In dit hoofdstuk worden de attributen beoordeeld op basis van de informatie die verkregen is uit de data-analyse.
5.1 Analysemethode
In het vorige hoofdstuk is aan de hand van de voorwaarden de situatie van de organisatie beschreven zoals die is (IST). In dit hoofdstuk volgt de analyse en een beoordeling van de 20 attributen. Een attribuut wordt op drie niveaus beoordeeld: voldoende, mogelijke
voldoende en onvoldoende. Als de attribuut voldoet aan de wenselijke situatie (SOLL), wordt dit met voldoende beoordeeld. Als een attribuut niet of beperkt aanwezig is, maar het is bedrijfseconomisch verantwoord om dit aan te passen of te verbeteren, wordt ‘mogelijk voldoende’ beoordeeld. Als dit laatste niet het geval is, omdat het teveel geld of inspanning kost, met onvoldoende. In het laatste geval wordt niet aan de randvoorwaarden voldaan en CA kan niet of slechts gedeeltelijk toegepast worden. Als er bijvoorbeeld geen logische toegangsbeveiliging is en iedereen onbeperkt in het systeem kan, of als de beveiliging door de accountant onvoldoende wordt beoordeeld en het management niet bereid is om haar beleid aan te passen, kan CA niet toegepast worden, ook al zijn misschien andere
voorwaarden wel aanwezig. Uiteraard is deze beoordeling subjectief, maar het is altijd aan de accountant om te beoordelen of hij kan steunen op het systeem en de interne beheersing.
5.2 Beoordeling randvoorwaarden
Op basis van de bevindingen zoals beschreven in het vorige hoofdstuk, zijn de 20 vooraf gedefinieerde attributen beoordeeld. Twee van de attributen zijn beoordeeld als
‘onvoldoende’ omdat ze niet aanwezig zijn en implementatie te duur is. Vijf attributen zijn beoordeeld als ‘mogelijke voldoende’ omdat formalisatie en automatisering beperkt is. Hierbij moet opgemerkt worden dat bereidwilligheid om procedures of beleid aan te passen afhankelijk is van de organisatie.
Attributen Kenmerken, voorbeelden Aanwezig,
voldoende waarborgen. Beperkt aanwezig, aanpassing mogelijk. Niet aanwezig, aanpassing onmogelijk. 1. Logische toegangsbeveiliging
Algemene architectuur van de servers;
Autorisatietabellen.
Autorisaties zijn ruim ingericht. Er is geen beheerprocedure opgezet voor
onderhoud van autorisaties, dit gebeurt tijdelijk door de SAP consultant.
2. Change Management
De wijze waarop gevolgen van doorgevoerde wijzigingen geborgd zijn;
Conversie van het ERP-pakket.
Geen protocol, maar conversie is na jaren van voorbereiding goed verlopen.
Overgang naar SAP is achteraf gecontroleerd door de accountant. Change management naar de toekomst toe niet geregeld.
3. Fysieke
toegangsbeveiliging
Beveiliging van de servers en terminals tegen brand of inbraak.
Toegang tot de servers zijn adequaat beveiligd.
4. Back-up en Recovery Mogelijkheden om het
informatiesysteem te herstellen.
Voldoende waarborgen, alleen formalisatie kan beter.
5. Bussiness Continuity Mogelijkheden om activiteiten voort te zetten na het uitvallen van het informatiesysteem.
Het systeem is beveiligd tegen uitval en beschikt over uitwijk mogelijkheden.
Het fundament van het IT-systeem laat enkele punten voor verbetering zien. Allereerst zijn procedures niet vastgelegd. Dit wil niet zeggen dat ze er niet zijn, maar het is niet te controleren.
Wel zijn door de accountant beschrijvingen en protocollen opgesteld en is het management om bevestiging van beschreven procedures gevraagd. De functiescheiding is een punt van aandacht. De ruime bevoegdheden in het systeem worden in de organisatie gecompenseerd door formeel toezicht. In de tweede plaats ligt een deel van de expertise bij de SAP
consultants, externen die inmiddels enkele jaren aanwezig zijn en bijna deel uitmaken van de organisatie. Hierdoor ligt de kennis en verantwoordelijkheid deels buiten de organisatie. Onduidelijk is hoe verantwoordelijkheden afgebakend zijn en wanneer dit overgedragen wordt naar de IT-afdeling. Veranderingen in het systeem kunnen alleen achteraf
gecontroleerd worden; het gebrek aan protocollen voor change management betekent voor de accountant dat hij uitgebreide systeemtest moet verrichten.
