Hoofdstuk 4 Onderzoek grote MKB-onderneming
4.3 Uitvoering en beperkingen van het onderzoek
Voorafgaand aan het onderzoek werd de contactpersoon van de MKB-onderneming duidelijk het doel en context van het onderzoek uitgelegd. Hierbij werd afgesproken dat zowel de onderneming als de namen van de geïnterviewden anoniem en niet herleidbaar zouden zijn. Het verslag wordt niet openbaar gemaakt en alleen verstrekt aan degenen die eraan hebben meegewerkt.
Op basis van de attributen zijn drie vragenlijsten is opgesteld. Deze zijn gebruikt voor het afnemen van de interviews. Per attribuut is een aantal vragen geformuleerd. Naast de vragenlijsten zijn cliëntdossiers en controledossiers bestudeerd, verschillende documenten en bestanden opgevraagd en geanalyseerd. Hierbij is met name gekeken naar de interne beheersing en protocollen omtrent beheer en gebruik van het IT-systeem. Een overzicht van de geanalyseerde data is opgenomen in bijlage 1. De vragen en de uitwerking van de
antwoorden zijn opgenomen in Bijlage 2. Waarnemingen zijn gebruikt om de werking van het IT-systeem en andere procedures zoals beschreven zelf te aanschouwen. Er is één voorstel geformuleerd om het systeem te testen.
Het onderzoek heeft tot de verwachte resultaten geleid, om de attributen van de hypothese te kunnen beoordelen. De kwaliteit van het onderzoek hangt af van de validiteit,
betrouwbaarheid en de bruikbaarheid van de geanalyseerde data en gekozen
onderzoeksmethoden. In het onderzoek is gebruik gemaakt van observaties, documenten- en bestandsanalyse en interviews. Zoals in hoofdstuk 1 beschreven is voor deze methode gekozen, omdat het een goede manier is om subjectieve informatie met objectieve te combineren. Door deze combinatie wordt validiteit van het onderzoek groot geacht. Er is voor interviews gekozen, omdat op die manier processen vastgelegd kunnen worden die slechts indirect uit documenten of het IT-systeem blijken. De aanname is dat de afgenomen interviews naar waarheid zijn gevoerd en dat er geen kans is op gekleurde resultaten, omdat er daar geen motief voor is. De resultaten van het onderzoek en of CA wel of niet haalbaar is voor deze organisatie, is niet van belang voor de directie of het MT. Behalve de controller kent verder niemand in deze organisatie CA. Ook werden er geen gewenste antwoorden gegeven wanneer het belang van de accountant uit het oogpunt van de accountantscontrole of interne controle voorop stond.
De antwoorden uit de interviews zijn verwerkt om een uitspraak te kunnen doen omtrent de attributen. Er zijn geen tegenstrijdigheden in de antwoorden gevonden. Een attribuut is op drie niveaus beoordeeld: voldoende, mogelijke voldoende en onvoldoende. Voor een goede beoordeling is daarom de informatie, zoals de resultaten van de interviews, getoetst aan
67
interne documenten en andersom. Omdat niet alle procedures waren vastgelegd is daarom tevens gebruik gemaakt van eigen observatie. Observatie is ook gebruikt omdat CA en het IT-systeem een digitaal concept is dat zich lastig laat vastleggen. Niet alle digitale aspecten zijn te registreren door zogenaamde screendumps. CA is een integraal systeem en omvat alle bedrijfsprocessen. Gezien de omvang is er voor gekozen deelwaarnemingen te verrichten op de bedrijfsprocessen. In dit onderzoek worden dus niet alle mogelijkheden of
onmogelijkheden van deze case belicht, maar de deelwaarnemingen hebben genoeg betrouwbare informatie opgeleverd om de attributen te beoordelen.
