Data-analyse: praktijkervaringen met SAP
D De invoering van het ERP-systeem SAP binnen het
ministerie van Defensie, in juni 2008, veranderde de controleomgeving van de Auditdienst van Defensie (ADD) ingrijpend. Niet alleen door de verandering in beheersmaatregelen, maar ook als gevolg van
het feit dat in de beginfase de application controls
en de autorisaties niet optimaal ingevuld waren. De ADD werd geconfronteerd met risico’s en de hier-
mee gepaard gaande onzekerheden. Door middel van data-analyse is het mogelijk gebleken om die
niet te kwantificeren onzekerheden om te buigen in concrete posten, die nadere aandacht behoefden. Momenteel wordt in toenemende mate
gebruikgemaakt van de vele mogelijkheden die SAP biedt om met behulp van data-analyse de
financial audit effectiever en efficiënter in te richten c.q. te ondersteunen. Wij willen via dit artikel inzicht geven hoe een en ander is verlopen. Ook willen we aangeven hoe er met behulp van data-analyse de moeilijk te overbruggen kloof tussen IT-audit en financial audit kan worden overbrugd. JOHAN SCHOONEN EN VINCENT TOMS
32
de IT-Auditor nummer 3 | 2011
NIEUWE TAAKSTELLING DEFENSIE & NIEUWE ICT De ICT-component is voor Defensie altijd een belangrijke factor geweest bij het invullen van haar taakstelling. De afgelopen jaren heeft er een wijziging in de taakstelling van Defensie plaatsgevonden. Was de oude taakstelling van Defensie primair gericht op het verdedigen van het NAVOterritorium, de huidige taakstelling is voornamelijk gericht op operationeel (missie) optreden ten behoeve van vrede en veiligheid wereldwijd. Hierdoor is een groeiende behoefte
ontstaan aan snelle, wisselende (expeditionaire) interventiemachten. Kernwoorden binnen de krijgsmacht zijn dan ook: brede inzetbaarheid en intensievere samenwerking (zogenoemde ‘joint optreden’) tussen defensieonderdelen. Met de veranderde operationele taakstelling zijn ook de eisen veranderd die worden gesteld aan de organisatie en daarmee aan de informatiesystemen. Joint optreden vereist namelijk ook ‘joint ondersteuning’. Defensie heeft voor joint ondersteuning op het
logistieke en financiële vlak gekozen voor SAP. Het voordeel van SAP is dat door middel van customizing de functionaliteit van SAP en de behoefte vanuit de bedrijfsvoering naadloos op elkaar kunnen worden aangesloten. Door het inbouwen van beheersingsmaatregelen in de procesgang via SAP kan de kwaliteit van de bedrijfsvoering worden verbeterd. SAP EN DE WETTELIJKE TAAK ACCOUNTANT Het spreekt voor zich dat de invoering van SAP gevolgen heeft voor de wijze waarop de ADD haar wettelijke taak (onder andere controle van de jaarrekening) invult. In zijn algemeenheid geldt dat hoe meer beheersingsmaatregelen in de procesgang zijn ingebouwd, hoe meer de accountant bij zijn controle kan steunen op de geautomatiseerde informatievoorziening en des te minder hij gegevensgericht hoeft te controleren. Een voorwaarde bij deze controleaanpak is dat je wel moet kunnen steunen op de inrichting van de ingebouwde beheersingsmaatregelen en dat deze gedurende het hele jaar hebben gefunctioneerd.
Als een geautomatiseerde controle (application control) eenmaal adequaat is ingericht, is deze in het algemeen efficiënter en effectiever dan een handmatige controle (user control). Echter, de uitdaging is hoe op een gestructureerde wijze invulling te geven aan een procesgerichte controleaanpak. Hoe: kernelementen procesgerichte aanpak Voor de wijze waarop invulling wordt gegeven aan een procesgerichte controleaanpak staan binnen de ADD een tweetal onderwerpen centraal, te weten Business Control Framework (BCF) en Business Proces Analyse (BPA). Deze worden hierna verder toegelicht. BCF Het Business Control Framework ADD1 geeft de klassieke componenten weer die van belang zijn voor het invullen van een procesgerichte audit. Wij hebben als centrale spil toegevoegd: data-analyse. Zie figuur 1.
