Data-analyse praktijkervaringen met SAP D...SAP gedownload en veelal (bijvoor-beeld met Microsoft...

de IT-Auditor nummer 3 | 201132

DNIEUWE TAAKSTELLING

DEFENSIE & NIEUWE ICT

De ICT-component is voor Defensie

altijd een belangrijke factor geweest

bij het invullen van haar taakstelling.

De afgelopen jaren heeft er een wijzi-

ging in de taakstelling van Defensie

plaatsgevonden. Was de oude taak-

stelling van Defensie primair gericht

op het verdedigen van het NAVO-

territorium, de huidige taakstelling is

voornamelijk gericht op operationeel

(missie) optreden ten behoeve van

vrede en veiligheid wereldwijd. Hier-

door is een groeiende behoefte

ontstaan aan snelle, wisselende

(expeditionaire) interventiemachten.

Kernwoorden binnen de krijgsmacht

zijn dan ook: brede inzetbaarheid en

intensievere samenwerking (zoge-

noemde ‘joint optreden’) tussen

defensieonderdelen.

Met de veranderde operationele taak-

stelling zijn ook de eisen veranderd

die worden gesteld aan de organisatie

en daarmee aan de informatiesyste-

men. Joint optreden vereist namelijk

ook ‘joint ondersteuning’. Defensie

heeft voor joint ondersteuning op het

Data-analyse: praktijkervaringen met SAP

De invoering van het ERP-systeem SAP binnen het

ministerie van Defensie, in juni 2008, veranderde de

controleomgeving van de Auditdienst van Defensie

(ADD) ingrijpend. Niet alleen door de verandering

in beheersmaatregelen, maar ook als gevolg van

het feit dat in de beginfase de application controls

en de autorisaties niet optimaal ingevuld waren. De

ADD werd geconfronteerd met risico’s en de hier-

mee gepaard gaande onzekerheden. Door middel

van data-analyse is het mogelijk gebleken om die

niet te kwantificeren onzekerheden om te buigen

in concrete posten, die nadere aandacht behoef-

den. Momenteel wordt in toenemende mate

gebruikgemaakt van de vele mogelijkheden die

SAP biedt om met behulp van data-analyse de

financial audit effectiever en efficiënter in te richten

c.q. te ondersteunen. Wij willen via dit artikel inzicht

geven hoe een en ander is verlopen. Ook willen we

aangeven hoe er met behulp van data-analyse de

moeilijk te overbruggen kloof tussen IT-audit en

financial audit kan worden overbrugd.

JOHAN SCHOONEN EN VINCENT TOMS

de IT-Auditor nummer 3 | 2011 33

logistieke en financiële vlak gekozen

voor SAP. Het voordeel van SAP is

dat door middel van customizing de

functionaliteit van SAP en de

behoefte vanuit de bedrijfsvoering

naadloos op elkaar kunnen worden

aangesloten. Door het inbouwen van

beheersingsmaatregelen in de proces-

gang via SAP kan de kwaliteit van de

bedrijfsvoering worden verbeterd.

SAP EN DE WETTELIJKE TAAK

ACCOUNTANT

Het spreekt voor zich dat de invoe-

ring van SAP gevolgen heeft voor de

wijze waarop de ADD haar wettelijke

taak (onder andere controle van de

jaarrekening) invult. In zijn alge-

meenheid geldt dat hoe meer beheer-

singsmaatregelen in de procesgang

zijn ingebouwd, hoe meer de accoun-

tant bij zijn controle kan steunen op

de geautomatiseerde informatievoor-

ziening en des te minder hij gegevens-

gericht hoeft te controleren.

Een voorwaarde bij deze controleaan-

pak is dat je wel moet kunnen steu-

nen op de inrichting van de inge-

bouwde beheersingsmaatregelen en

dat deze gedurende het hele jaar

hebben gefunctioneerd.

Binnen de ADD geldt als uitgangs-

punt dat een procesgerichte aanpak

de voorkeur geniet boven een gege-

vensgerichte aanpak. Daar waar het

effectief en efficiënt is, wordt zoveel

mogelijk gesteund op de in het

proces opgenomen beheersings-

maatregelen.

