Gemeenschappelijke regeling Reinigingsbedrijf Avalex. Managementletter 2011

Transcriptie

1 Gemeenschappelijke regeling Reinigingsbedrijf Avalex Managementletter 2011

2 Formatted: Font: Bold, German (Germany) Deleted: Aan de directie van de Gemeenschappelijke regeling Reinigingsbedrijf Avalex Laan van s-gravenmade BD DEN HAAG H.J. van Beelen MSc Managementletter Formatted: German (Germany) Deleted: Formatted: German (Germany) Deleted: Formatted: German (Germany) Deleted: Formatted: German (Germany) Deleted: Formatted: German (Germany) Deleted: Formatted: German (Germany) Deleted: Formatted: German (Germany) Deleted: Geachte directie, In overeenstemming met de opdracht van 20 december 2011 van het Algemeen Bestuur van de gemeenschappelijke regeling Reinigingsbedrijf Avalex (verder: Avalex), hebben wij de interim-controle over het jaar 2011 uitgevoerd. Op verzoek van Avalex is de controle gestart op 9 januari De interim-controle 2011 is vooral gericht op onderwerpen die belangrijk zijn voor een goede en betrouwbare jaarverslaggeving over Het gaat hierbij met name om bevindingen en actiepunten op het terrein van de interne beheersing, voorzover die invloed hebben op de getrouwe en rechtmatige verantwoording van baten, lasten en balansmutaties. Wij vertrouwen erop met deze managementletter 2011 bij te dragen aan het verbeteren van de interne beheersing en de kwaliteit van de jaarrekening Met betrekking tot de jaarrekening 2010 merken wij op dat bij Avalex diverse vragen open staan over de onderbouwing van posten in de jaarrekening Daarom hebben wij bij de jaarrekening 2010 nog geen controleverklaring afgegeven. In november 2011 hebben wij het management van Avalex en het Algemeen en het Dagelijks Bestuur van Avalex met onze voortgangsrapportage schriftelijk geïnformeerd over de openstaande punten en over onze controlebevindingen bij de jaarrekening Tussen november 2011 en de datum van deze managementletter heeft Avalex diverse openstaande vragen met betrekking tot de jaarrekening 2010 beantwoord. Andere vragen staan nog open. Om het overzicht te houden hebben wij de stand van zaken met betrekking tot de jaarrekening 2010 niet verwerkt in deze managementletter Zodoende bevat de managementletter 2011 alleen opmerkingen met betrekking tot het jaar De status van onze bevindingen over het jaar 2010 hebben wij opgenomen in de update van de Voortgangsrapportage accountantscontrole 2010 die wij tegelijk met deze managementletter 2011 uitbrengen. Wij vertrouwen erop u hiermee van dienst te zijn geweest en zijn graag bereid tot het geven van een nadere toellichting. Hoogachtend, Moved (insertion) [1] Deleted: Wij hebben daarom Deleted: bij de jaarrekening 2010.op dat Avalex diverse openstaande punten die volgen uit de accountantscontrole van de jaarrekening 2010 heeft afgewikkeld. Andere punten staan nog open. Moved up [1]: Wij hebben daarom nog geen controleverklaring afgegeven bij de jaarrekening Deleted: d.d. xx februari 2012,

3 Blad 3 van Inleiding Deloitte heeft de opdracht om de jaarrekening 2011 van Avalex te controleren. Als onderdeel van deze opdracht hebben wij in januari en in februari 2012 de interim-controle uitgevoerd. Wij hanteren voor de controle van de jaarrrekening een risicogerichte benadering. Dit houdt in dat wij samen met u de risico s inventariseren die kunnen leiden tot materiële fouten in de jaarrekening. Door deze benadering krijgen wij een goed beeld van uw organisatie en zijn wij in staat u binnen onze rol als accountant te adviseren. Het doel van onze controle is het geven van een oordeel over de jaarrekening. De controle omvat het in overweging nemen van de interne beheersing die relevant is voor het opstellen van de jaarrekening, gericht op het opzetten van controlewerkzaamheden die in de omstandigheden passend zijn. Onze controle is niet gericht op het tot uitdrukking brengen van een oordeel over de werking van de interne beheersing. Voorafgaand aan de start van de interim-controle 2011 hebben wij in een zogenoemde pre-audit meeting de focus van de controle 2011 met u afgestemd. Hierbij is ook aandacht besteed aan het eventueel inschakelen van specifiek benodigde aanvullende expertise binnen het controleteam om zo de kwaliteit van de controle en de adviezen te optimaliseren. Tijdens de uitvoering van de interimwerkzaamheden zijn wij nagegaan of onze risicoanalyse nog adequaat is. De bevindingen en aanbevelingen naar aanleiding van onze interim-controle 2011 zijn in deze managementletter opgenomen. De aangelegenheden die wij rapporteren zijn beperkt tot die tekortkomingen die wij tijdens de controle hebben onderkend en waarvoor wij vinden dat deze voor uw management voldoende belangrijk zijn. Wij hebben de managementletter als volgt ingedeeld. De managementsamenvatting is opgenomen in hoofdstuk 2. In hoofdstuk 3 besteden wij aandacht aan de manier waarop de administratieve organisatie en interne controle (AO/IC) op hoofdlijnen is georganiseerd. In hoofdstuk 4 gaan wij in op de follow-up van onze adviezen uit voorgaande rapportages. In hoofdstuk 5 hebben wij een aantal belangrijke afspraken vastgelegd met betrekking tot het jaarrekeningtraject 2011.