Binnen de ADD geldt als uitgangspunt dat een procesgerichte aanpak de voorkeur geniet boven een gegevensgerichte aanpak. Daar waar het effectief en efficiënt is, wordt zoveel mogelijk gesteund op de in het proces opgenomen beheersingsmaatregelen.
De componenten functiescheiding en general IT controls dienen borg te staan voor een veilige en continue omgeving voor het SAP-informatiesysteem. Een geïntegreerde set van application- en user controls borgt de kwaliteit van mutatiestelling en verwerking. Uitgangspunten hierbij zijn dat geautomatiseerde controles (application controls) het primaat hebben en dat de nadruk zoveel
Bij de inrichting van beheersingmaatregelen geldt een tweetal belangrijke principes: Preventieve maatregelen hebben de voorkeur boven detectieve en repressieve maatregelen. De nadruk moet liggen op beheersingsmaatregelen die zoveel mogelijk borgen dat er geen vervuiling in het SAP-systeem ontstaat. Voorkomen is beter dan genezen. Geautomatiseerde controles hebben de voorkeur boven handmatige controles.
Figuur 2: Business Proces Analyse
Business Control Framework ADD
Functiescheiding
General IT controls Data-analyse
Usercontrols
Application controls
Figuur 1: Business Control Framework mogelijk op de invoering van preventieve controles ligt. Voornoemde vier vakken dienen bij de procesgerichte auditaanpak van de accountant voldoende aandacht te krijgen. Door de audittrail- en logging-faciliteiten van SAP is momenteel binnen het vakgebied een tendens gaande, waarbij data-analyse in toenemende mate een rol krijgt bij de invulling van de auditwerkzaamheden. Vandaar dat we data-analyse als centrale spil hebben toegevoegd in het BCF. BPA De Business Proces Analyse (BPA) geeft de uitkomsten weer van een procesanalyse, waarbij per processtap de potentiële risico’s alsmede de getroffen maatregelen zijn aangegeven. Ten aanzien van de maatregelen wordt onderscheid gemaakt in functiescheiding, application controls, user controls (inclusief relevante
de IT-Auditor nummer 3 | 2011
33
Bij deze stappen kan data-analyse effectief worden ingezet.
STAP 1: Uitvoeren van de procesanalyse
STAP 2: Plannen van de te verrichten systeemgerichte werkzaamheden
STAP 3: Uitvoeren systeemgerichte werkzaamheden en evalueren uitkomsten daarvan
STAP 4: Rapporteren over de bevindingen naar aanleiding van de verrichte procesanalyse
STAP 5: Vaststelling van de uit te voeren gegevensgerichte controlewerkzaamheden
Werkprogramma
Uitkomsten procesanalyse
Figuur 3: Stappen Procesanalyse rapportage), data-analyse activiteiten en het resterende restrisico. Zie figuur 2. Data-analyse hebben we als controle-instrument meegenomen, omdat hiermee in specifieke gevallen het restrisico aanzienlijk kan worden verminderd. Door middel van een BPA heeft de accountant per onderkend risico inzicht in de getroffen maatregelen en kan hij het restrisico bepalen. Op een eenvoudige wijze wordt zichtbaar hoe de mix van beheersingsmaatregelen zich tot elkaar verhouden en waar het accent van de controle komt te liggen. Als vreemde eend in de bijt is dataanalyse bij het vorengaande meegenomen, omdat in specifieke gevallen via reguliere data-analyse activiteiten het potentiële risico (veelal kwalitatief ) behoorlijk kan worden verminderd. Hierover later meer. Uitgaande van bovengenoemde systematiek van BCF en BPA gaan wij in op de vraag hoe data-analyse kan worden ingepast in een procesgerichte aanpak. Hoe: toepassingsmogelijkheden data-analyse In het Handboek Auditing Rijksoverheid zijn stappen opgenomen voor het uitvoeren van een procesanalyse. De centrale doelstelling is dat
34
de IT-Auditor nummer 3 | 2011
per geselecteerd proces inzichtelijk wordt gemaakt hoe de processen worden beheerst. In figuur 3 zijn de vijf onderkende stappen schematisch weergeven. Een uitgevoerde procesanalyse leidt tot het opstellen van een BPA waarin de samenhang van de beheersingsmaatregelen gestructureerd is weergegeven. Nadat de opzet van de beheersingsmaatregelen is bepaald, wordt het bestaan vastgesteld en de werking (het functioneren) getoetst.
