Organisaties hebben interne beheersingsmaatregelen geïmplementeerd ten behoeve van onder meer een effectieve en efficiënte bedrijfsvoering. Daarnaast dragen adequate interne beheersingsmaatregelen bij aan de betrouwbaarheid van de gegevensverwerking in het kader van de financiële verantwoording. Aan het implementeren en uitvoeren van dergelijke maatregelen en het aantonen van het ‘in control’ zijn, zijn kosten verbonden voor organisaties. Ook maakt de externe accountant kosten in verband met het beoordelen (testen) van geïmplementeerde interne beheersingsmaatregelen. Door de inzet van data-analysetools kunnen in het overgrote deel van de situaties de interne beheersings- en controlekosten dalen.
De praktijk is echter zeer weerbarstig, maar wij zien onder invloed van de SOx-wetgeving een verhoogde aandacht voor data-analysetools.
In dit artikel zullen wij aan de hand van een aantal praktijkvoorbeelden laten zien dat (het bestaan en de werking van) interne beheersingsmaatregelen op een effectieve en efficiënte wijze getest kunnen worden door de inzet van data-analysetools, zoals IDEA en ACL.
Inleiding
Als gevolg van een toenemende aandacht bij organisaties en auditors voor het belang van het uitvoeren van een effectieve en efficiënte beoordeling van het stelsel van interne beheersingsmaatregelen zien wij dat hierbij een belangrijke rol is weggelegd voor de inzet van data-analysetools ([Brou06a]). Daarnaast worden er steeds zwaardere eisen gesteld aan de dossiervorming/bewijslast van de uitgevoerde controles. Data-analysetools kunnen voor allerlei doeleinden worden ingezet, bijvoorbeeld bij de uitvoering van de jaarrekeningcontrole, de beoordeling van dataconversies en specifieke onderzoeken zoals fraudeonderzoeken.
De markt op het gebied data-analysetools is in hoofdlijnen op te splitsen in tools die voor een specifieke applicatie zijn bedoeld (bijvoorbeeld Approva, SAP GRC (Governance Risk and Compliance), Oracle GRC Manager), voor bepaalde technische platforms (bijvoorbeeld Symantec, NetIQ, Consul Risk Management), en de producten die in principe productonafhankelijk zijn (bijvoorbeeld IDEA en ACL). In dit artikel wordt ingegaan op de productonafhankelijke tools. Zie voor de achtergrond en het toepassingsgebied van ERP-specifieke tools het artikel in een eerder verschenen Compact ([Brou06b]).
In dit artikel geven wij eerst de voordelen en aandachtspunten van de inzet van data-analysetools. Hierna maken wij aan de hand van een aantal praktijkvoorbeelden inzichtelijk dat interne beheersingsmaatregelen op een effectieve en efficiënte wijze getest kunnen worden door de inzet van data-analysetools. Dit doen wij aan de hand van een door ons ontwikkelde methodiek waarin ‘Internal Controls Frameworks’ en ‘Rulesbooks’ opgesteld worden. De ‘Internal Controls Frameworks’ beschrijven het te testen proces, de risico’s per proces en de controledoelstellingen. De zogenoemde ‘Rulesbooks’ bevatten gerichte instructies om de data-analyseactiviteiten te kunnen uitvoeren.
Voordelen van de inzet van data-analysetools
Er zijn op de markt verschillende productonafhankelijke tools verkrijgbaar waarvan IDEA en ACL de bekendste zijn. De tools kunnen op verschillende gebieden worden ingezet:
- analyse van beveiligingslogging;
- testen van interface en dataconversiemaatregelen;
- controleren van toegangsrechten in applicaties, vooral gericht op het vaststellen van functiescheiding;
- beoordelen van de juiste werking van de (handmatige en geprogrammeerde) beheersingsmaatregelen.
De echte kracht van data-analysesoftware ligt in de functionaliteit. Met behulp van data-analysetools kunnen over (meerdere) grote bestanden complexe bewerkingen worden uitgevoerd. De gegevens vanuit de bron blijven hierbij inzichtelijk, dat wil zeggen er wordt een audit trail opgebouwd van het inlezen van de bestanden tot aan het uiteindelijke resultaat.