4 Blad 4 van Managementsamenvatting Inleiding In deze managementletter gebruiken wij regelmatig de term in control. Daarmee bedoelen wij dat een organisatie in control is, als deze organisatie tijdig alle relevante fouten en onzekerheden zelf signaleert en corrigeert. Dit is van wezenlijk belang voor een betrouwbare tussentijdse informatievoorziening en jaarverslaggeving op grond waarvan beleids- en beheersingsbeslissingen worden genomen. In onze optiek is een organisatie in contol als tenminste de volgende elementen van interne beheersing goed zijn geborgd. 1. Adequate risicoanalyse als basis voor de procesinrichting. 2. Adequate procesopzet met op de risicoanalyse gerichte risico-mitigerende maatregelen. 3. Goede verbijzonderde interne controle die nagaat of procesafspraken in de praktijk worden nageleefd en die toeziet dat indien nodig correcties worden aangebracht. 4. Adequate inrichting van de automatiseringsomgeving die betrouwbaarheid van informatie waarborgt. 5. Voldoende frequente managementinformatie afgestemd op de informatiebehoeften van de gebruikers en voorzien van toereikende verschillenanalyses. Ontwikkelingen in 2011 In 2010 hebben wij geconcludeerd dat Avalex niet in control is. Dit is door het management en het bestuur van Avalex onderkend. Avalex heeft hierop adequaat gereageerd. In 2011 zijn veel initiatieven genomen en inspanningen gedaan om naar een in control situatie te kunnen doorgroeien. Wij zien een toegenomen enthousiasme en vertrouwen bij het management en de medewerkers van de afdeling Finance om de interne beheersing van Avalex te verbeteren. Dat is een belangrijk winstpunt. Immers, in control komen is iets dat de medewerkers van Avalex samen moeten doen. Naast verbeteringen in de sfeer en cultuur zijn in 2011 ook de eerste concrete verbeteringen in de interne beheersing gerealiseerd. Zo is in de eerste helft van 2011 de opzet van de managementinformatie op niveau gebracht. Vervolgens is de planning & control cyclus beschreven en wordt de financiële administratie maandelijks afgesloten

5 Blad 5 van 43 voordat de managementrapportages worden gemaakt. Daarnaast bevatten de managementrapportages relevante sturingsinformatie voor de verschillende gebruikers daarvan. Eind 2011 is een goede start gemaakt met de risicoanalyse en met het beschrijven van de belangrijkste processen met financiële impact. Vervolgens heeft Avalex een intern controleplan geschreven voor het uitvoeren van interne controles. Dit zijn zonder meer positieve ontwikkelingen. De keerzijde is dat de risicoanalyse en de procesbeschrijvingen nog niet up-to-standard zijn. Maar er ligt wel een goede basis om vanuit verder te werken. Deleted: Een kanttekening De planning &control cyclus was nog niet heel 2011 operationeel. De kwaliteit van de begroting als sturingsinstrument voldoet nog niet en de maandelijks uitgevoerde interne controles op de betrouwbaarheid van de administratie zijn nog niet goed zichtbaar. Ook verloopt in 2011 nog teveel tijd tussen afsluiten van een periode en het beschikbaar komen van de financiële rapportages. Tevens zijn het intern controleplan en de bijbehorende werkprogramma voor verbetering vatbaar. Uit de bevindingen en aanbevelingen uit het rapport van de rekenkamers Delft, Leidschendam-Voorburg, Rijswijk en Pijnacker-Nootdorp d.d. van 20 januari 2010 en uit het rapport Governance Avalex van 8 april 2011 van AKD en Deloitte kan worden afgeleid dat er geen sprake is van een optimale governancestructuur. De gedane aanbevelingen hebben nog niet geleid tot aanpassing van de governancestructuur. De gesignaleerde risico s en verbeterpunten zijn derhalve nog steeds van kracht. EDP audit Avalex is voor de betrouwbaarheid van de managementinformatie en de jaarrekening in hoge mate afhankelijk van de betrouwbaarheid en de continuïteit van de geautomatiseerde gegevensverwerking in de financiele administratie (SAP) en in de software voor de registratie van de afvalstromen (Pfister). Wij hebben de de opzet van algemene IT beheersmaatregelen van Pfister onderzocht en wij hebben de opzet en het bestaan van autorisaties in SAP beoordeeld. Samengevat zien wij dat: voor Pfister beperkte verbeteringen zijn doorgevoerd ten aanzien van de beheersing van autorisaties in SAP vanaf september 2011 is verbeterd. De beveiliging, de toegangsrechten en de functiescheidingen in Pfister zijn niet toereikend om betrouwbare informatie te genereren. Ook zijn onvoldoende waarborgen getroffen voor een juiste en volledige overdracht van gegevens tussen Pfister en SAP. Vanaf september 2011 is het beheer van de autorisaties in SAP verbeterd. Dat is een belangrijk winstpunt. Omdat de verbetering in september 2011 is doorgevoerd, kan Avalex niet het gehele jaar steunen op de controles binnen SAP. Dit houdt in dat wij net als in 2010 een gegevensgerichte controleaanpak zullen hanteren. Dit is zeer arbeidsintensief, voor Avalex en voor ons. Het is onzeker of door de hoge mate van automatisering van de bedrijfsprocessen binnen Avalex, voldoende controle-informatie kan worden verkregen om de juistheid en volledigheid van de (verdeling) van de omzet c.q. van de verwerkingskosten voor de individuele

6 Blad 6 van 43 gemeenten te bepalen. Indien dit het geval is, zal dat invloed hebben op ons accountantsoordeel over de jaarrekening 2011 van Avalex. Volledigheidshalve merken wij op dat wij de werking van de beheersingsmaatregelen in SAP niet hebben getest. Voor ons accountantsoordeel over 2011 is dat niet nodig, immers de opzet en het bestaan van de beheersmaatregelen voldoen niet geheel 2011 aan de daaran te stellen eisen. Wij adviseren wel om de werking van de IT beheersmaatregelen in SAP aanvullend te laten testen. Dat voorkomt dat in 2012 eventueel nieuwe bevindingen en aandachtspunten naar voren kunnen komen die risico s inhouden voor de betrouwbaarheid van de managementinformatie 2012 en voor de jaarrekening Daarnaast raden wij aan om met spoed minimale beveiligingsmaatregelen in Pfister te realiseren. De belangrijkste bevindingen en openstaande punten per proces Hierna geven wij inzicht in de belangrijkste bevindingen en openstaande punten per proces. Voor het totaaloverzicht van de detailbevindingen en de openstaande punten verwijzen wij naar de bijlagen 1 en 2. Onderwerp Bevinding Avalex heeft begin 2012 de inrichting van de administratie aangepast op een nieuw Algemeen begrotingsmodel. Dit begrotingsmodel is nog niet door het bestuur goedgekeurd. Het risico is dat het bestuur het begrotingsmodel niet of gedeeltelijk goedkeurt. In dat geval zijn ingrijpende aanpassingen nodig in de inrichting van de administratie. Deleted: Op dit moment zijn de uitkomsten van de EDP-audit op de betrouwbaarheid van de (inrichting van de) financiële administratie nog niet beschikbaar. Wij verwachten dat de eerste bevindingen van het onderzoek naar de inrichting van de autorisatietabellen in maart 2012 beschikbaar komen. Vervolgens zullen de EDP-auditors de opzet en de werking van de geautomatiseerde controles testen in SAP (de financiële administratie) en in Pfister (het afvalweegsysteem). Wij zullen u informeren over de uitkomsten van dit onderzoek. Personeel Avalex heeft geen vastgestelde mandaatregeling op het gebied van Personeel en inkopen. De Gemeenschappelijke regeling legt de bevoegdheid bij het Bestuur, een instructie mandateert deze bevoegdheid naar de directeur. Sinds december 2011 is het Hoofd Personeel ondergemandateerd voor disciplinaire maatregelen, benoeming, schorsing en ontslag. Veel zaken rondom personeel en inkopen zijn nog niet gemandateerd of zijn niet duidelijk belegd. Avalex beschikt niet over vastgelegd beleid ten aanzien van integriteit en ethiek. De outputcontrole op door het ADP verwerkte mutaties gebeurt door dezelfde medewerker die de input richting ADP heeft geleverd. Deze functievermenging leidt tot risico s voor de juistheid van de personele kosten. Inkopen Inkopen Voor inkopen met betrekking tot het project Ryck, de kostenplaats Directie en de VISAdeclaraties ontbreekt adequate controletechnische functiescheiding. Dit leidt tot risico s voor de juistheid van deze kosten. Uit onze deelwaarneming op de inkoopkosten blijkt dat: 1) Bij 24 van de 25 facturen geen achterliggende stukken aanwezig zijn. Hierdoor is de

