Legacy-ERP-systemen behandelen business governance als een bijkomstigheid. Dat is niet langer aanvaardbaar, want de kosten van non-compliance zijn gewoon te hoog. In deel drie van zijn blogreeks legt Mark Nittler uit wat organisaties van hun financiële systemen moeten eisen in een omgeving van verhoogde aansprakelijkheid en transparantie.
Als u denkt aan de verschillende zaken die de hartslag van een CFO op hol doen slaan, dan zullen governance, compliance, controle en audit waarschijnlijk vrij laag op die lijst staan. De ontwerpers van legacysoftware moeten soortgelijke lijsten hebben opgesteld omdat ze controles en governance 'behandelen' als bijzaak, of zelfs als ergernissen, in de financiële modules van klassieke ERP-software. Controleconcepten zijn niet zo urgent als transactieverwerking, niet zo zichtbaar als financiële verslaglegging, of niet zo sexy als analytics.
Om eerlijk te zijn, in de jaren '80, toen bedrijfssoftware zich nog in de ontwerpfase bevond, was controle niet het belangrijkste aandachtspunt. Dit was de tijd vóór Sarbanes-Oxley, vóór Basel II en vóór COSO/COBIT. En eerlijk gezegd was de technologische innovatie nog niet zo ver gevorderd dat controle zelfs technisch haalbaar was. Een gigabyte aan opslagruimte kostte toen het equivalent van meer dan 200.000 dollar vandaag, met vergelijkbare beperkingen inzake verwerkingskracht. Systemen waren vooral bedoeld om journaalposten vast te leggen en deze om te zetten in grootboekbalansen. In die tijd was er weinig behoefte of mogelijkheid om diep in controles te graven. De wereld is veranderd.
Ontwerpers van legacysoftware behandelen controle en governance als bijkomstigheden (of zelfs als ergernissen) in de financiële modules van klassieke ERP-software.
Vandaag de dag is governance geen bijzaak meer. Daarvoor zijn de kosten van non-compliance gewoon te hoog. Traditionele ERP-leveranciers hebben op de voor hun typische manier gereageerd door nieuwe functionaliteiten te creëren als extra laag bovenop hun legacysysteem. Deze 'achterafaanpak' van compliance en controle heeft echter een aantal nadelen, met name:
Vrijwillige controles:De gebruiker moet elk controlemechanisme uitzoeken, kiezen en vervolgens toepassen. Elke controle vergt aanzienlijke inspanningen die leiden tot de uitvoering van een minimale (en dus zeker geen optimale) reeks controles. Door de verantwoordelijkheid voor het instellen van controles bij de gebruiker te leggen staat gelijk aan de garantie dat controles niet op uniforme wijze zullen worden uitgevoerd.
Inefficiëntie achteraf: Omdat ze achteraf zijn gebouwd, voegen controlekaders gewicht toe aan processen die nooit zijn ontworpen om de belasting aan te kunnen, wat de prestaties negatief beïnvloedt. Dit heeft dan weer tot gevolg dat gebruikers de systeemcontroles uitschakelen en compliance weer handmatig gaan beheren.
Documentatienachtmerrie: In de huidige controleomgeving is de documentatie van controles bijna even belangrijk als de controles zelf. De legacy-aanpak vereist handmatige documentatie via spreadsheets, handgeschreven beschrijvingen en aangepaste stroomdiagrammen, die vervolgens bij elke wijziging handmatig moeten worden bijgewerkt.
Bergen onderhoud De belangrijkste controlerisico's in bedrijfssystemen doen zich voor op het raakpunt van mensen en processen. Het model voor controle achteraf sluit nooit volledig aan op het HR-kernsysteem, wat betekent dat controleparameters handmatig moeten worden bijgehouden om rekening te houden met de frequente personeels- en organisatiewijzigingen van vandaag.
Nooit volledig, nooit allesomvattend: Aangezien concepten zoals workflows pas vele jaren na het ontwerp van legacysystemen hun intrede deden, waren controlekaders nooit een fundamenteel onderdeel van het ontwerp van het kernsysteem. Voor specifieke processen moesten nog meer afzonderlijke controles worden ingesteld. Dit betekent dat elk nieuw of aangepast proces, elke controle of elk auditvereiste actief moet worden overwogen en afzonderlijk moet worden aangepakt. Het idee van volledigheid van het controlekader kan geen troost bieden.