Data-analyse kan zowel worden ingezet om vast te stellen dat ‘het systeem’ heeft gewerkt, als om effectief gegevensgericht de audit uit te voeren. Onderstaand wordt dit toegelicht aan de hand van de volgende toepassingsmogelijkheden van data-analyse: • Data-analyse en beoordeling autorisaties. • Data-analyse en beoordeling functioneren application controls. • Data-analyse en data-mining. • Data-analyse en general IT controls. Beoordeling autorisatie en data-analyse Vanwege de wettelijke taak is het van groot belang om vast te stellen of er wordt voldaan aan de gewenste functiescheiding. Hierbij worden de autorisaties voor zowel eindgebruikers als ICT-beheerders beoordeeld. Voor het uitvoeren van een onderzoek naar autorisaties is binnen de ADD een aanpak ontwikkeld, waarbij die een viertal analyseniveaus onderkent. Zie figuur 4.
• Toegekende autorisaties in rollen • Wat ‘kan’ de gebruiker Niveau • Momentopname; ‘foto’ van de rollen 1 • Transactiecode logging • Gestarte transactioecodes per gebruiker Niveau • Transactie kan slechts voor weergave gebruikt zijn • Aantal gebruikers is momentopname 2 • Vaak logging van +/– 3 maanden beschikbaar
Autorisatie-scan (=momentopname)
• Daadwerkelijk gemaakte boekingen en andere mutaties Niveau • Transactionele data 3 • Over gehele periode • Gemaakte boekingen op hetzelfde document • Bijv. accorderen eigen documenten Niveau • Verdere verwerking door dezelfde gebruiker in proces 4 • Op dit niveau bevinden zich de echte risico’s
Figuur 4: 4 niveaus analyse autorisaties
Data-analyse (=film!)
Illustratie 1 Niveaus 1 & 2 Op niveau 1 vindt analyse plaats van de daadwerkelijk toegekende autorisaties aan gebruikers. Getoetst wordt of een gebruiker beschikt over bevoegdheden die uit hoofde van functiescheiding onverenigbaar met elkaar zijn. Ook wordt duidelijk welke gebruikers over een bepaalde kritieke functionele transactie (bijvoorbeeld opstarten betalingsrun) beschikken. Op niveau 2 wordt getoetst of de gebruikers de desbetreffende transacties ook daadwerkelijk hebben opgestart. Niet zichtbaar is of zij bij het opstarten van deze transacties ook daadwerkelijk mutaties hebben gesteld en zo ja, welke. Het uitvoeren van een onderzoek naar
autorisaties binnen SAP is zodanig complex, dat dit niet zonder tooling kan plaatsvinden. De bestaande tooling kan de kwalitatieve bevindingen uit niveaus 1 en 2 niet kwantificeren (vertalen in geldbedragen). De bevindingen van een onderzoek naar de autorisaties leidde in de praktijk dan ook vaak tot meer onzekerheden in plaats van zekerheden. Het was vrijwel onmogelijk om de financiële impact van deze bevindingen op de jaarrekening te bepalen, zie illustratie 1. Niveaus 3 & 4 Het nieuwe aan de aanpak die binnen de ADD in samenwerking met een strategische partner is ontwikkeld, is de analyse op niveaus 3 en 4. Op niveau
3 vindt analyse plaats of de eindgebruikers (die volgens analyse op niveau 1 en 2 over te ruime bevoegdheden beschikken) ook daadwerkelijk mutaties hebben gesteld op basis van hun te ruime bevoegdheden. Op niveau 4 wordt getoetst of dit voor hetzelfde document heeft plaatsgevonden. De niveaus 3 en 4 lichten wij nader toe aan de hand van een voorbeeld. Als voorbeeld gaan we uit van de functievermenging dat een gebruiker zowel een factuur kan agenderen als verifiëren. De uitgevoerde dataanalyse resulteert in informatie, die inzicht geeft in de vraag welke gebruikers daadwerkelijk facturen hebben geagendeerd en geverifieerd en het
Figuur 5: Output analyse agenderen en verifiëren factuur incl. financieel belang (niveau 3)
