1 Aanleiding
De afgelopen jaren heeft de ontwikkeling van BI-software een enorme vlucht genomen. Bestaande producenten hebben hun producten verbeterd en nieuwe toetreders zijn in staat geweest om snel marktaandeel te bemachtigen, waarbij het beeld bij gebruikers wordt voorgehouden dat ‘the sky the limit is’. Ik heb in meerdere blogs (1, 2, 3, 4 en 5) aandacht geschonken aan minimaal te stellen eisen, bestaande beperkingen in systemen in relatie tot BI en bedreigingen; ook voor de positie van bestuurders.
Deze blogs en de NBA-handreiking Data-analyse hebben voor mij de basis gevormd om met diverse vooraanstaande mensen op het gebied van BI het inhoudelijke gesprek aan te gaan over de noodzaak van het inrichten van ‘checks and balances’ binnen BI-systemen. Wat opviel was dat er weinig tot geen overzicht is in de relatie tussen Corporate Governance wetgeving, de daaraan gerelateerde IC-eisen en de inrichting van een integraal beheersingssysteem waarmee zekerheid kan worden gegeven dat de informatievoorziening consistent, volledig, tijdig, juist etc, etc is.
Enige tijd geleden stelde ik aan een Programma Manager van een grote BI-producent de vraag of het mogelijk is om in het BI-systeem de tactisch gedefinieerde eisen, in te kunnen stellen en integraal te kunnen toetsen binnen hun systeem. Het antwoord was dat het inrichten van deze ‘data lineage’ niet mogelijk was omdat het naar eigen zeggen nogal complex was. Ergo de relatie met twee pijlers van Internal Control te weten ‘Compliance’ en ‘Effectiviteit en Efficiency van bedrijfsprocessen’ was onvoldoende in de opzet van de BI-product-architectuur geïncorporeerd.
Het gevolg van dit soort beperkingen is dat de kwaliteit van BI voor een belangrijk deel afhankelijk wordt van de vaardigheden van de BI-consultant om aanvullende systemen te bouwen waarbinnen toereikende controles zijn ingebouwd.
2. Probleemstelling
Het Bestuur van een organisatie of de controller zijn vaak in eerste instantie beperkt op de hoogte van de werking van BI-systemen. Is dat hen te verwijten? Ik ben van mening van niet. De inschattingsproblematiek van een BI-systeem blijkt veel dieper te liggen. Vorig jaar heb ik namelijk een presentatie bijgewoond van een wereldwijd vermaarde BI-consultant, met specifieke kennis van een programmeertaal binnen een BI-systeem, waarvan hij als één van de goeroes wordt beschouwd. In die presentatie werd uitvoerig ingegaan op de inrichting van een BI-systeem en de grote negatieve gevolgen van het onjuist hanteren van commando’s in het algoritme. In de programmeertaal zit niet de intelligentie verwerkt dat de taal zelf de optimale combinaties van commando’s corrigeert op basis van de in het tactisch proces geformuleerde output. Een jaar eerder tijdens een andere presentatie verzekerde dezelfde persoon mij en de andere toehoorders dat een deel van de programmeertaal heel simpel en toegankelijk leek maar dat het minstens 10 jaar duurde voordat met goed inzicht algoritmes konden worden gebouwd en toegepast door de programmerende functionaris. Tel daarbij op dat tevens keuzes voor de BI-inrichting moeten worden gemaakt inzake de interdependentie tussen deze programmeertaal voor de outputbewerking en een andere programmeertaal voor de inputbewerking en langzamerhand wordt hopelijk duidelijk dat extreem veel wordt gevergd van de kwaliteiten van de BI-consultant zeker in relatie tot het kunnen overzien en het bouwen van controlemechanismes. Wat gebeurt er wanneer de BI-consultant die skills niet heeft?
De druk om genoemde IC-uitdagingen in het BI-systeem op te lossen komt dan te liggen bij het Bestuur van een organisatie. De controller beschouw ik binnen die constellatie als adviseur van het Bestuur. Uit bovenstaande bevinding blijkt dus dat een controller behoorlijk wat inhoudelijk huiswerk moet verrichten alvorens zij/hij een tactisch voorstel kan produceren met betrekking tot de inrichting van de AO/IB voor een BI-systeem. Dat het hier juist niet alleen de technische kant van de materie betreft heb ik twee jaar geleden al benadrukt. De menselijke kant is naar mijn stellige overtuiging leidend. Dat geldt dus ook voor het type BI-consultant dat wordt ingehuurd. Zeker op dit terrein is de organisatie gediend met een vruchtbare samenwerking tussen HRM en Internal Control; en dat is nodig ook voor een gezond inhoudelijk tegenwicht.
