de IT-Auditor nummer 3 | 201132
DNIEUWE TAAKSTELLING
DEFENSIE & NIEUWE ICT
De ICT-component is voor Defensie
altijd een belangrijke factor geweest
bij het invullen van haar taakstelling.
De afgelopen jaren heeft er een wijzi-
ging in de taakstelling van Defensie
plaatsgevonden. Was de oude taak-
stelling van Defensie primair gericht
op het verdedigen van het NAVO-
territorium, de huidige taakstelling is
voornamelijk gericht op operationeel
(missie) optreden ten behoeve van
vrede en veiligheid wereldwijd. Hier-
door is een groeiende behoefte
ontstaan aan snelle, wisselende
(expeditionaire) interventiemachten.
Kernwoorden binnen de krijgsmacht
zijn dan ook: brede inzetbaarheid en
intensievere samenwerking (zoge-
noemde ‘joint optreden’) tussen
defensieonderdelen.
Met de veranderde operationele taak-
stelling zijn ook de eisen veranderd
die worden gesteld aan de organisatie
en daarmee aan de informatiesyste-
men. Joint optreden vereist namelijk
ook ‘joint ondersteuning’. Defensie
heeft voor joint ondersteuning op het
Data-analyse: praktijkervaringen met SAP
De invoering van het ERP-systeem SAP binnen het
ministerie van Defensie, in juni 2008, veranderde de
controleomgeving van de Auditdienst van Defensie
(ADD) ingrijpend. Niet alleen door de verandering
in beheersmaatregelen, maar ook als gevolg van
het feit dat in de beginfase de application controls
en de autorisaties niet optimaal ingevuld waren. De
ADD werd geconfronteerd met risico’s en de hier-
mee gepaard gaande onzekerheden. Door middel
van data-analyse is het mogelijk gebleken om die
niet te kwantificeren onzekerheden om te buigen
in concrete posten, die nadere aandacht behoef-
den. Momenteel wordt in toenemende mate
gebruikgemaakt van de vele mogelijkheden die
SAP biedt om met behulp van data-analyse de
financial audit effectiever en efficiënter in te richten
c.q. te ondersteunen. Wij willen via dit artikel inzicht
geven hoe een en ander is verlopen. Ook willen we
aangeven hoe er met behulp van data-analyse de
moeilijk te overbruggen kloof tussen IT-audit en
financial audit kan worden overbrugd.
JOHAN SCHOONEN EN VINCENT TOMS
de IT-Auditor nummer 3 | 2011 33
logistieke en financiële vlak gekozen
voor SAP. Het voordeel van SAP is
dat door middel van customizing de
functionaliteit van SAP en de
behoefte vanuit de bedrijfsvoering
naadloos op elkaar kunnen worden
aangesloten. Door het inbouwen van
beheersingsmaatregelen in de proces-
gang via SAP kan de kwaliteit van de
bedrijfsvoering worden verbeterd.
SAP EN DE WETTELIJKE TAAK
ACCOUNTANT
Het spreekt voor zich dat de invoe-
ring van SAP gevolgen heeft voor de
wijze waarop de ADD haar wettelijke
taak (onder andere controle van de
jaarrekening) invult. In zijn alge-
meenheid geldt dat hoe meer beheer-
singsmaatregelen in de procesgang
zijn ingebouwd, hoe meer de accoun-
tant bij zijn controle kan steunen op
de geautomatiseerde informatievoor-
ziening en des te minder hij gegevens-
gericht hoeft te controleren.
Een voorwaarde bij deze controleaan-
pak is dat je wel moet kunnen steu-
nen op de inrichting van de inge-
bouwde beheersingsmaatregelen en
dat deze gedurende het hele jaar
hebben gefunctioneerd.
Binnen de ADD geldt als uitgangs-
punt dat een procesgerichte aanpak
de voorkeur geniet boven een gege-
vensgerichte aanpak. Daar waar het
effectief en efficiënt is, wordt zoveel
mogelijk gesteund op de in het
proces opgenomen beheersings-
maatregelen.
Bij de inrichting van beheersingmaat-
regelen geldt een tweetal belangrijke
principes:
Preventieve maatregelen hebben de
voorkeur boven detectieve en repres-
sieve maatregelen. De nadruk moet
liggen op beheersingsmaatregelen
die zoveel mogelijk borgen dat er
geen vervuiling in het SAP-systeem
ontstaat. Voorkomen is beter dan
genezen.
