Data-analyse: praktijkervaringen met SAP
|
|
- Jozef de Vos
- 8 jaren geleden
- Aantal bezoeken:
Transcriptie
1 Data-analyse: praktijkervaringen met SAP DNIEUWE De invoering van het ERP-systeem SAP binnen het TAAKSTELLING DEFENSIE & NIEUWE ICT ministerie van Defensie, in juni 2008, veranderde de De ICT-component is voor Defensie controleomgeving van de Auditdienst van Defensie altijd een belangrijke factor geweest bij het invullen van haar taakstelling. (ADD) ingrijpend. Niet alleen door de verandering De afgelopen jaren heeft er een wijziging in de taakstelling van Defensie in beheersmaatregelen, maar ook als gevolg van plaatsgevonden. Was de oude taakstelling van Defensie primair gericht het feit dat in de beginfase de application controls en de autorisaties niet optimaal ingevuld waren. De op het verdedigen van het NAVOterritorium, de huidige taakstelling is ADD werd geconfronteerd met risico s en de hiermee gepaard gaande onzekerheden. Door middel (missie) optreden ten behoeve van voornamelijk gericht op operationeel vrede en veiligheid wereldwijd. Hierdoor is een groeiende behoefte van data-analyse is het mogelijk gebleken om die niet te kwantificeren onzekerheden om te buigen in concrete posten, die nadere aandacht behoefden. Momenteel wordt in toenemende mate gebruikgemaakt van de vele mogelijkheden die SAP biedt om met behulp van data-analyse de financial audit effectiever en efficiënter in te richten c.q. te ondersteunen. Wij willen via dit artikel inzicht geven hoe een en ander is verlopen. Ook willen we aangeven hoe er met behulp van data-analyse de moeilijk te overbruggen kloof tussen IT-audit en financial audit kan worden overbrugd. ontstaan aan snelle, wisselende (expeditionaire) interventiemachten. Kernwoorden binnen de krijgsmacht zijn dan ook: brede inzetbaarheid en intensievere samenwerking (zogenoemde joint optreden ) tussen defensieonderdelen. Met de veranderde operationele taakstelling zijn ook de eisen veranderd die worden gesteld aan de organisatie en daarmee aan de informatiesystemen. Joint optreden vereist namelijk ook joint ondersteuning. Defensie heeft voor joint ondersteuning op het JOHAN SCHOONEN EN VINCENT TOMS 32 de IT-Auditor nummer
2 logistieke en financiële vlak gekozen voor SAP. Het voordeel van SAP is dat door middel van customizing de functionaliteit van SAP en de behoefte vanuit de bedrijfsvoering naadloos op elkaar kunnen worden aangesloten. Door het inbouwen van beheersingsmaatregelen in de procesgang via SAP kan de kwaliteit van de bedrijfsvoering worden verbeterd. SAP EN DE WETTELIJKE TAAK ACCOUNTANT Het spreekt voor zich dat de invoering van SAP gevolgen heeft voor de wijze waarop de ADD haar wettelijke taak (onder andere controle van de jaarrekening) invult. In zijn algemeenheid geldt dat hoe meer beheersingsmaatregelen in de procesgang zijn ingebouwd, hoe meer de accountant bij zijn controle kan steunen op de geautomatiseerde informatievoorziening en des te minder hij gegevensgericht hoeft te controleren. Een voorwaarde bij deze controleaanpak is dat je wel moet kunnen steunen op de inrichting van de ingebouwde beheersingsmaatregelen en dat deze gedurende het hele jaar hebben gefunctioneerd. Binnen de ADD geldt als uitgangspunt dat een procesgerichte aanpak de voorkeur geniet boven een gegevensgerichte aanpak. Daar waar het effectief en efficiënt is, wordt zoveel mogelijk gesteund op de in het proces opgenomen beheersingsmaatregelen. Bij de inrichting van beheersingmaatregelen geldt een tweetal belangrijke principes: Preventieve maatregelen hebben de voorkeur boven detectieve en repressieve maatregelen. De nadruk moet liggen op beheersingsmaatregelen die zoveel mogelijk borgen dat er geen vervuiling in het SAP-systeem ontstaat. Voorkomen is beter dan genezen. Geautomatiseerde controles hebben de voorkeur boven handmatige controles. Als een geautomatiseerde