Bij de inrichting van beheersingmaat-

regelen geldt een tweetal belangrijke

principes:

Preventieve maatregelen hebben de

voorkeur boven detectieve en repres-

sieve maatregelen. De nadruk moet

liggen op beheersingsmaatregelen

die zoveel mogelijk borgen dat er

geen vervuiling in het SAP-systeem

ontstaat. Voorkomen is beter dan

genezen.

Geautomatiseerde controles hebben

de voorkeur boven handmatige con-

troles.

Als een geautomatiseerde controle

(application control) eenmaal adequaat

is ingericht, is deze in het algemeen

efficiënter en effectiever dan een

handmatige controle (user control).

Echter, de uitdaging is hoe op een

gestructureerde wijze invulling te

geven aan een procesgerichte contro-

leaanpak.

Hoe: kernelementen

procesgerichte aanpak

Voor de wijze waarop invulling

wordt gegeven aan een procesgerichte

controleaanpak staan binnen de

ADD een tweetal onderwerpen cen-

traal, te weten Business Control

Framework (BCF) en Business Proces

Analyse (BPA). Deze worden hierna

verder toegelicht.

BCF

Het Business Control Framework

ADD1 geeft de klassieke componen-

ten weer die van belang zijn voor het

invullen van een procesgerichte audit.

Wij hebben als centrale spil toege-

voegd: data-analyse. Zie figuur 1.

De componenten functiescheiding en

general IT controls dienen borg te

staan voor een veilige en continue

omgeving voor het SAP-informatie-

systeem. Een geïntegreerde set van

application- en user controls borgt de

kwaliteit van mutatiestelling en ver-

werking. Uitgangspunten hierbij zijn

dat geautomatiseerde controles

(application controls) het primaat

hebben en dat de nadruk zoveel

mogelijk op de invoering van preven-

tieve controles ligt. Voornoemde vier

vakken dienen bij de procesgerichte

auditaanpak van de accountant vol-

doende aandacht te krijgen.

Door de audittrail- en logging-facili-

teiten van SAP is momenteel binnen

het vakgebied een tendens gaande,

waarbij data-analyse in toenemende

mate een rol krijgt bij de invulling van

de auditwerkzaamheden. Vandaar

dat we data-analyse als centrale spil

hebben toegevoegd in het BCF.

BPA

De Business Proces Analyse (BPA)

geeft de uitkomsten weer van een

procesanalyse, waarbij per processtap

de potentiële risico’s alsmede de

getroffen maatregelen zijn aangege-

ven. Ten aanzien van de maatregelen

wordt onderscheid gemaakt in func-

tiescheiding, application controls,

user controls (inclusief relevante

Functiescheiding

Data-analyse

Usercontrols Application controls

General IT controls

Business Control Framework ADD

Figuur 1: Business Control Framework

Figuur 2: Business Proces Analyse


rapportage), data-analyse activiteiten

en het resterende restrisico. Zie

figuur 2. Data- analyse hebben we als

controle-instrument meegenomen,

omdat hiermee in specifieke gevallen

het restrisico aanzienlijk kan worden

verminderd.

Door middel van een BPA heeft de

accountant per onderkend risico

inzicht in de getroffen maatregelen en

kan hij het restrisico bepalen. Op een

eenvoudige wijze wordt zichtbaar hoe

de mix van beheersingsmaatregelen

zich tot elkaar verhouden en waar het

accent van de controle komt te liggen.

Als vreemde eend in de bijt is data-

analyse bij het vorengaande meegeno-

men, omdat in specifieke gevallen via

reguliere data-analyse activiteiten het

potentiële risico (veelal kwalitatief )

behoorlijk kan worden verminderd.

Hierover later meer.

Uitgaande van bovengenoemde syste-

matiek van BCF en BPA gaan wij in

op de vraag hoe data-analyse kan

worden ingepast in een procesge-

richte aanpak.

Hoe: toepassingsmogelijkhe-

den data-analyse

In het Handboek Auditing Rijks-

overheid zijn stappen opgenomen

voor het uitvoeren van een procesana-

lyse. De centrale doelstelling is dat

Figuur 3: Stappen Procesanalyse

STAP 1: Uitvoeren van de procesanalyse

STAP 2: Plannen van de te verrichten systeemgerichte werkzaamheden

STAP 3: Uitvoeren systeemgerichte werkzaamheden en evalueren uitkomsten daarvan

STAP 4: Rapporteren over de bevindingen naar aanleiding van de verrichte procesanalyse

STAP 5: Vaststelling van de uit te voeren gegevensgerichte controlewerkzaamheden

Uitkomsten procesanalyseWerkprogramma

Autorisatie-scan

(=momentopname)

Data-analyse

(=film!)