Geautomatiseerde controles hebben
de voorkeur boven handmatige con-
troles.
Als een geautomatiseerde controle
(application control) eenmaal adequaat
is ingericht, is deze in het algemeen
efficiënter en effectiever dan een
handmatige controle (user control).
Echter, de uitdaging is hoe op een
gestructureerde wijze invulling te
geven aan een procesgerichte contro-
leaanpak.
Hoe: kernelementen
procesgerichte aanpak
Voor de wijze waarop invulling
wordt gegeven aan een procesgerichte
controleaanpak staan binnen de
ADD een tweetal onderwerpen cen-
traal, te weten Business Control
Framework (BCF) en Business Proces
Analyse (BPA). Deze worden hierna
verder toegelicht.
BCF
Het Business Control Framework
ADD1 geeft de klassieke componen-
ten weer die van belang zijn voor het
invullen van een procesgerichte audit.
Wij hebben als centrale spil toege-
voegd: data-analyse. Zie figuur 1.
De componenten functiescheiding en
general IT controls dienen borg te
staan voor een veilige en continue
omgeving voor het SAP-informatie-
systeem. Een geïntegreerde set van
application- en user controls borgt de
kwaliteit van mutatiestelling en ver-
werking. Uitgangspunten hierbij zijn
dat geautomatiseerde controles
(application controls) het primaat
hebben en dat de nadruk zoveel
mogelijk op de invoering van preven-
tieve controles ligt. Voornoemde vier
vakken dienen bij de procesgerichte
auditaanpak van de accountant vol-
doende aandacht te krijgen.
Door de audittrail- en logging-facili-
teiten van SAP is momenteel binnen
het vakgebied een tendens gaande,
waarbij data-analyse in toenemende
mate een rol krijgt bij de invulling van
de auditwerkzaamheden. Vandaar
dat we data-analyse als centrale spil
hebben toegevoegd in het BCF.
BPA
De Business Proces Analyse (BPA)
geeft de uitkomsten weer van een
procesanalyse, waarbij per processtap
de potentiële risico’s alsmede de
getroffen maatregelen zijn aangege-
ven. Ten aanzien van de maatregelen
wordt onderscheid gemaakt in func-
tiescheiding, application controls,
user controls (inclusief relevante
Functiescheiding
Data-analyse
Usercontrols Application controls
General IT controls
Business Control Framework ADD
Figuur 1: Business Control Framework
Figuur 2: Business Proces Analyse
de IT-Auditor nummer 3 | 201134
rapportage), data-analyse activiteiten
en het resterende restrisico. Zie
figuur 2. Data- analyse hebben we als
controle-instrument meegenomen,
omdat hiermee in specifieke gevallen
het restrisico aanzienlijk kan worden
verminderd.
Door middel van een BPA heeft de
accountant per onderkend risico
inzicht in de getroffen maatregelen en
kan hij het restrisico bepalen. Op een
eenvoudige wijze wordt zichtbaar hoe
de mix van beheersingsmaatregelen
zich tot elkaar verhouden en waar het
accent van de controle komt te liggen.
Als vreemde eend in de bijt is data-
analyse bij het vorengaande meegeno-
men, omdat in specifieke gevallen via
reguliere data-analyse activiteiten het
potentiële risico (veelal kwalitatief )
behoorlijk kan worden verminderd.
Hierover later meer.
Uitgaande van bovengenoemde syste-
matiek van BCF en BPA gaan wij in
op de vraag hoe data-analyse kan
worden ingepast in een procesge-
richte aanpak.
Hoe: toepassingsmogelijkhe-
den data-analyse
In het Handboek Auditing Rijks-
overheid zijn stappen opgenomen
voor het uitvoeren van een procesana-
lyse. De centrale doelstelling is dat
Figuur 3: Stappen Procesanalyse
STAP 1: Uitvoeren van de procesanalyse
STAP 2: Plannen van de te verrichten systeemgerichte werkzaamheden
STAP 3: Uitvoeren systeemgerichte werkzaamheden en evalueren uitkomsten daarvan
STAP 4: Rapporteren over de bevindingen naar aanleiding van de verrichte procesanalyse
STAP 5: Vaststelling van de uit te voeren gegevensgerichte controlewerkzaamheden
Uitkomsten procesanalyseWerkprogramma
Autorisatie-scan
(=momentopname)
Data-analyse
(=film!)