Er is alleen gesproken dhr. M. van Duin (manager IT infrastructure) en dhr. I. Kastanjeboom. Er is met één MT-lid gesproken omdat laatstgenoemde meerdere functies heeft: hij is controller, lid van het MT en eindverantwoordelijk IT. Hij kent alle facetten van het IT-systeem en is samen met de IT-afdeling voor alle registraties van alle processen in het systeem, met name die met financiële impact. Dit is van invloed op de betrouwbaarheid van de gegeven antwoorden. De andere vier MT-leden zijn verantwoordelijk voor hun eigen deel van de organisatie en hebben geen directe raakvlakken met IT en de financiële administratie. Zij hebben ook geen directe relatie met de accountant en zijn accountantscontrole. Vanwege hun gebrek aan kennis en inzicht op deze gebieden is het verdedigbaar dat voor dit
onderzoek er niet voor is gekozen om met alle MT-leden interviews af te nemen. Het zou kunnen dat de vier andere MT-leden een andere mening is toegedaan over het nut van CA. Zij kennen CA niet maar misschien zien zij wel de meerwaarde van CA in. Dit onderzoek richtte zich echter op de haalbaarheid. Het feit of het management bereid is om te
investeren in CA of niet, is voor de uitkomsten van dit onderzoek van ondergeschikt belang. De bruikbaarheid van verkregen data is beïnvloed door het feit dat deze onderneming per 1 januari 2011 over is gegaan op SAP. Hoewel het systeem operationeel is, zijn de consultants nog steeds dagelijks aanwezig om aanpassingen en verbeteringen door te voeren. Dit betekent enerzijds dat er kansen zijn om dingen in te voeren omdat er nog geen
vastomlijnde procedures zijn. Anderzijds kan het een beperking zijn, omdat nog niet alle (on)mogelijkheden ontdekt zijn. Zo wordt de Business Warehouse pas in 2012
geïmplementeerd. Hoewel er geen formeel ontwerp is en het gehele proces nog niet
voltooid is, is uit de verkregen data genoeg bruikbare informatie verkregen om de attributen te beoordelen.
4.4 Automatisering
Toegangsbeveiliging: Inherent aan SAP is dat het inrichten van autorisaties een risico is: door de wijze waarop SAP is ingericht (meer dan 50.000 transacties) is het complex om de autorisaties goed in te richten. De kans op het doorbreken van controle technische
functiescheiding is binnen SAP groter dan in minder complexe applicaties. Ten aanzien van de logische toegangsbeveiliging is het belangrijk om te onderkennen dat dit op 3 niveaus moet worden ingericht: toegang tot specifieke organisatie onderdelen, activiteiten en gegevens in SAP. Taartenmaker heeft hierbij hulp gekregen van SAP consultants, die op basis van een voorstel van hoofdfunctionarissen en de reeds bestaande rechten de autorisaties hebben ingericht.
Voor een goede indruk van de GITC en met name de toegangsbeveiliging zal Sekcheck68 worden gebruikt. Helaas is de uitvoering nog niet gepland en kunnen de resultaten niet
68
Een eenvoudig maar krachtig programmaatje van een bedrijf uit Zuid-Afrika dat een scan maakt van het systeem. Wordt veel gebruikt door de Big Four. Zie http://www.sekcheck.com
meegenomen worden voor dit onderzoek69. Overigens zijn er voor een controle op autorisaties van SAP ook andere softwarepakketten beschikbaar (meest bekende zijn SAP GRC, Approva en CSI Authorisation Auditor), die direct de hele SAP database uitlezen en kritische functies analyseren op doorbreken functiescheiding. Deze pakketten zijn erg duur70. Er is geen protocol voor werknemers die in en uit dienst komen. Met de rollen is op
pragmatische wijze om gegaan omdat deze voor de organisatie beheersbaar moeten zijn. Er is een aantal functionarissen met meer bevoegdheden dan op basis van hun functie zou moeten. Uit een overzicht van alle rollen van de afdeling Finance (zie bijlage 4) blijkt dat alle acht medewerkers dezelfde financiële rol met 85 transactierechten hebben. De
functiescheiding die in de praktijk aanwezig is, is er niet in het systeem. Maar ze kunnen niet alles, de controller heeft binnen het systeem alle bevoegdheden. Zijn rol “ZM Finance” bevat 198 transactierechten. In tegenstelling tot de andere medewerkers kan hij bijvoorbeeld activeren en afschrijven of debiteuren aanmaken en verwijderen. Omdat hij deel uit maakt van het management en ook verantwoordelijk is voor de IT-afdeling, bestaat er een risico op ‘management override’.
Een sterk punt van SAP is de audit-trail: alle wijzigingen inclusief de initiële vastlegging worden vastgelegd in wijzigingsdocumenten. Deze wijzigingsdocumenten kunnen worden gebruikt om periodiek te controleren of gegevens juist, volledig en geautoriseerd zijn vastgelegd. Dit is ook voor de jaarrekeningcontrole een sterk controlemiddel. Tenzij dit live wordt gemonitord, zijn dit controles achteraf en dat is wat juist CA niet beoogt.