de IT-Auditor nummer 3 | 2011
35
Figuur 6: Detailgegevans facturen agenderen en verifiëren door één gebruiker (niveau 4) financieel belang dat hiermee gemoeid is (niveau 3). In figuur 5 is een voorbeeld opgenomen. Vervolgens wordt bepaald voor welke facturen het agenderen en verifiëren door één en dezelfde gebruiker is geschied (niveau 4). Deze facturen behoeven nadere aandacht. Zie figuur 6. De eerste stap bij niveau 3 is het vaststellen welke specifieke SAP-tabellen (en velden) de transactie agenderen en verifiëren muteert. Bedenk hierbij dat SAP beschikt over tienduizenden tabellen en dat het voor het verkrijgen van de noodzakelijke informatie vaak nodig is om gegevenselementen uit meerdere tabellen aan elkaar te koppelen. Deze stap is het meest arbeidsintensief en vereist de nodige creativiteit en deskundigheid. De praktijk heeft geleerd dat een intensieve samenwerking tussen accountant, IT-auditor en data-analist noodzakelijk is om deze vertaalslag te kunnen maken. Een geïntegreerd systeem vereist een geïntegreerde aanpak. Samenwerking en ervaring zijn kritieke succesfactoren. Na deze analyse worden de desbetreffende tabellen (en velden) uit
SAP gedownload en veelal (bijvoorbeeld met Microsoft Access) aan elkaar gekoppeld. Voor de gebruikers, waarvan op niveaus 1 en 2 is geconstateerd dat deze zowel kunnen agenderen als verifiëren, wordt op basis van de verkregen detailgegevens integraal vastgesteld welke facturen zij daadwerkelijk hebben geagendeerd respectievelijk geverifieerd (inclusief financieel belang). Vervolgens is het mogelijk om voor elke gebruiker vast te stellen welke factuur hij zowel heeft geagendeerd als geverifieerd (inclusief financieel belang). Resultaat Door middel van deze analyse op niveaus 3 en 4 is de bestaande onzekerheid, voortvloeiend uit de kwalitatieve bevinding functievermenging agenderen en verifiëren, omgezet in concrete posten die nadere aandacht nodig hebben. Zie figuur 7. Mede dankzij de audittrail-faciliteiten van SAP is het via voornoemde aanpak mogelijk gebleken om kwalitatieve bevindingen (die moeilijk zijn
Figuur 7: Vertaling bevindingen naar concrete posten
36
de IT-Auditor nummer 3 | 2011
te kwantificeren en dus te wegen), die voortvloeien uit IT-audits naar autorisaties, om te zetten in concrete posten/facturen. Op basis van deze informatie kan de accountant de vinger op de zere plek leggen en onzekerheid ombuigen naar zekerheid. Een bijkomend voordeel van deze wijze van werken, is dat de lijnorganisatie de bevindingen over autorisaties niet kan bagatelliseren door te zeggen dat het ‘slechts’ een theoretisch risico is. DATA-ANALYSE EN BEOORDELING FUNCTIONEREN APPLICATION CONTROLS In de BPA is aangegeven op welke application controls de accountant (in opzet) kan steunen. Sinds jaar en dag wordt in dit licht het bestaan van de application controls binnen SAP getoetst door het vaststellen of de parameters inderdaad op de juiste wijze zijn ingesteld. Het zwakke van een dergelijk onderzoek is dat er sprake is van een momentopname. Er wordt een foto gemaakt van de instellingen. Deze geeft echter geen zekerheid of deze beheersingsmaat-