Niveau
1
• Toegekende autorisaties in rollen
• Wat ‘kan’ de gebruiker
• Momentopname; ‘foto’ van de rollen
• Transactiecode logging
• Gestarte transactioecodes per gebruiker
• Transactie kan slechts voor weergave gebruikt zijn
• Aantal gebruikers is momentopname
• Vaak logging van +/– 3 maanden beschikbaar
• Daadwerkelijk gemaakte boekingen en andere
mutaties
• Transactionele data
• Over gehele periode
• Gemaakte boekingen op hetzelfde document
• Bijv. accorderen eigen documenten
• Verdere verwerking door dezelfde gebruiker
in proces
• Op dit niveau bevinden zich de echte risico’s
Niveau
2
Niveau
3
Niveau
4
Figuur 4: 4 niveaus analyse autorisaties
per geselecteerd proces inzichtelijk
wordt gemaakt hoe de processen
worden beheerst. In figuur 3 zijn de
vijf onderkende stappen schematisch
weergeven.
Een uitgevoerde procesanalyse leidt
tot het opstellen van een BPA waarin
de samenhang van de beheersings-
maatregelen gestructureerd is weer-
gegeven. Nadat de opzet van de
beheersingsmaatregelen is bepaald,
wordt het bestaan vastgesteld en de
werking (het functioneren) getoetst.
Bij deze stappen kan data-analyse
effectief worden ingezet.
Data-analyse kan zowel worden
ingezet om vast te stellen dat ‘het
systeem’ heeft gewerkt, als om effec-
tief gegevensgericht de audit uit te
voeren.
Onderstaand wordt dit toegelicht aan
de hand van de volgende toepassings-
mogelijkheden van data-analyse:
• Data-analyse en beoordeling
autorisaties.
• Data-analyse en beoordeling func-
tioneren application controls.
• Data-analyse en data-mining.
• Data-analyse en general IT
controls.
Beoordeling autorisatie en
data-analyse
Vanwege de wettelijke taak is het van
groot belang om vast te stellen of er
wordt voldaan aan de gewenste func-
tiescheiding. Hierbij worden de
autorisaties voor zowel eindgebrui-
kers als ICT-beheerders beoordeeld.
Voor het uitvoeren van een onder-
zoek naar autorisaties is binnen de
ADD een aanpak ontwikkeld, waar-
bij die een viertal analyseniveaus
onderkent. Zie figuur 4.
de IT-Auditor nummer 3 | 2011 35
Niveaus 1 & 2
Op niveau 1 vindt analyse plaats van
de daadwerkelijk toegekende autori-
saties aan gebruikers. Getoetst wordt
of een gebruiker beschikt over
bevoegdheden die uit hoofde van
functiescheiding onverenigbaar met
elkaar zijn. Ook wordt duidelijk welke
gebruikers over een bepaalde kritieke
functionele transactie (bijvoorbeeld
opstarten betalingsrun) beschikken.
Op niveau 2 wordt getoetst of de
gebruikers de desbetreffende transac-
ties ook daadwerkelijk hebben opge-
start. Niet zichtbaar is of zij bij het
opstarten van deze transacties ook
daadwerkelijk mutaties hebben
gesteld en zo ja, welke.
Het uitvoeren van een onderzoek naar
autorisaties binnen SAP is zodanig
complex, dat dit niet zonder tooling
kan plaatsvinden. De bestaande too-
ling kan de kwalitatieve bevindingen
uit niveaus 1 en 2 niet kwantificeren
(vertalen in geldbedragen). De bevin-
dingen van een onderzoek naar de
autorisaties leidde in de praktijk dan
ook vaak tot meer onzekerheden in
plaats van zekerheden. Het was vrijwel
onmogelijk om de financiële impact
van deze bevindingen op de jaarreke-
ning te bepalen, zie illustratie 1.
