CONTROLEER HET GEGEVEN VERTROUWEN

FINANCE

&

CONTROL

Informatiemanagement

Func t ie s cheidingen

CONTROLEER HET GEGEVEN VERTROUWEN Functiescheiding vindt plaats in iedere organisatie waar arbeidsverdeling aanwezig is. De auteur reikt in dit artikel een methode aan waarmee controllers en auditors de opzet en het bestaan van functiescheidingen in informatiesystemen kunnen beoordelen. Deze methode is ontwikkeld op basis van een onderzoek naar functiescheiding binnen het bedrijf Organon.

D O O R A N T W A N VA N E C H T E LT

U

w inkoper heeft een nieuwe leverancier gevonden voor een standaard bulkgrondstof. Op basis van het onderzoek van uw inkoper heeft de nieuwe leverancier de beste prijs en de beste levervoorwaarden. Uw inkoper legt leveranciersgegevens vast in het ERP-pakket en plaatst grote orders voor levering op termijn. De facturen komen al snel binnen. Uw inkoper keurt de facturen via het ERP-pakket goed en de crediteurenadministratie verzorgt de betaling. Dan laat de inkoper u weten dat hij oververmoeid is en dat hij graag zes weken vakantie wil opnemen om te gaan bijtanken in Argentinië. Geeft u hiervoor toestemming? De doelstelling van dit artikel is om voor u de drempel voor het ‘ontleden’van complexe autorisatiestructuren weg te nemen. Hiervoor reik ik u een methode aan die u in staat stelt de functiescheidingen binnen uw organisatie te beoordelen. In dit artikel licht ik de verschillende onderdelen van de beoordelingsmethode op hoofdlijnen toe. De beoordelingsmethode wordt aan de hand van mijn bevindingen bij NV Organon beschreven. Allereerst ga ik in op de achtergrond van mijn onderzoek en de centrale onderzoeksvraag. Daarna volgt een korte introductie van NV Organon met aansluitend een uitwerking van de beoordelingsmethode. Tot slot bespreek ik de resultaten van het onderzoek en maak ik enkele kanttekeningen voor de uitvoering van een beoordeling. 14

|

Achtergrond en centrale vraag Functiescheiding vindt plaats in iedere organisatie waar arbeidsverdeling aanwezig is. Afhankelijk van de omvang van de organisatie worden de onderscheiden taakgroepen in functies of functiegroepen samengebracht. We spreken van controletechnische functiescheidingen indien de nadruk gelegd wordt op het controleaspect van functiescheidingen. Automatisering heeft de afgelopen decennia voor een meer geformaliseerde en gestructureerde informatieverzorging gezorgd. Het gebruik van informatiesystemen maakt het eenvoudiger om functiescheidingen toe te passen. Bevoegdheden van een gebruiker worden gedefinieerd in het informatiesysteem en worden zodoende ook afgedwongen. Echter, het monitoren van het bestaan van functiescheidingen binnen de informatiesystemen is complexer geworden. Hieraan liggen meerdere oorzaken ten grondslag: ~ Informatiesystemen kennen een grote mate van flexibiliteit voor het toekennen van verschillende bevoegdheden aan gebruikers. ~ Ingerichte organisatiestructuren in de informatiesystemen worden alsmaar complexer. ~ Er worden verschillende informatiesystemen gebruikt binnen één organisatie.