regelen gedurende het gehele jaar hebben gefunctioneerd. Het beoordelen van het functioneren van het change management van programmatuurwijzigingen (in het kader van het toetsen van de general IT controls) biedt in de praktijk slechts beperkte zekerheid over het in continuïteit bestaan van de inrichting van een specifieke application control. Dit mede gezien de veelheid van tabellen van SAP. Er ontstaat namelijk een beeld van het functioneren van het change managementproces in algemene zin. Zeker indien er sprake is van een zeer dynamische en complexe omgeving, zoals bij Defensie, blijft er onzekerheid bestaan of de application controls in continuïteit hebben gefunctioneerd. Deze onzekerheid wordt versterkt, doordat gedurende de meerjarige uitrolperiode er sprake is van krachtige user ID’s in de productieomgeving met ruime rechten. Dit om eventuele knelpunten gedurende de uitrol snel te kunnen oplossen. Het risico bestaat dat deze krachtige users via customizing de inrichting van de application controls in de productieomgeving direct (buiten de bestaande change procedures om) wijzigen. Door middel van het toepassen van data-analyse kan de auditor aanvullende zekerheid krijgen over het in continuïteit functioneren van een specifieke application control. Dit is mogelijk door te toetsen of via customizing direct in de productieomgeving wijzigingen (buiten de reguliere change management-processen om) zijn aangebracht. De wijze waarop deze analyse plaatsvindt, lichten we hieronder aan de hand van een voorbeeld toe. Een manier om een application control in SAP te wijzigen/in te richten is via zogenaamde customizing transactiecodes. Bij een dergelijke wijziging van de inrichting creëert SAP automatisch een wijzigingsdocument. Dit document is de basis voor de desbetreffende data-analyse.
Figuur 8: Wijzigingsverslag tabel T05FF In het voorbeeld gaan we uit van de application control: het vier-ogen principe voor wijziging crediteur. Het vierogen principe houdt in dat een crediteur wordt geblokkeerd voor betaling, op het moment dat één of meerdere (vooraf opgegeven) kritieke velden van het stamgegeven van een crediteur zijn aangelegd of gewijzigd. De crediteur wordt pas vrijgegeven nadat de aangebrachte mutatie is goedgekeurd door een tweede functionaris. Voornoemde application control is onder andere van belang voor het onderhoud van bankgegevens van een crediteur. Het voorkomt dat iemand zelfstandig de bankgegevens van een crediteur kan wijzigen voor mogelijk eigen gewin. Het vier-ogen principe op de kritieke velden (zoals bankrekeningnummer) wordt vastgesteld in tabel T05FF.
gedurende een onderzoeksperiode inderdaad wijzigingen direct op tabellen zijn doorgevoerd. Hierbij wordt gebruikgemaakt van de logging-gegevens van SAP.
Door middel van een specifieke transactie kunnen de wijzigingsverslagen voor een tabel (in dit concrete geval tabel T05FF) voor een bepaalde periode worden opgevraagd. In figuur 8 is te zien dat er geen wijzigingen in het geselecteerde tijdvak hebben plaatsgevonden.
Het is echter mogelijk om de logging uit te zetten (of te wijzigen). Het is dan ook zaak om vast te stellen dat de logserver het gehele jaar aangeschakeld is geweest. Deze check kan worden uitgevoerd door het beoordelen van de parameter rec/client via het SAP-rapport RSPARAM of transactie TU02. SAP-systemen worden vaak geclusterd, de parameter rec/client dient op elk onderdeel van het cluster te worden onderzocht omdat dit per applicatieserver wordt ingeregeld en dus kan verschillen. Door het gebruik van data-analyses op de hiervoor beschreven wijze verkrijgt de auditor een redelijke (geen absolute) zekerheid over het functioneren van de application controls gedurende de onderzoeksperiode. De accountant kan bij het uitvoeren van zijn wettelijke taak dan ook daadwerkelijk op de onderkende application controls gaan steunen.