controle (application control) eenmaal adequaat is ingericht, is deze in het algemeen efficiënter en effectiever dan een handmatige controle (user control). Echter, de uitdaging is hoe op een gestructureerde wijze invulling te geven aan een procesgerichte controleaanpak. Hoe: kernelementen procesgerichte aanpak Voor de wijze waarop invulling wordt gegeven aan een procesgerichte controleaanpak staan binnen de ADD een tweetal onderwerpen centraal, te weten Business Control Framework (BCF) en Business Proces Analyse (BPA). Deze worden hierna verder toegelicht. BCF Het Business Control Framework ADD 1 geeft de klassieke componenten weer die van belang zijn voor het invullen van een procesgerichte audit. Wij hebben als centrale spil toegevoegd: data-analyse. Zie figuur 1. De componenten functiescheiding en general IT controls dienen borg te staan voor een veilige en continue omgeving voor het SAP-informatiesysteem. Een geïntegreerde set van application- en user controls borgt de kwaliteit van mutatiestelling en verwerking. Uitgangspunten hierbij zijn dat geautomatiseerde controles (application controls) het primaat hebben en dat de nadruk zoveel Figuur 2: Business Proces Analyse Business Control Framework ADD Functiescheiding Usercontrols Data-analyse Figuur 1: Business Control Framework mogelijk op de invoering van preventieve controles ligt. Voornoemde vier vakken dienen bij de procesgerichte auditaanpak van de accountant voldoende aandacht te krijgen. Door de audittrail- en logging-faciliteiten van SAP is momenteel binnen het vakgebied een tendens gaande, waarbij data-analyse in toenemende mate een rol krijgt bij de invulling van de auditwerkzaamheden. Vandaar dat we data-analyse als centrale spil hebben toegevoegd in het BCF. BPA De Business Proces Analyse (BPA) geeft de uitkomsten weer van een procesanalyse, waarbij per processtap de potentiële risico s alsmede de getroffen maatregelen zijn aangegeven. Ten aanzien van de maatregelen wordt onderscheid gemaakt in functiescheiding, application controls, user controls (inclusief relevante General IT controls Application controls de IT-Auditor nummer
3 STAP 1: Uitvoeren van de procesanalyse STAP 2: Plannen van de te verrichten systeemgerichte werkzaamheden STAP 3: Uitvoeren systeemgerichte werkzaamheden en evalueren uitkomsten daarvan Bij deze stappen kan data-analyse effectief worden ingezet. Data-analyse kan zowel worden ingezet om vast te stellen dat het systeem heeft gewerkt, als om effectief gegevensgericht de audit uit te voeren. STAP 4: Rapporteren over de bevindingen naar aanleiding van de verrichte procesanalyse STAP 5: Vaststelling van de uit te voeren gegevensgerichte controlewerkzaamheden Werkprogramma Figuur 3: Stappen Procesanalyse rapportage), data-analyse activiteiten en het resterende restrisico. Zie figuur 2. Data- analyse hebben we als controle-instrument meegenomen, omdat hiermee in specifieke gevallen het restrisico aanzienlijk kan worden verminderd. Door middel van een BPA heeft de accountant per onderkend risico inzicht in de getroffen maatregelen en kan hij het restrisico bepalen. Op een eenvoudige wijze wordt zichtbaar hoe de mix van beheersingsmaatregelen zich tot elkaar verhouden en waar het accent van de controle komt te liggen. Als vreemde eend in de bijt is dataanalyse bij het vorengaande meegenomen, omdat in specifieke gevallen via reguliere data-analyse activiteiten het potentiële risico (veelal kwalitatief ) behoorlijk kan worden verminderd. Hierover later meer. Uitgaande van bovengenoemde systematiek van BCF en BPA gaan wij in op de vraag hoe data-analyse kan worden ingepast in een procesgerichte aanpak. Hoe: toepassingsmogelijkheden data-analyse In het Handboek Auditing Rijksoverheid zijn stappen opgenomen voor het uitvoeren van een procesanalyse. De centrale doelstelling is dat Uitkomsten procesanalyse per geselecteerd