OKTOB E R 2008

FINANCE

&

~ Gebruikers van informatiesystemen veranderen nogal eens van taak, functie of afdeling, waarbij de bevoegdheden dienen mee te veranderen. Indien functiescheidingen in de informatiesystemen niet goed zijn ingericht of worden onderhouden, kan er onbedoeld een functievermenging ontstaan. Functievermengingen kunnen ontstaan doordat: ~ een gebruiker te veel rechten heeft toegewezen gekregen die ongewenste combinaties vormen; ~ een functioneel applicatiebeheerder niet kan zien welke rechten een gebruiker heeft in ‘andere’ informatiesystemen (functievermengingen tussen informatiesystemen); ~ een gebruiker van afdeling verhuist zonder dat zijn ‘oude’ rechten worden verwijderd; ~ gebruikers elkaars gebruikersnamen en wachtwoorden delen. Het laatstgenoemde type functievermenging (gebruikersnamen en wachtwoorden delen) komt niet aan het licht door de ontwikkelde beoordelingsmethode. De cultuur van een organisatie bepaalt mede de oplossing om dit type functievermenging tegen te gaan. Middels hoge straffen voor het uitwisselen van gebruikersnamen met wachtwoorden en/of het opnemen in de arbeidsvoorwaarden dat het uitwisselen absoluut verboden is, kan getracht worden dit type functievermengingen te beperken. Voor de controller leidt het voorgaande tot belangrijke vragen. De controller wil namelijk antwoorden vanuit een beheer- en beheersingsperspectief. Hoe kan ik mijn organisatie zo efficiënt mogelijk inrichten, beheren en beheersen, terwijl er geen functievermengingen ontstaan? Hieruit volgt de volgende centrale vraag: Hoe kan men de opzet en het bestaan van controletechnische functiescheidingen binnen operationele informatiesystemen beoordelen? Het antwoord op deze centrale vraag dient minimaal te voldoen aan een drietal randvoorwaarden. Er dient één methode ontwikkeld te worden die voldoet aan de volgende drie voorwaarden. Bedrijfsprocesonafhankelijk. Een organisatie dient controletechnische functiescheidingen in te richten voor al haar bedrijfsprocessen. De methode dient van toepassing te zijn voor alle bedrijfsprocessen. Informatiesysteemonafhankelijk. Bedrijfsprocessen kunnen ondersteund worden door meerdere informatiesystemen. De methode dient van toepassing te zijn op alle operationele informatiesystemen.

CONTROL

Praktisch toepasbaar. Een wetenschappelijke methode die niet toepasbaar is in de praktijk heeft voor controllers weinig toegevoegde waarde. Onder praktisch toepasbaar wordt verstaan dat: ~ de uitvoering van de beoordeling goed gepland kan worden (tijd); ~ de kosten voor de beoordeling binnen het redelijke vallen (geld); ~ de kwaliteit van de beoordeling gewaarborgd is (kwaliteit). Hoewel alle processen en informatiesystemen van NV Organon volgens de uitgewerkte beoordelingsmethode zijn beoordeeld, beperk ik mij in dit artikel tot de operationele informatiesystemen die het inkoopproces van de primaire goederenstromen van NV Organon ondersteunen. Dit is een willekeurige keuze. Omdat de beoordelingsmethode aan de hand van mijn bevindingen bij NV Organon wordt beschreven, volgt hier eerst een korte introductie.

Een wetenschappelijke methode die niet toepasbaar is in de praktijk heeft voor controllers weinig toegevoegde waarde Introductie NV Organon NV Organon maakt sinds november 2007 deel uit van het Amerikaanse farmaceutische bedrijf Schering-Plough. NV Organon is een wereldwijd werkend bedrijf van middelgrote omvang, dat zich bezighoudt met het onderzoeken, ontwikkelen en produceren van een breed scala aan innovatieve, biofarmaceutische producten, die bedoeld zijn om de gezondheid en de kwaliteit van leven te verbeteren. NV Organon heeft momenteel ongeveer 14.000 medewerkers in dienst, verspreid over meer dan vijftig landen. Van hen zijn er ongeveer 5.000 werkzaam in Nederland, verspreid over verschillende locaties. In Oss zijn er in totaal vijf productieafdelingen: één houdt zich bezig met de goederenstroom, twee met de productie van tabletten en injecteerbare stoffen en één met verpakking. De vijfde richt zich op het maken van kleinschalige en speciale producten. Het inkoopproces wordt ondersteund door twee informatiesystemen die worden beheerd door twee afzonderlijke

OKTOB E R 2008

|

15

FINANCE

&

functionele applicatiebeheerders. Het inkoopproces omvat het geheel tussen het selecteren van een leverancier en het verrichten van betalingen. ~ Apollo. Apollo is het informatiesysteem voor ‘control’ en ‘manufacturing’. De belangrijkste functies van Apollo zijn het aanmaken, muteren en bewaken van inkooporders, productieorders, voorraad en verkooporders. Ten behoeve van de inkoop- en verkooporders bevat Apollo tevens leveranciers- en klantgegevens. ~ Fado. Fado is het centrale administratieve systeem van NV Organon. Als zodanig vormt Fado het hart van het administratieve proces en de belangrijkste bron voor de financiële verslaglegging. Fado is een ERP-pakket van Oracle e-Business Suite. De afdeling Internal Control & Compliance is verantwoordelijk voor de naleving van relevante wet- en regelgeving (o.a. SOx), beleidsrichtlijnen en procedures binnen NV Organon. Het toepassen van controletechnische functiescheidingen is fundamenteel voor NV Organon ten behoeve van de betrouwbaarheid van de informatieverzorging en ter voorkoming van fraude.