6. Hoog
geautomatiseerd
Routinematige, meetbare harde data
Alle bedrijfsprocessen lopen real-time via SAP ERP en bevatten routinematige en meetbare registraties.
7. Continu toegang Dagelijks tot wekelijks Afgeschermd systeem. Online benaderen van het systeem is mogelijk voor MT-leden en afdelingsleiders.
8. Toegang tot data Data in te lezen SAP is geschikt voor zowel EAM, als MCL. 9. Bewijs vast kunnen
leggen
Presentatie output als basis voor oordeel
Hiervoor moet een controle-dashboard met archiveerfunctie worden gebouwd waarin het bewijs bewaard blijft. SAP is door haar uitgebreide modelijkheden en het feit dat alle processen aan elkaar
gekoppeld zijn bij uitstek een goed platform voor CA. Er zijn regelmatige en routinematige digitale transactiestromen. Echter een Business Warehouse wordt pas in 2012 gebouwd waardoor het bouwen van een dashboard waarin uitzonderingsrapportages worden gegenereerd en bewaard, op dit moment te ingewikkeld en te kostbaar is.
10. Kennis IT-audit Studie IT-audit De controlerend accountant is EDP-auditor.
11. Ervaring ERP Ervaring IDEA, CA, benaderen van databases
Accountantsorganisatie heeft één accountant met de kennis, ervaring om CA te implementeren.
Het is toeval dat er bij de accountantsorganisatie één accountant is met ervaring met CA. Het toeval zit erin dat het iemand is die van een ‘Big Four’ kantoor komt. Dit maakt de controlerende accountantsorganisatie kwetsbaar. Als Taartenmaker besluit op grond hiervan te kiezen voor een ‘Big Four’ kantoor, zijn ze duurder uit omdat hun tarieven doorgaans hoger liggen. Omdat vooraf geen minimum is geformuleerd zijn deze attributen ondanks dit risico toch als voldoende beoordeeld.
12. Interne omgeving Management moet waarborgen dat het informatiesysteem goed gemanaged wordt in de
organisatie.
Integrale benadering van het systeem. Informatiemanager bewaakt
communicatielijnen en rapporteert MT. Controller is eindverantwoordelijk.
13. Risico benadering Management is verantwoordelijk voor risico´s die doelen van de onderneming bedreigen.
MT stuurt op de primaire bedrijfs-processen. Risicobenadering is afhankelijk van output van deze
processen. MT is bewust van eigen ‘Risk appetite’.
14. Informatie en communicatie
Binnen het informatiesysteem is een financieel systeem dat alle acties en transacties near-time vast legt. De resultaten worden near-time verspreid onder de verantwoordelijke werknemers.
Afdelingsmanagers hebben overal toegang tot informatie op basis van ‘real-time’ transacties. Er is echter geen module die rapportages genereert, informatie moet uit het systeem ‘gehaald’ worden.
15. Controle maatregelen
Beleid en procedures t.b.v. interne doelen, betrouwbare financiële informatie, beveiliging van activa, compliance.
Controles zijn niet geautomatiseerd, geformaliseerd of geregistreerd.
16. Bewaken Periodieke evaluatie van het interne controlesysteem en het informatiesysteem
Wekelijks, houdt echter wel verband met recente GO Live van SAP ERP. Blijft voorlopig nodig.
De controller sluit elke maand financieel af en ziet daarom volgens eigen zeggen snel als er onregelmatigheden zitten in de voorraad, het onderhanden werk, projecten of de omzet. Vanuit het perspectief van CA gezien is hij echter te laat. Het risicomanagement is een gedeeltelijke verantwoordelijkheid van de vijf MT-leden. Zij houden op hun eigen wijze toezicht op de primaire bedrijfsprocessen. Uitzonderingen worden niet geregistreerd. Het IT-systeem verschaft het MT informatie voor de interne controle, maar de controle zelf wordt door functionarissen gedaan.
17. Onafhankelijk Afdeling heeft eigen verantwoordelijkheid.
Eigen IT-afdeling met verschillende functionarissen met diverse competenties en eigen
verantwoordelijkheden. Wel blijft MT altijd eindverantwoordelijk. 18. Kennis implementatie controlemodule Functionarissen kunnen afzonderlijke controleregels programmeren.
Inhuur dure specialisten nodig, andere dan de huidige consultants.
19. Doorlopend rapporteren
Relevante waarschuwingen en opvolgingen rapporteren aan de accountant.
IT-afdeling vervult staffunctie en kan dat ook in combinatie met CA.