Niveau

1

• Toegekende autorisaties in rollen

• Wat ‘kan’ de gebruiker

• Momentopname; ‘foto’ van de rollen

• Transactiecode logging

• Gestarte transactioecodes per gebruiker

• Transactie kan slechts voor weergave gebruikt zijn

• Aantal gebruikers is momentopname

• Vaak logging van +/– 3 maanden beschikbaar

• Daadwerkelijk gemaakte boekingen en andere

mutaties

• Transactionele data

• Over gehele periode

• Gemaakte boekingen op hetzelfde document

• Bijv. accorderen eigen documenten

• Verdere verwerking door dezelfde gebruiker

in proces

• Op dit niveau bevinden zich de echte risico’s

Niveau

2

Niveau

3

Niveau

4

Figuur 4: 4 niveaus analyse autorisaties

per geselecteerd proces inzichtelijk

wordt gemaakt hoe de processen

worden beheerst. In figuur 3 zijn de

vijf onderkende stappen schematisch

weergeven.

Een uitgevoerde procesanalyse leidt

tot het opstellen van een BPA waarin

de samenhang van de beheersings-

maatregelen gestructureerd is weer-

gegeven. Nadat de opzet van de

beheersingsmaatregelen is bepaald,

wordt het bestaan vastgesteld en de

werking (het functioneren) getoetst.

Bij deze stappen kan data-analyse

effectief worden ingezet.

Data-analyse kan zowel worden

ingezet om vast te stellen dat ‘het

systeem’ heeft gewerkt, als om effec-

tief gegevensgericht de audit uit te

voeren.

Onderstaand wordt dit toegelicht aan

de hand van de volgende toepassings-

mogelijkheden van data-analyse:

• Data-analyse en beoordeling

autorisaties.

• Data-analyse en beoordeling func-

tioneren application controls.

• Data-analyse en data-mining.

• Data-analyse en general IT

controls.

Beoordeling autorisatie en

data-analyse

Vanwege de wettelijke taak is het van

groot belang om vast te stellen of er

wordt voldaan aan de gewenste func-

tiescheiding. Hierbij worden de

autorisaties voor zowel eindgebrui-

kers als ICT-beheerders beoordeeld.

Voor het uitvoeren van een onder-

zoek naar autorisaties is binnen de

ADD een aanpak ontwikkeld, waar-

bij die een viertal analyseniveaus

onderkent. Zie figuur 4.


Niveaus 1 & 2

Op niveau 1 vindt analyse plaats van

de daadwerkelijk toegekende autori-

saties aan gebruikers. Getoetst wordt

of een gebruiker beschikt over

bevoegdheden die uit hoofde van

functiescheiding onverenigbaar met

elkaar zijn. Ook wordt duidelijk welke

gebruikers over een bepaalde kritieke

functionele transactie (bijvoorbeeld

opstarten betalingsrun) beschikken.

Op niveau 2 wordt getoetst of de

gebruikers de desbetreffende transac-

ties ook daadwerkelijk hebben opge-

start. Niet zichtbaar is of zij bij het

opstarten van deze transacties ook

daadwerkelijk mutaties hebben

gesteld en zo ja, welke.

Het uitvoeren van een onderzoek naar

autorisaties binnen SAP is zodanig

complex, dat dit niet zonder tooling

kan plaatsvinden. De bestaande too-

ling kan de kwalitatieve bevindingen

uit niveaus 1 en 2 niet kwantificeren

(vertalen in geldbedragen). De bevin-

dingen van een onderzoek naar de

autorisaties leidde in de praktijk dan

ook vaak tot meer onzekerheden in

plaats van zekerheden. Het was vrijwel

onmogelijk om de financiële impact

van deze bevindingen op de jaarreke-

ning te bepalen, zie illustratie 1.