CONTROL

Beoordelingsmethode De methode maakt een onderscheid in een theoretische en praktische beoordeling: ~ Theoretische beoordeling. Deze beoordeling is volledig geautomatiseerd en is gebaseerd op een vastgestelde norm en de gegevens uit het informatiesysteem. ~ Praktische beoordeling. Deze beoordeling volgt na de theoretische beoordeling en is gebaseerd op de output (functievermengingen) van de theoretische beoordeling. Dit is gebaseerd op de zogenaamde professional judgment van managers. Dit onderscheid is gemaakt omdat er zeer veel gegevens verwerkt en beoordeeld dienen te worden. Door eerst een theoretische beoordeling uit te voeren, worden alle ‘door de norm geaccepteerde’ functiecombinaties van gebruikers er uitgefilterd. Beide beoordelingen dienen eerst per informatiesysteem uitgevoerd te worden. Daarna vindt de beoordeling van functiescheidingen ‘tussen’ de informatiesystemen plaats. Voordat we verdergaan met de theoretische beoordeling, licht ik eerst een aantal definities toe, die belangrijk zijn voor de beoordelingen (zie figuur 1).

Figuur 1 Definitie van gebruikte begrippen Definitie

Uitleg

Voorbeeld

Gebruiker

Een medewerker met toegang tot informatiesysteem.

De heer Jan Janssen.

Transactie*

Een mogelijke handeling door een gebruiker in een infor-

Het kunnen toevoegen van een orderregel aan een

matiesysteem, die leidt tot een mutatie in het informatie-

inkooporder.

systeem. Functiecategorie

Een verzameling van transacties behorende bij één func-

De functiecategorie ‘inkooporder’ bestaat onder andere

tie en waar onderling geen functievermenging aanwezig

uit de transacties:

is. Het inkoopproces wordt onderverdeeld in zeven func-

• maken van de inkooporder;

tiecategorieën.

• orderregel toevoegen; • wijzigen van het afleveradres. De zeven functiecategorieën voor het inkoopproces zijn: • productbestand; • leverancier NAW; • leverancier BANK; • inkooporder; • goederenontvangst; • inkoopfactuur; • betaling.

Norm

De norm bestaat uit alle mogelijke combinaties van func-

De combinatie van de functiecategorieën leverancier

tiecategorieën met bijbehorende risicofactor. De norm

BANK en Inkooporder is ongewenst en heeft daardoor

wordt vastgelegd in de normmatrix/normtabel.

een hoge risicofactor (schaal 0-3, waarbij 0 geen risico en 3 een hoog risico betekent).

* Oracle maakt gebruik van responsibilities. Een responsibility is een verzameling unieke transacties. In mijn scriptie wordt uitgelegd hoe hiermee wordt omgegaan.

16

|

OKTOB E R 2008

FINANCE

&

MS Access-model

Input per applicatie

Input per proces

CONTROL

Gebruiker

Transactie

Jan Janssen

Aanmaken inkooporder

Jan Janssen

Muteren adres leverancier

Piet Pieterse

Muteren adres leverancier

De normtabel wordt in samenwerking met de Internal Control & Compliance-afdeling opgezet. Zij bepalen de norm voor functiescheidingen. De normtabel wordt als volgt weergegeven.

(FCSVJLFST

(FCSVJLFST USBOTBDUJF

Functiecategorie

5SBOTBDUJF DBUFHPSJF

/PSNNBUSJY

Functiecategorie

Risico

Leverancier BANK

Inkooporder

3

Inkooporder

Goederenontvangst

3

Leverancier Bankrekening

Betaling

3

0VUQVU

Door de voorgaande tabellen aan elkaar te relateren in MS Access wordt met een redelijk eenvoudige query inzichtelijk gemaakt welke theoretische functievermengingen er per gebruiker aanwezig zijn. De query zoekt naar combinaties van transacties waarbij geldt: ~ combinaties hebben een risico hoger dan 1; ~ beide transacties zijn beschikbaar voor één gebruiker.

