Governance en controles bepalen succes van financiële transformatie
Geschreven door Rob Cools, Product Marketing Director bij Workday
Daarin lijken ze op de ontwikkelaars van traditionele ERP-software. Control en governance zijn vaak de ondergeschoven kindjes in de financiële modules van klassieke ERP-software. Controlemechanismen zijn daar niet zo urgent als transactieverwerking, zo zichtbaar als financiële rapportages of zo sexy als analytics.
Tegenwoordig kunnen we het ons alleen niet veroorloven om governance als nakomertje te behandelen. Non-compliance kan je enorm duur komen te staan. Dat hebben traditionele ERP-leveranciers inmiddels ook begrepen en hun oplossing is om aanvullende technologie te kopen of nieuwe functionaliteiten te creëren die dan bovenop de bestaande systemen worden gebouwd. Zo’n nagekomen oplossing voor compliance en control heeft een aantal nadelen.
Vrijblijvende controle – De gebruiker bepaalt zelf welk controlemechanisme hij of zij selecteert en implementeert. Elke controle is een bewuste keuze en vraagt om een aanzienlijke inspanning. Dat leidt er in de praktijk toe dat eerder een minimale dan een optimale controleset wordt geïmplementeerd. Als je initiatief en keuze voor controles bij de gebruiker legt, betekent het automatisch dat controles niet uniform zijn.
Inefficiëntie door toevoeging – Als gevolg van het later toevoegen van het controle-framework, worden de oorspronkelijke processen zwaarder belast dan waarvoor ze ontworpen zijn. Daardoor zijn de prestaties van het geheel een tandje minder. Dat kan ertoe leiden dat gebruikers de automatische controles uitschakelen en compliance handmatig uitvoeren.
Onderbouwen wordt een nachtmerrie – In het huidige landschap van wet- en regelgeving is het aantoonbaar onderbouwen van controles ongeveer even belangrijk als de controles zelf. Dat betekent dat je bij traditionele systemen die onderbouwing zelf moet toevoegen middels spreadsheets, handmatige beschrijvingen en geïmproviseerde flowcharts. En bij een update moet je die allemaal weer handmatig aanpassen.
Oneindig onderhoud – De belangrijkste controlerisico’s doen zich voor op het snijpunt van mensen en processen. Voeg je naderhand het controlemechanisme toe, dan mis je de aansluiting met het HR-registratiesysteem. Ook dat betekent dat de controleparameters handmatig moeten worden onderhouden om de frequente veranderingen in het personeelsbestand en de organisatie bij te houden.
Nooit compleet, nooit totale grip – Workflowmanagement is iets van de laatste jaren, lang nadat de traditionele systemen werden ontworpen. Het controle-framework is in die systemen dus geen kernelement in het ontwerp. Voor elk specifiek proces en elke workflow moesten apart controlemechanismen worden ontworpen. Alle nieuwe of aangepaste eisen voor processen, controles en audits vergden dus weer een aparte actie. Zo heb je dus nooit het idee dat je het totale controle-framework in de vingers hebt.
We hebben het tot nu toe min of meer gered met het naderhand uitbouwen van bestaande systemen. Maar het is in deze tijden van toegenomen verantwoordelijkheid, transparantie-eisen, strengere wet- en regelgeving en verantwoordingsplicht ook het recept voor grote ongelukken. Wil je dat voorkomen, dan moet een enterprise-systeem gebouwd zijn op een solide basis van governance en controles. Als je de processen die de binnenkomende data verwerken niet kunt vertrouwen, waarom zou je dan starten met dat systeem?
Het principe is dat je governance en controles niet via de audits kunt creëren. De audits zijn wel goede tests of alles functioneert zoals het zou moeten, maar zijn zelf geen controlemechanismes. Die mechanismes moeten namelijk in het hart van het systeem zitten. Het is echt onmogelijk om naderhand controlesoftware bovenop een bestaand enterprise-systeem te bouwen en dan een waterdichte, onderbouwde, effectieve, kostenefficiënte en auditeerbare omgeving te creëren.
Daarom is het slim om bij het ontwerp van een nieuw system helemaal blanco te starten. Dat biedt de unieke mogelijkheid om controles en governance in de haarvaten te verweven. Zo is dat ook gebeurd bij de ontwikkeling van Workday Financial Management. Vijf principes waren daarbij leidend om het financiële systeem aan te laten sluiten bij de compliance-behoefte van moderne organisaties.
Business process framework als basis – Alle zakelijke activiteiten moeten ingepast en beheerd worden in een business process framework.
Rollen uniform gedefinieerd – Je kunt alleen zorgen voor een effectieve compliance-omgeving als in het gehele enterprise-systeem bekend is wie de gebruikers zijn, wat hun rollen, machtigingen, goedkeuringsbevoegdheden en managers zijn en hoe die passen binnen de totale organisatiestructuur. Deze personeelsgegevens zijn geen HR-ding dat losstaat van de financiële systemen, maar een business-ding waar finance en HR veelvuldig gebruik van maken.
Automatisch onderbouwd – Elke business-proces is automatisch onderbouwd en gedocumenteerd in het business process framework van Workday. Elke verandering in het proces vindt plaats in deze oplossing en is daarmee direct gedocumenteerd. Bovendien is dankzij de uniformiteit van de informatie in het hele systeem, direct te zien wie wanneer de aanpassing doorvoerde.
Continu audit-proof – Moderne datastructuren maken het mogelijk om alle data altijd realtime in te zien. Daarmee is de noodzakelijke onderbouwing voor audits altijd beschikbaar.
Audit het model, niet de transacties – Het testen van transacties kost veel tijd en leidt tot hoge auditkosten. Bij een systeem op basis van een uniform controle- en governance-framework kun je het model testen, in plaats van de afzonderlijke transacties en dat is veel efficiënter en effectiever.
Zoals CFO’s niet bepaald warm lopen voor governance en controles, is er ook weinig aandacht voor in de discussies over de toekomst van finance. Dat hoeft ook niet, als organisaties het maar goed regelen. De effectieve en efficiënte incorporatie van governance en controles in enterprise-systemen is wat nieuwe systemen onderscheidt van traditionele ERP-systemen.