7 Blad 7 van 43 Onderwerp Bevinding prestatielevering en de juistheid van de in rekening gebrachte bedragen onzeker. 2) 2 van de 25 facturen geactiveerd hadden moeten worden. De juistheid van de kosten en de volledigheid van de materiele vaste activa is hierdoor niet gewaarborgd. 3) 1 factuur had betrekking op 2010, Het is belangrijk om toe te zien op de juiste toerekening van kosten aan jaren. 4) Een aantal facturen is betaald zonder dat de facturen in functiescheiding zijn geaccordeerd. Dit brengt risico s voor de juistheid van de kosten met zich mee. 5) Bij 23 van de 25 facturen geen zichtbare interne controle heeft plaatsgevonden op de betaaladvieslijst. Dit leidt tot risico s voor de juistheid van de betalingen. Investeringen Uit onze deelwaarneming op de investeringen blijkt dat: 1) 3 posten ten onrechte zijn geactiveerd omdat deze het karakter hebben van kosten. Hierdoor zijn de vaste activa op de balans te hoog en de kosten te laag verantwoord. 2) Bij 2 posten geen onderbouwing/ achterliggende stukken aanwezig zijn ten aanzien van de geactiveerde uren van een consultant. Mogelijk moeten deze posten worden opgenomen als kosten. 3) Vrijwel voor alle posten de achterliggende stukken ontbreken, waardoor wij niet achteraf zelfstandig de prestatielevering en de juistheid van de kosten kunnen vaststellen. 4) Uit de interne controle nog vragen open staan over het bestaan van diverse activa. 5) Er nog vragen openstaan over 2 activeringen (zie tevens punt openstaand hieronder) 6) Voor alle facturen in de deelwaarneming de investeringsprocedure niet is gevolgd die voorschrijft dat 3 offertes worden opgevraagd. Hierdoor bestaat het risico dat niet tegen de meest gunstige condities in ingekocht. 7) Voor alle facturen in de deelwaarneming het goedkeuringsbesluit van het MT ontbreekt. 8) Niet alle investeringen zijn opgenomen in de investeringsbegroting. Het risico bestaat de deze investeringen niet rechtmatig zijn (begrotingsrechtmatigheid). Opbrengsten Rechtmatigheid Avalex heeft nog geen interne controle verricht op de omzetstromen. Omdat onze controle uit efficiëntie de interne controle volgt, hebben wij nog controle uitgevoerd op de betrouwbare verantwoording van de opbrengsten. De investeringsbegroting is in 2011 overschreden. Dit betekent dat investeringen mogelijk onrechtmatig zijn. Dit dient door Avalex nader te worden onderzocht. Een belangrijke overschrijding van de investeringsbegroting heeft betrekking op SAP. Het Algemeen Bestuur heeft in 2008 een investeringsvoorstel in SAP van bijna 1 miljoen vastgesteld. Eind 2011

8 Blad 8 van 43 Onderwerp Bevinding bedragen de investeringen in SAP circa 3 miljoen. Dit betekent dat de investeringen in SAP mogelijk onrechtmatig zijn. Rechtmatigheid Treasury Avalex heeft nog niet de interne controle op de rechtmatigheid afgerond. Uit efficiëntie overwegingen volgt onze controle de interne controle. Onder meer vestigen wij uw aandacht op de rechtmatigheid van de kosten die samenhangen met het Mobiliteitsprogramma. Het risico op onrechtmatigheden bestaat. De kosten van het project Ryck bedragen tenminste 1 miljoen. De uitgaven zijn niet begroot in Hierdoor worden deze uitgaven in het kader van begrotingsrechtmatigheid als onrechtmatig aangemerkt. De begrotingsonrechtmatigheid heeft invloed op ons accountantsoordeel op het gebied van rechtmatigheid. Tenslotte merken wij op dat de interne controle op de naleving van Europese aanbestedingsregels nog niet is afgerond. De treasury-activiteiten zijn niet gebaseerd op een korte termijn liquiditeitenplanning (looptijd tot één jaar), evenals een meerjarige liquiditeitenplanning met een horizon van ten minste de eerste vier opeenvolgende jaren (art. 4.5 lid 1 Treasurystatuut). Deleted: uitgevoerd Treasury Treasury De liquiditeitsanalyse op korte termijn op basis waarvan kasgeldleningen worden aangetrokken vindt onvoldoende frequent plaats. Tevens ontbreekt een formele procedure ten aanzien van liquiditeitsplanning. Het risico op onrechtmatigheden en op ondoelmatige financiering bestaat. Medio 2011 zijn de langlopende financieringen en de vermogensbehoefte op basis van de looptijd van activa wel (eenmalig) gematched. Bij het aangaan van kasgeldleningen worden in tegenstelling tot treasurystatuut niet meerdere offertes aangevraagd (art. 5.4 lid 4 en 5 Treasurystatuut). In 2011 is wel een notitie opgesteld die regelt dat 1 offerte van de BNG volstaat. Deze regeling is nog niet goedgekeurd door het bestuur en heeft geen betrekking op de langlopende leningen. Het risico bestaat dat het aantrekken geldleningen niet rechtmatig is. De in 2011 aangetrokken langlopende geldleningen ( 5 mln en 10 mln) en diverse kasgeldleningen zijn niet zichtbaar afgestemd op de bestaande financiële positie, de aanwezige leningenportefeuille, een recente liquiditeitenplanning- en een actuele rentevisie (art. 4.2 lid 3 Treasurystatuut). Het risico op onrechtmatigheden bestaat. Medio 2011 heeft echter wel een eenmalige matching plaatsgevonden tussen langlopende financieringen en de vermogensbehoefte op basis van de looptijd van activa. Op basis hiervan zijn de leningen aangetrokken. Afsluitend