20. Snel afhandelen van systeemalerts
Naar gelang de aard moeten waarschuwingen van het CA-systeem worden geanalyseerd en problemen worden opgelost.
IT-afdeling vervult staffunctie en kan dat ook in combinatie met CA. Wel aandacht voor rol van de controller i.v.m.
‘management override’. Taartenmaker heeft een eigen IT-afdeling, waarbij ook nu al de accountant zelfstandig inlichtingen en documenten kan opvragen. Ook voor CA kan deze afdeling uitstekend ondersteuning bieden. De ingehuurde SAP-accountants kunnen wel controleregels
programmeren. Echter voor het maken een dashboard schiet hun kennis te kort. Zij kennen het concept CA niet. Inzet van specialisten die dit wel kunnen is ingewikkeld en duur. Gebruik maken bovengenoemde Business Warehouse maakt implementatie goedkoper,
maar ook dan zullen er andere specialisten die wel ervaring met CA hebben aangetrokken moeten worden.
5.3 Discussie
De resultaten van geanalyseerde data en gekozen onderzoeksmethoden zijn valide, betrouwbaar en de bruikbaar om tot een beantwoording van de hypothese te komen. Wel zijn uit het onderzoek twee punten naar voren gekomen die mogelijk tot verdere discussie kunnen leiden op dit gebied. Het eerste punt is: wie moet eindverantwoordelijk zijn voor het toegepaste model van CA? Het tweede is: maakt het uit wie het ERP-pakket levert? Beide punten worden kort toegelicht.
Dhr. I. Kastanjeboom heeft meerdere functies: hij is controller, lid van het MT en
eindverantwoordelijk voor IT. Feitelijk liggen door zijn functies alle verantwoordelijkheden die met CA te maken hebben bij één persoon. Vanuit het oogpunt van CA is dit ongewenst, aangezien hij alle rechten binnen het systeem heeft en als hij dat wil de interne beheersing kan doorbreken. Het risico op ‘management override’ is lastig te ondervangen en is ook door de accountant lastig te controleren. Er moet echter iemand zijn die eindverantwoordelijk is. Een mogelijkheid is misschien om een aantal rechten en bevoegdheden over te hevelen naar de financieel directeur. De directeur houdt zich echter niet met de dagelijkse gang van zaken bezig en heeft geen kennis en ervaring met het ERP-pakket. Omdat Taartenmaker – net als de meeste MKB ondernemingen - geen raad van Bestuur heeft, is het niet mogelijk om de verantwoordelijkheid daar te leggen. Verdere discussie moet meer inzicht verschaffen in wat de beste oplossing is.
Dit geldt ook voor de keuze van een ERP-pakket. Er zijn vele merken ERP-pakketten. Bij de geselecteerde onderneming is eerst met BaaN gewerkt, nu met SAP. Maar er zijn ook andere pakketten: AFAS, Agresso, teveel om op te noemen72. SAP is geschikt voor CA, maar uit het onderzoek is gebleken dat de leverancier niet zozeer van belang is als wel de mogelijkheid om een rapportagemodule en een dashboard te bouwen. In de literatuur worden geen namen van ERP-pakket genoemd73. Misschien is dit voor beursgenoteerde ondernemingen niet van belang. Voor MKB-ondernemingen is het misschien wel wenselijk als inzichtelijk zou zijn met welke pakket CA makkelijk is in te implementeren en met welke niet.
5.4 Samenvatting
Op basis van de dataverzameling is de geselecteerde onderneming Taartenmaker
beschreven aan de randvoorwaarden die aanwezig moeten zijn om CA toe te passen. In dit hoofdstuk zijn met een matrix de 20 vooraf gedefinieerde attributen beoordeeld. Twee van de attributen zijn beoordeeld als ‘onvoldoende’ omdat ze niet aanwezig zijn en
implementatie te duur is. Dit zijn:
• Kennis om een controlemodule aan het IT-systeem te koppelen; • De mogelijkheid om bewijs vast kunnen leggen;
Vijf attributen zijn beoordeeld als ‘mogelijke voldoende’ omdat formalisatie en
automatisering beperkt is. Deze tekortkomingen zouden met een relatief kleine investering van tijd en geld te verhelpen zijn.
72
Er zijn vele commerciële softwarepakketten beschikbaar.
73 Kuhn en Sutton behandelen 6 softwarepakketten om CA toe te passen. Alle zes zijn geschikt voor ERP-pakketten, verder onderscheid wordt niet gemaakt (Continuous auditing in ERP System enviroments: the current state and future directions, p. 43),