Niveaus 3 & 4
Het nieuwe aan de aanpak die binnen
de ADD in samenwerking met een
strategische partner is ontwikkeld, is
de analyse op niveaus 3 en 4. Op niveau
3 vindt analyse plaats of de eindgebrui-
kers (die volgens analyse op niveau 1 en
2 over te ruime bevoegdheden beschik-
ken) ook daadwerkelijk mutaties
hebben gesteld op basis van hun te
ruime bevoegdheden. Op niveau 4
wordt getoetst of dit voor hetzelfde
document heeft plaatsgevonden. De
niveaus 3 en 4 lichten wij nader toe aan
de hand van een voorbeeld.
Als voorbeeld gaan we uit van de
functievermenging dat een gebruiker
zowel een factuur kan agenderen als
verifiëren. De uitgevoerde data-
analyse resulteert in informatie, die
inzicht geeft in de vraag welke gebrui-
kers daadwerkelijk facturen hebben
geagendeerd en geverifieerd en het
Figuur 5: Output analyse agenderen en verifiëren factuur incl. financieel belang (niveau 3)
Illustratie 1
de IT-Auditor nummer 3 | 201136
financieel belang dat hiermee gemoeid
is (niveau 3). In figuur 5 is een voor-
beeld opgenomen. Vervolgens wordt
bepaald voor welke facturen het agen-
deren en verifiëren door één en
dezelfde gebruiker is geschied
(niveau 4). Deze facturen behoeven
nadere aandacht. Zie figuur 6.
De eerste stap bij niveau 3 is het vast-
stellen welke specifieke SAP-tabellen
(en velden) de transactie agenderen en
verifiëren muteert. Bedenk hierbij dat
SAP beschikt over tienduizenden
tabellen en dat het voor het verkrijgen
van de noodzakelijke informatie vaak
nodig is om gegevenselementen uit
meerdere tabellen aan elkaar te kop-
pelen. Deze stap is het meest arbeids-
intensief en vereist de nodige creativi-
teit en deskundigheid. De praktijk
heeft geleerd dat een intensieve samen-
werking tussen accountant, IT-audi-
tor en data-analist noodzakelijk is om
deze vertaalslag te kunnen maken. Een
geïntegreerd systeem vereist een geïn-
tegreerde aanpak. Samenwerking en
ervaring zijn kritieke succesfactoren.
Na deze analyse worden de desbe-
treffende tabellen (en velden) uit
SAP gedownload en veelal (bijvoor-
beeld met Microsoft Access) aan
elkaar gekoppeld.
Voor de gebruikers, waarvan op
niveaus 1 en 2 is geconstateerd dat deze
zowel kunnen agenderen als verifiëren,
wordt op basis van de verkregen detail-
gegevens integraal vastgesteld welke
facturen zij daadwerkelijk hebben gea-
gendeerd respectievelijk geverifieerd
(inclusief financieel belang).
Vervolgens is het mogelijk om voor
elke gebruiker vast te stellen welke
factuur hij zowel heeft geagendeerd
als geverifieerd (inclusief financieel
belang).
Resultaat
Door middel van deze analyse op
niveaus 3 en 4 is de bestaande onze-
kerheid, voortvloeiend uit de kwali-
tatieve bevinding functievermenging
agenderen en verifiëren, omgezet in
concrete posten die nadere aandacht
nodig hebben. Zie figuur 7.
Mede dankzij de audittrail-facilitei-
ten van SAP is het via voornoemde
aanpak mogelijk gebleken om kwali-
tatieve bevindingen (die moeilijk zijn
te kwantificeren en dus te wegen), die
voortvloeien uit IT-audits naar auto-
risaties, om te zetten in concrete
posten/facturen. Op basis van deze
informatie kan de accountant de
vinger op de zere plek leggen en onze-
kerheid ombuigen naar zekerheid.
Een bijkomend voordeel van deze
wijze van werken, is dat de lijnorga-
nisatie de bevindingen over autorisa-
ties niet kan bagatelliseren door te
zeggen dat het ‘slechts’ een theore-
tisch risico is.
DATA-ANALYSE EN BEOORDE-
LING FUNCTIONEREN
APPLICATION CONTROLS
In de BPA is aangegeven op welke
application controls de accountant
(in opzet) kan steunen. Sinds jaar en
dag wordt in dit licht het bestaan
van de application controls binnen
SAP getoetst door het vaststellen of
de parameters inderdaad op de juiste
wijze zijn ingesteld. Het zwakke van
een dergelijk onderzoek is dat er
sprake is van een momentopname.