De voordelen van het inzetten van data-analysetools zijn evident. Voordelen zijn zowel te behalen door organisaties zelf als door de auditors. Data-analyse kan worden ingezet vanuit verschillende invalshoeken. Zij kan bijvoorbeeld worden gebruikt om een betrouwbare gegevensverwerking van transacties vast te stellen, maar zij kan ook worden ingezet om de effectiviteit en efficiency van processen binnen organisaties te meten, alsmede om analytical reviews uit te voeren die als Company Level Controls kunnen bijdragen aan een verdere efficiëntere SOx 404 interne monitoring of externe audit. Verder kan met behulp van deze tools worden vastgesteld of applicatiecontroles gedurende het hele jaar hebben gewerkt, hetgeen belangrijk is in het geval de algemene computercontroles ontoereikend zijn gebleken.
Belangrijk pluspunt van data-analysetools is dat dergelijke tools met massale gegevensbestanden om kunnen gaan: het analyseren van honderdduizenden databaserecords is geen enkel probleem. Spreadsheets zijn bijvoorbeeld begrensd tot een maximumhoeveelheid data en de performance van veel rapportagesoftware laat bij grote gegevensverzamelingen algauw te wensen over. Daarnaast blijkt uit de praktijk dat met behulp van traditionele rapportagesoftware gemaakte managementrapportages te veel gericht zijn op het verleden en het management geen instrumenten in handen geven om bij te sturen of in te grijpen. Data-analysesoftware is juist in staat gerichte analyses uit te voeren die een bijdrage kunnen leveren aan gefundeerde ingrepen door het management.
Enkele voordelen van de inzet van data-analysetools zijn dan ook:
- Door het inzetten van data-analysetools kan meer controlezekerheid verkregen worden. De tools kunnen grote stromen van transacties verwerken die onderworpen worden aan de gestelde testcriteria. Wanneer er fouten gemaakt worden binnen het proces bestaat er meer kans dat deze worden ontdekt dan dat dit het geval zou zijn bij het uitvoeren van een steekproef en het bij toeval ontdekken van een fout.
- Het inzetten van data-analysetools bevordert de standaardisatie en snelheid bij het uitvoeren van tests op de internecontrolemaatregelen.
- Het inzetten van data-analysetools kan ondersteunend zijn aan de informatiebehoefte van het management bij de beheersing en aansturing van de organisatie en haar processen.
Aandachtspunten bij het hanteren van data-analysesoftware
De ervaring leert dat de inzet van data-analyse leidt tot bruikbare resultaten. De geschetste voordelen van deze inzet kunnen echter niet zonder meer worden gerealiseerd. Het gebruik van dergelijke tools vergt een aanzienlijke hoeveelheid specialistische kennis. Gegenereerde resultaten dienen juist geïnterpreteerd te worden, en hiervoor is gedetailleerde kennis van modellering van processen en data onontbeerlijk. Naast deze technische kennis is een stevige dosis branchekennis en proceskennis noodzakelijk. Bovendien dient de probleemstelling goed te worden afgebakend. De focus dient te liggen op de ‘key-controls’ binnen de interne beheersing. Anders dreigt het gevaar dat data-analyse verzandt in steeds gedetailleerdere analyses, met alle kosten van dien. Branchedeskundigen kunnen de probleemstelling of informatiebehoefte van het management vertalen naar voor de technische specialisten uitvoerbare data-analyses. Ook hebben zij een cruciale rol bij de evaluatie en interpretatie van de uitkomsten. Deze uitkomsten moeten (afhankelijk van het doel van de analyse) immers weer worden vertaald naar een informatiebehoefte van het management. Als uitgangspunt hierbij geldt dat de analyse van de controlebehoefte de helft van de totale onderzoekstijd bedraagt. Vandaar de behoefte om per branche de essentiële data-analyse-instructies vast te leggen in de eerdergenoemde ‘Rulesbooks’.