Niveaus 3 & 4

Het nieuwe aan de aanpak die binnen

de ADD in samenwerking met een

strategische partner is ontwikkeld, is

de analyse op niveaus 3 en 4. Op niveau

3 vindt analyse plaats of de eindgebrui-

kers (die volgens analyse op niveau 1 en

2 over te ruime bevoegdheden beschik-

ken) ook daadwerkelijk mutaties

hebben gesteld op basis van hun te

ruime bevoegdheden. Op niveau 4

wordt getoetst of dit voor hetzelfde

document heeft plaatsgevonden. De

niveaus 3 en 4 lichten wij nader toe aan

de hand van een voorbeeld.

Als voorbeeld gaan we uit van de

functievermenging dat een gebruiker

zowel een factuur kan agenderen als

verifiëren. De uitgevoerde data-

analyse resulteert in informatie, die

inzicht geeft in de vraag welke gebrui-

kers daadwerkelijk facturen hebben

geagendeerd en geverifieerd en het

Figuur 5: Output analyse agenderen en verifiëren factuur incl. financieel belang (niveau 3)

Illustratie 1


financieel belang dat hiermee gemoeid

is (niveau 3). In figuur 5 is een voor-

beeld opgenomen. Vervolgens wordt

bepaald voor welke facturen het agen-

deren en verifiëren door één en

dezelfde gebruiker is geschied

(niveau 4). Deze facturen behoeven

nadere aandacht. Zie figuur 6.

De eerste stap bij niveau 3 is het vast-

stellen welke specifieke SAP-tabellen

(en velden) de transactie agenderen en

verifiëren muteert. Bedenk hierbij dat

SAP beschikt over tienduizenden

tabellen en dat het voor het verkrijgen

van de noodzakelijke informatie vaak

nodig is om gegevenselementen uit

meerdere tabellen aan elkaar te kop-

pelen. Deze stap is het meest arbeids-

intensief en vereist de nodige creativi-

teit en deskundigheid. De praktijk

heeft geleerd dat een intensieve samen-

werking tussen accountant, IT-audi-

tor en data-analist noodzakelijk is om

deze vertaalslag te kunnen maken. Een

geïntegreerd systeem vereist een geïn-

tegreerde aanpak. Samenwerking en

ervaring zijn kritieke succesfactoren.

Na deze analyse worden de desbe-

treffende tabellen (en velden) uit

SAP gedownload en veelal (bijvoor-

beeld met Microsoft Access) aan

elkaar gekoppeld.

Voor de gebruikers, waarvan op

niveaus 1 en 2 is geconstateerd dat deze

zowel kunnen agenderen als verifiëren,

wordt op basis van de verkregen detail-

gegevens integraal vastgesteld welke

facturen zij daadwerkelijk hebben gea-

gendeerd respectievelijk geverifieerd

(inclusief financieel belang).

Vervolgens is het mogelijk om voor

elke gebruiker vast te stellen welke

factuur hij zowel heeft geagendeerd

als geverifieerd (inclusief financieel

belang).

Resultaat

Door middel van deze analyse op

niveaus 3 en 4 is de bestaande onze-

kerheid, voortvloeiend uit de kwali-

tatieve bevinding functievermenging

agenderen en verifiëren, omgezet in

concrete posten die nadere aandacht

nodig hebben. Zie figuur 7.

Mede dankzij de audittrail-facilitei-

ten van SAP is het via voornoemde

aanpak mogelijk gebleken om kwali-

tatieve bevindingen (die moeilijk zijn

te kwantificeren en dus te wegen), die

voortvloeien uit IT-audits naar auto-

risaties, om te zetten in concrete

posten/facturen. Op basis van deze

informatie kan de accountant de

vinger op de zere plek leggen en onze-

kerheid ombuigen naar zekerheid.

Een bijkomend voordeel van deze

wijze van werken, is dat de lijnorga-

nisatie de bevindingen over autorisa-

ties niet kan bagatelliseren door te

zeggen dat het ‘slechts’ een theore-

tisch risico is.

DATA-ANALYSE EN BEOORDE-

LING FUNCTIONEREN

APPLICATION CONTROLS

In de BPA is aangegeven op welke

application controls de accountant

(in opzet) kan steunen. Sinds jaar en

dag wordt in dit licht het bestaan

van de application controls binnen

SAP getoetst door het vaststellen of

de parameters inderdaad op de juiste

wijze zijn ingesteld. Het zwakke van

een dergelijk onderzoek is dat er

sprake is van een momentopname.