Er wordt een foto gemaakt van de
instellingen. Deze geeft echter geen
zekerheid of deze beheersingsmaat-
Figuur 6: Detailgegevans facturen agenderen en verifiëren door één gebruiker (niveau 4)
Figuur 7: Vertaling bevindingen naar concrete posten
de IT-Auditor nummer 3 | 2011 37
regelen gedurende het gehele jaar
hebben gefunctioneerd.
Het beoordelen van het functioneren
van het change management van
programmatuurwijzigingen (in het
kader van het toetsen van de general
IT controls) biedt in de praktijk
slechts beperkte zekerheid over het
in continuïteit bestaan van de inrich-
ting van een specifieke application
control. Dit mede gezien de veelheid
van tabellen van SAP. Er ontstaat
namelijk een beeld van het functio-
neren van het change management-
proces in algemene zin. Zeker indien
er sprake is van een zeer dynamische
en complexe omgeving, zoals bij
Defensie, blijft er onzekerheid
bestaan of de application controls in
continuïteit hebben gefunctioneerd.
Deze onzekerheid wordt versterkt,
doordat gedurende de meerjarige
uitrolperiode er sprake is van krach-
tige user ID’s in de productieomge-
ving met ruime rechten. Dit om
eventuele knelpunten gedurende de
uitrol snel te kunnen oplossen.
Het risico bestaat dat deze krachtige
users via customizing de inrichting
van de application controls in de pro-
ductieomgeving direct (buiten de
bestaande change procedures om)
wijzigen.
Door middel van het toepassen van
data-analyse kan de auditor aanvul-
lende zekerheid krijgen over het in
continuïteit functioneren van een
specifieke application control. Dit is
mogelijk door te toetsen of via custo-
mizing direct in de productieomge-
ving wijzigingen (buiten de reguliere
change management-processen om)
zijn aangebracht. De wijze waarop
deze analyse plaatsvindt, lichten we
hieronder aan de hand van een voor-
beeld toe.
Een manier om een application con-
trol in SAP te wijzigen/in te richten
is via zogenaamde customizing trans-
actiecodes. Bij een dergelijke wijziging
van de inrichting creëert SAP auto-
matisch een wijzigingsdocument. Dit
document is de basis voor de desbe-
treffende data-analyse.
In het voorbeeld gaan we uit van de
application control: het vier-ogen prin-
cipe voor wijziging crediteur. Het vier-
ogen principe houdt in dat een credi-
teur wordt geblokkeerd voor betaling,
op het moment dat één of meerdere
(vooraf opgegeven) kritieke velden van
het stamgegeven van een crediteur zijn
aangelegd of gewijzigd. De crediteur
wordt pas vrijgegeven nadat de aange-
brachte mutatie is goedgekeurd door
een tweede functionaris. Voornoemde
application control is onder andere van
belang voor het onderhoud van bank-
gegevens van een crediteur. Het voor-
komt dat iemand zelfstandig de bank-
gegevens van een crediteur kan
wijzigen voor mogelijk eigen gewin.
Het vier-ogen principe op de kritieke
velden (zoals bankrekeningnummer)
wordt vastgesteld in tabel T05FF.
Door middel van een specifieke trans-
actie kunnen de wijzigingsverslagen
voor een tabel (in dit concrete geval
tabel T05FF) voor een bepaalde
periode worden opgevraagd. In
figuur 8 is te zien dat er geen wijzi-
gingen in het geselecteerde tijdvak
hebben plaatsgevonden.
Binnen SAP is het echter ook moge-
lijk om (bijvoorbeeld via de transactie
SE16N) direct wijzigingen op de
tabellen door te voeren. Met behulp
van de tabellen SE16N_CD_KEY
en SE16_CD_DATA (voor de
detailgegevens) kun je vaststellen of
gedurende een onderzoeksperiode
inderdaad wijzigingen direct op tabel-
len zijn doorgevoerd. Hierbij wordt
gebruikgemaakt van de logging-gege-
vens van SAP.