Back-up en recovery: Dagelijks worden automatisch back-ups gemaakt. De
werkplekbeheerder controleert deze dagelijks. Op dit moment wordt ook al dagelijks een kopie van de gehele SAP database (alle omgevingen) gemaakt. Het terugzetten van back-ups wordt regelmatig getest, maar door de omvang betreft het slecht een deel van het systeem. Updates van back-ups worden regelmatig uitgevoerd, maar hiervoor is geen protocol aanwezig. Deze procedure is niet gedocumenteerd.
Down-time en uitval: Toegang tot de servers zijn fysiek beveiligd. Afgelopen jaar hebben zich slechts enkele malen incidenten voorgedaan waarbij productieverlies is opgetreden, maximaal 2 à 3 uur per jaar. Het IT-systeem mag nooit uitvallen, er zijn uitwijkmogelijkheden geregeld opdat na verwoesting door brand het systeem er altijd elders kan worden
voortgezet.
Change management: Er is geen algemeen protocol voor wijzigingen in het systeem. Configuratie-instellingen moeten worden vastgelegd, zoals wijzigingsbeheer-procedures om te waarborgen dat wijzigingen op beheerste wijze worden doorgevoerd. Voorbeelden hiervan zijn controles op de prijs en hoeveelheid tussen factuurontvangst en bestelling of vrijgave van bestellingen op basis van toegekende rechten in het systeem. Change management is in het kader van de continuïteit van de onderneming van belang voor de accountant. Voor het testen van een key-control geldt dat als het systeem niet is gewijzigd, de accountant mag volstaan met één systeemtest.
69
Dit heeft de resultaten niet beïnvloed, omdat hier van te voren rekening mee is gehouden. Het programma maakt een oppervlakkige scan en legt zeker niet alle tekortkoming vast. Daarvoor moet een apart pakket worden aangeschaft.
70
Inzet van SekCkeck kost circa € 2.500. Wat SAP GRC kost is niet bekend maar zover bekend werkt alleen Rabobank Nederland en Heineken N.V. ermee.
Een bijzondere vorm van change management is de overgang naar SAP. Op basis van interne vastleggingen kan worden gesteld dat de in SAP geteste key controls zijn geborgd. Bij de balanscontrole 2010 is vastgesteld dat beide systemen op elkaar aansluiten. Tevens is vastgesteld dat debiteuren en projecten onderhanden juist geconverteerd zijn en aflopen in SAP.
4.5 Bedrijfsprocessen
Vanuit de jaarrekeningcontrole worden vier kritische bedrijfsprocessen onderkend:
verkoopproces, order-gebonden en overige inkopen, personeelsproces en productieproces. Per 1 januari 2011 zitten al deze processen in SAP. Het inkoopproces en het
productieprocess waren reeds in BaaN geautomatiseerd, waaronder de bekende 3-way match. Wel waren er handmatige subadministraties zoals voortgangslijstje voor bestellingen en goederenontvangsten. In SAP is dit verleden tijd. Met betrekking tot fabricage, productie, uren en planning real-time geregistreerd en financieel verwerkt. Alle processen zijn SAP aan elkaar gekoppeld. Het is bijvoorbeeld niet mogelijk om een productieorder op te starten als niet de benodigde materialen besteld zijn en in de voorraadadministratie verwerkt zijn. Voor CA, maar ook voor de eigen interne controle van Taartenmaker, dienen de controles in het systeem te worden vastgelegd. Allereerst kent SAP al enkele inherente instellingen, die niet te wijzigen zijn. Voorbeelden zijn dat het niet toegestaan is om contracten te gebruiken na een bepaalde expiratiedatum, unieke nummering, etc.
De interim-controle in november 2011 zal uit twee delen bestaan. Eerst zullen alle processen opnieuw beschreven en beoordeeld worden. Daarna volgt de planningsfase en wordt de interne beheersing getest. Voor dit onderzoek is voor het verkoopproces op de vijf controledoelstellingen (volledigheid, bestaan, juistheid, tijdigheid en rubricering) in kaart gebracht welke key controls in SAP aanwezig zijn en welke controleregels in het kader van CA aanwezig dan wel mogelijk zijn, dit op basis van de beschreven methode om CA technisch toe te passen (zie pag. 20). Dit is gebeurd aan de hand van de reeds bestaande AO/IC
beschrijvingen in combinatie met de proces-flowcharts zoals opgesteld voor SAP. Figuur 15 laat de aanwezige key controls zien en hoe deze bij toepassing van CA gebruikt kunnen worden.