Besluitvorming door Besturen kan worden beïnvloed door presentaties met prachtige grafische voorstellingen wat allemaal mogelijk is. Met kennis van zaken en via het stellen van een paar goede kritische vragen van de adviseurs van het Bestuur, blijkt al snel of de ‘storytelling’ achter de plaatjes voldoende is gefundeerd. Ik heb zelf een keer meegemaakt tijdens een presentatie van een BI-consultant die als ‘autoriteit’ te boek staat, dat hij, na het stellen van een hele basale kritische vraag, met een mond vol tanden stond en er daarna ook niet op terug kwam om informatie te vragen. Dat is niet mijn enige ervaring met vooraanstaande BI-consultants. Dan blijkt dat het grensoverschrijdende inhoudelijke gesprek wordt vermeden en hij in bovengenoemd geval blijft in zijn eigen ‘veilige comfortabele zone’. Spijtig, temeer omdat die dialoog nu juist ruimte schept om de kwaliteit van de dienstverlening van informatievoorziening naar een hoger niveau te tillen. Het is mijn doel dat het in deze blog geïntroduceerde model, hulp biedt aan de invulling van een gedegen informatiesysteem voor alle partijen in de keten en de brede dialoog entameert. Een goed advies is in ieder geval dat een onderneming niet in zeven sloten tegelijk springt met betrekking tot de aanschaf en implementatie van een BI-systeem of welk ander IT-systeem.
Ook de Accountant heeft een rol in de diverse fasen van besluitvorming over de goede werking en toetsing van informatievoorziening. Dat de sector worstelt met het innemen van een nieuwe positie, als reactie op de razendsnelle technologische ontwikkelingen, is voor insiders bekend. Ik heb al eerder de bekende ‘dure spreadsheet’ als voorbeeld aangehaald. De tijden van het alleen beoordelen van transacties ligt achter ons. Gelukkig heeft de NBA dit onderkend. Op 11 juli 2018 heeft zij het document ‘NBA_model_handreiking_data_analyse_versie_ter_consultatie_11-juli-2018’ gepubliceerd. Op 1 september 2018 heb ik mijn ingezonden reactie via de blog ‘Aanbevelingen inzake: NBA handreiking 1141 data analyse bij de controle uitdagingen en vooral kansen’ gepubliceerd. Ik ben verheugd dat dit voor de NBA aanleiding is geweest om mij uit te nodigen in het najaar 2019 een toelichting te geven op mijn aanbevelingen.
3 Oplossing
Inmiddels mag ik als klankboord dienen voor een zeer gewaardeerde collega controller inzake de implementatie van een BI-systeem. Uit de gesprekken is gebleken hoezeer een sluitend model een noodzakelijk hulpmiddel is voor de inrichting en beheersing van informatiesystemen. In mijn blog < https://jacksimbula.wordpress.com/2017/08/30/business-intelligence-beheers-en-deel >, heb ik het navolgende model gehanteerd:
Een jaar later heeft de NBA in haar publicatie <https://www.nba.nl/nieuws-en-agenda/nieuwsarchief/2019/juni/nba-handreiking-1141-data-analyse-bij-de-controle-definitief/> het navolgende model geïntroduceerd:
Beide modellen zijn mijns inziens net te generiek en leggen de relatie tussen een noodzakelijke brede set van gedefinieerde eisen aan het informatiesysteem en de toetsing daarvan in de diverse fasen van het bedrijfsproces, niet voldoende bloot. Ik heb als voorbereiding op mijn gesprek met de NBA, daarom een model opgezet met iets meer specificaties alsmede een duidelijker verband tussen het moment van definitie en toetsing. De genoemde processen in het model blijven gelijk. De uitwerking van de Internal Control eisen kan bedrijfsspecifiek worden aangepast en geeft dus de gewenste flexibiliteit en diepgang. Voor alle partijen in de keten biedt dit voordelen:
- Het Bestuur: Zij kan aantonen dat invulling is gegeven aan definitie, uitvoering en controle op goede werking van het (BI)-informatiesysteem. Tevens kan het bestuur controle laten uitvoeren op de kwaliteit van de uitwerking, onder verantwoordelijkheid van de Controller, van de informatiestromen.
- De Controller: Zij/hij kan per informatie-element de vereiste output en het controlekader opstellen waarmee de zekerheid kan worden afgegeven dat de informatie altijd juist, tijdig en volledig is. De Controller kan in overleg met de Accountant vormgeven aan het voldoen aan Wet- en regelgeving (Compliance) in dezer.
- De BI-Consultant: Zij/hij kan de klant aanspreken op dus niet alleen de definitie van het gewenste ‘plaatje’, maar ook op het definiëren van de gewenste controle-eisen. Daarmee is de positie van de BI-Consultant veel meer beschermd.
- De Recruiter. Zowel voor de functie van Controller als die van BI-consultant, biedt dit model de ruimte om grensoverschrijdende vragen te stellen waarmee inzicht kan ontwikkeld of een kandidaat geschikt is om waarde toe te voegen in de functie bij de klant van de recruiter. Dit model geeft tevens de Recruiter de mogelijkheid zichzelf een spiegel voor te houden waar zij/hij staat met betrekking tot het verlangde kennisniveau. Wanneer zij/hij bijvoorbeeld met mij of een andere Controller een bemiddelingsgesprek aangaat is zij/hij in staat om de inhoudelijke discussie goed te kunnen voeren? Dit is een belangrijke voorwaarde om haar klant de beste kandidaat aan te kunnen bieden. Idem dito geldt dat voor een vacature van BI-consultant. Door onderdeel voor onderdeel van het model na te gaan waar zij/hij staat, weet de Recruiter waar eventueel nog ontwikkelgebieden zijn. Wat in dat kader belangrijk is te vermelden voor de functie van Controller is dat een Bsc-opleiding of hoger geen garantie biedt voor het kunnen leveren van een goed beheersingssysteem. Met het vak Bestuurlijke Informatie Voorziening werd de IT-component nauwelijks belicht. Inmiddels is dat vervangen door Accounting Information Systems. Echter komt deze diepgravende systeemproblematiek ook daar niet aan de orde.