Het is echter mogelijk om de logging
uit te zetten (of te wijzigen). Het is
dan ook zaak om vast te stellen dat
de logserver het gehele jaar aange-
schakeld is geweest. Deze check kan
worden uitgevoerd door het beoor-
delen van de parameter rec/client via
het SAP-rapport RSPARAM of
transactie TU02. SAP-systemen
worden vaak geclusterd, de parame-
ter rec/client dient op elk onderdeel
van het cluster te worden onderzocht
omdat dit per applicatieserver wordt
ingeregeld en dus kan verschillen.
Door het gebruik van data-analyses
op de hiervoor beschreven wijze ver-
krijgt de auditor een redelijke (geen
absolute) zekerheid over het functio-
neren van de application controls
gedurende de onderzoeksperiode. De
accountant kan bij het uitvoeren van
zijn wettelijke taak dan ook daad-
werkelijk op de onderkende applica-
tion controls gaan steunen.
DATA-ANALYSE EN
DATA-MINING
Voor een omvangrijke gegevensge-
richte analyse is data-analyse ook te
gebruiken. Het biedt de mogelijkheid
om vast te stellen dat processen
conform de beoogde opzet zijn
Figuur 8: Wijzigingsverslag tabel T05FF
de IT-Auditor nummer 3 | 201138
verlopen dan wel om afwijkingen/bij-
zondere posten te selecteren. Onder-
staand wordt dit toegelicht. Overi-
gens is het inzetten van data-analyse
voor data-mining niet echt nieuw.
Het is echter de discussie waard om
te overwegen data-analyse vaker in te
zetten als alternatief voor de statisti-
sche steekproef. Dit omdat meer
gericht wordt gekeken.
Zo is het voor de accountant relevant
om te weten dat invoer en verwerking
van mutaties conform de beschreven
opzet van het proces zijn verlopen.
Stel dat de invoer van facturen betref-
fende de afgenomen diensten altijd
via een specifieke workflow (en bijbe-
horende transactie) moet plaatsvin-
den. Dit, omdat in de workflow speci-
fieke application controls zijn
ingericht. Door middel van data-ana-
lyse is vast te stellen of de invoer van
dienstenfacturen inderdaad via die
specifieke transactie (workflow) heeft
plaatsgevonden. Dit is van belang
omdat een tabel via meerdere trans-
acties kan worden gemuteerd en niet
voor alle transacties inrichting van de
application controls heeft plaatsge-
vonden. Door gebruik te maken van
andere transacties kunnen beheer-
singsmaatregelen, zoals gedefinieerd
in de workflow, worden omzeild.
Door het op een dergelijke wijze
inzetten van data-analyse, wordt
zekerheid verkregen dat de gestelde
mutaties inderdaad onder het gel-
dende regime van beheersingsmaat-
regelen zijn gesteld.
Een andere toepassing van data-ana-
lyse is het verkrijgen van inzicht in
wie een specifieke (kritieke) transac-
tie heeft opgestart of bepaalde boe-
kingen heeft verricht. Te denken valt
bijvoorbeeld aan inzicht in de mede-
werkers die de betalingsrun ook
daadwerkelijk hebben opgestart.
Met behulp van data-analyse kan
gericht worden gezocht naar afwij-
kingen/uitzonderingen. Denk hierbij
aan de constatering van een zwakke
plek in het proces, waarbij je als
accountant wilt weten of dit inder-
daad heeft geresulteerd in onjuiste/
afwijkende mutaties.
Als voorbeeld gaan we uit van de situ-
atie dat, mede in het licht van de nale-
ving van de Europese regelgeving, het
aangaan van verplichtingen voor een
bepaalde functie is gelimiteerd. Bij het
aangaan van verplichtingen boven een
bepaalde grens, is mandatering door
een tweede functionaris noodzakelijk.
Nu is bij de beoordeling van de
inrichting van de application controls
vastgesteld dat de grenswaarden niet
juist zijn ingesteld, waardoor moge-
lijk door een aantal functionarissen
verplichtingen zijn aangegaan die hun
bevoegdheid overschrijden. Door
middel van een data-analyse kan
worden vastgesteld of dit risico zich
ook daadwerkelijk heeft voorgedaan.
Door bijvoorbeeld voor aangegane
verplichtingen boven de hiervoor
genoemde grenswaarde te filteren op
functionarissen, niet zijnde degene
die hiertoe zijn bevoegd.
Een ander voorbeeld is het gebruik
van data-analyse ter bepaling van de
impact van uitwisseling van user ID’s
en passwords door eindgebruikers.