9 Blad 9 van 43 Uit het voorgaande blijkt dat Avalex in 2011 nog niet in control is. Dat was ook niet de verwachting. Daarvoor is teveel tegelijk nodig om in een tijdsbestek van 1 jaar in control te komen. Wij onderkennen significante tekortkomingen in de interne beheersing in Deze omstandigheid kan invloed hebben op ons accountantsoordeel over de jaarrekening van Avalex, omdat de tekortkomingen kunnen leiden tot afwijkingen van materieel belang in de financiële overzichten. Het belangrijkste is dat in 2011 de weg naar verbetering duidelijk is ingeslagen. De medewerkers zien dat met succes de eerste verbeterstappen zijn gezet en dat in 2011 een basis is gelegd die het mogelijk maakt om in 2012 beter in control te komen.

10 Blad 10 van Bevindingen interim-controle 3.1 Adequate risico-analyse als basis voor de procesinrichting Een goede procesinrichting met voldoende checks and balances leidt tot betrouwbare administratieve vastleggingen en vormt de basis voor goede interne rapportages en externe verslaggeving. Avalex beschikte in 2010 nog niet over een geformaliseerde risico-analyse die ten grondslag ligt aan de beheersmaatregelen. Eind 2011 is een intern controleplan opgesteld. Het interne controleplan bevat een risico-analyse. Onder risico wordt verstaan het risico op een materiële afwijking in de jaarrekening. Het is positief dat Avalex is gestart met het opzetten van een adequate risico-analyse. De risico-analyse is nog niet volledig. De risicoanalyse is voornamelijk impliciet ingestoken. Per jaarrekeningpost wordt aangegeven of sprake is van een laag, midden of hoog risico. Het is nodig om de risicoanalyse explicieter te maken. Hiervoor kunt u de specifieke aandachtspunten per proces gebruiken die zijn opgenomen in bijlage 3 van het intern controleplan. 3.2 Adequate procesopzet met op de risico-analyse gerichte risico-mitigerende maatregelen Kunnen beschikken over een actuele beschrijving van de administratie organisatie biedt belangrijke voordelen voor de interne beheersing van de organisatie: Eenduidige uitvoering van de processen; Snel inzicht in de verdeling van bevoegdheden en verantwoordelijkheden en de checks en balances in de processen; Duidelijkheid voor alle bij het proces betrokken medewerkers en eerste stap naar een efficiënte instructie. Om te kunnen profiteren van deze voordelen moet de beschreven administratieve organisatie in de praktijk worden geïmplementeerd. Avalex onderkent het belang van een toereikend beschreven administratieve organisatie. Eind 2011 is gestart met het beschrijven van de zeven belangrijkste processen binnen Avalex. Deze beschrijvingen zijn een goede eerste aanzet, maar bevatten nog onvoldoende key-controls en overige interne beheersingsmaatregelen om de risico s uit de risico-analyse af te dekken.

11 Blad 11 van 43 De beschrijvingen kunnen nog concreter worden gemaakt. Daarnaast bestaat functievermenging tussen de controlerende, beschikkende en registrerende functie. Overigens bestaat deze functievermenging niet in de praktijk. Overige aandachtspunten hierbij zijn het beschrijven van de overige processen en het (laten) opstellen van een Handboek Administratieve Organisatie. 3.3 Verbijzonderde interne controle Eind 2011 heeft Avalex een intern controleplan opgesteld. Door het uitvoeren van het interne controleplan worden eventuele getrouwheids- en rechtmatigheidsfouten en onzekerheden in de informatieverstrekking (zoals tussentijdse managementinformatie, jaarrekening) gesignaleerd. In de laatste weken van december 2011 en de eerste weken van januari zijn werkprogramma s opgesteld. Met het opstellen van het interne controleplan en de bijbehorende werkprogramma s heeft Avalex een goede basis gelegd om het stelsel van administratieve organisatie en interne beheersing te verbeteren in Omdat dit het eerste intern controleplan is van Avalex, zijn opmerkingen te maken over de reikwijdte en diepgang. Wij zullen in een overleg met uw hoofd Middelen onze bevindingen nader toelichten en bespreken welke acties nodig zijn voor het verbeteren van het intern controleplan. Op hoofdlijnen zijn onze bevindingen: 1. In hoofdstuk 5 zijn zeven (significante) financiële bedrijfsprocessen onderkend, te weten: planning & control cyclus, opbrengsten, investeringen, inkoop en aanbesteding, treasury, personeel en binnen alle processen rechtmatigheid. Wij adviseren om het proces opbrengsten nader uit te splitsen in de verschillende omzetstromen. Vanwege de complexe automatiseringsomgeving van Avalex adviseren wij om het proces automatisering op te laten nemen in het interne controleplan. 2. De naleving van het toetsingskader (rechtmatigheid) met uitzondering van Europees aanbesteden is nog geen onderdeel van de verbijzonderde interne controle. Wij adviseren om de naleving van het toetsingskader rechtmatigheid onderdeel te laten zijn van de verbijzonderde interne controle. 3. Voor het uitvoeren van verbijzonderde interne controle is het van belang dat de administratieve organisatie en interne beheersing van voldoende kwaliteit zijn om de onderkende risico s te beheersen. Avalex heeft nog geen kwalitatief toereikende beschrijving van de administratieve organisatie en interne beheersing. Er is wel een eerste aanzet gemaakt voor het opstellen van procesbeschrijvingen. Mede hierdoor en door diverse leemten in de administratieve organisatie is de verbijzonderde interne controle vooral gegevensgericht ingestoken. Het is van belang om in 2012 de processen verder te verbeteren zodat de interne controle organisatiegericht kan worden uitgevoerd. Dat is efficiënter en maakt vooraf sturen op processen mogelijk, in plaats van achteraf herstellen van fouten.