- De Accountant: Zij/hij kan in alle fasen van besluitvorming en uitvoering haar rol spelen zoals die door de Wetgever is gedefinieerd. Met name op het gebied van Corporate Governance is dat van groot belang. Tevens wordt de positie van de Accountant in relatie tot het geven van het soort Accountantsverklaring versterkt omdat de Accountant een beter en meer volledig overzicht heeft van procesgang en kwaliteit van informatisering.
Wat uit het model blijkt is dat veel meer systemen nodig zijn om zekerheid af te kunnen geven of de informatievoorziening juist, tijdig en volledig is. Ik denk daarbij aan de integrale werking van een Risicomanagementsysteem, Procesbeheersingssysteem, HRM- en formatiesysteem, Workflow-managementsysteem, Blockchainsysteem (in verband met vaststellen van systeemvolledigheid) in combinatie met de Bronsystemen, Transformatiesystemen en de (BI)-Informatiesystemen. Ik vraag mij serieus af of MKB-bedrijven op een verantwoorde manier gebruik kunnen maken van BI-systemen, wanneer BI-leveranciers niet integrale betaalbare oplossingen hiervoor bieden. Tevens geldt dit argument ook voor de werkzaamheden van de Accountant. De Accountant wordt structureel aangesproken op de hoogte van declaraties. Wil een onderneming geld verdienen dan kan zijn haar IT-dienstverleners aanspreken op het ontbreken van gemelde integraliteit, waardoor als gevolg daarvan een Accountant volgens de Wet meer controlewerkzaamheden moet verrichten. Dat wordt, ter verdediging van die sector, helaas nog wel eens over het hoofd gezien. Daarom mag de sector met onderstaand model in handen best steviger inzetten bij hun cliënten, om zorg te dragen voor meer ‘checks & balances’ op het gebied van informatievoorziening in combinatie met Business Intelligence.
4 Opmerkingen NBA-handreiking 1141, Data-analyse bij de controle definitief
Opmerking § 1.1
Wil een accountant kunnen komen tot het instellen van een optimale controlemix, wordt gesteld dat zij/hij diepgaande kennis van processen en transacties moet hebben om onder meer risico-inschattingswerkzaamheden uit te voeren en evaluatie uit te voeren op de werking van de interne beheersingsmaatregelen. Hiertoe wordt data-analyse dus als een van de instrumenten betiteld.
In de definitie van data-analyse wordt het onderzoek beperkt tot de objecten van onderzoek, waarbij wordt getracht door middel van analyse, modellering en visualisatie, patronen afwijkingen, inconsistenties, en het onttrekken van andere nuttige informatie te ontdekken, dit alles met het oog op de planning of het uitvoeren van de opdracht door de accountant.
Voordat de objecten van onderzoek zijn vastgesteld, heeft de accountant dus een beoordelingsproces bij haar klant uitgevoerd waar een diepgaand inzicht in processen, risico’s en informatievoorziening zou moeten zijn ontwikkeld waarmee verbanden kunnen worden gelegd om benoemde werkzaamheden uit te kunnen voeren.
Wil een organisatie voldoen aan bovengenoemde eisen dan is zij in bezit van een up-to-date gedetailleerd uitgewerkt business proces management systeem waarin alle processen zijn beschreven, waarbij per proces duidelijk is wat gekwantificeerd de kansen en bedreigingen (risicomanagement) zijn en hoe daarop wordt geanticipeerd, welke functie en functionaris de beschikkende, bewarende, uitvoerende, registrerende en controlerende rol uitvoert indien van toepassing, welke input nodig is om het proces uit te kunnen voeren en welke output wordt verlangd om het proces goed te kunnen keuren om het verband met de volgende procesgang te kunnen leggen. Hierbij ligt niet alleen de focus op de hard controls, maar is deze breder om een meer volledig beeld te verschaffen over het complex van factoren waarover de accountant een diepgaand oordeel moet vellen of iets wel of niet wordt opgenomen als object van onderzoek. Gezien de vele bestuurlijke schandalen en het ontbreken van een gedegen tegenkracht zowel top-down als bottum-up, behoort de werking van soft-controls in de oplevering te worden meegenomen.
Juist door de sterk toegenomen complexiteit op het gebied van de techniek met betrekking tot het inrichten en gebruik van software ‘compliant aan’ interne beheersingseisen, zal de accountant in alle fasen autonoom in staat moeten zijn dit te kunnen beoordelen, om zeker te kunnen zijn dat data-analyse op de juiste objecten van onderzoek wordt toegepast. Daartoe is een definitie nodig die de gehele keten mobiliseert om de accountant in haar/zijn rol te ondersteunen. De huidige definitie is in mijn ogen niet toereikend om tot dat resultaat te komen. Sterker nog het verhult de grote risico’s die kunnen ontstaan wanneer een tekort aan kennis bij de klant en de accountant aanwezig is om zekerheden af te kunnen geven met betrekking tot de consistentie, juistheid, tijdigheid en volledigheid van data-vastlegging en -registratie en de informatievoorziening. Voordat systemen door klanten in gebruik worden genomen, moet de gehele keten, dus ook de leveranciers en inrichters van systemen, garanties afgeven dat informatiesystemen voldoen aan Wet- en regelgeving met betrekking tot Risicomanagement en Interne Beheersing.
