Inleiding

De invoering van de regelgeving die de betrokkenheid van de IT-auditor vereist bij controleklanten van een bepaalde omvang, heeft ertoe geleid dat de IT-auditor steeds meer wordt ingezet bij werkzaamheden in de internal en external audit. Veelal betreft dit het beoordelen van de IT general controls van de te beoordelen systemen en de application controls die onderdeel uitmaken van deze systemen. De kennismaking tussen het vakgebied van de accountant en IT-auditor heeft als bijkomend effect geleid tot een groeiend aantal initiatieven waarbij gezocht wordt naar nieuwe wegen om tot een efficiëntere wijze van het uitvoeren van een jaarrekeningcontrole met behulp van de inzet van de IT-auditor te komen.

Parallel aan deze ontwikkeling binnen de accountancy is een steeds verdergaande ontwikkeling zichtbaar op het gebied van tools die het analyseren van gegevens in ERP-systemen gemakkelijker maken. Deze tools worden in toenemende mate door zowel de IT-auditor als de gebruiker gehanteerd ([Brou07]).

Dit artikel heeft als doel het pad te verkennen en gebieden te identificeren waar door geautomatiseerde gegevensgerichte controle efficiencyverbetering haalbaar is bij het toetsen van beheersingsmaatregelen in omgevingen waar gebruik wordt gemaakt van het ERP-systeem Oracle eBS.

Controlebenaderingen

Tijdens de jaarrekeningcontrole richt de accountant zijn werkzaamheden op het vaststellen van de inhoudelijke juistheid van de verantwoording in de jaarrekening. Bij het opstellen van de controleaanpak bepaalt de accountant welke controlebenadering wordt gehanteerd.

Controlebenaderingen waar de accountant onder meer uit kan kiezen zijn:

1. De systeemgerichte controlebenadering. Deze benadering richt zich op de adequate werking van de AO/IC van de organisatie. Bij het toetsen van de AO/IC gaat de aandacht onder meer uit naar beheersingsdoelstellingen van het type IT general controls en application controls, die zijn ingericht in het administratieve systeem, het ERP-pakket. Het toetsen van de IT general controls en application controls is in de regel het werkterrein van de IT-auditor.
2. De gegevensgerichte controlebenadering. Deze benadering richt zich op toetsing op basis van cijferbeoordelingen, verbandcontroles en totaalcontroles, waarbij niet wordt gesteund op de mogelijk aanwezige beheersingsmaatregelen in de organisatie. Deze activiteiten zijn in de regel het werkterrein van de accountant ([West01]).

Vaak wordt gekozen voor een combinatie van de twee, waarbij systeemgerichte controlebenadering wordt aangevuld met gegevensgerichte controlebenadering. De analyse van de RoSM (Risk of Significant Misstatement) bepaalt in welke mate aanvullend gegevensgericht gecontroleerd moet worden. Voor deze analyse wordt onder meer gekeken naar de IT general controls en de application controls. Indien de toetsing van de IT general controls en de application controls aantoont dat beide categorieën van beheersingsmaatregelen effectief zijn, dan heeft deze vaststelling geen verhogend effect op de risk of significant misstatement (RoSM) en zal de accountant steunen op deze beheersingsmaatregelen. Zijn de beheersingsmaatregelen van de IT general controls en de application controls niet effectief, dan heeft dit mogelijk aanvullende gegevensgerichte werkzaamheden tot gevolg.

Hoewel het uitvoeren van de aanvullende gegevensgerichte werkzaamheden in de regel het werkterrein van de accountant is, is op dit terrein een toenemende betrokkenheid van de IT-auditor waar te nemen. De IT-auditor beschikt immers over tools die hem in staat stellen om gericht naar bepaalde, specifieke transacties te zoeken in het ERP-systeem en hierover te rapporteren. De omvang van de administratie is hierbij geen of nauwelijks een beperkende factor. Dit stelt de IT-auditor zelfs in staat de volledige populatie van transacties te onderzoeken op afwijkende, in het kader van de jaarrekeningcontrole, ongewenste transacties (volledig gegevensgerichte aanpak, controlebenadering 3). Vervolgens kan de IT-auditor de totale set aan ongewenste transacties in samenwerking met de accountant analyseren en rubriceren. Daarnaast kan de IT-auditor de juiste werking van de beheersingsmaatregelen aantonen door de geconstateerde afwijkingen te analyseren op basis van de volledige set transacties en gegevens (gegevensgericht de AO/IC testen).