Vanuit de accountant kwam het sig-
naal dat er mogelijk sprake was van
een zwakke passworddiscipline. Door
middel van transactie SM20 werd
online vastgesteld dat inderdaad
meerdere personen gelijktijdig onder
één gebruikersaccount actief waren.
De vraag doemde op: in welke mate
is dit in het verleden gebeurd? Is er
sprake van ondergraving van de
minimale functiescheiding? Of wat is
de impact/materialiteit van deze
bevinding?
Door middel van data-analyse is vast-
gesteld vanaf welke pc’s kort achter
elkaar meerdere user-id’s actief zijn
geweest en onder welke user-id’s
gelijktijdig meerdere malen is aange-
logd. Op basis hiervan is een lijst van
mogelijke verdachte combinaties van
SAP-gebruikersaccounts vastgesteld.
Vervolgens is via data-analyse op
niveau 4 vastgesteld of door deze ver-
dachte combinaties kritische trans-
acties in samenhang zijn verricht. Bij-
voorbeeld heeft een verdachte
combinatie zowel een factuur inge-
voerd als een wijziging van bankreke-
ningnummer voor desbetreffende
factuur doorgevoerd. Of heeft een
verdachte combi zowel een factuur
ingevoerd als geautoriseerd. Op deze
wijze werden posten geselecteerd die
nadere aandacht behoefden. Dankzij
de uitgevoerde analyse was de
accountant in staat om de ontstane
onzekerheid weg te nemen door
middel van aanvullende gegevensge-
richte detailcontroles.
Een andere toepassingsmogelijkheid
van data-analyse is het uitvoeren van
verbandcontroles en het toetsen op
een ongewenste samenloop van
posten. Een voorbeeld van dit laatste
is de toetsing op de samenloop van
toelagen die qua regelgeving onge-
wenst zijn. Zo is het mogelijk dat als
iemand toelage a krijgt, hij geen recht
meer heeft op toelage b. Of dat als
iemand een bepaalde salarisschaal
heeft bereikt, hij geen recht meer
heeft op een bepaalde vergoeding.
Denk hierbij bijvoorbeeld aan over-
werk dat vanaf een bepaalde schaal
niet meer wordt vergoed.
Door het gebruik van data-analyse
kan op een effectieve wijze integraal
worden vastgesteld of er sprake is van
een ontoelaatbare samenloop. Voor
de accountant is het financiële belang
van de onrechtmatigheid tot op de
cent nauwkeurig te bepalen.
Met behulp van de data-analyse kan
een initiële cijferanalyse worden uit-
gevoerd. Door middel van initiële cij-
feranalyse ontstaat inzicht in bijvoor-
beeld de gegevensstromen in een
informatiesysteem, de materialiteit
van de stromen, welke documenten
zijn gebruikt, het aantal spoedbeta-
lingen, et cetera.
Daarnaast kan data-analyse een nut-
tige rol vervullen bij het invullen van
de reguliere informatiebehoefte.
Denk hierbij bijvoorbeeld aan de
behoefte aan inzicht van het gebruik
de IT-Auditor nummer 3 | 2011 39
Drs J.C.M. (Johan) Schoonen RE RA MGA is werkzaam als audit-
manager bij de Audit Dienst Defensie (ADD) en is verantwoordelijk voor
audits naar de implementatie van SAP bij Defensie.
V.E. (Vincent) Toms RE is werkzaam als auditor bij de Audit Dienst
Defensie (ADD) en heeft onderzoeken gedaan naar de implementatie
van SAP bij Defensie.
van eenmalige crediteuren, alterna-
tieve betaalontvangsten of signaallijst
dubbele facturen. De verkregen infor-
matie is richtinggevend voor de con-
trolewerkzaamheden. Het verkregen
inzicht bevordert een effectieve inzet
van de beschikbare controlemiddelen.
Het mooie van data-analyse is dat het
een integraal beeld geeft óf en in welke
mate een en ander is voorgevallen. Het
spreekt voor zich dat hoe meer kennis
de auditor van de bedrijfsprocessen
heeft, hoe effectiever de inzet van het
instrument data-analyse zal zijn.