De governance- en controlebenadering van legacysystemen was in het verleden misschien bijna adequaat, maar kan in het huidige bedrijfsklimaat van verhoogde accountability, transparantie, regelgeving en verantwoordingsplicht tot een ramp leiden. De visie van Workday is dat een bedrijfssysteem een solide basis moet hebben voor governance en controle. Als de processen die het systeem binnenkomen niet te vertrouwen zijn, is het systeem al gecompromitteerd voordat het überhaupt van start is gegaan.
Het is letterlijk onmogelijk om software voor controles toe te passen op een bestaand bedrijfssysteem.
Om deze tekortkomingen te bestrijden omarmde Workday één fundamenteel governance-principe: u kunt geen governance en controle creëren via audit. U kunt er op testen, maar u kunt ze niet creëren. Zelfs een vluchtige lezing van governance-raamwerken zoals COBIT en COSO maakt duidelijk dat om een doeltreffende governance-omgeving tot stand te brengen, controleconcepten en -capaciteiten verweven moeten zijn met de structuur van het systeem zelf. Het is letterlijk onmogelijk om controlesoftware op een reeds bestaand bedrijfssysteem te stapelen en te zorgen voor een doeltreffende, alomvattend en documenteerbare controleomgeving.
Deze kenmerken moeten doelbewust worden ontwikkeld en vanaf het begin in het systeem worden ingebouwd. Daarom was de mogelijkheid voor Workday om met een schone lei te beginnen zo cruciaal voor onze benadering van governance. In wezen bood het ons de kans om controle en governance in te bouwen in de kern van ons systeem. Hier zijn de vijf belangrijkste elementen die we hebben gebruikt om Workday Financial Management te ontwerpen en die volgens ons noodzakelijk zijn om financiële systemen te laten voldoen aan de compliance-behoeften van moderne bedrijven:
Controles die aansluiten bij bedrijfsproceskaders: Alle bedrijfsevenementen moeten worden gemodelleerd en geregeld binnen een specifiek bedrijfsproceskader (BPF) Niets mag bewegen tenzij het gemodelleerd is binnen de BPF.
Geïntegreerd met het gebruikerssysteem: Een effectieve compliance-omgeving is alleen mogelijk als het hele bedrijfssysteem een grondige kennis heeft van de gebruikers en hun rollen, machtigingen, goedkeuringslimieten, en leidinggevenden en hoe zij in hun vele organisaties passen. Het voorwerp "werknemer" mag geen HR-ding zijn dat losstaat van financiën, het moet een "bedrijfsding" zijn dat door de financiële en HR-systemen wordt gedeeld.
Zelfdocumenterend: Bedrijfsprocessen worden gedefinieerd en gedocumenteerd in Workday's BPF tool. Elke procesverandering gebeurt binnen de tool, zodat de processen zelfdocumenterend zijn. En aangezien de informatie binnen het systeem wordt gebundeld, bevat de documentatie ook data over wie de wijziging heeft aangebracht en wanneer.
Always-on audit: Moderne in-memory gegevensstructuren maken het mogelijk dat alle systeemgegevens op elk moment en in realtime toegankelijk zijn, waardoor continu toegang tot auditbewijsmateriaal mogelijk is. Traditioneel is auditing vooral gericht op het evalueren van het verleden en het zorgen voor compliance.
Audit het model, niet de transactie: Het testen van transacties is vaak de belangrijkste kostenpost voor controle-inspanningen en -vergoedingen. Traditionele systemen bevatten geen echt alomvattend governancemodel en vereisten derhalve veel details voor het testen van transacties. Een systeem op basis van een eenduidig controle- en governancekader ondersteunt de veel efficiëntere en effectievere "test het model"-aanpak.
Discussies over governance en controle mogen dan niet het spannendste onderdeel van de financiële wereld zijn, het is wel iets wat organisaties goed moeten aanpakken. Succesvolle governance en controle kunnen op lange termijn een grote rol spelen in wat nieuwe systemen en benaderingen onderscheidt van traditionele ERP-systemen.
Lees deel vier in de blogreeks van Mark Nittler, "De perfecte partner: het financeteam als gids voor de bedrijfsstrategie."
Meer om te lezen
In dit rapport lezen leaders op het gebied van applicaties, finance en IT welke technologieën hun bedrijf kunnen transformeren en wanneer en hoe ze deze het beste in hun ERP-strategie opnemen.
We geloven dat onze positie als leader de meerwaarde aantoont die klanten realiseren door Workday Adaptive Planning te implementeren.
Hoewel de mogelijkheden van AI in finance vrijwel onbeperkt zijn, kan dit ook overweldigend zijn. Om de weg vooruit in kaart te brengen, hebben we het Global CFO AI Indicator-rapport opgesteld in samenwerking met FT Longitude.