De beschreven controlebenaderingen zijn in figuur 1 schematisch weergegeven.

Figuur 1. Schematische weergave van de drie controlebenaderingen.

Kenmerken van deze drie controlebenaderingen zijn:

1. De systeemgerichte controlebenadering richt zich op beheersingsmaatregelen in en rond het ERP-systeem. In geval van application controls betreft het controls die een bepaald gedrag van de administrateur afdwingen bij het vastleggen van transacties. Als aangetoond is dat de beheersingsmaatregelen effectief zijn, dan wordt verondersteld dat de vastlegging juist heeft plaatsgevonden. Echter, als niet aangetoond kan worden dat beheersingsmaatregelen effectief zijn, dan mag niet meer verondersteld worden dat de vastlegging juist heeft plaatsgevonden, wat effect heeft op de RoSM en aanvullende werkzaamheden. Toch is het niet ondenkbaar, dat ondanks een niet-werkende beheersingsmaatregel een juiste vastlegging heeft plaatsgevonden. Helaas biedt deze benadering geen handvatten voor deze situatie.
2. De (reguliere) gegevensgerichte controlebenadering concentreert zich primair op de opbouw vanuit de primaire registraties tot aan de financiële administratie, de rubricering en samenvatting in de saldibalans en tot slot de jaarrekening. In de top-downbenadering (de analytische controle) worden de primaire registraties alleen bekeken als daar aanleiding toe is vanuit de cijferbeoordeling. Als de aanleiding er is, dan wordt op basis van een aselect getrokken sample uit de registratie een uitspraak gedaan over de gehele registratie. Helaas biedt deze benadering van aselect sampling beperkt handvatten om de aandacht direct te richten op afwijkende transacties in de registraties. Het is bovendien mogelijk dat de getrokken sample geen afwijkende transacties bevat, terwijl deze wel bestaan.
3. De geautomatiseerde gegevensgerichte controlebenadering is als de reguliere gegevensgerichte controlebenadering, met het verschil dat in de geselecteerde primaire registraties direct gezocht kan worden naar afwijkende transacties, waarna een betere inschatting van de RoSM te maken is. Helaas staat of valt deze methode bij een betrouwbare werking van de tools waarmee de gegevens van de transacties uit het ERP-systeem worden gehaald.

In de volgende paragraaf wordt toegelicht op welke wijze de drie controlebenaderingen een uitwerking hebben in een Oracle eBS-omgeving.

De toegevoegde waarde van een geautomatiseerde gegevensgerichte benadering in een Oracle eBS-omgeving

Waarom is in een Oracle eBS-omgeving de geautomatiseerde gegevensgerichte benadering te verkiezen boven een systeemgerichte benadering?

Om deze vraag te kunnen beantwoorden moet gekeken worden naar het internecontrolerisico (het risico dat het administratieve stelsel een betekenisvolle onjuistheid niet heeft kunnen voorkomen) van een systeemgerichte controle van een Oracle eBS-omgeving. Voor dit ERP-systeem is de veronderstelde hardheid van een aantal, door de accountant vaak getoetste application controls zoals de 3-way match, betaaltermijnen, kredietlimieten in werkelijkheid niet zo hard. Dit heeft te maken met de filosofie waarmee Oracle eBS is opgezet; namelijk het bieden van flexibiliteit naar de gebruiker.