Ingeval van bijvoorbeeld een BI-systeem geeft ook de BI-Consultant zekerheid af dat zij/hij het systeem zodanig heeft ingericht dat in alle fasen van het proces in bronsystemen, transformatiesystemen en informatiesystemen, zorg heeft gedragen voor bijvoorbeeld toereikende controle technische functiescheiding. Hierdoor wordt ook de Controller van de organisatie gedwongen meer specifieke eisen te stellen aan de BI-Consultant en vice versa. Dit leidt uiteindelijk tot een beter beheersingskader waarmee een Bestuur haar Accountant kan vragen om tot een beoordeling vooraf te komen. Mijn ervaring is dat met betrekking tot BI-producten daar thans relatief weinig sprake van is.
Om in de definitie tegemoet te komen aan het beperken en waar mogelijk zelfs uitsluiten van risico’s van desinformatie, is de volgende uitbreiding van de definitie van data-analyse een mogelijkheid om te onderzoeken:
Data-analyse is, nadat de hele keten juridisch is verbonden aan de vooraf door het Bestuur vastgestelde kwaliteitscriteria van systeem- en informatievereisten in relatie tot Risicomanagement en Interne Beheersing, het ontdekken van patronen, afwijkingen, inconsistenties, en het onttrekken van andere nuttige informatie over het object van het onderzoek door middel van analyse, modellering en visualisatie met het oog op de planning of het uitvoeren van de opdracht.
In een apart hoofdstuk, hetgeen hier dus ontbreekt, zou vervolgens het proces van het kiezen van de objecten voor onderzoek, dat onderdeel uitmaakt van de controle-mix, waarop data-analyse wordt toegepast, beschreven mogen worden. Wat vooral naar voren moet komen is dat de accountant niet achter de feiten aanloopt, maar dat juist de hele keten vooraf zorgdraagt voor een toereikende inrichting van systemen waarbinnen de accountant haar/zijn werk kan doen. Langzamerhand begint in alle echelons door te dringen dat het toepassen van soft controls daarin een belangrijke rol speelt. Dit zou hier ook een speerpunt mogen zijn. Tevens heeft dit een mobiliserende werking om voldoende tegenwicht te bieden vanuit de organisatie tegen opportunistische en zelf frauderende machten en krachten.
Opmerking § 3.1
De laatste zin van alinea 1 veronderstelt dat de accountant altijd in staat is om een heldere vraag of informatiebehoefte te definiëren. Dat is niet alleen een overschatting van de positie van de accountant maar zet haar/hem ook op een verkeerde wijze in de wind. Zoals al gesteld, is de gehele keten van de klant dienstverlener aan de accountant om haar/hem niet alleen met toereikende informatie te voorzien maar ook met een toereikende technische structuur. Het door mij gepresenteerde model ondersteunt de accountant om een heldere vraag of informatiebehoefte te definiëren, ter ondersteuning van het vaststellen van een gedegen controle-mix.
Met betrekking tot de controle op een toereikende technische structuur wijs ik een casus waarbij de accountant een instrument door een van haar diensten had laten beoordelen. De dienst verklaarde aan de accountant dat het product gedegen in elkaar stak. Uiteindelijk bleek dat niet zo te zijn; het gevolg vooralsnog circa 6 miljard schade. Uit controle door ‘echte’ specialisten bleek dat er integriteitsfouten zaten in de structuur van het model waardoor geen zekerheid kon worden afgegeven over de juistheid en volledigheid van het gehanteerde model. Met dit voorbeeld wordt geen garantie afgegeven dat elke specialist in staat is om een juist oordeel te geven. Wat zeker een feit is, is dat wanneer de accountant in de voorfase op een hele andere wijze opereert, namelijk door van alle betrokkenen die te maken hebben met het inrichten van informatiesystemen, te eisen dat zij dit volbrengen binnen de kaders van de wetgeving, dat hiermee het accent komt te liggen op de beheersbaarheid van systemen en informatiestromen. Ik spreek niet alleen over de beheersbaarheid van primaire vastleggingen maar ook over Internal Control met afgeleide informatiesystemen zoals BI-systemen. Ook daar kunnen zich niet wenselijke risico’s voordoen die met toereikende beheersmaatregelen worden beteugeld.
Dit kan niet anders dan een positief effect hebben op de effectiviteit en efficiency van de controle door de accountant. De juridische positie van de accountant komt volgens mij met deze andere wijze van opereren niet in gevaar. Zij/hij gaat niet op de stoel van de ondernemer zitten. Er wordt echter gesteld dat wil een controle goed kunnen worden uitgevoerd door een accountant, er moet worden voldaan aan een set van maatregelen. De accountant opereert louter binnen het speelveld zoals dat is gegeven. Het vereist echter dat de branche hierin wordt ondersteund met een goed hanteerbare richtlijn.