'VODUJF WFSNFOHJOHFO

Figuur 2 MS Access-model ten behoeve van de theoretische functievermengingen

Het rapport dat uit MS Access ziet er als volgt uit.

Theoretische beoordeling Voor het uitvoeren van de theoretische beoordeling voor één informatiesysteem is een model ontwikkeld in MS Access (zie figuur 2). Bij NV Organon hebben 456 gebruikers toegang tot Apollo en het informatiesysteem bevat 1072 verschillende transacties. In samenwerking met de functioneel applicatiebeheerder van Apollo is iedere transactie aan een van de zeven functiecategorieën van het inkoopproces toegewezen. Transacties met alleen een ‘kijkfunctie’ of die buiten het inkoopproces vallen, worden hierbij als niet-relevant beschouwd. Op basis van deze gegevens wordt in het MS Access de tabel ‘transactie/categorie’ gevuld. Transactie

Functiecategorie

Aanmaken inkooporder

Inkooporder

Muteren adres leverancier

Leverancier NAW

Inzien openstaande facturen

Niet relevant

Op basis van een rapport uit Apollo werd per gebruiker inzichtelijk gemaakt welke transacties hij/zij kan uitvoeren. Op basis van deze gegevens wordt in het MS Access de tabel ‘gebruikers/transactie’ en de tabel ‘gebruikers’ ingevuld.

Gebruiker

Transactie

Transactie

Risico

Jan Janssen

Toevoegen order regel

Boeken ontvangst goederen

3

Piet Pieterse

Toevoegen order regel

Boeken ontvangst goederen

3

Piet Pieterse

Aanmaken inkooporder

Wijzigen productbestand

3

In dit voorbeeld zijn er drie functievermengingen, waarvan er twee uniek zijn. Praktische beoordeling De praktische beoordeling vindt plaats in samenwerking met de functioneel applicatiebeheerders en met de proceseigenaren. Het doel is om iedere theoretische functievermenging naar de praktijk te beoordelen. Het kan namelijk zo zijn dat theoretische functievermengingen in de praktijk niet blijken te bestaan doordat een transactie in werkelijkheid niet relevant blijkt te zijn. Bijvoorbeeld: het alleen kunnen wijzigen van een faxnummer van een leverancier betekent niet dat je een nieuwe leverancier kunt aanmaken. Voor de overgebleven functievermengingen dient beoordeeld te worden of er reeds een applicatie- of procescontrole is die

OKTOB E R 2008

|

17

FINANCE

het risico van de functievermenging mitigeert. De praktische beoordeling kan het beste gezien worden als één grote trechter om functievermengingen eerst proberen te elimineren en anders te mitigeren (zie figuur 3). Beoordeling ‘tussen’ de informatiesystemen Voor de beoordeling van de functiescheidingen ‘tussen’ de informatiesystemen wordt gebruikgemaakt van een tweede MS Access-model. De input voor dit model is gelijk aan die van het eerste model. Voor NV Organon wordt beoordeeld of er ook functievermengingen bestaan voor gebruikers die transacties mogen uitvoeren in zowel Apollo als Fado. Door deze beoordeling wordt het hele inkoopproces afgedekt. Voor het uitvoeren van de theoretische beoordeling tussen informatiesystemen is een model ontwikkeld in MS Access (zie figuur 4). In dit model worden de tabellen van de MS Access-databases van Apollo (IS-A) en Fado (IS-B) geladen. Door voorgaande

&

CONTROL

tabellen aan elkaar te relateren in MS Access wordt door een query inzichtelijk gemaakt welke theoretische functievermengingen er per gebruiker aanwezig zijn. De query zoekt naar combinaties van transacties tussen Apollo en Fado waarbij geldt: ~ de combinaties hebben een risico hoger dan 1; ~ beide transacties zijn beschikbaar voor één gebruiker. Het rapport uit MS Access ziet er als volgt uit. Gebruiker

Transactie Apollo

Transactie Fado

Risico

Jan Janssen

Aanmaken inkooporder

Wijzigen bankrekening lev.

3

Piet Pieterse

Aanmaken inkooporder

Wijzigen bankrekening lev.