Ook moet bij het gebruik van data-analysetools worden bedacht dat data-analyses die worden uitgevoerd op onbetrouwbare data tot verkeerde conclusies kunnen leiden. Het is daarom van groot belang om eerst te evalueren of de betrouwbaarheid van de brondata toereikend is voor het analysedoel. Hierbij moet voordat tot data-analyse wordt overgegaan, worden onderzocht of en zo ja, in hoeverre het noodzakelijk is data te schonen, te corrigeren of buiten beschouwing te laten. Hiertoe is inzicht nodig in het datamodel en de databasestructuur van de organisatie. Datatabellen kunnen immers wat naamgeving betreft een bepaalde inhoud suggereren die in de praktijk anders wordt uitgelegd. Het is daarom een vereiste dat inzichtelijk is wat de betekenis is van de diverse velden en hoe dit vertaald wordt in de bestanden. Veelal wordt hierbij snel inzicht verkregen in de data-integriteit van de bestanden. Dit op zijn beurt geeft weer inzicht in de werking van handmatige en geprogrammeerde beheersingsmaatregelen.
Ten slotte dient te worden nagegaan of de peildatum van de bestanden gelijk is om verschillen vooraf te voorkomen. Het is verstandig om vooraf de veronderstellingen te beschrijven ten aanzien van het onderliggende proces en de bronbestanden, bijvoorbeeld dat de database integer wordt verondersteld. Daarnaast dienen de handelingen beschreven te worden in de data-analysetool voor review en controles achteraf (audit trail, log file).
Methodiek voor het gebruik van data-analysetools
Om (het bestaan en de werking van) internecontrolemaatregelen te kunnen testen met behulp van data-analysetools is het belangrijk om van tevoren duidelijk te bepalen op welke wijze activiteiten uitgevoerd moeten worden. Een aantal aspecten speelt hierbij een rol, zoals de doelstelling van de data-analyse, evenals de scope en omvang van de analyse. Ten behoeve van het effectief en efficiënt inzetten van data-analysetools hanteren wij de in figuur 1 weergegeven methodiek.
Figuur 1. Standaardmethodiek voor data-analysewerkzaamheden.
De methodiek wordt hieronder toegelicht.
Inzicht verkrijgen in het te testen proces en bepalen van de controledoelstelling
Allereerst is het belangrijk om te onderzoeken hoe het te testen proces binnen de organisatie is ingericht en te bepalen wat de controledoelstelling/-behoefte is. In het kader van de jaarrekeningcontrole is dit een proces dat in samenwerking met het controleteam wordt gedaan. Veelal kunnen binnen organisaties verschillende processen worden onderkend. Deze processen worden ondersteund door de inzet van applicaties om de transacties te verwerken. De data in deze applicaties vormen de basis voor onze data-analyse. Ook tussen processen bestaat samenhang, die van belang is bij het testen van internecontrolemaatregelen. Verder zal nagegaan moeten worden welke risico’s aanwezig zijn in de te testen processen.
Per te testen proces dient bepaald te worden wat de controledoelstelling(en) is (zijn). Voorbeelden van controledoelstellingen zijn:
- de juistheid en volledigheid van inkoopkortingen per leverancier bij een inkoopproces;
- de juistheid van gehanteerde betaalrekeningen van bijvoorbeeld leveranciers binnen een betalingsverkeerproces;
- de juistheid van gehanteerde rentepercentages gedurende een bepaalde periode binnen een kredietverleningproces.
Analyse van het ‘Internal Controls Framework’
Zodra meer inzicht bestaat in het te testen proces, de risico’s per proces en de controledoelstellingen bepaald zijn, kan een start worden gemaakt met het identificeren van de internecontrolemaatregelen binnen het proces. Deze maatregelen worden vastgelegd in het ‘Internal Controls Framework’ (ICF). Het ICF bevat de belangrijkste processen, risico’s en controledoelstellingen. Een voorbeeld van een ICF wordt verderop in dit artikel gegeven. In het ICF kan ook aandacht worden besteed aan het testen van beheersingsmaatregelen die de effectiviteit van uitvoering van de processen meten. Bijvoorbeeld het meten of hypotheekoffertes worden uitgebracht binnen vijf werkdagen na ontvangst van de aanvraag.