Opmerking § 3.2
Met de eerste zin in de eerste alinea wordt een impliciet verband tussen data-analyse en bedrijfsprocessen verondersteld. Als gevolg van dit standpunt is een randvoorwaarde, dat vooraf door de klant gedetailleerd inzicht wordt verschaft in te onderscheiden bedrijfsprocessen en de kwaliteit van de inrichting van de processen zelf. Is daar bijvoorbeeld toereikende risico respons via onder meer voldoende functiescheiding in aangebracht, om zekerheid af te kunnen geven over de kwaliteit?
Dientengevolge is het raadzaam om voor de werkbaarheid van de uitvoering van het onderzoek over het object van data-analyse, vooraf het verband tussen het procesdeel (= leidend), de rollen van de actoren binnen het proces en de gehanteerde systemen binnen het proces, te confronteren met de normstelling zoals deze in een eerder stadium door andere gremia binnen de organisatie zijn vastgesteld. Het instellen van deze maatregelen zijn erop gericht om zekerheid te kunnen verschaffen dat uitvoering van controle over het een object van data-analyse aansluit bij het leidende karakter van het Bedrijfsprocessysteem.
De eerste alinea verschaft geen zekerheden indien de informatie-architectuur onvoldoende aansluit bij de eisen van Interne Beheersing, terwijl deze wel nodig zijn om risico’s van verkeerde informatisering af te dekken. Stel dat gebruik wordt gemaakt van een financieel bronsysteem, een DWH, en een BI-systeem. In het tactisch proces is door de bevoegde partijen vastgesteld welke informatie uit het BI-systeem aan de informatieklanten moet worden opgeleverd. Om hiertoe te komen wordt een koppeling aangelegd tussen het bronsysteem en het DWH. Tevens wordt een koppeling aangelegd tussen het DWH en het BI-systeem. In het BI-systeem wordt door middel van geschreven algoritmes een extra selectie laag geprogrammeerd, waarbij wordt gerefereerd aan specifieke gekoppelde velden, die tevens in het BI-systeem kunnen worden aangevuld met formules.
Op basis van deze beschrijving kunnen twee soorten risico’s ontstaan:
Het eerste risico is dat een wijziging in één van de bronvelden kan worden gemaakt, dat raakt aan de gedefinieerde algoritmes in het BI-systeem. Zonder het instellen van maatregelen heeft dit tot gevolg dat de informatievoorziening niet meer consistent is. Om dit risico te mitigeren moet de eis worden gesteld dat per informatie-element, zijnde het controleobject, een integraal controlesysteem in alle systemen is ingesteld waarmee de verbanden tussen de te onderscheiden systemen kunnen worden aangetoond. In dit voorbeeld is dit dus van het bronsysteem naar het DWH en van het DWH naar het BI-systeem. Wanneer sprake is van meerdere objecten binnen het BI-systeem, zal binnen het BI-systeem ook een verband moeten kunnen worden aangetoond. Niet alleen voor een zuiver vergelijk, maar tevens voor een ver doorgevoerde geautomatiseerde controle zal de accountant, zodra dit soort risico’s zich voordoen, moeten kunnen sturen op een integraal geautomatiseerd controlesysteem om de juistheid en volledigheid van de informatievoorziening uit het BI-systeem te kunnen vaststellen. Dit staat los van de vaststelling van de juistheid en volledigheid van bronsystemen. Zoals in mijn model is aangegeven, zal per fase een verbandcontrole moeten kunnen worden gelegd, dat aansluit op de eisen zoals die reeds eerder door andere functionarissen zijn vastgesteld.
Een tweede risico is dat binnen het BI-systeem geen mogelijkheden bestaan om controle technische functiescheiding in te stellen voor meerdere rollen, zoals een beschikkende, uitvoerende, bewarende, registrerende en controlerende rol. Feitelijk is sprake van één single user versie in het BI-systeem. De single-user kan eventueel manipuleren. Zeker omdat regelmatig sprake zal zijn van kritieke informatievoorziening, is de noodzaak van deze faciliteit een noodzakelijk onderdeel van het controlesysteem om de juistheid en volledigheid van de informatievoorziening te kunnen vaststellen. De aard van het controlesysteem is dus preventief in plaats van repressief. Het instellen van de eis vooraf door de accountant, aan de klant en haar keten van het zorgdragen voor een volledig dekkend controlesysteem tot en met het laatste systeem van waaruit wordt geïnformatiseerd en waarbij grote risico’s kunnen ontstaan bij desinformatie op data-analyse per controleobject wordt toegepast, is niet meer dan redelijk.
Uit de eerste zin in de tweede alinea blijkt niet duidelijk of sprake is van alle informatie die door de organisatie stroomt of van een afgebakend geheel van informatie hetgeen de accountant tot controle-informatie rekent. Bij het eerste scenario, zal nog steeds de volledigheid van gegevensbepaling moeten worden vastgesteld, om te garanderen dat de accountant op basis van juiste, tijdige en volledige controle-informatie kan stoelen. Bij de tweede mogelijkheid komt daar nog een aanvullende dimensie bij namelijk of sprake is van informatie die valt onder de werkingssfeer van controle-informatie of niet. Als gevolg van de definitie in Standaard 500, Par. A1 vindt niet alleen een negatieve controle plaats maar eerst ook een positieve controle, om tot een volledige vaststelling te kunnen komen.