In Oracle eBS worden geprogrammeerde instellingen gebruikt om de gebruiker van het systeem zoveel mogelijk te faciliteren bij het invoeren van transacties door zoveel mogelijk velden automatisch te vullen volgens de geprogrammeerde instelling. Echter, deze door het systeem ingevulde veldwaarden zijn in standaard Oracle eBS overschrijfbaar voor degene die de transactie invoert. Hierdoor is er geen sprake meer van door de applicatie afgedwongen gedrag en wordt op dit moment in de regel de bevinding genoteerd dat de application control niet effectief werkt. Indien geen compenserende maatregelen zijn getroffen, heeft deze bevinding nadelige gevolgen voor de hoeveelheid door de accountant uit te voeren additionele gegevensgerichte werkzaamheden.

Bovengenoemde bevinding, hoewel juist vastgesteld volgens de definitie, hoeft niet te betekenen dat er sprake is geweest van een risico. Want hoewel de geprogrammeerde instelling in Oracle eBS slechts fungeert als een automatische veldwaardengenerator, is het toch mogelijk dat dit voldoende is om de gebruikers van het systeem het gewenste gedrag op te leggen. De vervolgvraag is daarom: Op welke wijze kan worden vastgesteld in welke mate de administrateur heeft afgeweken van de door het systeem standaard ingevulde veldwaarden?

De IT-auditor kan geautomatiseerde gegevensgerichte werkzaamheden uitvoeren in het IT-systeem, waardoor aangetoond kan worden aan de accountant, dat een application control niet gewerkt heeft, maar dat er geen of slechts een beperkt risico is geweest. De wijze waarop dit plaatsvindt zal in de volgende paragraaf worden toegelicht aan de hand van een voorbeeld over 3-way matching, de meest door de accountant gevraagde beheersingsmaatregel.

Een voorbeeld van geautomatiseerd gegevensgericht toetsen van een beheersingsdoelstelling

Een veelvuldig gehanteerde beheersingsdoelstelling is: ‘Alle crediteurenfacturen worden gevalideerd voordat tot betaling wordt overgegaan.’

Voor het halen van deze beheersingsdoelstelling wordt voor een groot deel gesteund op de beheersingsmaatregel die stelt dat de zogenaamde 3-way match plaatsvindt. De 3-way match is een geautomatiseerde validatie van een crediteurenfactuur op basis van een reeds eerder gecreëerde en gevalideerde inkooporder in combinatie met een registratie van de goederenontvangst of ontvangst van de ingekochte dienst.

In een aantal ERP-systemen, anders dan Oracle eBS, bestaat vaak een instelling in de applicatie die afdwingt dat voor bepaalde typen transacties een 3-way match vereist is ter validatie van een inkoopfactuur. In deze situatie kan een systeemgerichte controle gericht op de IT general controls en application controls volstaan om gerechtvaardigd te mogen steunen op de 3-way match als beheersingsmaatregel.

In Oracle eBS bestaat een dergelijke instelling ook. Echter, vanwege de filosofie van Oracle waarbij de flexibiliteit van Oracle eBS ten gunste van de klant prevaleert, is deze instelling, zoals eerder beschreven, niet dwingend van karakter. Er kunnen zich nu twee situaties voordoen:

1. De administrateur heeft in geen enkele transactie de standaardwaarde, 3-way match, aangepast. Alle transacties van het betreffende type zijn gevalideerd volgens de gewenste 3-way match. Deze bevinding betekent voor de accountant dat geen aanvullende, handmatige, gegevensgerichte werkzaamheden nodig zijn.
2. De administrateur heeft, om nog onbekende redenen en voor een onbekend aantal transacties, de vanuit de instelling voorgestelde 3-way match overschreven met een andere matchoptie, waarschijnlijk 2-way match. De 2-way match stelt uitsluitend de inkooporder als voorwaarde voor het valideren van de factuur. Hierdoor is het mogelijk dat de administratie facturen betaalt van goederen die niet geleverd zijn. Deze bevinding betekent voor de accountant dat aanvullende werkzaamheden uitgevoerd moeten worden om de materialiteit van deze afwijking te bepalen.

Voor het vaststellen van beide hier geschetste situaties kan de IT-auditor ondersteuning bieden aan de accountant door uitvoering van een geautomatiseerde gegevensgerichte controle.