Er wordt een foto gemaakt van de

instellingen. Deze geeft echter geen

zekerheid of deze beheersingsmaat-

Figuur 6: Detailgegevans facturen agenderen en verifiëren door één gebruiker (niveau 4)

Figuur 7: Vertaling bevindingen naar concrete posten


regelen gedurende het gehele jaar

hebben gefunctioneerd.

Het beoordelen van het functioneren

van het change management van

programmatuurwijzigingen (in het

kader van het toetsen van de general

IT controls) biedt in de praktijk

slechts beperkte zekerheid over het

in continuïteit bestaan van de inrich-

ting van een specifieke application

control. Dit mede gezien de veelheid

van tabellen van SAP. Er ontstaat

namelijk een beeld van het functio-

neren van het change management-

proces in algemene zin. Zeker indien

er sprake is van een zeer dynamische

en complexe omgeving, zoals bij

Defensie, blijft er onzekerheid

bestaan of de application controls in

continuïteit hebben gefunctioneerd.

Deze onzekerheid wordt versterkt,

doordat gedurende de meerjarige

uitrolperiode er sprake is van krach-

tige user ID’s in de productieomge-

ving met ruime rechten. Dit om

eventuele knelpunten gedurende de

uitrol snel te kunnen oplossen.

Het risico bestaat dat deze krachtige

users via customizing de inrichting

van de application controls in de pro-

ductieomgeving direct (buiten de

bestaande change procedures om)

wijzigen.

Door middel van het toepassen van

data-analyse kan de auditor aanvul-

lende zekerheid krijgen over het in

continuïteit functioneren van een

specifieke application control. Dit is

mogelijk door te toetsen of via custo-

mizing direct in de productieomge-

ving wijzigingen (buiten de reguliere

change management-processen om)

zijn aangebracht. De wijze waarop

deze analyse plaatsvindt, lichten we

hieronder aan de hand van een voor-

beeld toe.

Een manier om een application con-

trol in SAP te wijzigen/in te richten

is via zogenaamde customizing trans-

actiecodes. Bij een dergelijke wijziging

van de inrichting creëert SAP auto-

matisch een wijzigingsdocument. Dit

document is de basis voor de desbe-

treffende data-analyse.

In het voorbeeld gaan we uit van de

application control: het vier-ogen prin-

cipe voor wijziging crediteur. Het vier-

ogen principe houdt in dat een credi-

teur wordt geblokkeerd voor betaling,

op het moment dat één of meerdere

(vooraf opgegeven) kritieke velden van

het stamgegeven van een crediteur zijn

aangelegd of gewijzigd. De crediteur

wordt pas vrijgegeven nadat de aange-

brachte mutatie is goedgekeurd door

een tweede functionaris. Voornoemde

application control is onder andere van

belang voor het onderhoud van bank-

gegevens van een crediteur. Het voor-

komt dat iemand zelfstandig de bank-

gegevens van een crediteur kan

wijzigen voor mogelijk eigen gewin.

Het vier-ogen principe op de kritieke

velden (zoals bankrekeningnummer)

wordt vastgesteld in tabel T05FF.

Door middel van een specifieke trans-

actie kunnen de wijzigingsverslagen

voor een tabel (in dit concrete geval

tabel T05FF) voor een bepaalde

periode worden opgevraagd. In

figuur 8 is te zien dat er geen wijzi-

gingen in het geselecteerde tijdvak

hebben plaatsgevonden.

Binnen SAP is het echter ook moge-

lijk om (bijvoorbeeld via de transactie

SE16N) direct wijzigingen op de

tabellen door te voeren. Met behulp

van de tabellen SE16N_CD_KEY

en SE16_CD_DATA (voor de

detailgegevens) kun je vaststellen of

gedurende een onderzoeksperiode

inderdaad wijzigingen direct op tabel-

len zijn doorgevoerd. Hierbij wordt

gebruikgemaakt van de logging-gege-

vens van SAP.

Het is echter mogelijk om de logging

uit te zetten (of te wijzigen). Het is

dan ook zaak om vast te stellen dat

de logserver het gehele jaar aange-

schakeld is geweest. Deze check kan

worden uitgevoerd door het beoor-

delen van de parameter rec/client via

het SAP-rapport RSPARAM of

transactie TU02. SAP-systemen

worden vaak geclusterd, de parame-

ter rec/client dient op elk onderdeel

van het cluster te worden onderzocht

omdat dit per applicatieserver wordt

ingeregeld en dus kan verschillen.