Op voorhand lijken er genoeg waarborgen op grond waarvan het risico na interne beheersing als laag kan worden ingeschat. In BaaN konden er verkooporders ingelegd worden zonder dat dit gevolgen had voor het productieproces. Deze orders konden ook weer geannuleerd worden, bijvoorbeeld na balansdatum. In SAP speelt dit risico ten aanzien van bijvoorbeeld tijdigheid niet meer. Een verkooporder genereert een productieorder, een productieschema en een betaaltermijnschema en leidt dus onherroepelijk tot vervolgacties. Binnen deze keten zitten andere controlemaatregelen. Zo kan bijvoorbeeld een
productieorder pas worden opgestart als de eerste aanbetaling en de opdrachtbevestiging binnen is. Echter, er is geen geformaliseerde of geautomatiseerde controle op de
uitzonderingsgevallen. Ook worden ze niet in het MT besproken of genotuleerd. Er kunnen in bepaalde gevallen redenen zijn om van bestaande procedures af te wijken.
Omdat de leden van het managementteam dicht op de primaire bedrijfsprocessen zitten krijgen ze voldoende informatie en vernemen ze ‘automatisch’ de reden waarom
bijvoorbeeld de order nog niet opgestart is of waarom er nog geen factuur is aangemaakt. Voor CA is het noodzakelijk dat de uitzondering en de reden ervan zichtbaar en verifieerbaar is.
Auditing Object Key control Auditing Rule Aanwezig bij Taartenmaker COM: Zijn er waarborgen
aanwezig, dusdanig dat alle afgesloten
verkooporders worden geregistreerd? Zijn er waarborgen aanwezig, dusdanig dat voor alle geregistreerde verkooporders verkoopfacturen worden aangemaakt? Hoofd verkoop autoriseert offertes. Geaccepteerde offertes wordt omgezet in verkooporders, productieorder en opdracht-bevestigingen. Controle doorlopende nummering offertes. Controle autorisatie offertes. Controle verkooporders – offertes. Key controls aanwezig. Geautomatiseerde controles mogelijk, niet aanwezig; worden handmatig verricht.
OCC: Zijn er waarborgen aanwezig, dusdanig dat wordt voorkomen dat verkoopfacturen worden geboekt indien geen verkopen hebben plaats gehad?
Facturen kunnen alleen worden gegenereerd als een projectnummer en verkooporder is aangemaakt. Controle facturen zonder projectnummer. Controle projectnummers zonder facturen. Key control aanwezig. Geautomatiseerde controles mogelijk, niet aanwezig; worden handmatig verricht.
ACC: Zijn er waarborgen aanwezig, dusdanig dat de juiste prijzen op de verkoopfacturen worden vermeld? Zijn er
waarborgen aanwezig, dusdanig dat de gegevens op de verzonden verkoop-facturen juist zijn?
Directie autoriseert opdrachtbevestiging. Opdrachtbevestiging is basis voor termijnschema en facturering. Controle op geautoriseerde opdrachtbevestigin gen: Wijziging prijs en niet geautoriseerd door directie. Key control aanwezig Geautomatiseerde controles mogelijk, niet aanwezig; Wordt handmatig verricht.
CUT: Zijn er waarborgen aanwezig, dusdanig dat facturering en verantwoording tijdig geschiedt in overeenstemming met hetgeen overeengekomen?
SAP geeft signaal voor facturering volgens vast gesteld termijn schema of maakt automatisch een factuur aan.
Controle aantal facturen dat na 5 dagen sinds signaal SAP gefactureerd wordt. Key control aanwezig. Geautomatiseerde controles mogelijk, niet aanwezig; Wordt handmatig verricht.
CLA: Zijn er waarborgen aanwezig, dusdanig dat verkooptransacties op de juiste wijze worden gecodeerd en op de juiste (sub)grootboekrekeningen worden geboekt? Controller autoriseert overschrijding standaard grootboekrekeningen. Controle niet geautoriseerde gewijzigde grootboekrekening en.
Geen key control: alle grootboek rekeningen liggen vast in SAP. Alleen controller heeft mutatierecht.