De door de IT-auditor uitgevoerde werkzaamheden bestaan uit de volgende activiteiten:

1. Alle transacties van het betreffende transactietype in de te controleren periode worden opgevraagd.
2. De opgevraagde transacties worden gefilterd op transacties die afwijken van de standaard ingestelde 3-way match.

Indien geen afwijkingen gevonden worden, dan is vastgesteld dat sprake is van de eerste situatie. Indien afwijkingen zijn geconstateerd, dan is er sprake van de tweede situatie. De IT-auditor zal deze bevinding in ieder geval rapporteren aan de accountant. Dit betekent niet dat daarmee de werkzaamheden van de IT-auditor zijn afgerond. Want ook bij het uitvoeren van de aanvullende werkzaamheden kan de IT-auditor ondersteuning bieden aan de accountant. De IT-auditor beschikt immers over de gegevens van alle uitzonderingstransacties. Deze gegevens kunnen voor de accountant relevante informatie bevatten, op basis waarvan hij zijn aanvullende werkzaamheden kan bepalen.

De vervolgstappen zijn:

3. Vaststellen van de omvang van de afwijkende fractie. De fractie van de afwijkende transacties ten opzichte van de gewenste transacties wordt bepaald. Indien deze fractie klein genoeg is, kan de accountant besluiten dat de afwijking van niet materieel belang is en dat er dus geen aanvullende werkzaamheden nodig zijn.
4. Uitvoeren van een analyse van de afwijkende fractie. Uit de beschikbare gegevens kan worden afgeleid of er een bepaalde gemene deler is aan te duiden voor de afwijking. Indien de gemene deler is aan te duiden en deze toelaatbaar is, kan de accountant alsnog besluiten dat er geen noodzaak is om aanvullende werkzaamheden uit te voeren.
5. Bepalen van aanvullende werkzaamheden. Als is vastgesteld dat er geen gemene deler is voor de afwijkingen, of dat er sprake is van een niet toelaatbare oorzaak voor bepaalde afwijkingen, kan de accountant besluiten om een aanvullende gegevensgerichte controle uit te voeren.

De beschikbaarheid van detailinformatie van alle afwijkende of ongewenste transacties biedt de accountant meer mogelijkheden bij het bepalen van de aanvullende gegevensgerichte werkzaamheden. De accountant kan de aanvullende werkzaamheden immers volledig richten op de afwijkende transacties.

Toepasbaarheid op andere gebieden

Er zijn vele mogelijkheden om geautomatiseerde gegevensgerichte controle toe te passen. Hierbij valt bijvoorbeeld te denken aan automatisering van de volgende controlewerkzaamheden:

• inzicht verschaffen in de volledigheid van facturatie;
• vaststelling dat tegenover alle voor verzending afgeboekte goederen een daaraan gerelateerde factuur staat;
• identificatie van potentiële inkoopfacturen die betrekking hebben op verplichtingen die zijn aangegaan in de voorgaande periode;
• bepaling van het onderhanden werk;
• identificatie van verkoopfacturen waarvan de boekingsdatum mogelijk is aangepast;
• alle aspecten van autorisaties en functiescheiding.

Deze werkwijze kan uitgebreid worden naar andere werkzaamheden die traditioneel door de accountant zelf worden uitgevoerd.

Naast de werkzaamheden die door de accountant worden uitgevoerd, bestaan er ook mogelijkheden voor de gebruiker van Oracle eBS, de cliënt van de accountant. Deze kan dezelfde methodiek gebruiken om beheersingsmaatregelen in te richten in de eigen AO/IC, en wel:

• Detectief toetsen van beheersingsmaatregelen. De cliënt voert periodiek een test uit, waarmee afwijkingen van de norm gesignaleerd worden. Op basis van de geconstateerde afwijkingen kan de cliënt maatregelen treffen.
• Preventief toetsen van beheersingsmaatregelen. De applicatie signaleert op het moment dat een afwijking dreigt te ontstaan. De applicatie kan deze afwijking signaleren of actief voorkomen. In de laatste situatie is sprake van een application control, waar de accountant op kan steunen bij zijn werkzaamheden.

