Bijlage 2 Interviews Interview 1 EDP-auditor
Op vrijdag 18 februari is de afdeling MMC (Mazars Management Consultants) op het hoofdkantoor in Rotterdam bezocht voor een eerste interview met dhr. P. Roos. Daar vertelde hij onder andere over zijn werkervaring, ervaring met CA en zijn nieuwe functie om het gebruik van IDEA, Smartanalyser en Sekcheck te stimuleren binnen Mazars. Daarna is hem uitgebreid gevraagd over de GITC bij CA, de mogelijkheden van SAP en CA als onderdeel van ERM. Ook daarna is voor deze case is tussentijds overleg met hem geweest. Zijn
antwoorden gaven een bevestiging en soms een concretisering van wat ik in de artikelen gelezen heb en wat ik bij Taartenmaker gezien heb.
Dhr. J. Terlingen is controlerend accountant van Taartenmaker B.V. en contactpersoon geweest voor Mazars te Utrecht.
Interview 2 Algemeen
Er zijn in de periode april-juni 2011 drie interviews gehouden, twee met dhr. M. van Duin (manager IT infrastructure) en dhr. I. Kastanjeboom (controller, tevens lid MT), één met alleen de controller. Daarna is nog met de controller een afsluitend gesprek geweest om bevindingen uit te wisselen. Elke interview duurder ongeveer één tot anderhalf uur. Door de
onderzoeker zijn zowel de vragen gesteld als de antwoorden opgeschreven. Hieronder volgt een verkorte weergave van antwoorden die verkregen zijn op de open vragen.
Het eerste interview is gehouden 1 april 2011 met de controller en manager IT. Gevraagd wordt of het concept CA bekend is. De controller kent het, de manager IT niet. Daarop wordt het CA nog even kort toegelicht en het doel van het onderzoek uiteen gezet. Tevens is uitgelegd waarom voor Taartenmaker is gekozen. De manager (controlerend accountant) legt uit dat hij als accountant meer “moet doen” om te steunen op het informatiesysteem en dat hij om die reden het onderzoek ondersteunt. Hij legt de werking van SekCheck uit waarop afgesproken wordt dit op een later moment in het jaar uit te voeren. De controller geeft aan dat hij veel kennis van SAP heeft en wil benadrukken dat de onderneming anoniem in het onderzoek blijft en dat zijn antwoorden alleen voor het onderzoek gebruikt mogen worden. Verder wil hij het vooral bij de feiten van de huidige situatie houden en zo weinig discussie over waarom bepaalde processen zo ingericht zijn als ze zijn.
Sinds 1 januari is Taartenmaker bezig met de implementatie van SAP, ter vervanging van BaaN. Dit project loopt al enkele jaren en is al twee keer stop gezet. De reden van het uitstellen van de Go Live is dat in eerste instantie alle processen van Taartenmaker in kaart moesten worden gebracht, om tot goede ontwikkeling van SAP functionaliteit te kunnen komen. Inmiddels zijn alle functionaliteiten in BaaN afgesloten.
Waarom is BaaN door SAP vervangen?
De belangrijkste reden voor het vervangen van de huidige applicaties is dat op het gebied van informatievoorziening en ook procesmatig de applicaties niet geheel voldeden. Afgelopen jaren werd Baan al niet meer door de leverancier ondersteund, de support inclusief wijzigingen in de database van BaaN werd uitgevoerd door de controller en het manager IT infrastructuur. Er zijn afgelopen jaren nauwelijks wijzigingen in Baan
doorgevoerd. Het project is tweemaal eerder stopgezet, met als oorzaak de constatering dat de processen intern niet voldoende duidelijk waren en afdelingen niet goed op elkaar bleken te zijn afgestemd. Daarom is eerst gestart met het in kaart brengen van deze processen, alvorens het implementatietraject van SAP te hervatten. Uiteindelijk is de GoLive ingegaan op 1 januari. Dat wil zeggen: per 1 januari is BaaN officieel afgesloten en overgezet naar SAP. De onderhanden projecten en overige processen zijn per 1 maart over gegaan. Op deze manier konden de meeste oude projecten worden afgemaakt in Baan en nieuwe projecten worden direct in SAP geboekt.
Is een protocol voor change management? Nee.
Is een protocol voor de conversie opgesteld? Nee. Dit is een proces van jaren geweest.