Ontwerpen van ‘Rulesbooks’
De basis voor het ontwerpen van ‘Rulesbooks’ wordt gevormd door het ‘Internal Controls Framework’. De zogenoemde ‘Rulesbooks’ bevatten gerichte instructies om de data-analyseactiviteiten te kunnen uitvoeren. Door middel van de specificaties in het ‘Rulesbook’ wordt bepaald welke gegevens nodig zijn uit de applicatie(s) en worden de ‘queries’ op de data bepaald, zodat de internecontrolemaatregelen getest kunnen worden. De ‘queries’ worden ingevoerd in de data-analysetools. Per record in de database worden velden aangemaakt om te bepalen waaraan een specifiek record moet voldoen, vervolgens worden deze records gesommeerd over een bepaalde waarde. Dit leidt tot een nieuwe set aan records die voor de controle van data inzicht verschaft.
Vastlegging en rapportage
Naar aanleiding van het uitvoeren van de data-analyse met behulp van een data-analysetool dienen de uitkomsten hiervan geanalyseerd en vastgelegd te worden in een rapportage of verslag. De gegevens vanuit bijvoorbeeld IDEA kunnen eenvoudig worden geëxporteerd naar Excel. De lay-out van dergelijke rapportages is flexibel. Hierbij kan onder meer gedacht worden aan het opnemen van dashboards in de rapportage.
Niet elke beheersingsmaatregel uit het ICF is geschikt voor data-analyse. Deze beheersingsmaatregelen kunnen dan door middel van andere controlemiddelen worden getest, zoals waarnemingen ter plaatse, uitvoeren van cijferbeoordelingen en interviews. De inschatting hiervan zal per specifieke situatie uitgevoerd moeten worden. Beheersingsmaatregelen die niet via data-analyse getest worden, worden ook niet meegenomen in het ‘Rulesbook’ voor de data-analyse.
Voorbeeld toepassing in de praktijk
De ICF en ‘Rulesbooks’ kunnen onder meer worden gehanteerd bij de uitvoering van de controlewerkzaamheden in het kader van de jaarrekeningcontrole. Ten behoeve van de uitvoering van de jaarrekeningcontrole is het van belang om inzicht te hebben in het stelsel van de te testen interne beheersingsmaatregelen en wordt een controleaanpak ontwikkeld die een primair systeemgericht of primair gegevensgericht karakter kan hebben. In beide situaties kan de inzet van data-analysetools een bijdrage leveren aan de zogenaamde ‘fact-finding’, dat wil zeggen het vergaren van controlebewijs. ‘Rulesbooks’ worden alleen opgesteld voor die interne controles die via data-analyse onderzocht dienen te worden.
Ten behoeve van de uitvoering van controlewerkzaamheden in het kader van de jaarrekeningcontrole dient bepaald te worden welke activiteiten uitgevoerd moeten worden. Door middel van de hiervoor beschreven methodiek kan hier invulling aan worden gegeven. Belangrijk is dat afhankelijk van het type onderneming specifieke ICF en ‘Rulesbooks’ opgezet worden. Het opzetten hiervan brengt een belangrijk voordeel met zich mee, namelijk het gestandaardiseerd testen van interne beheersingsmaatregelen en het hergebruik hiervan (mits zich geen significante wijzigingen hebben voorgedaan in de controlemaatregelen en processen). Daarnaast zien wij een tendens binnen organisaties om IT te centraliseren en te standaardiseren waardoor dergelijke analyses ook weer breder toepasbaar zijn. Het opstellen van het ‘Rulesbook’ gaat gepaard met onder meer standaardisatie van het gebruik van controletoepassingen bij verschillende typen organisaties. Als een standaardwerkprogramma jaarlijks wordt toegepast, wordt hiermee een historie opgebouwd van de controle en kan vaak de data van het voorgaande jaar als input dienen voor de controlewerkzaamheden van het huidige jaar.
