Data-analyse als brug tussen twee werelden
In een sterk geautomatiseerde omgeving speelt bij de jaarrekeningcontrole de IT-auditor een belangrijke rol. In de praktijk gaat een geïntegreerde aanpak echter niet altijd makkelijk. Soms lijken IT-auditor en accountant in aparte werelden te leven. Het toepassen van data-analyse kan deze kloof overbruggen.
Dit artikel is verschenen in Accountant nr. 12, 2012
Bekijk alle artikelen uit dit nummer
Eric Pols en Johan Schoonen
Wij hebben de afgelopen jaren ervaren dat het mogelijk is om met data-analyse de (kwalitatieve) bevindingen uit IT-audits om te buigen naar concrete posten die nadere aandacht van de accountant behoeven. Met dit ‘kwantificeren van kwalitatieve bevindingen’ verkrijgt de accountant meer inzicht in wat de uitkomst van een IT-audit betekent voor de jaarrekening. In de praktijk is het mogelijk gebleken om in plaats van toenemende onzekerheid, meer zekerheid te creëren voor de accountant. Hij maakt dan ook steeds vaker gebruik van de mogelijkheden die een informatiesysteem (zoals SAP) biedt om met behulp van data-analyse de jaarrekeningcontrole efficiënter in te richten.
Planningsfase
Gedurende de planningfase is het van belang dat de accountant inzicht heeft in de bedrijfsprocessen, de ondersteuning hiervan door informatiesystemen en de impact hiervan op de jaarrekening. Zeker bij een nieuwe klant is dit niet altijd meteen inzichtelijk. Zo biedt een SAP-omgeving, met zijn tienduizenden transactiecodes en vele inrichtingsmogelijkheden, vele wegen die naar Rome leiden. In dit stadium kan de IT-auditor een belangrijke ondersteunende rol spelen. Door data-analyse kan hij inzicht geven in de processtromen binnen SAP: de gebruikte transacties, document(typ)en en de financiële omvang van de onderkende processtromen. Dit is van belang omdat elke stroom vaak zijn eigen geautomatiseerde beheersingsmaatregelen kent. Op basis van deze informatie kan de accountant bepalen welke transactiestromen significant zijn. Voor deze transactiestromen kan hij vervolgens een procesanalyse uitvoeren. Dit leidt tot de bepaling van de key controls (belangrijkste beheersingsmaatregelen) waarop de accountant wil steunen.
Daarnaast kan in de beginfase van de controle via data-analyse snel inzicht worden verkregen in afwijkende c.q. bijzondere gegevensstromen. Denk aan boekingen buiten het standaardproces om, zoals goederenontvangsten zonder bestelling, of correctieboekingen.
Functioneren application controls
Sinds jaar en dag wordt het bestaan van de geautomatiseerde controls (application controls) getoetst door vast te stellen of de parameters binnen het informatiesysteem inderdaad juist zijn ingesteld. Het zwakke van zo'n onderzoek is dat het een momentopname is: er wordt een ‘foto’ gemaakt van de instellingen. Deze geeft echter geen zekerheid of de beheersingsmaatregelen gedurende het gehele jaar op de juiste wijze zijn ingesteld en hebben gefunctioneerd.
Met data-analyse kan worden bepaald of, hoe vaak en wanneer gedurende het jaar een application control doorbroken is. Hiertoe wordt onder meer gebruikgemaakt van de aanwezigheid van de zogenoemde wijzigingsdocumenten in SAP. Door analyse op die documenten kan worden bepaald of en wanneer een application control tijdelijk heeft uitgestaan.
Via data-analyse kan de accountant hierdoor het risico veelal kwantificeren. Stel dat bijvoorbeeld het vier-ogen-principe op de wijzigingen op de leveranciersstamgegevens gedurende een periode in het jaar is doorbroken. Door data-analyse kan dan worden bepaald welke bankrekeningnummers van leveranciers in die periode zijn aangepast, en door wie; inclusief de bedragen die daarnaar mogelijk onterecht zijn overgemaakt.
Op deze wijze krijgt de accountant een grote mate van zekerheid over het daadwerkelijk functioneren van de controls die voor zijn jaarrekening van belang zijn. Bij het niet-functioneren daarvan weet hij exact welke posten eventueel nadere aandacht behoeven.
Functiescheiding
De vertaalslag van de kwalitatieve bevindingen over functiescheidingen naar de impact hiervan op de jaarrekening is in de praktijk niet altijd even gemakkelijk. Met op de markt verkrijgbare software kan worden bepaald welke gebruikers de beoogde functiescheiding kunnen doorbreken. Deze software geeft echter geen antwoord op de vraag of de gebruikers ook daadwerkelijk mutaties hebben doorgevoerd. Dit heeft vaak tot gevolg dat de bevindingen van een IT-audit op het gebied van functiescheiding in de praktijk tot meer in plaats van minder onzekerheden voor de accountant leiden. Het is vrijwel onmogelijk om de financiële impact van deze kwalitatieve bevindingen op de jaarrekening te bepalen. Wat hebben de gebruikers bijvoorbeeld gedaan met hun te ruime bevoegdheden? Data-analyses kunnen een brug slaan tussen de bevindingen van de IT-auditor en de behoefte van de accountant. Er kan worden vastgesteld of de gebruikers daadwerkelijk hebben gemuteerd met hun te ruime bevoegdheden. De accountant verkrijgt daarmee een beeld van mutaties die mogelijk nadere aandacht behoeven. Wij hebben in de praktijk veelvuldig ervaren dat hiermee relatief grote onzekerheden kunnen worden teruggebracht tot een relatief klein aantal posten. Daarnaast kan het resultaat van een data-analyse als advies dienen voor het management van een organisatie. In het verleden kon vaak alleen worden aangegeven dat de organisatie theoretisch een risico liep op misbruik van te ruime bevoegdheden. Door data-analyse kan nu concreet worden aangegeven waar het ook daadwerkelijk fout is gegaan.