12 Blad 12 van Nog niet voor alle processen zijn werkprogramma s opgesteld en verbijzonderde interne controle uitgevoerd. Avalex heeft aangegeven dat de ontbrekende werkprogramma s vóór aanvang van de eindejaarscontrole beschikbaar zijn en volledig zijn uitgevoerd. Daarnaast merken wij op dat in sommige gevallen de key controls niet of in beperkte mate op werking worden getest. Dit wordt overigens mede veroorzaakt door de gegevensgerichte aanpak. 5. Wij adviseren u om de materialiteit op een lager bedrag te stellen dan door Avalex gekozen materialiteit. Zo neemt de omvang van het aantal waarnemingen in de verbijzonderde interne controle toe. Na enige tijd en als de uitkomsten van de verbijzonderde interne controle weinig fouten aantoont, kan de materialiteit toenemen en kan het aantal waarnemingen afnemen. 6. De verbijzonderde interne controle is in 2011 aan het einde van het boekjaar uitgevoerd. Om in 2012 de voordelen van verbijzonderde interne controle volledig te benutten en het zelfsignalerend vermogen te vergroten, raden wij aan om verspreid over het jaar (bijvoorbeeld 1 keer per kwartaal) de verbijzonderde interne controle uit te voeren. Over het boekjaar 2011 is nog geen verbijzonderde interne controle uitgevoerd op de naleving van het toetsingskader rechtmatigheid. Dit zal achteraf, in 2012, plaatsvinden. Dit vermindert de mogelijkheid van Avalex om gedurende het jaar te anticiperen op rechtmatigheidsissues. Wij adviseren u de interne controle op de rechtmatigheid gedurende het jaar uit te voeren. Een belangrijk onderdeel van rechtmatigheid voor Avalex is het voldoen aan de richtlijnen voor Europees aanbesteden. Wij zien dat Avalex in 2011 zich nog meer bewust is geworden van de verplichtingen van EUaanbesteding. Dit blijkt uit het aanstellen van een centrale inkoper, het Europees aanbesteden van diverse opdrachten en het invoeren van een nieuwe inkoopprocedure (zogenaamde vota s). Vanwege de complexiteit van de EU-aanbestedingsregels heeft Avalex eind 2011 een jurist gevraagd om het voor Avalex geldende wetgevingskader inzichtelijk te maken. In augustus 2011 is gestart met de analyse op de crediteuren om vast te stellen of alle opdrachten en combinaties van opdrachten die aanbestedingsplichting zijn, ook daadwerkelijk Europees zijn aanbesteed. Deze analyse is nog niet afgerond. Wij adviseren u de interne controle op de naleving van de EU-aanbestedingsrichtlijnen snel af te ronden en de eventuele bevindingen te communiceren met het bestuur. 3.4 Tussentijdse managementinformatie In onze concept managementletter 2010 hebben wij gerapporteerd dat de tussentijdse managementinformatie onvoldoende betrouwbaar was in verband met onjuiste koppelingen in SAP en het ontbreken van een deugdelijke begroting om een adequate verschillenanalyse te kunnen uitvoeren. Op het gebied van planning & control bestaat in 2011 een duidelijke kwaliteitsverbetering ten opzichte van Voorbeelden zijn: Deleted: 3.4 Adequate inrichting van de automatiseringsomgeving Avalex is voor de betrouwbaarheid van de managementinformatie in hoge mate afhankelijk van de betrouwbaarheid en de continuïteit van de geautomatiseerde gegevensverwerking in SAP en Pfister. De EDP-audit is op het moment van schrijven van deze managementletter nog niet afgerond. Wij verwachten dat de eerste bevindingen van het onderzoek naar de inrichting van de autorisatietabellen in maart 2012 beschikbaar zijn. Na het onderzoek naar de juiste inrichting van de autorisatietabellen zullen de EDPauditors de application controls binnen SAP en Pfister testen. Wij zullen u afzonderlijk informeren over de uitkomsten van dit onderzoek. Volledigheidshalve merken wij wel op dat eventuele gebreken in de automatiseringsomgeving van invloed kunnen zijn op onze controlestrategie en de strekking van het accountantsoordeel in onze controleverklaring. Deleted: 5

13 Blad 13 van De planning & control cyclus is in 2011 beschreven. 2. Op de afdeling Finance is onderscheid gemaakt tussen accounting en controlling. 3. In samenspraak met de gebruikers (management, opdrachtgevers, bestuur) van de tussentijdse informatie heeft Avalex geïnventariseerd wat de specifieke informatiebehoeften zijn. Mede op basis hiervan zijn de tussentijdse rapportages gedurende het jaar verder ontwikkeld. 4. Elke maand wordt de financiële administratie afgesloten. Er is een planning opgesteld welke werkzaamheden maandelijks uitgevoerd moeten worden om de administratie op een deugdelijke wijze af te sluiten. 5. Voor elke maand tot en met oktober is een managementrapportage opgesteld in Door beperkingen in de capaciteit stagneert de ontwikkeling van de managementinformatie. Op het gebied van tussentijdse managementinformatie merken wij nog het volgende op. 1. Naar mening van Avalex voldoet de begroting 2011 niet als sturingsinformatie. De begroting is voor onze accountantscontrole geen object van onderzoek. Tekortkomingen in de begroting bemoeilijken de verschillenanalyse en verminderen het zelfsignalerend vermogen. Het verdient aanbeveling om een investeringsbegroting op te nemen in de begroting. 2. De maandelijkse interne controles zijn onvoldoende zichtbaar gemaakt. Hierdoor kunnen wij niet vaststellen of de interne controles daadwerkelijk zijn uitgevoerd. Avalex is zich hiervan bewust en geeft aan dat door beperkte capaciteit en overige additionele werkzaamheden er onvoldoende tijd is om alle interne controles zichtbaar vast te leggen. De verwachting van het management is dat in 2012 de interne controles wel zichtbaar zullen worden vastgelegd. 3. Niet in alle gevallen is het gelukt om tijdig de managementrapportages op stellen. Uw management heeft aangegeven dat dit mede wordt veroorzaakt door de complexiteit en het ontbreken van een goed functionerende bedrijfsbureau. 4. De managementrapportages geven geen prognose voor het resultaat einde boekjaar. 5. De managementrapportages bevatten een tekstuele toelichting op de verschillen tussen de realisatie 2011 en de realisatie De analyses zijn inhoudelijk voor verbetering vatbaar. 6. De managementrapportages kunnen aan informatiewaarde winnen door het opnemen van informatie over rechtmatigheid, liquiditeit, kengetallen en bedrijfsvoering. Avalex is van plan om de managementrapportages in 2012 op deze gebieden uit te breiden. 3.5 Overige bevindingen Deleted: 6