proces inzichtelijk wordt gemaakt hoe de processen worden beheerst. In figuur 3 zijn de vijf onderkende stappen schematisch weergeven. Een uitgevoerde procesanalyse leidt tot het opstellen van een BPA waarin de samenhang van de beheersingsmaatregelen gestructureerd is weergegeven. Nadat de opzet van de beheersingsmaatregelen is bepaald, wordt het bestaan vastgesteld en de werking (het functioneren) getoetst. Niveau 1 Niveau 2 Niveau 3 Niveau 4 Toegekende autorisaties in rollen Wat kan de gebruiker Momentopname; foto van de rollen Transactiecode logging Gestarte transactioecodes per gebruiker Transactie kan slechts voor weergave gebruikt zijn Aantal gebruikers is momentopname Vaak logging van +/ 3 maanden beschikbaar Daadwerkelijk gemaakte boekingen en andere mutaties Transactionele data Over gehele periode Gemaakte boekingen op hetzelfde document Bijv. accorderen eigen documenten Verdere verwerking door dezelfde gebruiker in proces Op dit niveau bevinden zich de echte risico s Figuur 4: 4 niveaus analyse autorisaties Onderstaand wordt dit toegelicht aan de hand van de volgende toepassingsmogelijkheden van data-analyse: Data-analyse en beoordeling autorisaties. Data-analyse en beoordeling functioneren application controls. Data-analyse en data-mining. Data-analyse en general IT controls. Beoordeling autorisatie en data-analyse Vanwege de wettelijke taak is het van groot belang om vast te stellen of er wordt voldaan aan de gewenste functiescheiding. Hierbij worden de autorisaties voor zowel eindgebruikers als ICT-beheerders beoordeeld. Voor het uitvoeren van een onderzoek naar autorisaties is binnen de ADD een aanpak ontwikkeld, waarbij die een viertal analyseniveaus onderkent. Zie figuur 4. Autorisatie-scan (=momentopname) Data-analyse (=film!) 34 de IT-Auditor nummer
4 Illustratie 1 Niveaus 1 & 2 Op niveau 1 vindt analyse plaats van de daadwerkelijk toegekende autorisaties aan gebruikers. Getoetst wordt of een gebruiker beschikt over bevoegdheden die uit hoofde van functiescheiding onverenigbaar met elkaar zijn. Ook wordt duidelijk welke gebruikers over een bepaalde kritieke functionele transactie (bijvoorbeeld opstarten betalingsrun) beschikken. Op niveau 2 wordt getoetst of de gebruikers de desbetreffende transacties ook daadwerkelijk hebben opgestart. Niet zichtbaar is of zij bij het opstarten van deze transacties ook daadwerkelijk mutaties hebben gesteld en zo ja, welke. Het uitvoeren van een onderzoek naar autorisaties binnen SAP is zodanig complex, dat dit niet zonder tooling kan plaatsvinden. De bestaande tooling kan de kwalitatieve bevindingen uit niveaus 1 en 2 niet kwantificeren (vertalen in geldbedragen). De bevindingen van een onderzoek naar de autorisaties leidde in de praktijk dan ook vaak tot meer onzekerheden in plaats van zekerheden. Het was vrijwel onmogelijk om de financiële impact van deze bevindingen op de jaarrekening te bepalen, zie illustratie 1. Niveaus 3 & 4 Het nieuwe aan de aanpak die binnen de ADD in samenwerking met een strategische partner is ontwikkeld, is de analyse op niveaus 3 en 4. Op niveau 3 vindt analyse plaats of de eindgebruikers (die volgens analyse op niveau 1 en 2 over te ruime bevoegdheden beschikken) ook daadwerkelijk mutaties hebben gesteld op basis van hun te ruime bevoegdheden. Op niveau 4 wordt getoetst of dit voor hetzelfde document heeft plaatsgevonden. De niveaus 3 en 4 lichten wij nader toe aan de hand van een voorbeeld. Als voorbeeld gaan we uit van de functievermenging dat een gebruiker zowel een factuur kan agenderen als verifiëren. De uitgevoerde dataanalyse resulteert in informatie, die inzicht geeft in de vraag welke gebruikers daadwerkelijk facturen hebben geagendeerd en geverifieerd en het Figuur 5: Output analyse agenderen en verifiëren factuur incl. financieel belang (niveau 3) de IT-Auditor nummer