Het lijkt dan ook voor de hand liggend om bovenstaande zin uit te breiden met het definiëren van het eisenpakket dat aan systemen wordt gesteld om te kunnen komen tot een positieve en negatieve controle op controle-informatie, alvorens tot vaststelling van controle-informatie kan worden gekomen. Als aanvullend voorschrift kan de accountant, de organisatie waarop de controle van toepassing, opleggen om alle processen hieromtrent te beschrijven.
Er wordt verwezen naar Standaard 500. Naar mijn mening lost de inhoud van deze standaard het probleem van de genoemde casus in de vorige paragraaf niet op. De ‘ingeschakelde deskundige’ waaraan wordt gerefereerd in paragraaf A1 is te algemeen geformuleerd. Het zou naar mijn mening moeten zijn: ‘ingeschakelde deskundige die garanties afgeeft voor informatiesystemen die voldoen aan alle juridische kaders inzake de controle van de jaarrekening en Corporate Governance.’ Dit plaatst met name de IT-Consultant in een positie dat zij/hij zich niet meer kan beroepen op de beperkingen in software in relatie tot de genoemde eisen. Deze partij wordt gedwongen om een breder perspectief te hanteren aan de voorzijde van het proces van het in gebruik nemen van software.
Het ligt tenslotte voor de hand om de klant in de processen de risico-inschatting te laten verwerken. Tevens kan daarin worden verwerkt in hoeverre sprake is van controle-informatie en een noodzaak bestaat voor de accountant van een data-analyse.
Opmerking § 3.3
Uit bovengenoemde blijkt niet duidelijk of met transactiestromen alleen de stromen van transacties met een geldstroom tot gevolg wordt bedoeld of dat tevens afgeleide informatiseringstromen van de transactiestromen met bijvoorbeeld een Business Intelligence systeem wordt bedoeld. Wanneer alleen het eerste wordt bedoeld, dan is dat naar mijn mening te eng gedefinieerd, omdat de risico’s als gevolg van desinformatie, gegenereerd uit de transactiestromen in de informatiseringstromen, niet als risico worden gekwalificeerd, terwijl daar zeker sprake van kan zijn. Hiermee bedoel ik zeker niet dat de rondrekening en consistentie van de transactiestromen niet als eis moeten worden gesteld. Echter is die bepaling veel complexer en ingrijpender als gevolg van het gebruikmaken van een Business Intelligence systeem, waarbinnen voor elke visualisatie gebruik kan worden gemaakt van verschillende onderdelen van de transacties als ook verschillende geprogrammeerde algoritmes binnen het Business Intelligence systeem.
Bij een ongewenste wijziging in één van de paramaters van het bronsysteem, kan dat verstrekkende ongewenste gevolgen met zich mee brengen. Hiertoe dienen zeer intelligente controlesystemen bij de klant in goede werking te zijn, om de accountant überhaupt een kader te geven, waarbinnen kan worden gecontroleerd. Daarom propageer ik om de last van bewijzen van voldoende interne beheersing dieper in de organisatie te leggen.
Opmerking § 3.4
In de diverse bijdragen heb ik aangetoond dat beschikbaar gestelde modellen niet toereikend waren met betrekking tot toepassing van Interne Beheersing ten faveure van juiste informatisering en data-analyse. Het gevolg kan zijn: garbich in = garbich out. Daarom heb ik mijn model gepresenteerd. In het P&C-proces zal aan de voorkant, via samenwerking tussen de Controller en de Accountant, invulling moeten worden gegeven aan de opzet en inzet van risicomanagement en interne beheersmaatregelen. Dit kan alleen indien door producenten en consultants van IT-software garanties met betrekking tot goede inrichting en werking van hun producten in relatie tot deze beide instrumenten zijn afgegeven. Van de IT-producent en IT-consultant wordt dus veel meer gevraagd dan alleen productkennis.
Opmerking § 4.2
Om inzicht te verkrijgen in de door mij geschetste probleemstelling, zou ik in de diverse kaders voorbeelden opnemen van de onderstaande genoemde risico’s:
- Niet goed ingerichte administratieve organisatie/interne beheersing; bijvoorbeeld een tekort aan inrichting van controle technische functiescheiding voor management kritische transacties.
- Niet goed functionerende administratieve organisatie/interne beheersing.
Opmerking § 4.3
Om inzicht te verkrijgen in de door mij geschetste probleemstelling, zou ik in de diverse kaders voorbeelden opnemen van de onderstaande genoemde risico’s:
- Niet goed ingerichte administratieve organisatie/interne beheersing; bijvoorbeeld een tekort aan inrichting van controle technische functiescheiding voor management kritische transacties.
- Niet goed functionerende administratieve organisatie/interne beheersing.
Opmerking § 4.4
Om inzicht te verkrijgen in de door mij geschetste probleemstelling, zou ik in de diverse kaders voorbeelden opnemen van de onderstaande genoemde risico’s:
- Niet goed ingerichte administratieve organisatie/interne beheersing; bijvoorbeeld een tekort aan inrichting van controle technische functiescheiding voor management kritische transacties.