14 Blad 14 van Organisatiestructuur Deleted: 6 In de nieuwe organisatiestructuur is de concern controller niet langer als staffunctie van de directie opgenomen. Daarvoor in de plaats komt een business controller die functioneert onder het hoofd Middelen. De status van deze nieuwe organisatiestructuur is niet duidelijk, omdat de structuur niet is vastgesteld door het bestuur. In de praktijk is in 2011 na het vertrek van de concern controller de functie niet ingevuld. Gezien de huidige problematiek zijn wij van mening dat Avalex wel behoefte heeft aan een concern controller die in een onafhankelijke rol direct rapporteert aan de directie Begrotingsrechtmatigheid Deleted: 6 Avalex heeft geen goede begroting met een transparante toerekening van kosten aan programma s. Dit maakt het lastig om de juistheid en rechtmatigheid van de toerekening van kosten aan te tonen. Mede hierdoor is nog geen verbijzonderde interne controle uitgevoerd op de begrotingsrechtmatigheid van de programma s in Overigens hebben wij wel begrepen dat in 2011 (net als in 2010) de investeringsbegroting is overschreden. Wij adviseren om investeringen expliciet te begroten en de daadwerkelijke investeringen te toetsten aan de begroting om zodoende begrotingsonrechtmatigheden te voorkomen. Investeringen in SAP In 2008 heeft het Algemeen Bestuur het investeringsvoorstel voor de vervanging van de systemen ARIS en Exact door SAP goedgekeurd tot een bedrag van Uit de stukken die wij hebben ontvangen blijkt niet dat nadere investeringsvoorstellen zijn voorgelegd aan het Dagelijks Bestuur en/of het Algemeen Bestuur met betrekking tot de implementatie van SAP. De totale investering in hard- en software bedraagt volgens het conceptjaarverslag 2010 eind 2010 circa 3,5 miljoen. De totale investering in SAP bedraagt tot en met 2011 in ieder geval circa 3 miljoen. Er is zodoende sprake van een begrotingsonrechtmatigheid van in ieder geval 2 miljoen. Het exacte bedrag dient nader te worden onderzocht. Mobiliteitsprogramma In de vergadering van het Dagelijks Bestuur d.d. 20 april 2009 is het voorstel besproken van de directie aan het Dagelijks Bestuur voor de aanbesteding van de mobiliteitsgarantie voertuigen. Volgens de Aanvulling op voorstel aan het DB, betreffende Aanbesteding mobiliteitsgarantie voertuigen van 6 mei 2009 zijn de totale begrote kosten voor de exploitatie van voertuigen bij outsourcing Het is vooralsnog onduidelijk of het Algemeen Bestuur (en tot welk bedrag) heeft besloten tot een begrotingswijziging. Dit moet worden uitgezocht. In de evaluatie van United Quality van 28 september 2011 blijkt dat de kosten voor het mobiliteitsprogramma in 2010 en 2011 circa 2,9 miljoen zijn. Of en tot welk bedrag sprake is van een begrotingsonrechtmatigheid moet nader worden uitgezocht. Project Ryck Formatted: Font: (Default) Arial, 9 pt, Check spelling and grammar Formatted: Font: (Default) Arial, 9 pt, Check spelling and grammar Formatted: Font: (Default) Arial, 9 pt, Check spelling and grammar Formatted: Font: (Default) Arial, 9 pt, Check spelling and grammar Formatted: Font: (Default) Arial, 9 pt, Check spelling and grammar Formatted: Font: (Default) Arial, 9 pt, Check spelling and grammar Formatted: Font: (Default) Arial, 9 pt, Check spelling and grammar Formatted: Font: Bold, Font color: Custom Color(RGB(146;212;0)), Do not check spelling or grammar Formatted: Font: Bold, Font color: Custom Color(RGB(146;212;0)), Do not check spelling or grammar Formatted: Font: (Default) Arial, 9 pt, Bold, Font color: Custom Color(RGB(146;212;0))

15 Blad 15 van 43 In de notulen van het Dagelijks Bestuur d.d. 28 maart 2011 is vermeld dat het inzamelconcept Afval Loont wordt toegelicht. Op basis van de notulen van het Dagelijks Bestuur hebben wij niet kunnen vaststellen of hierbij een begroting is voorgelegd aan het Dagelijks Bestuur en aan het Algemeen Bestuur. Wij hebben wel een begroting van Ryck d.d. 28 maart 2011 ontvangen waarin is vastgelegd dat de totale begrote inkomsten in de pilot bedragen. De totale begrote uitgaven bedragen In deze begroting is een voorlopig negatief resultaat ten bedrage van vermeld. In de derde kwartaalrapportage 2011 aan het Dagelijks Bestuur van Avalex, gedateerd op 6 januari 2012, is over Ryck vermeld: Kostenstijging Afval loont Het concept Afval Loont is in 2011 gestart. Het bedrag van zijn alle gemaakte kosten omtrent het Afval Loont. Op basis van grove selectie uit de financiële administratie hebben wij vastgesteld dat tenminste is uitgegeven ten behoeve van het project Ryck. De gerelateerde opbrengsten zijn tenminste Deze uitgaven zijn niet begroot in Hierdoor worden deze uitgaven in het kader van begrotingsrechtmatigheid als onrechtmatig aangemerkt. De begrotingsonrechtmatigheden hebben invloed op ons accountantsoordeel op het gebied van rechtmatigheid. Deleted: i Deleted: eft