In het ‘Rulesbook’ zijn specifieke ‘werkinstructies’ opgenomen om de tests met behulp van data-analysetools uit te voeren. Het praktijkvoorbeeld is gebaseerd op een toepassing van het tool IDEA om data-analyse uit te voeren. Het ‘Rulesbook’ bestaat uit stappen/instructies die doorlopen kunnen worden om IDEA effectief en efficiënt te kunnen gebruiken. Deze stappen/instructies vormen de basis voor het opzetten van de ‘queries’ in IDEA. Omdat bestanden van verschillende klanten vaak anders zijn ingericht, is het niet mogelijk een algemeen toepasbaar bestand te maken waarbij de gebruiker alleen de input hoeft in te lezen en de output automatisch gegenereerd wordt. Het is wel mogelijk om voor de stappen die worden doorlopen een macro op te nemen en jaarlijks de jaartallen in de broncode aan te passen en uit te voeren. Daarmee is een bepaalde mate van standaardisering van de werkzaamheden mogelijk en zijn belangrijke efficiencyvoordelen te behalen. De ervaringen tot nu toe leren dat door middel van IDEA een effectieve en efficiënte jaarrekeningcontrole kan worden uitgevoerd.
Indien gekozen wordt om gebruik te maken van IDEA dan kunnen de in het ‘Rulesbook’ opgenomen stappen worden gebruikt als vastlegging van auditbewijs.
Wanneer we uitgaan van een standaardprocesmodel kunnen we vanuit het ICF de werkinstructies voor het uitvoeren van de data-analyse definiëren. Aan de hand van het ICF wordt bepaald welke interne beheersingsmaatregelen getest worden met behulp van data-analysetools en worden de werkinstructies hiervoor vastgelegd in de ‘Rulesbooks’.
Het definiëren van de werkinstructies in de ‘Rulesbooks’ baseren we op de vastlegging in het ICF (zie figuur 2).
Figuur 2. Opbouw template van ICF.
Een voorbeeld van de inzet van IDEA betreft een standaardcontrole bij een pensioenfonds. Bij deze controle bestaat de mogelijkheid om het deelnemersbestand (alle deelnemers aan het pensioenfonds) aan te melden bij de Gemeentelijke Basis Administratie (GBA). Op het moment van overlijden van de deelnemer ontvangt het pensioenfonds een bericht van overlijden. Hiernaast bestaat er de mogelijkheid op te vragen welke deelnemers nog in leven zijn per afsluitdatum. Voorwaarde voor toepassing hiervan is dat het pensioenfonds alle deelnemers tijdig aanmeldt bij het GBA en tijdig de gemelde overlijdensgevallen in zijn deelnemersadministratie verwerkt.
Hier dient dus voor de volledigheid van de aanmelding gesteund te worden op de AO/IB. Als hier niet op gesteund kan worden, dan vormt de controle de juistheid te valideren door de in leven zijnden van de deelnemersadministratie aan te sluiten met het downloadbestand van het GBA. In de voorbeelduitwerking is dit voor een pensioenfonds uitgevoerd. We vergelijken hierbij het bestand ontvangen van het GBA met het uitkeringenbestand van het pensioenfonds. De processtap, het risico en de werkinstructie zijn weergegeven in figuur 3.
Figuur 3. Voorbeeld ICF.
In de in figuur 4 weergegeven schermafbeelding zien we dat twee bestanden worden vergeleken op het unieke nummer van de deelnemer, namelijk het BSN-nummer in het GBA met het sofinummer van het uitkeringenbestand.
Figuur 4. Schermprint 1: Aansluiting van GBA en uitkeringenbestand.
De schermprint van figuur 5 toont het resultaat van de koppeling van deze twee bestanden: de resultaten in de kolom BSN-nummer uit het GBA-bestand zijn gelijk aan de resultaten in het veld sofinummer zoals dat is opgenomen in de administratie van het pensioenfonds.
Figuur 5. Schermprint 2: Resultaat van de samenvoeging van de bestanden.
De resultaten van deze controle zijn overgezet naar Excel. Met behulp van de functionaliteit van datafilters worden nadere analyses uitgevoerd op het samengestelde bestand. Het resultaat wordt in schermprint 3 (zie figuur 6) getoond. Deze deelnemers dienen door het management van het pensioenfonds nader te worden onderzocht. In dit voorbeeld kan dus niet volledig worden gesteund op de werking van de internecontroledoelstellingen.