5 Figuur 6: Detailgegevans facturen agenderen en verifiëren door één gebruiker (niveau 4) financieel belang dat hiermee gemoeid is (niveau 3). In figuur 5 is een voorbeeld opgenomen. Vervolgens wordt bepaald voor welke facturen het agenderen en verifiëren door één en dezelfde gebruiker is geschied (niveau 4). Deze facturen behoeven nadere aandacht. Zie figuur 6. De eerste stap bij niveau 3 is het vaststellen welke specifieke SAP-tabellen (en velden) de transactie agenderen en verifiëren muteert. Bedenk hierbij dat SAP beschikt over tienduizenden tabellen en dat het voor het verkrijgen van de noodzakelijke informatie vaak nodig is om gegevenselementen uit meerdere tabellen aan elkaar te koppelen. Deze stap is het meest arbeidsintensief en vereist de nodige creativiteit en deskundigheid. De praktijk heeft geleerd dat een intensieve samenwerking tussen accountant, IT-auditor en data-analist noodzakelijk is om deze vertaalslag te kunnen maken. Een geïntegreerd systeem vereist een geïntegreerde aanpak. Samenwerking en ervaring zijn kritieke succesfactoren. Na deze analyse worden de desbetreffende tabellen (en velden) uit SAP gedownload en veelal (bijvoorbeeld met Microsoft Access) aan elkaar gekoppeld. Voor de gebruikers, waarvan op niveaus 1 en 2 is geconstateerd dat deze zowel kunnen agenderen als verifiëren, wordt op basis van de verkregen detailgegevens integraal vastgesteld welke facturen zij daadwerkelijk hebben geagendeerd respectievelijk geverifieerd (inclusief financieel belang). Vervolgens is het mogelijk om voor elke gebruiker vast te stellen welke factuur hij zowel heeft geagendeerd als geverifieerd (inclusief financieel belang). Resultaat Door middel van deze analyse op niveaus 3 en 4 is de bestaande onzekerheid, voortvloeiend uit de kwalitatieve bevinding functievermenging agenderen en verifiëren, omgezet in concrete posten die nadere aandacht nodig hebben. Zie figuur 7. Mede dankzij de audittrail-faciliteiten van SAP is het via voornoemde aanpak mogelijk gebleken om kwalitatieve bevindingen (die moeilijk zijn te kwantificeren en dus te wegen), die voortvloeien uit IT-audits naar autorisaties, om te zetten in concrete posten/facturen. Op basis van deze informatie kan de accountant de vinger op de zere plek leggen en onzekerheid ombuigen naar zekerheid. Een bijkomend voordeel van deze wijze van werken, is dat de lijnorganisatie de bevindingen over autorisaties niet kan bagatelliseren door te zeggen dat het slechts een theoretisch risico is. DATA-ANALYSE EN BEOORDE- LING FUNCTIONEREN APPLICATION CONTROLS In de BPA is aangegeven op welke application controls de accountant (in opzet) kan steunen. Sinds jaar en dag wordt in dit licht het bestaan van de application controls binnen SAP getoetst door het vaststellen of de parameters inderdaad op de juiste wijze zijn ingesteld. Het zwakke van een dergelijk onderzoek is dat er sprake is van een momentopname. Er wordt een foto gemaakt van de instellingen. Deze geeft echter geen zekerheid of deze beheersingsmaat- Figuur 7: Vertaling bevindingen naar concrete posten 36 de IT-Auditor nummer
6 regelen gedurende het gehele jaar hebben gefunctioneerd. Het beoordelen van het functioneren van het change management van programmatuurwijzigingen (in het kader van het toetsen van de general IT controls) biedt in de praktijk slechts beperkte zekerheid over het in continuïteit bestaan van de inrichting van een specifieke application control. Dit mede gezien de veelheid van tabellen van SAP. Er ontstaat namelijk een beeld van het functioneren van het change managementproces in algemene zin. Zeker indien er sprake is van een zeer dynamische en complexe omgeving, zoals bij Defensie, blijft er onzekerheid bestaan of de application controls in continuïteit hebben gefunctioneerd. Deze onzekerheid wordt versterkt, doordat gedurende de meerjarige uitrolperiode er sprake is van krachtige user ID s in de productieomgeving