IT-general controls
IT-general controls zijn randvoorwaardelijke beheersmaatregelen voor het functioneren van een informatiesysteem, denk hierbij aan wijzigingsbeheer en toegangsbeheer. Het komt regelmatig voor dat bevindingen uit een IT-audit op dit gebied zorgen voor vraagtekens bij de accountant. Hij moet opvolging geven aan de bevindingen die aangeven dat (de omgeving van) het informatiesysteem minder veilig is dan was voorzien.
Daarbij kunnen vragen opdoemen: ‘Hoe moet ik deze bevindingen wegen?’,‘Wat betekent dit voor de jaarrekening?’ en ‘Hoe kunnen bevindingen worden gecompenseerd?’. Door data-analyse kunnen de voor de accountant ontstane onzekerheden in veel gevallen worden weggenomen of geconcretiseerd/gekwantificeerd.
Een mooi voorbeeld vanuit de praktijk is de situatie waarin een aantal krachtige gebruikers vrijwel onbeperkte rechten heeft. Hoewel dit altijd dient te worden voorkomen of in elk geval geminimaliseerd, kan het wel degelijk optreden. Zeker als er sprake is van een nog niet uitgekristalliseerde omgeving waarin bijvoorbeeld een grootschalige implementatie gepaard gaat met een hoge tijdsdruk. Wat heeft de aanwezigheid van deze krachtige gebruikers voor impact op de jaarrekeningcontrole?
In het verleden leidde dit tot veel discussie en onbegrip tussen accountant en IT-auditor en bleken de werelden ver uit elkaar te liggen. Door een gestructureerde data-analyse kan echter een groot deel van de onzekerheden worden weggenomen. Daarbij valt te denken aan gerichte analyses op:
- kritieke financiële of technische mutaties door krachtige users;
- directe mutaties in de database (buitende applicatie om).
Cirkel weer rond
In de praktijk blijkt een goede communicatie en samenwerking tussen IT-auditors en accountants geen vanzelfsprekendheid. Afwijkend vakjargon, het verschil in scope van het onderzoek en de beleving van bevindingen spelen hierbij een rol.
Met behulp van data-analyse kan een brug worden geslagen tussen beide werelden en kunnen kwalitatieve bevindingen worden omgezet naar kwantitatieve posten. De ervaring leert echter dat voor het succesvol toepassen van data-analyse een integrale aanpak is vereist, waarbij de accountant en IT-auditor intensief samenwerken. Daarom is het van belang dat men investeert in kennis en kunde.
Kijkend naar het verleden is het interessant om te zien dat de cirkel weer rond is. Het vak IT-audit ontstond destijds doordat een aantal accountants via data-analyses de voor de jaarrekening benodigde informatie uit een computer naar boven haalde. Zij waren de pioniers van het vakgebied. Nu, vele jaren later, legt dezelfde data-analyse de link tussen accountant en IT-auditor.
Continuous auditing
Momenteel worden de data-analyse activiteiten veelal door de accountant of IT-auditor zelf uitgevoerd. Het ligt voor de hand dat deze activiteiten in de toekomst langzaam maar zeker worden geadopteerd door de lijnorganisatie, in de vorm van continuous auditing/continuous monitoringsystemen (CA/CM). De accountant zal hierop kunnen gaan steunen. Ad hoc data-analyses door de accountant of IT-auditor kunnen hierbij dienen als prototype om te worden geïmplementeerd in een CA/CM-systeem.
Accountant, IT-auditor en data-analyse
Brug tussen twee werelden en efficiëntere jaarrekeningcontrole door:
- data-analyse op informatiesysteem klant
- kwantificeren van kwalitatieve bevindingen
- geïntegreerde aanpak
Noot
Eric Pols is IT-auditor bij KPMG Advisory NV. Johan Schoonen is audit manager bij de auditdienst van het ministerie van Defensie.
Gerelateerd
NOREA onderzoekt rol IT-auditor bij duurzaamheids-informatie
NOREA, de beroepsvereniging van IT-auditors, heeft recent een position paper gepubliceerd over audits van duurzaamheidsinformatie. De organisatie vraagt om te reageren...
Zijn kinderen online veilig?
De IT-auditor vervult een preventieve rol in onze digitale samenleving om het algemeen belang te dienen.
NOREA publiceert manifest over digitale weerbaarheid en verslaggevingsstandaard voor IT-beheersing
NOREA, de beroepsorganisatie van IT-auditors, heeft recent een manifest uitgebracht dat moet bijdragen aan de digitale weerbaarheid van de samenleving. Ook is een...
NOREA: Ziekenhuizen gaan gebukt onder toenemende auditlast
Ziekenhuizen hebben te maken met een toenemende auditlast, blijkt uit onderzoek van NOREA.
Het is geen populaire mening, maar accountants zijn ook maar mensen
Het moet afgelopen zijn met het idee dat een individuele accountant alles maar moet kunnen. Het maakt de accountant blind en komt de kwaliteit van de controle niet...