16 Blad 16 van Overeenkomst met Court Lane Consultants BV Deleted: 6 Op 27 oktober 2010 heeft Avalex een overeenkomst gesloten met Court Lane Consultants BV (hierna CLC) voor het verrichten van werkzaamheden met betrekking tot het project Geld voor afval (project Ryck). In de overeenkomst staat dat CLC - gezien de omvang van de opdracht en het toekomstperspectief als aandeelhouder voor CLC een korting verleent op haar gebruikelijke tarieven van 50%. De facturatie en betaling van de resterende 50% van de gewerkte uren is afhankelijk van de te nemen besluiten na de pilot. In de overeenkomst worden drie scenario s besproken. Wij adviseren u de consequenties van deze afspraken te bepalen voor de verslaggeving. Hierbij geven wij de volgende overwegen: 1. Bepaal de kans dat de pilot doorgang vindt dan wel afgebroken wordt (risicoanalyse). 2. Stel vast welke bedragen er over 2011 aan CLC zijn betaald. 3. Maak een inschatting van het bedrag dat aan naheffing aan Court Lane zal moeten worden betaald. 4. Vorm indien nodig voor dit bedrag een voorziening in de jaarrekening. Wij hebben begrepen dat het bestaan van deze overeenkomst niet algemeen bekend was bij het management van Avalex. Het is nodig om nader te onderzoeken of dit voor meer overeenkomsten geldt. Wij adviseren tevens om een registratie van aangegane verplichtingen bij te houden. Een contractenregister kan bijdragen aan het volledige beeld van de aangegane verplichtingen Uitdienstmutatie voormalig concern controller Deleted: 6 In 2011 is de arbeidsovereenkomst met de concern controller beëindigd. Het personeelsdossier bevatte geen ontslagbrief. Dit is inmiddels hersteld. De vaststellingsovereenkomst is getekend door het hoofd P&O. Volgens de instructie voor de directeur zoals vastgesteld door het bestuur is alleen de directeur bevoegd tot het tekenen van een vaststellingsovereenkomst. Naast de vaststellingsovereenkomst zou Avalex de verplichting hebben tot het betalen van de bovenwettelijke WW. Hiervan zijn geen stukken beschikbaar. Het is onduidelijk welke verplichting Avalex heeft en wat de omvang is van die verplichting. Het is nodig om dit uit te zoeken en de eventuele verplichting op te nemen in de jaarrekening. Mogelijk heeft de uitkering gevolgen voor de WOPT-toelichting in de jaarrekening.

17 Blad 17 van Dienstverleningsovereenkomst Deleted: 6 Jaarlijks sluit Avalex dienstverleningsovereenkomsten met de gemeenten. Over 2011 beschikt Avalex nog niet over de door de gemeente ondertekende dienstverleningsovereenkomsten. Wij adviseren om de overeenkomsten - waarin tevens de financiële paragraaf is opgenomen alsnog te laten ondertekenen. Wij hebben wel vastgesteld dat de ongetekende dienstverleningsovereenkomsten juist zijn verwerkt in SAP en dat de geboekte opslagen ter dekking van overhead en de opslagen voor winst en risico zijn geboekt in SAP in overeenstemming met de vastgestelde opslagpercentages door het Algemeen Bestuur op 3 oktober Overzicht overige gedetailleerde bevindingen Deleted: 6 Voor het overzicht van de overige gedetailleerde bevindingen verwijzen wij naar bijlage 1.

18 Blad 18 van Bevindingen EDP-audit 4.1. Inleiding Avalex is voor de betrouwbaarheid van de managementinformatie en de jaarrekening in hoge mate afhankelijk van de betrouwbaarheid en de continuïteit van de geautomatiseerde gegevensverwerking in de financiele administratie (SAP) en in de registratie van de afvalstromen (Pfister). Wij hebben de de opzet van algemene IT beheersmaatregelen van Pfister onderzocht en wij hebben de opzet en het bestaan van autorisaties in SAP beoordeeld. Samengevat zien wij dat: voor Pfister beperkte verbeteringen zijn doorgevoerd ten aanzien van de beheersing van autorisaties in SAP vanaf september 2011 is verbeterd. Formatted: Font: (Default) Arial, 9 pt Formatted: Normal, No bullets or numbering Formatted: Font: In de volgende paragrafen gaan wij nader in op de bevindingen van de EDP-audit voor Pfister, SAP en de interface tussen Pfister en SAP die er voor moet zorgen dat de weeggegevens betrouwbaar worden vertaald naar financiele gegevens in SAP. 4.2 Pfister Op het gebied van rollen en rechten binnen Pfister zijn in 2011 geen aanpassingen doorgevoerd. Voor het wijzigingenbeheer proces geldt dat er geen formele change management procedure voor Pfister is opgesteld. Een wijzigingsregister is niet voorhanden waarin de doorgevoerde wijzigingen in de programmatuur gedocumenteerd zijn. De risico s ten aanzien van Pfister zijn ten aanzien van vorig jaar ongewijzigd en zijn als volgt: Functiescheiding in de primaire vastlegging in Pfister niet is geborgd als gevolg van de ruime toekenning van de rol Super aan gebruikers in Pfister. Het onmogelijk is om vast te stellen welke gebruiker verantwoordelijk is geweest voor de invoer als gevolg van het feit dat één enkel gebruikersaccount wordt gedeeld door alle weegmeesters. Het gebruikersaccount voor de testgebruiker zou gebruikt kunnen worden om te testen. Dit is niet wenselijk aangezien het uitvoeren van een test in een productie omgeving kan leiden tot vervuiling van informatie en verstoring van de productie omgeving. Het testaccount is niet gebruikt voor handmatige wegingen. Niet kan worden gevalideerd of de rechten zijn toegekend conform de eisen en wensen van het management als gevolg van het feit dat een gebruikersrechtenmatrix ontbreekt. De wachtwoorden van een gebruikersaccount kan door onbevoegden worden geraden en kan onbeperkt worden toegepast voor ongeautoriseerde transacties. Niet kan worden vastgesteld of aanpassingen in de gebruikersautorisaties of programmatuur geautoriseerd zijn als gevolg van het feit dat vastlegging van de wijzigingsaanvragen ontbreekt. Formatted: Space Before: 12 pt