met ruime rechten. Dit om eventuele knelpunten gedurende de uitrol snel te kunnen oplossen. Het risico bestaat dat deze krachtige users via customizing de inrichting van de application controls in de productieomgeving direct (buiten de bestaande change procedures om) wijzigen. Door middel van het toepassen van data-analyse kan de auditor aanvullende zekerheid krijgen over het in continuïteit functioneren van een specifieke application control. Dit is mogelijk door te toetsen of via customizing direct in de productieomgeving wijzigingen (buiten de reguliere change management-processen om) zijn aangebracht. De wijze waarop deze analyse plaatsvindt, lichten we hieronder aan de hand van een voorbeeld toe. Een manier om een application control in SAP te wijzigen/in te richten is via zogenaamde customizing transactiecodes. Bij een dergelijke wijziging van de inrichting creëert SAP automatisch een wijzigingsdocument. Dit document is de basis voor de desbetreffende data-analyse. Figuur 8: Wijzigingsverslag tabel T05FF In het voorbeeld gaan we uit van de application control: het vier-ogen principe voor wijziging crediteur. Het vierogen principe houdt in dat een crediteur wordt geblokkeerd voor betaling, op het moment dat één of meerdere (vooraf opgegeven) kritieke velden van het stamgegeven van een crediteur zijn aangelegd of gewijzigd. De crediteur wordt pas vrijgegeven nadat de aangebrachte mutatie is goedgekeurd door een tweede functionaris. Voornoemde application control is onder andere van belang voor het onderhoud van bankgegevens van een crediteur. Het voorkomt dat iemand zelfstandig de bankgegevens van een crediteur kan wijzigen voor mogelijk eigen gewin. Het vier-ogen principe op de kritieke velden (zoals bankrekeningnummer) wordt vastgesteld in tabel T05FF. Door middel van een specifieke transactie kunnen de wijzigingsverslagen voor een tabel (in dit concrete geval tabel T05FF) voor een bepaalde periode worden opgevraagd. In figuur 8 is te zien dat er geen wijzigingen in het geselecteerde tijdvak hebben plaatsgevonden. Binnen SAP is het echter ook mogelijk om (bijvoorbeeld via de transactie SE16N) direct wijzigingen op de tabellen door te voeren. Met behulp van de tabellen SE16N_CD_KEY en SE16_CD_DATA (voor de detailgegevens) kun je vaststellen of gedurende een onderzoeksperiode inderdaad wijzigingen direct op tabellen zijn doorgevoerd. Hierbij wordt gebruikgemaakt van de logging-gegevens van SAP. Het is echter mogelijk om de logging uit te zetten (of te wijzigen). Het is dan ook zaak om vast te stellen dat de logserver het gehele jaar aangeschakeld is geweest. Deze check kan worden uitgevoerd door het beoordelen van de parameter rec/client via het SAP-rapport RSPARAM of transactie TU02. SAP-systemen worden vaak geclusterd, de parameter rec/client dient op elk onderdeel van het cluster te worden onderzocht omdat dit per applicatieserver wordt ingeregeld en dus kan verschillen. Door het gebruik van data-analyses op de hiervoor beschreven wijze verkrijgt de auditor een redelijke (geen absolute) zekerheid over het functioneren van de application controls gedurende de onderzoeksperiode. De accountant kan bij het uitvoeren van zijn wettelijke taak dan ook daadwerkelijk op de onderkende application controls gaan steunen. DATA-ANALYSE EN DATA-MINING Voor een omvangrijke gegevensgerichte analyse is data-analyse ook te gebruiken. Het biedt de mogelijkheid om vast te stellen dat processen conform de beoogde opzet zijn de IT-Auditor nummer