Binnen SAP is het echter ook mogelijk om (bijvoorbeeld via de transactie SE16N) direct wijzigingen op de tabellen door te voeren. Met behulp van de tabellen SE16N_CD_KEY en SE16_CD_DATA (voor de detailgegevens) kun je vaststellen of
DATA-ANALYSE EN DATA-MINING Voor een omvangrijke gegevensgerichte analyse is data-analyse ook te gebruiken. Het biedt de mogelijkheid om vast te stellen dat processen conform de beoogde opzet zijn
de IT-Auditor nummer 3 | 2011
37
verlopen dan wel om afwijkingen/bijzondere posten te selecteren. Onderstaand wordt dit toegelicht. Overigens is het inzetten van data-analyse voor data-mining niet echt nieuw. Het is echter de discussie waard om te overwegen data-analyse vaker in te zetten als alternatief voor de statistische steekproef. Dit omdat meer gericht wordt gekeken. Zo is het voor de accountant relevant om te weten dat invoer en verwerking van mutaties conform de beschreven opzet van het proces zijn verlopen. Stel dat de invoer van facturen betreffende de afgenomen diensten altijd via een specifieke workflow (en bijbehorende transactie) moet plaatsvinden. Dit, omdat in de workflow specifieke application controls zijn ingericht. Door middel van data-analyse is vast te stellen of de invoer van dienstenfacturen inderdaad via die specifieke transactie (workflow) heeft plaatsgevonden. Dit is van belang omdat een tabel via meerdere transacties kan worden gemuteerd en niet voor alle transacties inrichting van de application controls heeft plaatsgevonden. Door gebruik te maken van andere transacties kunnen beheersingsmaatregelen, zoals gedefinieerd in de workflow, worden omzeild. Door het op een dergelijke wijze inzetten van data-analyse, wordt zekerheid verkregen dat de gestelde mutaties inderdaad onder het geldende regime van beheersingsmaatregelen zijn gesteld. Een andere toepassing van data-analyse is het verkrijgen van inzicht in wie een specifieke (kritieke) transactie heeft opgestart of bepaalde boekingen heeft verricht. Te denken valt bijvoorbeeld aan inzicht in de medewerkers die de betalingsrun ook daadwerkelijk hebben opgestart. Met behulp van data-analyse kan gericht worden gezocht naar afwijkingen/uitzonderingen. Denk hierbij aan de constatering van een zwakke plek in het proces, waarbij je als
38
de IT-Auditor nummer 3 | 2011
accountant wilt weten of dit inderdaad heeft geresulteerd in onjuiste/ afwijkende mutaties. Als voorbeeld gaan we uit van de situatie dat, mede in het licht van de naleving van de Europese regelgeving, het aangaan van verplichtingen voor een bepaalde functie is gelimiteerd. Bij het aangaan van verplichtingen boven een bepaalde grens, is mandatering door een tweede functionaris noodzakelijk. Nu is bij de beoordeling van de inrichting van de application controls vastgesteld dat de grenswaarden niet juist zijn ingesteld, waardoor mogelijk door een aantal functionarissen verplichtingen zijn aangegaan die hun bevoegdheid overschrijden. Door middel van een data-analyse kan worden vastgesteld of dit risico zich ook daadwerkelijk heeft voorgedaan. Door bijvoorbeeld voor aangegane verplichtingen boven de hiervoor genoemde grenswaarde te filteren op functionarissen, niet zijnde degene die hiertoe zijn bevoegd. Een ander voorbeeld is het gebruik van data-analyse ter bepaling van de impact van uitwisseling van user ID’s en passwords door eindgebruikers. Vanuit de accountant kwam het signaal dat er mogelijk sprake was van een zwakke passworddiscipline. Door middel van transactie SM20 werd online vastgesteld dat inderdaad