19 Blad 19 van Interface controle maatregelen (SAP <-> Pfister) Op het gebied van interfacing en bewaking van foutmeldingen zijn in 2011 aanpassingen doorgevoerd: Bevinding uit 2010 Opvolging Er zijn geen structurele controlemaatregelen getroffen voor de werking van de interface van SAP naar Pfister. Er Deze bevinding is ongewijzigd ten opzichte van is geen controle op juiste en volledige overdracht van De applicatie Pfister verricht geen controle op informatie (geen checksum, controlegetal, o.i.d. om deze de verkregen gegevens van SAP. We hebben te kunnen controleren). Bestanden met informatie worden echter begrepen dat in het proces waarborgen zijn volgens de gebruikers normaliter wel ingelezen maar waardoor ontbrekende informatie wordt indien informatie ontbreekt kan de doelapplicatie dat niet gedetecteerd. Voor de export van SAP naar Pfister detecteren. bestaat in SAP een controlelog of de export correct is verlopen. 2. Er worden geen structurele/periodieke aansluitingen gemaakt tussen de twee systemen Pfister en SAP. 3. Voor informatie die SAP niet herkent in de interface van Pfister naar SAP bestaat een Foutenbak. Deze Foutenbak wordt niet structureel gemonitord op basis van een formeel proces. 4. Een groot aantal medewerkers hebben uitgebreide rechten in SAP en kunnen ook interface instellingen aanpassen. Deze bevinding is ongewijzigd ten opzichte van Een Qlikviewrapportage is opgesteld, maar deze is in de testfase. Deze bevinding is in 2011 opgelost. De afvalbak wordt conform de procedure van het inlezen van de wegingen gemonitord en deze handeling is aantoonbaar vastgelegd. Per september 2011 is deze bevinding opgelost. In de audit van 2011 is aanvullend vastgesteld dat op de netwerk folder die alle input en output bestanden bevat geen toegangsbeveiliging is ingesteld. De bevindingen leiden tot de volgende risico s Informatie wordt overgezet van SAP naar Pfister die onjuist of onvolledig is en dat dit niet tijdig kan worden gedetecteerd. In het geval dat informatie van SAP naar Pfister niet juist is overgezet, kan dit leiden tot het risico dat het bedrijfsproces van Avalex wordt verstoord. Het risico bestaat dat orders in SAP na overdracht in Pfister worden verwijderd waardoor wegingen in de foutenbak komen. Medewerkers met uitgebreide rechten konden tot medio 2011 ongeautoriseerde wijzigingen maken aan de instellingen van de interface. als gevolg van de gebruikers met toegang tot de input en output bestanden handmatige wijzigingen in de data kunnen worden doorgevoerd die leiden tot onbetrouwbare gegevens. 4.4 Integriteit van kritische SAP rapportages rond de afvalstoffenbalans Tijdens de audit van 2010 is geconstateerd dat: DVO Deze rapporten zijn ten tijde van ons onderzoek wat betreft de afvalstoffenhoeveelheden niet standaard beschikbaar in SAP. Rapporten worden ten tijde van ons onderzoek handmatig gemaakt. LMA Dit rapport komt sinds november 2010 uit SAP. De acceptatietest bestond uit een cijferbeoordeling van de totalen per afvalstroom met de totalen van de maand ervoor. Er is geen testscenario opgesteld of testdocumentatie beschikbaar. Daarnaast worden de rapporten die Stichting LMA terug stuurt aan Avalex niet

20 Blad 20 van 43 periodiek aangesloten op de verstuurde gegevens vanuit SAP. Ook wordt er door Avalex niet vastgesteld of er nog wijzigingen plaats vinden in de afvalstoffenbalans nadat een periode gemeld is aan de Stichting LMA. Hierdoor kan er een verschil ontstaan tussen de administratie van Avalex en de vastlegging bij Stichting LMA. CBS Dit rapport is niet beschikbaar in SAP. Het is ook niet helder wie de CBS rapportage dient te maken binnen Avalex. Ondanks doorverwijzing naar verschillende personen hebben wij geen functionaris aangetroffen die deze rapportage momenteel verzorgt. De Financial Reporter verzorgt de CBS rapportage. Op termijn is het de bedoeling dat deze taak wordt overgedragen aan het bedrijfsbureau. Ten aanzien van de LMA rapportage is vastgesteld dat gebruikersacceptatietests zijn verricht. De bevinding ten aanzien van de LMA uit 2010 is daarmee komen te vervallen. Het risico bestaat dat voor de DVO en CBS rapportage niet is vast te stellen of het rapport is opgebouwd conform de eisen en wensen van de organisatie en fouten bevat omdat het in de rapportages om complexe aansluitingen gaat en de fout-kans door handmatige bewerkingen groter is. 4.5 Geen formele procedures voor fysieke toegang tot Pfister server De sleutel om fysieke toegang te verkrijgen tot de serverruimte ligt bij de receptie en is enkel toegankelijk voor medewerkers van Sogeti en de Senior ICT Medewerker. Er is echter geen fysiek toegangsbeleid met bijbehorende controles en registraties opgesteld. Omdat geen registratie wordt bijgehouden, vindt ook geen periodieke controle plaats op de verkregen fysieke autorisaties. Het ontbreken van een beoordeling op het betreden van de serverruimte door middel van de toegangspas verhoogt het risico dat onbevoegden toegang krijgen tot de serverruimte en (vitale) componenten uit de geautomatiseerde omgeving beschadigen. Door het ontbreken van een periodieke beoordeling van de toegangspasregistraties bestaat het risico dat onbevoegd betreden van de serverruimte niet wordt opgemerkt. 4.6 Opzet en bestaan van autorisaties in SAP Op basis van de eqsmart analyse is het volgende geconstateerd: Drie accounts van de leveranciers Sogeti en Prologa (PROSUPP, USC-FBEHEER, USC-TBEHEER) gebruiken het SAP_ALL profiel. Twee van de drie accounts (PROSUPP en USC-TBEHEER) beschikken over een developer key. Er is geen procedure om deze accounts te deactiveren wanneer geen noodzaak is voor het gebruik daarvan. De leveranciers SAP_ALL privileges kunnen beveiligingsmaatregelen in SAP omzeilen. Het risico bestaat dat ongeautoriseerde handelingen worden uitgevoerd met deze gebruikersaccounts in de (stam)gegevens en /of configuratie instellingen van SAP. 4.7 Beveiligingsinstellingen SAP De volgende beveiligingsinstellingen zijn niet conform best practice ingericht: De parameter rec/enable en rec/client staan niet aan waardoor logging van wijzigingen op tabellen ontbreekt. De wachtwoordinstellingen dwingen geen complexiteit af. Wel dienen de wachtwoorden minimaal 8 karakters te zijn en om de 34 dagen te worden vervangen. Deze afwijkingen op de best practice zijn ook onder de aandacht gebracht in het door Sogeti opgestelde document AUTORISATIECONCEPT. Zonder logging op tabellen bestaat het risico dat mutaties op de tabellen achteraf niet zijn te detecteren en achteraf naar een persoon zijn te herleiden. Dit kan ertoe leiden dat adequate herstelacties niet mogelijk zijn. Dit risico neemt toe door het gebruik van de SAP_ALL accounts door de leverancier.