7 verlopen dan wel om afwijkingen/bijzondere posten te selecteren. Onderstaand wordt dit toegelicht. Overigens is het inzetten van data-analyse voor data-mining niet echt nieuw. Het is echter de discussie waard om te overwegen data-analyse vaker in te zetten als alternatief voor de statistische steekproef. Dit omdat meer gericht wordt gekeken. Zo is het voor de accountant relevant om te weten dat invoer en verwerking van mutaties conform de beschreven opzet van het proces zijn verlopen. Stel dat de invoer van facturen betreffende de afgenomen diensten altijd via een specifieke workflow (en bijbehorende transactie) moet plaatsvinden. Dit, omdat in de workflow specifieke application controls zijn ingericht. Door middel van data-analyse is vast te stellen of de invoer van dienstenfacturen inderdaad via die specifieke transactie (workflow) heeft plaatsgevonden. Dit is van belang omdat een tabel via meerdere transacties kan worden gemuteerd en niet voor alle transacties inrichting van de application controls heeft plaatsgevonden. Door gebruik te maken van andere transacties kunnen beheersingsmaatregelen, zoals gedefinieerd in de workflow, worden omzeild. Door het op een dergelijke wijze inzetten van data-analyse, wordt zekerheid verkregen dat de gestelde mutaties inderdaad onder het geldende regime van beheersingsmaatregelen zijn gesteld. Een andere toepassing van data-analyse is het verkrijgen van inzicht in wie een specifieke (kritieke) transactie heeft opgestart of bepaalde boekingen heeft verricht. Te denken valt bijvoorbeeld aan inzicht in de medewerkers die de betalingsrun ook daadwerkelijk hebben opgestart. Met behulp van data-analyse kan gericht worden gezocht naar afwijkingen/uitzonderingen. Denk hierbij aan de constatering van een zwakke plek in het proces, waarbij je als accountant wilt weten of dit inderdaad heeft geresulteerd in onjuiste/ afwijkende mutaties. Als voorbeeld gaan we uit van de situatie dat, mede in het licht van de naleving van de Europese regelgeving, het aangaan van verplichtingen voor een bepaalde functie is gelimiteerd. Bij het aangaan van verplichtingen boven een bepaalde grens, is mandatering door een tweede functionaris noodzakelijk. Nu is bij de beoordeling van de inrichting van de application controls vastgesteld dat de grenswaarden niet juist zijn ingesteld, waardoor mogelijk door een aantal functionarissen verplichtingen zijn aangegaan die hun bevoegdheid overschrijden. Door middel van een data-analyse kan worden vastgesteld of dit risico zich ook daadwerkelijk heeft voorgedaan. Door bijvoorbeeld voor aangegane verplichtingen boven de hiervoor genoemde grenswaarde te filteren op functionarissen, niet zijnde degene die hiertoe zijn bevoegd. Een ander voorbeeld is het gebruik van data-analyse ter bepaling van de impact van uitwisseling van user ID s en passwords door eindgebruikers. Vanuit de accountant kwam het signaal dat er mogelijk sprake was van een zwakke passworddiscipline. Door middel van transactie SM20 werd online vastgesteld dat inderdaad meerdere personen gelijktijdig onder één gebruikersaccount actief waren. De vraag doemde op: in welke mate is dit in het verleden gebeurd? Is er sprake van ondergraving van de minimale functiescheiding? Of wat is de impact/materialiteit van deze bevinding? Door middel van data-analyse is vastgesteld vanaf welke pc s kort achter elkaar meerdere user-id s actief zijn geweest en onder welke user-id s gelijktijdig meerdere malen is aangelogd. Op basis hiervan is een lijst van mogelijke verdachte combinaties van SAP-gebruikersaccounts vastgesteld. Vervolgens is via data-analyse op niveau 4 vastgesteld of door deze verdachte combinaties kritische transacties in samenhang zijn verricht. Bijvoorbeeld heeft een verdachte combinatie zowel een factuur ingevoerd als een wijziging van bankrekeningnummer voor desbetreffende factuur doorgevoerd. Of heeft een verdachte combi zowel een factuur ingevoerd als geautoriseerd. Op deze wijze werden posten geselecteerd die nadere aandacht behoefden. Dankzij de uitgevoerde analyse was de accountant in staat om de ontstane onzekerheid weg te nemen door middel van aanvullende gegevensgerichte detailcontroles. Een andere toepassingsmogelijkheid van data-analyse is