3

Bij NV Organon zijn er ruim honderd gebruikers die toegang hebben tot beide informatiesystemen. In Apollo en Fado kwamen er in totaal 36 unieke theoretische functievermengingen naar boven. Deze 36 functievermengingen vormen de

MS Access-model

Input per applicatie

Input per proces

FO

OHJOH

SNF UJFWF 'VOD

Gebruikers IS-A

(FTQSFLLFO
GVODUJPOFFM
BQQMJDBUJFCFIFFSEFS 'VO WFSN DUJF FOHJO HFO UJF 'VOD OHFO J H O F WFSN

Gebruikers IS-B

Gebruikers IS-A-B

(FTQSFLLFO
CVTJOFTT
QSPDFTPXOFST 'VO WFSN DUJF FOHJO HFO  F J U 'VOD OHFO FOHJ S F W N "QQMJDBUJFDPOUSPMF

Transactie IS-A/ gebruiker

Transactie IS-B/ gebruiker

Transactie ISA-B/categorie

'VO WFSN DUJF FOHJO HFO

Output

1SPDFTDPOUSPMF

Normtabel

Functievermengingen

Figuur 4 Figuur 3

MS Access-model voor de theoretische beoordeling tussen

Trechter voor praktische beoordeling

informatiesystemen

18

|

OKTOB E R 2008

FINANCE

&

input voor de praktische beoordeling. Van de 36 theoretische functievermengingen in het inkoopproces van NV Organon is 95% geëlimineerd doordat transacties in werkelijkheid niet relevant bleken te zijn. Voor de overige 5% voldeden de al bestaande controlemaatregelen waardoor het risico was gemitigeerd. Resultaten De beoordeling van functiescheidingen zoals beschreven levert meerdere resultaten op: ~ Het stelt de controller in staat om specifieke vragen te stellen over de toekenning van rechten. Want ondanks dat er geen functievermengingen aanwezig zijn, kun je soms vraagtekens zetten bij bepaalde rechten toegekend aan gebruikers. ~ Het stelt de functioneel applicatiebeheerder in staat om vooraf een beoordeling te maken of een gebruiker bepaalde rechten krijgt of niet. ~ Het stelt de riskmanager in staat een audit trail aan de accountant te overhandigen. Voor iedere theoretische functievermenging leg je in het MS Access-model vast waarom het niet relevant is of wat de controlemaatregel is.

CONTROL

~ De benodigde gegevens zijn aanwezig in de informatiesystemen. Wel is gebleken dat het inspanning kost om de gegevens op een juiste manier te structureren om ze vervolgens te kunnen verwerken in het model. Drs. A.G. van Echtelt RC is Senior Business Consultant bij Atos Consulting ([email protected]).

#"4& Details van de methode die zijn beschreven in de scriptie die Antwan van Echtelt schreef ter afronding van de studie voor Register Controller aan de UvA, kunt u vinden in de Base.

De eerste beoordeling vergt de meeste inspanning. Er moeten veel gegevens vergaard worden, transacties dienen te worden toegekend aan functiecategorieën en alle theoretische functievermengingen moeten praktisch worden beoordeeld. Dit vergt veel tijd van de proceseigenaren en de functioneel applicatiebeheerders. Opvolgende beoordelingen, bijvoorbeeld zes maanden later, vergen daarentegen een stuk minder inspanning. Het is immers bekend welke gegevens in welk formaat benodigd zijn en transacties hoeven niet opnieuw toegekend te worden.

;bi[c_[a[)( DeYdcYZgYV\bdZi^ciZg^bÒcVcX^Va:ahZb^Z`Z! dc\ZVX]iW^_lZa`Z`aVcioZVVc]ZilZg`^h!Vai^_Y kgdZ\lZ\#9VcbdZioZcVbZa^_`cVVgXjghjh# CVVgZZcXjghjh\ZWVgZciVValZaiZkZghiVVc# DbWZiZgiZXdbbjc^XZgZcbZi]VVgojh_ZY^Z dcaVc\hYdd[lZgY#

Het doel is om iedere theoretische functievermenging naar de praktijk te beoordelen De volgende kanttekeningen bij het toepassen van de beschreven beoordelingsmethode zijn te plaatsen. ~ De persoon die verantwoordelijk is voor de beoordeling moet voldoende kennis hebben van het vak AO/IC. ~ Daarnaast dient hij/zij voldoende kennis te hebben van MS Access.

OKTOB E R 2008

|

19