Figuur 6. Schermprint 3: Analyse van de resultaten.
Andere praktijktoepassingen
In de praktijk wordt auditsoftware al veelvuldig toegepast. Onderstaand volgt een overzicht van diverse voorbeelden van onderzoeken die hebben plaatsgevonden waarbij het nut van de inzet van data-analysetools is gebleken.
- Bij een leasemaatschappij is de juistheid en volledigheid van een dataconversie beoordeeld. Hierbij zijn de brondata uit het oude systeem aangesloten op de data in het nieuwe systeem. Er zijn minimale verschillen gevonden ten aanzien van de volledigheid van de data.
- Bij een verzekeringsmaatschappij is onderzoek verricht naar de transacties en verslaggevingsprocessen vanuit een ‘unit-linked’ levensverzekeringensysteem. Op basis van interviews en beperkte systeemdocumentatie is inzicht verkregen in de belangrijkste verslaggevingsrapportage, die vervolgens vanuit data-analysetools is nagebouwd om de betrouwbaarheid van de werking van het systeem vast te stellen. Het belangrijkste resultaat is dat ten aanzien van het interne beheersingsraamwerk adviezen zijn gegeven over de beheersbaarheid van de transactieprocessen en de verslaggevingsprocessen.
- Bij een verzekeraar is een onderzoek uitgevoerd naar de autorisatie-inrichting. Per rol zijn de autorisaties op de menustructuur en de bestanden bepaald. Vervolgens is vanuit het polisbeheersysteem het volledige bestand ingeladen. Per medewerker is zodoende bepaald of de autorisaties overeenkomen zoals deze zijn gedefinieerd binnen de rol. Resultaat is dat de volledige set is geschoond en geactualiseerd naar de huidige situatie.
- Bij een pensioenfonds zijn de uitkeringen en mutaties in de standen onderzocht. Doordat het controleteam de beschikking had over de data van het voorgaande jaar, konden de belangrijkste mutaties per deelnemer op juistheid worden onderzocht.
Conclusie
Data-analyse maakt gebruik van krachtige geautomatiseerde tools waarmee het mogelijk is bruikbare managementinformatie uit massale gegevensbestanden te destilleren. Bovendien kan dit in relatief korte tijd en zonder grote investeringen. Uiteraard is data-analyse geen panacee en kent zij haar eigen uitdagingen. Niettemin is uit de praktijkcasussen af te leiden dat data-analyse tot interessante resultaten kan leiden en dus terecht volop in de belangstelling staat. Data-analysesoftware lijkt een welkome aanvulling op de al bestaande geautomatiseerde hulpmiddelen.
Door middel van de inzet van data-analysetools kan meer inzicht worden verkregen in de beheersbaarheid van processen en het functioneren van internecontrolemaatregelen. We zien in de praktijk dat op verschillende gebieden data-analysetools worden toegepast door zowel management, internal audit als external audit. Voor de ondersteuning van de externe audit leidt het standaardiseren van controleprogramma’s in de vorm van ‘Internal Control Frameworks’ en ‘Rulesbooks’ tot een versnelde aanpak voor het testen van controlemaatregelen en biedt deze werkwijze daarnaast meer zekerheid dan de traditionele handmatige aanpak op basis van steekproeven. Echter, het toepassen van data-analysetools is wel onderworpen aan een aantal voorwaarden.
Literatuur
[Brou06a] P.P.M.G.G. Brouwers, Toekomst is nu, geautomatiseerde tools niet meer weg te denken, De Accountant, april 2006.
[Brou06b] Drs. P.P.M.G.G. Brouwers RE RA, drs. M.A.P op het Veld RE en drs. ing. A.T.J. Lissone, Tool-based monitoring en auditing van ERP-systemen, van hebbeding naar noodzaak, Compact 2006/2.
[PCAO04] PCAOB, Standard number 2: An Audit of Internal Control over Financial Reporting Performed in Conjunction with an Audit of Financial Statements, Public Company Accounting Oversight Board, March 9, 2004.