Hoe is de overgang van BaaN naar SAP verlopen?
De controller geeft aan dat zoals gezegd financieel gezien SAP per 1 januari gestart is, maar dat een aantal processen stapsgewijs doorgevoerd zijn. De oude crediteuren in BaaN bijvoorbeeld hebben ze netjes laten aflopen; dit is later in SAP handmatig gecorrigeerd, maar de debiteuren zijn één op één overgezet en afgeboekt in SAP. Voor de voorraden geldt dat sommige productgroepen meteen zijn geconverteerd, andere later. De controller heeft steeds zelf gezorgd voor een juiste conversie door steeds intern de aansluiting te leggen en laat een enorme spreadsheet zien waarmee hij de afgelopen maanden het hele proces bewaakt heeft.
Is een testprocedure voor nieuwe modules of aanpassingen in het systeem? Nee.
Zijn testen of de uitkomsten daarvan op enigerlei wijze vastgelegd? Nee.
Wie Test er en op welke manier?
Dit is de verantwoordelijkheid van de key-users is samenwerking met Dimensys en maakte onderdeel uit van de hele conversie.
Zijn randvoorwaarden vastgelegd die moeten garanderen dat het informatiesysteem altijd de juiste informatie bevat?
Door de controller en manager IT wordt aangegeven dat er wel allerlei inherente systeem-instellingen in SAP zijn zoals preventieve en detectiecontroles. Maar controle op de invoer van gegevens is niet geformaliseerd of geautomatiseerd.
Uit welke functionarissen bestaat de IT-afdeling?
Aan de hand van een organogram wordt de IT-afdeling met verschillende functionarissen met diverse competenties en eigen verantwoordelijkheden beschreven. De controller is eindverantwoordelijk en heeft voortdurend overleg met de manager IT en de SAP-consultants.
Wie van de functionarissen heeft kennis om controleregels in SAP te bouwen?
De manager IT legt uit dat er één medewerker is die over enige programmeerkennis beschikt, maar niet zodanig dat hij binnen SAP iets programmeren. De overige medewerkers zijn er vooral om het systeem, alle randapparatuur en alle applicaties binnen Taartenmaker operationeel te houden.
Stel dat er een vorm van CA is ingebouwd, kan de IT-afdeling interne systeemmeldingen analyseren en oplossen?
Dat is nu ook het geval, dat lijkt me geen probleem.
Stel dat er een vorm van CA is ingebouwd, kan de IT-afdeling relevante waarschuwingen en opvolgingen rapporteren aan de accountant?
De manager IT zegt dat het afhangt van hoe het system ingeregeld is. Als het betekent dat er extra werk bij komt omdat ze niet alleen met de controller maar ook continu met de
accountant gemaild moet worden, hij dat niet zit zitten. Maar het kan natuurlijk wel. Stel dat er een vorm van CA is ingebouwd, mag de IT-afdeling relevante waarschuwingen en opvolgingen rapporteren aan de accountant?
De controller zegt dat er geen geheimen zijn en dat ze nu ook open en eerlijk meewerken aan dit onderzoek: Als jullie nu al specifieke informatie nodig hebben, kunnen jullie die nu ook krijgen. Wel moet er natuurlijk van te voren bepaald worden wat er wel en niet naar jullie gaat. De medewerkers moeten niet overvraagd worden met allerlei dingen met als gevolg dat ze aan het andere werk niet toekomen.
Interview 3 GITC
Gehouden 9 mei 2011 met de controller en manager IT.
Zijn randvoorwaarden vastgelegd die moeten garanderen dat het informatiesysteem altijd operationeel is?
Door de controller en manager IT wordt aangegeven dat er wel een rsicoanalyse is
uitgevoerd, maar niet is geformaliseerd. Het deze risicoanalyse speelt met name eventuele downtime en de hierbij horende kosten/ baten analyse een belangrijke rol. Overige
• Het aanschaffen van extra glasvezelverbindingen om zo de snelheid van het netwerk te verbeteren en risico te spreiden;
• Inzet van een firewall; • Inzet van een virusscanner;
• Inzet van Sophos Management Console ten behoeve van: monitoren en updaten van virusscans, monitoren en updaten van firewallconfiguratie, instellen en monitoren security policy (bv. blokkeren van bepaalde internetsites en blokkeren van installatie van bepaalde software);
Hoe vaak en hoe lang is het Informatiesysteem “uit de lucht” geweest?