Door het gebruik van data-analyses

op de hiervoor beschreven wijze ver-

krijgt de auditor een redelijke (geen

absolute) zekerheid over het functio-

neren van de application controls

gedurende de onderzoeksperiode. De

accountant kan bij het uitvoeren van

zijn wettelijke taak dan ook daad-

werkelijk op de onderkende applica-

tion controls gaan steunen.

DATA-ANALYSE EN

DATA-MINING

Voor een omvangrijke gegevensge-

richte analyse is data-analyse ook te

gebruiken. Het biedt de mogelijkheid

om vast te stellen dat processen

conform de beoogde opzet zijn

Figuur 8: Wijzigingsverslag tabel T05FF


verlopen dan wel om afwijkingen/bij-

zondere posten te selecteren. Onder-

staand wordt dit toegelicht. Overi-

gens is het inzetten van data-analyse

voor data-mining niet echt nieuw.

Het is echter de discussie waard om

te overwegen data-analyse vaker in te

zetten als alternatief voor de statisti-

sche steekproef. Dit omdat meer

gericht wordt gekeken.

Zo is het voor de accountant relevant

om te weten dat invoer en verwerking

van mutaties conform de beschreven

opzet van het proces zijn verlopen.

Stel dat de invoer van facturen betref-

fende de afgenomen diensten altijd

via een specifieke workflow (en bijbe-

horende transactie) moet plaatsvin-

den. Dit, omdat in de workflow speci-

fieke application controls zijn

ingericht. Door middel van data-ana-

lyse is vast te stellen of de invoer van

dienstenfacturen inderdaad via die

specifieke transactie (workflow) heeft

plaatsgevonden. Dit is van belang

omdat een tabel via meerdere trans-

acties kan worden gemuteerd en niet

voor alle transacties inrichting van de

application controls heeft plaatsge-

vonden. Door gebruik te maken van

andere transacties kunnen beheer-

singsmaatregelen, zoals gedefinieerd

in de workflow, worden omzeild.

Door het op een dergelijke wijze

inzetten van data-analyse, wordt

zekerheid verkregen dat de gestelde

mutaties inderdaad onder het gel-

dende regime van beheersingsmaat-

regelen zijn gesteld.

Een andere toepassing van data-ana-

lyse is het verkrijgen van inzicht in

wie een specifieke (kritieke) transac-

tie heeft opgestart of bepaalde boe-

kingen heeft verricht. Te denken valt

bijvoorbeeld aan inzicht in de mede-

werkers die de betalingsrun ook

daadwerkelijk hebben opgestart.

Met behulp van data-analyse kan

gericht worden gezocht naar afwij-

kingen/uitzonderingen. Denk hierbij

aan de constatering van een zwakke

plek in het proces, waarbij je als

accountant wilt weten of dit inder-

daad heeft geresulteerd in onjuiste/

afwijkende mutaties.

Als voorbeeld gaan we uit van de situ-

atie dat, mede in het licht van de nale-

ving van de Europese regelgeving, het

aangaan van verplichtingen voor een

bepaalde functie is gelimiteerd. Bij het

aangaan van verplichtingen boven een

bepaalde grens, is mandatering door

een tweede functionaris noodzakelijk.

Nu is bij de beoordeling van de

inrichting van de application controls

vastgesteld dat de grenswaarden niet

juist zijn ingesteld, waardoor moge-

lijk door een aantal functionarissen

verplichtingen zijn aangegaan die hun

bevoegdheid overschrijden. Door

middel van een data-analyse kan

worden vastgesteld of dit risico zich

ook daadwerkelijk heeft voorgedaan.

Door bijvoorbeeld voor aangegane

verplichtingen boven de hiervoor

genoemde grenswaarde te filteren op

functionarissen, niet zijnde degene

die hiertoe zijn bevoegd.

Een ander voorbeeld is het gebruik

van data-analyse ter bepaling van de

impact van uitwisseling van user ID’s

en passwords door eindgebruikers.

Vanuit de accountant kwam het sig-

naal dat er mogelijk sprake was van

een zwakke passworddiscipline. Door

middel van transactie SM20 werd

online vastgesteld dat inderdaad

meerdere personen gelijktijdig onder

één gebruikersaccount actief waren.