Tools ter ondersteuning van de geautomatiseerde gegevensgerichte controle

Onderstaande ontwikkelingen onderschrijven de tendens dat de laatste jaren de tools voor het analyseren van gegevens een snelle groei in volwassenheid en efficiëntie aan het doorlopen zijn.

1. De oorspronkelijke methode voor het verkrijgen van gegevens was voornamelijk gericht op het on-site verzamelen van de gegevens rechtstreeks vanaf een werkstation van de cliënt. In deze methode wordt gebruikgemaakt van de standaardrapporten van Oracle eBS. Voordeel van deze methode is, dat de juistheid van de gegevens gegarandeerd is. Nadeel is dat deze rapporten zich niet goed lenen voor analyse in Excel. Een ander nadeel van Oracle’s standaardrapporten is dat slechts een beperkt deel van de in het systeem aanwezige gegevens daar deel van uitmaakt. De kans is groot dat de door de standaardrapporten opgeleverde gegevens geen ondersteuning bieden aan de uit te voeren analyse van de afwijking.
2. Vervolgens heeft men zich gericht op het automatiseren van het verkrijgen van gegevens door middel van extractiescripts. De verkregen gegevens worden daarna verwerkt door bijvoorbeeld zelf in MS Access gebouwde tools. Voordeel van deze methode is, dat alle in het systeem aanwezige gegevens beschikbaar zijn voor de analyse. Nadeel is dat vraagtekens geplaatst kunnen worden bij de juistheid en volledigheid van de gerapporteerde gegevens. Eén factor die afbreuk doet aan de juistheid en volledigheid is de kans dat het datamodel van Oracle eBS niet juist door de bouwer van de MS Access-tool is geïnterpreteerd. Een andere factor is dat het niet ondenkbaar is dat de gebruiker van het Access-rapport onbewust een verkeerde selectie bij het ophalen van de gegevens opgeeft. Beide hebben de rapportage van ‘false positives’ tot gevolg, wat afbreuk doet aan de juistheid en volledigheid van de bevinding.
   
   Een belangrijk kenmerk van deze methode is dat het efficiencyvoordeel pas te behalen valt als de Access-tool bij herhaling in te zetten is. Het bouwen van de tool vergt immers een investering. Deze investering is in het bijzonder gericht op het bouwen van de zogenaamde content. De content is een vertaling van de controleactiviteiten zoals deze verwoord zijn in het werkprogramma van de accountant, naar de te rapporteren gegevens ter onderbouwing van die controleactiviteiten.
   
   Naarmate de tijd vordert vereist de zelfbouwtool bovendien onderhoud. Dit onderhoud is gericht op het synchroon houden van de scripts met de Oracle-releases. Immers, na elke release bestaat de mogelijkheid dat uit te lezen tabellen zijn gewijzigd, waardoor het script niet meer werkt.
3. De volgende stap is dat professionele, niet-Oracle-partijen zich hebben toegelegd op het professionaliseren van de zelfbouwtools. Deze tools werken in wezen precies hetzelfde als de zelfbouw-Access-tools. Een voordeel van deze tools is dat de kosten voor het bouwen en beheren van de tool nu bij een externe partij liggen. Een ander te verwachten voordeel is, dat verwacht mag worden dat het aantal gerapporteerde ‘false positives’ lager is. Dit kan in de praktijk overigens tegenvallen. Een nadeel is dat de standaard meegeleverde rapporten minder goed aansluiten bij de rapportagebehoefte.
4. Tot slot heeft Oracle zelf onderkend dat er een behoefte is aan rapportages voor het doel van Governance, Risk and Compliance (GRC) en andere KPI’s waarover gebruikers periodiek wensen te rapporteren. Dit jaar heeft Oracle een nieuwe productsuite gelanceerd, die aan alle rapportagebehoeften omtrent GRC en breder wil voldoen. Voordeel van deze tool is dat de juistheid van de output wederom gegarandeerd is, dat de rapportage flexibel is en dat alle gegevens beschikbaar zijn voor rapportage. Daartegenover staat dat Oracle GRC een relatief nieuw product is, dat de komende periode verder geoptimaliseerd zal worden.