Afgelopen jaar hebben zich nauwelijks incidenten voorgedaan waarbij productieverlies is opgetreden. Door de controller en manager IT wordt dit geschat op maximaal 2 à 3 uur. De maximale uitvaltijd van systemen is vastgesteld op nul. Dit is een bewuste keuze, waaraan een risicoanalyse ten grondslag ligt dat productie nooit stil mag liggen.
Is er een back-up en recovery procedure?
Deze procedure is niet gedocumenteerd. Dagelijks worden back-ups gemaakt. Back-ups worden automatisch gemaakt en de werkplekbeheerder deze controleert dagelijks. Op dit moment wordt ook al dagelijks een kopie van de gehele SAP database gemaakt. Het
terugzetten van back-ups wordt regelmatig getest maar in delen omdat het terugzetten van het hele systeem 1-2 weken in beslag neemt. Updates van back-ups worden regelmatig uitgevoerd. Nee, hiervoor is geen protocol aanwezig.
Is Het beheerproces van mutaties van logische toegangsbeveiliging gedocumenteerd? Nee.
Hoe verloopt het proces?
De controller legt uit: Als een medewerker in dienst komt, gaat een formulier via P&O naar de Helpdesk. Op dit formulier wordt globaal aangegeven welke systeemrechten en
applicatierechten aan de nieuwe medewerker moet worden toegekend. Dit geschiedt meestal op basis van de rechten die een andere medewerker x ook heeft. Dit formulier wordt geaccordeerd door de leidinggevende. Huidige rechten worden niet periodiek beoordeeld. Bij uitdiensttreding wordt het account direct op non-actief gesteld, waardoor ook automatisch rechten in applicaties niet meer toegankelijk zijn. Sinds 1 januari ligt dit proces in handen van een van Dimensys. Nee, opvolging is nog niet geregeld.
Is er een ontwerp gemaakt om de logische toegangsbeveiliging in SAP te regelen? De controller legt uit: geen ontwerp zoals jullie zouden willen. De implementatie is door Dimenys gedaan aan de hand van een kruisjeslijst, een overzicht van alle medewerkers per afdeling met hun rechten en de wensen van de key-users. Wij hebben als filosofie dat iedereen alles mag tenzij. MT-leden hebben ruime bevoegdheden. Alle medewerkers van afdeling Finance hebben bijvoorbeeld de rechten om de bank te boeken. In feite doet dat er maar één. Ik zorg ervoor dat de andere medewerkers geen bankmutaties verrichten. Aan de andere kant is er maar één die een saldibalans kan uitdraaien en dat ben ik.
Kunnen wachtwoorden door meer dan een persoon worden gebruikt?
Door de controller en manager IT wordt aangegeven dat er met ingang van SAP geen misbruik van wachtwoorden meer plaats vindt. Daarvoor kwam het wel eens voor dat er op het account van een ander werd ingelogd. Wachtwoorden verlopen en moeten uit een veilige combinatie bestaan.
Op de website wordt de gelegenheid geboden om in te loggen op een extranet. Hebben medewerken vanaf thuis toegang tot het informatiesysteem?
Deze mogelijkheid op de website was niet bekend bij de controller en manager IT. Door hem en het manager IT infrastructure is aangegeven dat het onmogelijk is om deze functionaliteit te gebruiken. De HTML code van de website geanalyseerd. Hieruit is gebleken dat het extranet inderdaad geen link heeft met achterliggende systemen van. MT-leden en
afdelingsleiders hebben wel toegang tot SAP, maar dit gebeurt niet via de website, maar met een andere beveiligde verbinding. Leveranciers of andere partijen kunnen niet inloggen.
Interview 4 ERM
Gehouden 31 mei 2011. Interview met alleen de controller. Het concept van ERM wordt toegelicht, evenals de belangrijkste elementen van COSO. Uitgelegd wordt dat er op basis van COSO vijf waarborgen geformuleerd zijn die aanwezig moeten zijn in een organisatie om CA in te voeren. Deze worden als stellingen voorgelegd en gevraagd of hij het ermee eens is en hoe het op het moment in de organisatie geregeld is.
Stelling 1: Management moet waarborgen dat het informatiesysteem goed gemanaged