- Niet goed functionerende administratieve organisatie/interne beheersing.
Opmerking § 5.1
De toepassing van de regels van standaard 500 zijn pas effectief indien door producenten en consultants van IT-software garanties met betrekking tot goede inrichting en werking van hun producten in relatie tot risicomanagement en interne beheersing zijn afgegeven. Van de IT-producent en IT-consultant wordt dus veel meer gevraagd dan alleen productkennis. Hiervoor is een intensieve samenwerking tussen gekwalificeerde actoren nodig dat moeten leiden tot het gewenste resultaat van een kwalitatief toereikend systeem waarop de accountant de controle kan toepassen. Zoals al gesteld is bovenstaande model naar mijn mening te algemeen en legt het niet bloot aan welke uitdagingen het hoofd moet worden geboden om tot goede werking van betrouwbare informatiesystemen te komen. Mijn model geeft daar meer concreet handen en voeten aan.
Opmerking § 5.2
De gehanteerde voorbeelden in deze paragraaf bewijzen dat onvoldoende inzicht bestaat in de risico’s die heb geschetst met betrekking tot wijzigingen die ontstaan in relatie tot vorige verslagleggingen binnen een BI-systeem. Ik heb daarbij aangegeven dat zowel de consistentie van het verband tussen de systemen moet worden gelegd als het verband per mutatieregel. Wanneer bijvoorbeeld keuzes worden gemaakt op basis van een omzetoverzicht per postcode en daarvan afgeleide regio, dan moet eerst in het tactisch proces vastgelegd zijn hoe wordt omgegaan met verhuizingen. Vervolgens moet in de inrichting dit zijn uitgewerkt en moeten voldoende controles zijn ingebouwd waarmee zeker wordt gesteld dat, afhankelijk van de tactische keuze, de huidige postcode leidend is voor het gehele overzicht of dat de vorige postcode bepalend blijft voor de in het verleden gerapporteerde omzet.
Zeker ook hier zijn de opmerkingen in de vorige paragraaf van toepassing.
Opmerking § 5.3
Zie bijlage 2.
Opmerking Bijlage 2, reikwijdte bepalen
De laatste twee zinnen van het onderdeel ‘werkstappen en normen’ wekken de indruk dat de reikwijdte mede wordt bepaald door de technische beperkingen van een systeem. Het lijkt mij het waard om in de formulering van de accountant expliciet op te nemen welke afweging is gemaakt tussen het instellen door de cliënt van vergaande interne beheersmaatregelen om aanwezige negatieve effecten van technische beperkingen te beperken of ze zelfs uit te sluiten of deze technische beperkingen te accepteren. Het is overigens nog maar de vraag of de accountant überhaupt de reikwijdte kan bepalen wanneer de geschetste fricties die in § 3.1 zijn vermeld, zich voordoen. Stel namelijk dat sprake is van een informatieketen met meerdere systemen, waarin aan het eind van de keten algoritmes worden geprogrammeerd, waarmee de gewenste populatie wordt gegenereerd waarop een data-analyse moet worden toegepast. Op het moment dat geen sprake is van ingestelde functiescheiding tussen programmeur en gebruiker in het laatste systeem op basis waarvan de data-analyse plaatsvindt, kan de inhoud van de populatie worden gemanipuleerd, zelfs indien daarvoor in de keten, in bijvoorbeeld een DWH, de volledigheid, juistheid en tijdigheid van de gegevens in vastgesteld. Het is voor de accountant dan ondoenlijk om een populatie te reconciliëren op basis waarvan de accountant tot oordeelsvorming kan komen. Zeker in het kader van een eventueel later te voeren maatschappelijke discussie over de ingevulde rollen, is het vang belang om de scheidslijnen tussen actoren op dit vlak duidelijk te formuleren.
Opmerking Bijlage 2, Extractie uit bronsystemen
In stap 1 zijn de diverse mogelijke fricties in de consistentie van de informatievoorziening al aangetoond. In dit onderdeel wordt gesproken over het instellen van extractiecriteria op basis waarvan een confrontatie kan plaatsvinden tussen de SOLL en IST-positie. Aangezien per opvolgend systeem de gedaante van de extractiecriteria kan veranderen als gevolg van een verrijking, is de noodzaak van een verbandaansluiting onontbeerlijk. Omdat in het laatste systeem van de keten nog substantiële aanvullingen in de opbouw van de extractiecriteria kunnen worden aangelegd. Dientengevolge is het noodzakelijk om een partiële definitie per opvolgend systeem en een volledige definitie van de gehele keten van de extractiecriteria op te bouwen.
Nadat deze definities juist zijn aangelegd kan een controlebestand per systeem en voor de keten worden aangelegd waarmee de juistheid, tijdigheid en volledigheid per systeem kan worden aangetoond. Om de werkbaarheid voor de accountant in het kader van efficiency binnen het controleprogramma te kunnen bewaken, lijkt het preferabel, de controlebestanden binnen de gedefinieerde systemen met inrichting van voldoende controle technische functiescheiding, in te richten. Deze bestanden bestaan vanzelfsprekend uit opvolgende versies, omdat telkens de data wordt verrijkt en aansluiting met vorige data moet worden gevonden. Dit wordt uitgevoerd door het controlerecord per mutatie te confronteren met de vorige versie. Als sprake is van consistentie kan daar dus aansluiting in de verantwoording worden gevonden. Dit kan ook worden bewerkstelligd door het maken van een vorm van een hash-totaal.