Een bedrijfsproces is niet geschikt voor CA op basis van geautomatiseerde key controls alleen. Er moeten ook routinematige, meetbare harde data zijn, bijvoorbeeld machine- of arbeidsuren. Uren worden dagelijks gemaakt en zijn makkelijk te toetsen aan een vooraf gestelde norm zoals juistheid en volledigheid van aantal gemaakte uren. Daarom is gekeken naar een deel van het personeelsproces, de urenverantwoording. Tot en met 2010 werden alle uren op urenbriefjes geschreven en wekelijks door een medewerker van de
administratie in BaaN ingevoerd. Per 1 januari melden alle medewerkers zich aan en af met een eigen pas bij de urenklok (zie bijlage 9). Hiermee wordt automatisch de shop-time geregistreerd en deze registratie is tevens ingang voor de salarisadministratie (pay-time). De werknemers in de fabriek moeten dagelijks hun gewerkte uren verantwoorden op projecten of overig indirecte werkzaamheden (job-time, zie bijlage 6). Arbeidsuren worden zo meteen op de projecten geboekt en bepalen zolang het project niet is afgesloten het onderhanden werk. Als een medewerker zijn aanwezige uren niet verantwoordt, belanden zijn uren automatisch op project 99999. Geregistreerde uren zijn altijd volledig. Het afdelingshoofd is verantwoordelijk dat deze uren alsnog geherrubriceerd worden. Kortom, de registratie van de uren is een routinematige en regelmatige datastroom die gebruikt kan worden voor CA. Een nadeel is dat er bij Taartenmaker geen Business Warehouse is (figuur 7, pag. 23). Deze module is wel aangeschaft maar nog niet geïmplementeerd. Een Business Warehouse “brengt je informatie” door middel van allerlei rapportages. Vervolgens kan je voor toepassen van CA alarmeringen koppelen aan de rapportage en laten archiveren in een dashboard. Zonder Business Warehouse moet de informatie uit het systeem gehaald worden. Dit betekent niet dat CA onmogelijk is, maar implementatie maakt het wel ingewikkelder en duurder.
4.6 ERM
Interne omgeving: met SAP is er een integraal systeem van alle disciplines waardoor elke actie van de ene afdeling van invloed is op de processen van een andere afdeling.
Taartenmaker heeft daarom een informatiemanager aangesteld die alle consequenties van het nieuwe ERP-pakket tussen alle afdelingen communiceert en onderling afstemt.
Daarnaast werkt de afdeling Engineering aan standaardisatie van producten en processen, opdat het primaire productieproces zo efficiënt mogelijk verloopt. De gevolgen hiervan wordt door de informatiemanager teruggekoppeld aan de andere afdelingen en aan de controller. De controller rapporteert aan de directie.
Risicobenadering: Risicomanagement hangt samen met de output van de belangrijkste processen. Het MT vindt vier dingen belangrijk: administratie, planning, productie en urenverantwoording. Al deze registraties zitten nu in één systeem. Alleen zijn de
afdelingsmanagers verantwoordelijk voor controle daarop. De leden van het MT reageren alleen op zogenaamde ad-hoc situaties. Wekelijks worden de belangrijkste projecten in het MT-overleg besproken. De controller sluit elke maand financieel af en ziet daarom snel als er onregelmatigheden zitten in de voorraad, het onderhanden werk, projecten of de omzet. Daarnaast zijn er de maandelijkse management-vergaderingen en kwartaalrapportages. Informatie en communicatie: alles wordt real-time vast gelegd en overal is deze informatie meteen uit het systeem te krijgen. De afdelingsmanagers zijn verantwoordelijk om deze informatie te gebruiken en daarop te sturen. De bedrijfsfilosofie is dat ook veel informatie beschikbaar is. Daarvoor hebben de afdelingsmanagers toegang tot verschillende bronnen van data, zonder mutatierecht overigens. Het verkoopboek is ook voor afdelingsmanagers van andere afdelingen in te zien, het offerteboek echter alleen voor Sales. Het MT is zich ervan bewust dat door deze benadering risico’s op fraude en fouten toenemen, maar menen
dat dit altijd elders in de organisatie wordt opgepikt. De leden van het MT reageren ad hoc als zij van de afdelingsmanagers informatie krijgen waaruit blijkt dat zij actie moeten ondernemen.
Controle maatregelen: controles zijn niet geautomatiseerd, geformaliseerd of geregistreerd. De cultuur is dat het MT veel taken en verantwoordelijkheden bij de afdelingsmanagers heeft gelegd. Uit de notulen van het MT blijkt dat interne controle vooral bestaat uit “het dicht op de bedrijfsprocessen zitten en actie te ondernemen wanneer het nodig is.” Bewaken: Met de nog verse implementatie van SAP wordt wekelijks geëvalueerd.
Voorafgaand aan de GO Live zijn twee jaren van voorbereidingen geweest en de verwachting is dat ook de komende twee jaar het systeem regelmatig geëvalueerd en aangepast dient te worden.
4.7 IT-functie
De IT afdeling van Taartenmaker B.V. bestaat uit zes personen, met elk een aparte functie en verantwoordelijkheid, zie onderstaand organogram. De controller en tevens lid MT heeft de