DATA-ANALYSE EN GENERAL IT
CONTROLS
In het begin van dit artikel is aange-
geven dat general IT controls rand-
voorwaardelijk zijn voor het functio-
neren van een informatiesysteem. In
de praktijk leiden bevindingen, voort-
vloeiend uit onderzoeken naar de
general IT controls, regelmatig tot
vraagtekens bij de accountant.
Hoe moet hij deze bevindingen
wegen, hoe zijn deze te vertalen naar
zijn controleaanpak en hoe kunnen
bevindingen gecompenseerd worden?
In welke mate kan nog worden
gesteund op het informatiesysteem?
Wordt nog voldaan aan het minimaal
vereiste AO/IC? Betekent dit dat de
controle-massa onbetrouwbaar is?
Complicerende factoren bij het over-
leg tussen de accountant en de IT-
auditor zijn vaak afwijkend vakjargon,
verschil in scoping en beleving.
Door gebruik te maken van data-ana-
lyse kan in veel gevallen de voor de
accountant ontstane onzekerheid
door de kwalitatieve bevindingen
worden weggenomen, dan wel worden
geconcretiseerd/gekwantificeerd.
Een mooi voorbeeld vanuit de prak-
tijk is de constatering dat in de SAP-
productieomgeving enkele consul-
tants/beheerders met vrijwel
onbeperkte rechten aanwezig zijn.
Hoewel dit te allen tijde dient te
worden voorkomen dan wel gemini-
maliseerd, kan het in de praktijk wel
degelijk optreden. Zeker als er sprake
is van een grootschalige uitrol, gepaard
gaande met een hoge tijdsdruk.
Wat heeft een dergelijke gebeurtenis
voor impact op de accountantscon-
trole? In het verleden leidde dit tot veel
discussie en mogelijk onbegrip tussen
de accountant en de IT-auditor.
Door middel van een gestructureerde
data-analyse kan echter een groot
deel van de onzekerheid worden weg-
genomen. Te denken valt hierbij bij-
voorbeeld aan:
• Analyse of door consultants/
beheerders financiële transacties
zijn gesteld. Eventuele mutaties
verdienen nadere aandacht.
• Zijn door de consultants/beheer-
der kritieke (technische) transac-
ties opgesteld, hoe zijn die verant-
woord, passen deze binnen hun
takenpakket en heeft toezicht
plaatsgevonden.
• Is door de consultants/beheerders
direct in de tabellen gemuteerd en
zo ja welke wijzigingen zijn er
doorgevoerd.
Data-analyse kan hiertoe de beno-
digde informatie opleveren. Op basis
hiervan kan gerichte communicatie
plaatsvinden, waarbij de verschillen
tussen de werelden van de IT-auditor
en de accountant overbrugbaar blij-
ken te zijn.
TOT SLOT
Door middel van dit artikel hebben
we getracht inzicht te geven in de ont-
wikkeling die we als ADD de afgelo-
pen jaren hebben doorgemaakt met
het gebruik van data-analyse. Kijkend
naar het verleden, zien we dat data-
analyse binnen de controleaanpak van
de accountant weer aan belang heeft
gewonnen.
Naar onze overtuiging slaat een pro-
fessionele inzet van data-analyse een
brug tussen de wereld van de IT-
auditor en de accountant. Zo is het
onder meer mogelijk om niet-
gekwantificeerde bevindingen,
voortvloeiend uit IT-audits, om te
zetten in concrete posten voor de
accountant, die om verdere aandacht
vragen. De afgelopen jaren is in de
praktijk gebleken dat het mogelijk is
om doelgericht grote onzekerheden
om te zetten in een relatief klein
aantal posten, dat nader beschouwd
moest worden. Naar onze mening is
aldus een witte vlek die al enige tijd
bestond, op deze wijze in te vullen.
Momenteel worden de data-analyse
activiteiten veelal door de ADD zelf
uitgevoerd. Het ligt voor de hand dat
in de toekomst deze activiteiten lang-
zaam maar zeker voor een groot deel
worden geadopteerd door de lijnor-
ganisatie. ■
Noot
1. Met BCF ADD wordt bedoeld het framework dat de
ADD hanteert voor het inrichten van haar controle-
aanpak. In de praktijk wordt dit ook vaak het Audit
Framework genoemd. Met BCF wordt in deze context
niet bedoeld: de wijze waarop het verantwoordelijke
managent zijn bedrijfsvoering heeft ingericht.