Het is te overwegen, de voornoemde controlestructuur dwingend bij de cliënt op te leggen, om de kwaliteit van de controle van data-analyses te bewaken. Anders lijkt controle op de uitvoering van de extractiecriteria bijna ondoenlijk in een complexere omgeving van dataontwikkeling.
Opmerking Bijlage 2 Transformatie
Voor het zekerstellen van een kader voor de herleidbaarheid wordt verwezen naar de opmerkingen bij stap 2 van Bijlage 2.
Opmerking Bijlage 2, Importeren van data in de data-analysetool
Een voordeel van het gebruik van een BI-systeem, is dat de gewenste functionaliteit van data-analyse over de hele informatieketen, in dit systeem kan worden gebouwd. Daardoor kan de accountant, mits voldoende interne beheersmaatregelen zijn ingesteld wat een uitdaging is, ‘real-time’ haar/zijn analyses uitvoeren. Bij het inrichten van alle systemen in relatie tot de wensen van de accountant kunnen de Controller en BI-Consultants hierin een belangrijke voorbereidende uitvoerende rol spelen. De educatieve werking hiervan is evident. Daar ligt een didactische rol voor de accountant om het gewenste inzicht in de verbindingen vanaf bronsystemen naar informatiesystemen, hetgeen uiteindelijk leidt tot import in de data-analysetool, uit te leggen en te laten vertalen in een werkzame oplossing.
Opmerking Bijlage 2 , validatie proces ter voorbereiding op de data-analyses
Bij aandachtspunten wordt gesteld: ‘Veel data-analyse tools kennen ingebouwde validatiestappen. De validatie kan vaak worden aangevuld met eigen (specifieke) validaties.’ Ik heb in de diverse bijdragen gesteld dat het noodzakelijk is dat voor de beheersing van processen om tot een verantwoorde data-analyse te komen, integraal gebruik moet worden gemaakt van een: Business Proces Management Systeem, Work Flow Management Systeem, Risico Management Systeem, Financieel Management Systeem, Human Resources Management Systeem, DataWareHouse Systeem, Business Intelligence Systeem. In hele grote dure ERP-systemen zal een groot deel van deze functionaliteit terug te vinden zijn, maar daar hangt een stevig prijskaartje aan. Mijn ervaring is dat met het gebruik van een onafhankelijk BI-Systeem de indruk wordt gewekt dat bovengenoemde randvoorwaardelijke systeem-integraliteit kan worden gebouwd waarmee dus ook de gewenste data-analyses kunnen worden uitgevoerd. Dat is echter sterk afhankelijk van de kwaliteit (van samenwerking) van de diverse partijen!
Opmerking, slotbepaling
Per hoofdstuk heb ik mijn bevindingen en aanbevelingen gedeeld op basis van mijn ervaringen met ao-ib systemen in relatie tot informatiesystemen. Ik geniet daarbij de overtuiging dat de accountant aan de voorkant van het proces een dwingende sturende rol bij haar cliënt heeft, om de kwaliteit van haar eigen controle te bewaken. De ontwikkelingen op het gebied van automatisering gaan snel, maar ze gaan zeker niet altijd gepaard met een gelijklopende focus op het beheersen van gerelateerde processen en de consistentie van informatiestromen. Ik beveel daarom aan om onderstaande zaken onderstaande zaken dwingend en explicieter te borgen, alvorens tot enige vorm van validatie te komen:
- Alle processen die raken aan de voorbereiding en uitvoering van de data-analyse door de accountant zijn door de cliënt gedetailleerd beschreven en bestuurlijk gevalideerd.
- Per data-analyse object kan een gerealiseerd netwerk van controleverbanden ten opzichte van de vooraf geformuleerde normstelling als ook op de mutaties, die ten grondslag liggen aan de data-analyse, worden aangetoond.
- Per data-analyse object wordt in elk systeem in de informatieketen, per mutatie een controlerecord opgebouwd, dat aansluit op de normstelling, waarmee de volledigheid en het netwerk van controleverbanden kan worden opgebouwd en aangesloten of juist verschillen kunnen worden aangetoond.
- In relatie tot elk data-analyse object, is per procesdeel specifiek beschreven welke functie, met welke rol (beschikkend, bewarend, controlerend, registrerend of uitvoerend), met welke hulpmiddelen welke taak uitvoert. Hieruit blijkt tevens welke werkzaamheden door de cliënt worden uitgevoerd en welke door de accountant.
- In relatie tot elke data-analyse object, is per procesdeel inzichtelijk welke risico’s worden gelopen met betrekking tot de data-analyse en op welke wijze, via welke norm, deze worden gemitigeerd.
- Voor een data-analyse object kan per procesdeel een verband worden gelegd met het opvolgend deel van de informatieketen in het opvolgende procesdeel.
Jack Simbula 