De vraag doemde op: in welke mate

is dit in het verleden gebeurd? Is er

sprake van ondergraving van de

minimale functiescheiding? Of wat is

de impact/materialiteit van deze

bevinding?

Door middel van data-analyse is vast-

gesteld vanaf welke pc’s kort achter

elkaar meerdere user-id’s actief zijn

geweest en onder welke user-id’s

gelijktijdig meerdere malen is aange-

logd. Op basis hiervan is een lijst van

mogelijke verdachte combinaties van

SAP-gebruikersaccounts vastgesteld.

Vervolgens is via data-analyse op

niveau 4 vastgesteld of door deze ver-

dachte combinaties kritische trans-

acties in samenhang zijn verricht. Bij-

voorbeeld heeft een verdachte

combinatie zowel een factuur inge-

voerd als een wijziging van bankreke-

ningnummer voor desbetreffende

factuur doorgevoerd. Of heeft een

verdachte combi zowel een factuur

ingevoerd als geautoriseerd. Op deze

wijze werden posten geselecteerd die

nadere aandacht behoefden. Dankzij

de uitgevoerde analyse was de

accountant in staat om de ontstane

onzekerheid weg te nemen door

middel van aanvullende gegevensge-

richte detailcontroles.

Een andere toepassingsmogelijkheid

van data-analyse is het uitvoeren van

verbandcontroles en het toetsen op

een ongewenste samenloop van

posten. Een voorbeeld van dit laatste

is de toetsing op de samenloop van

toelagen die qua regelgeving onge-

wenst zijn. Zo is het mogelijk dat als

iemand toelage a krijgt, hij geen recht

meer heeft op toelage b. Of dat als

iemand een bepaalde salarisschaal

heeft bereikt, hij geen recht meer

heeft op een bepaalde vergoeding.

Denk hierbij bijvoorbeeld aan over-

werk dat vanaf een bepaalde schaal

niet meer wordt vergoed.

Door het gebruik van data-analyse

kan op een effectieve wijze integraal

worden vastgesteld of er sprake is van

een ontoelaatbare samenloop. Voor

de accountant is het financiële belang

van de onrechtmatigheid tot op de

cent nauwkeurig te bepalen.

Met behulp van de data-analyse kan

een initiële cijferanalyse worden uit-

gevoerd. Door middel van initiële cij-

feranalyse ontstaat inzicht in bijvoor-

beeld de gegevensstromen in een

informatiesysteem, de materialiteit

van de stromen, welke documenten

zijn gebruikt, het aantal spoedbeta-

lingen, et cetera.

Daarnaast kan data-analyse een nut-

tige rol vervullen bij het invullen van

de reguliere informatiebehoefte.

Denk hierbij bijvoorbeeld aan de

behoefte aan inzicht van het gebruik


Drs J.C.M. (Johan) Schoonen RE RA MGA is werkzaam als audit-

manager bij de Audit Dienst Defensie (ADD) en is verantwoordelijk voor

audits naar de implementatie van SAP bij Defensie.

V.E. (Vincent) Toms RE is werkzaam als auditor bij de Audit Dienst

Defensie (ADD) en heeft onderzoeken gedaan naar de implementatie

van SAP bij Defensie.

van eenmalige crediteuren, alterna-

tieve betaalontvangsten of signaallijst

dubbele facturen. De verkregen infor-

matie is richtinggevend voor de con-

trolewerkzaamheden. Het verkregen

inzicht bevordert een effectieve inzet

van de beschikbare controlemiddelen.

Het mooie van data-analyse is dat het

een integraal beeld geeft óf en in welke

mate een en ander is voorgevallen. Het

spreekt voor zich dat hoe meer kennis

de auditor van de bedrijfsprocessen

heeft, hoe effectiever de inzet van het

instrument data-analyse zal zijn.

DATA-ANALYSE EN GENERAL IT

CONTROLS

In het begin van dit artikel is aange-

geven dat general IT controls rand-

voorwaardelijk zijn voor het functio-

neren van een informatiesysteem. In

de praktijk leiden bevindingen, voort-

vloeiend uit onderzoeken naar de

general IT controls, regelmatig tot

vraagtekens bij de accountant.