meerdere personen gelijktijdig onder één gebruikersaccount actief waren. De vraag doemde op: in welke mate is dit in het verleden gebeurd? Is er sprake van ondergraving van de minimale functiescheiding? Of wat is de impact/materialiteit van deze bevinding? Door middel van data-analyse is vastgesteld vanaf welke pc’s kort achter elkaar meerdere user-id’s actief zijn geweest en onder welke user-id’s gelijktijdig meerdere malen is aangelogd. Op basis hiervan is een lijst van mogelijke verdachte combinaties van SAP-gebruikersaccounts vastgesteld. Vervolgens is via data-analyse op niveau 4 vastgesteld of door deze verdachte combinaties kritische trans-
acties in samenhang zijn verricht. Bijvoorbeeld heeft een verdachte combinatie zowel een factuur ingevoerd als een wijziging van bankrekeningnummer voor desbetreffende factuur doorgevoerd. Of heeft een verdachte combi zowel een factuur ingevoerd als geautoriseerd. Op deze wijze werden posten geselecteerd die nadere aandacht behoefden. Dankzij de uitgevoerde analyse was de accountant in staat om de ontstane onzekerheid weg te nemen door middel van aanvullende gegevensgerichte detailcontroles. Een andere toepassingsmogelijkheid van data-analyse is het uitvoeren van verbandcontroles en het toetsen op een ongewenste samenloop van posten. Een voorbeeld van dit laatste is de toetsing op de samenloop van toelagen die qua regelgeving ongewenst zijn. Zo is het mogelijk dat als iemand toelage a krijgt, hij geen recht meer heeft op toelage b. Of dat als iemand een bepaalde salarisschaal heeft bereikt, hij geen recht meer heeft op een bepaalde vergoeding. Denk hierbij bijvoorbeeld aan overwerk dat vanaf een bepaalde schaal niet meer wordt vergoed. Door het gebruik van data-analyse kan op een effectieve wijze integraal worden vastgesteld of er sprake is van een ontoelaatbare samenloop. Voor de accountant is het financiële belang van de onrechtmatigheid tot op de cent nauwkeurig te bepalen. Met behulp van de data-analyse kan een initiële cijferanalyse worden uitgevoerd. Door middel van initiële cijferanalyse ontstaat inzicht in bijvoorbeeld de gegevensstromen in een informatiesysteem, de materialiteit van de stromen, welke documenten zijn gebruikt, het aantal spoedbetalingen, et cetera. Daarnaast kan data-analyse een nuttige rol vervullen bij het invullen van de reguliere informatiebehoefte. Denk hierbij bijvoorbeeld aan de behoefte aan inzicht van het gebruik
van eenmalige crediteuren, alternatieve betaalontvangsten of signaallijst dubbele facturen. De verkregen informatie is richtinggevend voor de controlewerkzaamheden. Het verkregen inzicht bevordert een effectieve inzet van de beschikbare controlemiddelen. Het mooie van data-analyse is dat het een integraal beeld geeft óf en in welke mate een en ander is voorgevallen. Het spreekt voor zich dat hoe meer kennis de auditor van de bedrijfsprocessen heeft, hoe effectiever de inzet van het instrument data-analyse zal zijn. DATA-ANALYSE EN GENERAL IT CONTROLS In het begin van dit artikel is aangegeven dat general IT controls randvoorwaardelijk zijn voor het functioneren van een informatiesysteem. In de praktijk leiden bevindingen, voortvloeiend uit onderzoeken naar de general IT controls, regelmatig tot vraagtekens bij de accountant. Hoe moet hij deze bevindingen wegen, hoe zijn deze te vertalen naar zijn controleaanpak en hoe kunnen bevindingen gecompenseerd worden? In welke mate kan nog worden gesteund op het informatiesysteem? Wordt nog voldaan aan het minimaal vereiste AO/IC? Betekent dit dat