Een belangrijk punt dat bij bovenstaande ontwikkelingen vermeld dient te worden, is dat de toepassing van de tools ook afhankelijk is van de volwassenheid van de organisaties aangaande risk en compliancy. Er kan gesteld worden dat de afgelopen jaren, onder meer vanwege SOx-vereisten, er een aanzienlijke professionaliseringsslag heeft plaatsgevonden binnen organisaties als het gaat om het vastleggen en bewaken van risico’s en controles. Echter, er kan ook worden gesteld dat de mate waarin deze professionaliseringsslag is doorgevoerd en wordt bewaakt, sterk per organisatie verschilt, hetgeen gevolgen heeft voor de toepassing van de tools.

Figuur 2 geeft de levenscycli weer die men kan onderscheiden en de vertaling ervan naar ondersteunende tooling. Bijvoorbeeld: de toepassing van Oracle GRC verlangt een sterkere professionalisering dan het bewaken van risico’s en controles door middel van standaardrapporten. Indien men deze fasen echter succesvol heeft doorlopen, is men ook beter in staat het gehanteerde ‘control framework’ in te zetten bij het realiseren van performanceverbeteringen in de business.

Figuur 2. Volwassenheidsfasen GRC in relatie tot tooling.

De GRC-suite van Oracle

De Oracle GRC-suite is een ruim palet van tools dat bedoeld is om de gebruiker te ondersteunen bij alle aspecten van GRC. Het gaat hierbij om fact-finding direct op Oracle eBS, rapportage door middel van dashboards, en ondersteuning bij het vastleggen en archiveren van elektronische werkpapieren. De Oracle GRC-suite is verder dusdanig flexibel opgezet dat het mogelijk is op meer dan uitsluitend GRC-gerelateerde beheersingsdoelstellingen te rapporteren. Daarmee is rapportage van elke door de gebruiker van belang geachte KPI mogelijk.

Verder biedt de Oracle GRC-suite de mogelijkheid om preventief dan wel detectief om te gaan met beheersingsmaatregelen. Indien de GRC-suite preventief wordt ingezet, ontstaat de mogelijkheid om application controls die in de basis van Oracle eBS niet effectief in te zetten zijn (zoals de 3-way match) door toevoeging als preventieve controle in de GRC-suite toch aantoonbaar effectief te laten werken.

Figuur 3 Dashboard in Oracle GRC.

In figuur 3 is een dashboard uit Oracle GRC weergegeven waarin de afwijking ten opzichte van de beoogde matchingmethode gekwantificeerd is.

Oracle GRC is in principe bedoeld om geïmplementeerd te worden op de omgeving van de gebruiker. Het is ook mogelijk gegevens van klanten op een stand-alone omgeving te analyseren met behulp van een standaardset van regels. Daarmee biedt de GRC-suite ook mogelijkheden voor de werkzaamheden van de auditor.

Conclusie

Oracle GRC brengt de geautomatiseerde gegevensgerichte controle dichterbij waardoor de mogelijkheden voor de accountant om efficiënter en gerichter controlewerkzaamheden uit te voeren toenemen.

De tools die de geautomatiseerde gegevensgerichte controle mogelijk maken, bieden de gebruiker de mogelijkheid om zelf actief te sturen op de door de accountant te toetsen beheersingsmaatregelen. Hierdoor kan de gebruiker zelf een efficiencyslag realiseren binnen de eigen administratieve processen en de mate van beheersing beter aantoonbaar maken aan de accountant.

Een belangrijke randvoorwaarde voor het succesvol toepassen van de tools is het bepalen van de volwassenheidsfase van een organisatie als het gaat om het vastleggen en bewaken van risico’s en controles. Indien men dit inzichtelijk heeft gemaakt, kan men de stappen bepalen die men moet doorlopen om het control framework effectief te kunnen inzetten bij het verbeteren van de business performance.