Hoe moet hij deze bevindingen

wegen, hoe zijn deze te vertalen naar

zijn controleaanpak en hoe kunnen

bevindingen gecompenseerd worden?

In welke mate kan nog worden

gesteund op het informatiesysteem?

Wordt nog voldaan aan het minimaal

vereiste AO/IC? Betekent dit dat de

controle-massa onbetrouwbaar is?

Complicerende factoren bij het over-

leg tussen de accountant en de IT-

auditor zijn vaak afwijkend vakjargon,

verschil in scoping en beleving.

Door gebruik te maken van data-ana-

lyse kan in veel gevallen de voor de

accountant ontstane onzekerheid

door de kwalitatieve bevindingen

worden weggenomen, dan wel worden

geconcretiseerd/gekwantificeerd.

Een mooi voorbeeld vanuit de prak-

tijk is de constatering dat in de SAP-

productieomgeving enkele consul-

tants/beheerders met vrijwel

onbeperkte rechten aanwezig zijn.

Hoewel dit te allen tijde dient te

worden voorkomen dan wel gemini-

maliseerd, kan het in de praktijk wel

degelijk optreden. Zeker als er sprake

is van een grootschalige uitrol, gepaard

gaande met een hoge tijdsdruk.

Wat heeft een dergelijke gebeurtenis

voor impact op de accountantscon-

trole? In het verleden leidde dit tot veel

discussie en mogelijk onbegrip tussen

de accountant en de IT-auditor.

Door middel van een gestructureerde

data-analyse kan echter een groot

deel van de onzekerheid worden weg-

genomen. Te denken valt hierbij bij-

voorbeeld aan:

• Analyse of door consultants/

beheerders financiële transacties

zijn gesteld. Eventuele mutaties

verdienen nadere aandacht.

• Zijn door de consultants/beheer-

der kritieke (technische) transac-

ties opgesteld, hoe zijn die verant-

woord, passen deze binnen hun

takenpakket en heeft toezicht

plaatsgevonden.

• Is door de consultants/beheerders

direct in de tabellen gemuteerd en

zo ja welke wijzigingen zijn er

doorgevoerd.

Data-analyse kan hiertoe de beno-

digde informatie opleveren. Op basis

hiervan kan gerichte communicatie

plaatsvinden, waarbij de verschillen

tussen de werelden van de IT-auditor

en de accountant overbrugbaar blij-

ken te zijn.

TOT SLOT

Door middel van dit artikel hebben

we getracht inzicht te geven in de ont-

wikkeling die we als ADD de afgelo-

pen jaren hebben doorgemaakt met

het gebruik van data-analyse. Kijkend

naar het verleden, zien we dat data-

analyse binnen de controleaanpak van

de accountant weer aan belang heeft

gewonnen.

Naar onze overtuiging slaat een pro-

fessionele inzet van data-analyse een

brug tussen de wereld van de IT-

auditor en de accountant. Zo is het

onder meer mogelijk om niet-

gekwantificeerde bevindingen,

voortvloeiend uit IT-audits, om te

zetten in concrete posten voor de

accountant, die om verdere aandacht

vragen. De afgelopen jaren is in de

praktijk gebleken dat het mogelijk is

om doelgericht grote onzekerheden

om te zetten in een relatief klein

aantal posten, dat nader beschouwd

moest worden. Naar onze mening is

aldus een witte vlek die al enige tijd

bestond, op deze wijze in te vullen.

Momenteel worden de data-analyse

activiteiten veelal door de ADD zelf

uitgevoerd. Het ligt voor de hand dat

in de toekomst deze activiteiten lang-

zaam maar zeker voor een groot deel

worden geadopteerd door de lijnor-

ganisatie. ■

Noot

1. Met BCF ADD wordt bedoeld het framework dat de

ADD hanteert voor het inrichten van haar controle-

aanpak. In de praktijk wordt dit ook vaak het Audit

Framework genoemd. Met BCF wordt in deze context

niet bedoeld: de wijze waarop het verantwoordelijke

managent zijn bedrijfsvoering heeft ingericht.

Data-analyse praktijkervaringen met SAP D...SAP gedownload en veelal (bijvoor-beeld met Microsoft...

Documents

Transcript of Data-analyse praktijkervaringen met SAP D...SAP gedownload en veelal (bijvoor-beeld met Microsoft...