de controle-massa onbetrouwbaar is? Complicerende factoren bij het overleg tussen de accountant en de ITauditor zijn vaak afwijkend vakjargon, verschil in scoping en beleving. Door gebruik te maken van data-analyse kan in veel gevallen de voor de accountant ontstane onzekerheid door de kwalitatieve bevindingen worden weggenomen, dan wel worden geconcretiseerd/gekwantificeerd. Een mooi voorbeeld vanuit de praktijk is de constatering dat in de SAPproductieomgeving enkele consultants/beheerders met vrijwel onbeperkte rechten aanwezig zijn. Hoewel dit te allen tijde dient te worden voorkomen dan wel geminimaliseerd, kan het in de praktijk wel degelijk optreden. Zeker als er sprake
is van een grootschalige uitrol, gepaard gaande met een hoge tijdsdruk. Wat heeft een dergelijke gebeurtenis voor impact op de accountantscontrole? In het verleden leidde dit tot veel discussie en mogelijk onbegrip tussen de accountant en de IT-auditor. Door middel van een gestructureerde data-analyse kan echter een groot deel van de onzekerheid worden weggenomen. Te denken valt hierbij bijvoorbeeld aan: • Analyse of door consultants/ beheerders financiële transacties zijn gesteld. Eventuele mutaties verdienen nadere aandacht. • Zijn door de consultants/beheerder kritieke (technische) transacties opgesteld, hoe zijn die verantwoord, passen deze binnen hun takenpakket en heeft toezicht plaatsgevonden. • Is door de consultants/beheerders direct in de tabellen gemuteerd en zo ja welke wijzigingen zijn er doorgevoerd. Data-analyse kan hiertoe de benodigde informatie opleveren. Op basis hiervan kan gerichte communicatie plaatsvinden, waarbij de verschillen tussen de werelden van de IT-auditor en de accountant overbrugbaar blijken te zijn. TOT SLOT Door middel van dit artikel hebben we getracht inzicht te geven in de ontwikkeling die we als ADD de afgelo-
pen jaren hebben doorgemaakt met het gebruik van data-analyse. Kijkend naar het verleden, zien we dat dataanalyse binnen de controleaanpak van de accountant weer aan belang heeft gewonnen. Naar onze overtuiging slaat een professionele inzet van data-analyse een brug tussen de wereld van de ITauditor en de accountant. Zo is het onder meer mogelijk om nietgekwantificeerde bevindingen, voortvloeiend uit IT-audits, om te zetten in concrete posten voor de accountant, die om verdere aandacht vragen. De afgelopen jaren is in de praktijk gebleken dat het mogelijk is om doelgericht grote onzekerheden om te zetten in een relatief klein aantal posten, dat nader beschouwd moest worden. Naar onze mening is aldus een witte vlek die al enige tijd bestond, op deze wijze in te vullen. Momenteel worden de data-analyse activiteiten veelal door de ADD zelf uitgevoerd. Het ligt voor de hand dat in de toekomst deze activiteiten langzaam maar zeker voor een groot deel worden geadopteerd door de lijnorganisatie. ■ Noot 1. Met BCF ADD wordt bedoeld het framework dat de ADD hanteert voor het inrichten van haar controleaanpak. In de praktijk wordt dit ook vaak het Audit Framework genoemd. Met BCF wordt in deze context niet bedoeld: de wijze waarop het verantwoordelijke managent zijn bedrijfsvoering heeft ingericht.
Drs J.C.M. (Johan) Schoonen RE RA MGA is werkzaam als auditmanager bij de Audit Dienst Defensie (ADD) en is verantwoordelijk voor audits naar de implementatie van SAP bij Defensie.
V.E. (Vincent) Toms RE is werkzaam als auditor bij de Audit Dienst Defensie (ADD) en heeft onderzoeken gedaan naar de implementatie van SAP bij Defensie.
de IT-Auditor nummer 3 | 2011
39
