort de interne auditfunctie. Deze laatste vormt een onafhankelijke en objectieve lijn richting het audit-comité en de raad van bestuur. Ze contoleren of het totaalplaatje van controles, risicobeheer en processen klopt. Deze drie lijnen mogen niet opgevat worden als verdedigingslijnen waar de volgende pas in actie komt bij het falen van de vorige. Ze zijn net ontworpen om complementair en gelijktijdig bij te dragen aan een robuuste en effectieve beheersing van risico’s.
“Niemand houdt zich graag bezig met het uitvoeren van controles, wie is er dan niet gebaat bij meer automatisering?”
Spin in het web
“Elke ERP-transformatie gaat gepaard met risico’s”, zegt Bulens. “De CFO speelt daarin een cruciale rol. Hoe beter je die interne controles beheert, hoe beter de organisatie in staat is om het hoofd te bieden aan alle risico’s. Als je overschakelt naar nieuwe systemen, is het niet de bedoeling om alle processen van voordien te kopiëren en plakken. Neem die kans om meer controles te automatiseren en om die vroeger in het proces, meer preventief, te gaan uitvoeren. Alles wat je aan de bron doet, bespaart je tijd op het einde om de inconsistenties uit de data en in het proces weg te filteren. Hoe meer detectieve controles je kan omvormen tot preventieve of geautomatiseerde controles, hoe beter.”
Bulens hamert hier op de houding van de CFO, die interne audit proactief een seat at the table moet geven bij grote transformaties. “Die moet uitdragen hoe belangrijk dit is en samen met de eerste, tweede en derde lijn samenwerken. Ze moeten samen op zoek gaan naar belangrijke risico’s en hoe ze die kunnen afdekken. Dat mag natuurlijk niet alleen plaatsvinden op het eiland van finance. De CFO betrekt best ook andere afdelingen: de CIO, het ExCom… De CFO is de spin in het web die in contact staat met veel stakeholders in de organisatie die op hun beurt het belang van interne controles mee vorm kunnen geven en zo het thema op de agenda naar voor kunnen schuiven.”
Pragmatisch
Een goed begin is het halve werk. “Alle toekomstige processen op vlak van interne controles moet je in de designfase al uitgetekend hebben”, zegt Bulens. “Financiële processen werken maar goed als de onderliggende IT-architectuur ook op orde staat, daar geldt dezelfde mentaliteit naar controles toe. Het gebeurt vaak dat bedrijven eerst een grote IT- of ERP-migratie doen en dan achteraf gaan zoeken waar er controles geautomatiseerd of verbeterd kunnen worden. Of erger: dat er controlehiaten worden vastgesteld na de implementatie. Retrofitting is vaak moeilijker dan het van de eerste keer juist doen. Dat maakt het een complexer en langer proces. Als je die vanaf het begin meeneemt in de ontwerpfase, dan definieer je hoe je to-be-processen eruit moeten zien. Omdat dit geen formele verplichting is, gebeurt het nog te weinig. Achteraf betalen organisaties daar de prijs voor.”
Bulens erkent meteen dat het in de realiteit niet altijd zo vlot gaat. Bij grote systeemveranderingen is tijdsdruk zeker een factor en de deadline wordt vaak naar achter verschoven. “De perceptie leeft vaak dat standaardoplossingen voor alle bedrijven passen. Die piste wordt vaak gevolgd om andere kosten te vermijden, waardoor risico’s initieel onder de waterlijn blijven. Het gevolg is dan dat er achteraf vaak manuele controles of workarounds moeten worden geïmplementeerd.”
Mensen en middelen moeten vrijgemaakt worden, de to-be-processen moeten volledig uitgedacht worden, en dan komt interne audit daar bovenop met de eis om ook aan risico’s en interne controles te denken. “Voor werknemers lijkt het soms meer een nice-to-have dan een must-have. Vaak willen zij net snelheid maken, maar de juiste risk-mindset vraagt om de controles op een pragmatische manier, niet te veel en ook niet te weinig, maar op het juiste moment, in te bouwen. De verdeling van bevoegdheden en taakverdeling is een voorbeeld van iets dat nauwkeurig afgebakend moet worden, maar vaak vergeten wordt in de beginfases. Daarnaast vormen business processen, IT-setup en toegangscontroles drie domeinen die typisch gelinkt zijn aan controles. Maar uiteindelijk wil niemand de processen nodeloos te zwaar maken.”
“De juiste mindset vraagt controles op een pragmatische manier: niet te veel en ook niet te weinig, maar op het juiste moment. Niemand wil processen nodeloos zwaar maken.”
Businesspartner
Het beeld dat de interne auditor de bedrijfspolitieagent is, gaat volgens Bulens niet langer op. “Een politieagent komt nadien kijken of je niets verkeerd gedaan hebt, of je alle procedures wel gevolgd hebt en berekent hoeveel je afwijkt van de norm. Vroeger was dat misschien zo, maar vandaag moeten ook zij in die rol van businesspartner kruipen. Samen met de eerste en tweede lijn is het aan de interne auditor om de implementatie zo goed mogelijk voor te bereiden en uit te voeren. Het gaat erover dat ze meedenken. Soms betekent dat dat je een paar keer op dezelfde nagel moet kloppen en anderen confronteren met risico’s die niet afgedekt zijn. Dat kan formalistisch overkomen, maar het loont. Interne audit heeft een adviserende rol in het implementeren van bepaalde functionaliteiten bij managementbeslissingen. Slechte controles hebben vaak een dubbele kost door het rechtzetten nadien, tegenover een eenmalige investering bij het uittekenen van het programma.”
Uit onderzoek van Deloitte blijkt dat minder dan twintig procent van de controles binnen organisaties tactisch geautomatiseerd of volledig geautomatiseerd gebeuren. “In theorie zou dat naar tachtig procent of meer moeten gaan. Er is nog een enorme kloof. Maar niemand houdt zich graag bezig met het uitvoeren van controles, wie is er dan niet gebaat bij meer automatisering? Het wordt nog vaak als vertragend gezien, terwijl ze net bijdragen aan de kwaliteit van het proces.”
Laarzen aantrekken
Voor bedrijven loont het dus om in de spiegel te kijken. Daarbij is volgens
Bulens niet zozeer belangrijk om te kijken hoeveel VTE’s je binnen interne audit tewerkstelt, maar hoe matuur je als organisatie bent en tot welke industrie je behoort. “Uiteindelijk moet de interne auditor impact creëren. Dat doe je door je laarzen aan te trekken en met de eerste lijn te kijken hoe je de zaken vorm gaat geven. Dat is het tegenovergestelde van enkel op het einde van de rit betrokken zijn en op dat moment overal rode vlaggen te plaatsen. Dan creëer je geen impact of toegevoegde waarde.”
Er kan een analogie gemaakt worden met het bouwen van een huis. De controles moeten van aan de start in de plannen worden opgenomen. Als je nadien nog iets wil veranderen, zijn sommige aanpassingen snel gebeurd. Anderen zijn perfect mogelijk, maar dan moet je terug heel wat van hetgeen je al in orde hebt gebracht gaan openbreken en nadien terug netjes dichtmaken. Dat wil je natuurlijk vermijden.
BIO
Joris Bulens begon zijn carrière in 2000 en is sindsdien actief in het domein van risicobeheer en interne audit. Ondertussen werkt Bulens 25 jaar bij Deloitte, waarvan de helft als partner.