het uitvoeren van verbandcontroles en het toetsen op een ongewenste samenloop van posten. Een voorbeeld van dit laatste is de toetsing op de samenloop van toelagen die qua regelgeving ongewenst zijn. Zo is het mogelijk dat als iemand toelage a krijgt, hij geen recht meer heeft op toelage b. Of dat als iemand een bepaalde salarisschaal heeft bereikt, hij geen recht meer heeft op een bepaalde vergoeding. Denk hierbij bijvoorbeeld aan overwerk dat vanaf een bepaalde schaal niet meer wordt vergoed. Door het gebruik van data-analyse kan op een effectieve wijze integraal worden vastgesteld of er sprake is van een ontoelaatbare samenloop. Voor de accountant is het financiële belang van de onrechtmatigheid tot op de cent nauwkeurig te bepalen. Met behulp van de data-analyse kan een initiële cijferanalyse worden uitgevoerd. Door middel van initiële cijferanalyse ontstaat inzicht in bijvoorbeeld de gegevensstromen in een informatiesysteem, de materialiteit van de stromen, welke documenten zijn gebruikt, het aantal spoedbetalingen, et cetera. Daarnaast kan data-analyse een nuttige rol vervullen bij het invullen van de reguliere informatiebehoefte. Denk hierbij bijvoorbeeld aan de behoefte aan inzicht van het gebruik 38 de IT-Auditor nummer
8 van eenmalige crediteuren, alternatieve betaalontvangsten of signaallijst dubbele facturen. De verkregen informatie is richtinggevend voor de controlewerkzaamheden. Het verkregen inzicht bevordert een effectieve inzet van de beschikbare controlemiddelen. Het mooie van data-analyse is dat het een integraal beeld geeft óf en in welke mate een en ander is voorgevallen. Het spreekt voor zich dat hoe meer kennis de auditor van de bedrijfsprocessen heeft, hoe effectiever de inzet van het instrument data-analyse zal zijn. DATA-ANALYSE EN GENERAL IT CONTROLS In het begin van dit artikel is aangegeven dat general IT controls randvoorwaardelijk zijn voor het functioneren van een informatiesysteem. In de praktijk leiden bevindingen, voortvloeiend uit onderzoeken naar de general IT controls, regelmatig tot vraagtekens bij de accountant. Hoe moet hij deze bevindingen wegen, hoe zijn deze te vertalen naar zijn controleaanpak en hoe kunnen bevindingen gecompenseerd worden? In welke mate kan nog worden gesteund op het informatiesysteem? Wordt nog voldaan aan het minimaal vereiste AO/IC? Betekent dit dat de controle-massa onbetrouwbaar is? Complicerende factoren bij het overleg tussen de accountant en de ITauditor zijn vaak afwijkend vakjargon, verschil in scoping en beleving. is van een grootschalige uitrol, gepaard gaande met een hoge tijdsdruk. Wat heeft een dergelijke gebeurtenis voor impact op de accountantscontrole? In het verleden leidde dit tot veel discussie en mogelijk onbegrip tussen de accountant en de IT-auditor. Door middel van een gestructureerde data-analyse kan echter een groot deel van de onzekerheid worden weggenomen. Te denken valt hierbij bijvoorbeeld aan: Analyse of door consultants/ beheerders financiële transacties zijn gesteld. Eventuele mutaties verdienen nadere aandacht. Zijn door de consultants/beheerder kritieke (technische) transacties opgesteld, hoe zijn die verantwoord, passen deze binnen hun takenpakket en heeft toezicht plaatsgevonden. Is door de consultants/beheerders direct in de tabellen gemuteerd en zo ja welke wijzigingen zijn er doorgevoerd. Data-analyse kan hiertoe de benodigde informatie opleveren. Op basis hiervan kan gerichte communicatie plaatsvinden, waarbij de verschillen tussen de werelden van de IT-auditor en de accountant overbrugbaar blijken te zijn. TOT SLOT Door middel van dit artikel hebben we getracht inzicht te geven in de ontwikkeling die we als ADD de afgelopen jaren hebben doorgemaakt met het gebruik van data-analyse. Kijkend naar het verleden, zien we dat dataanalyse binnen de controleaanpak van de accountant weer aan belang heeft gewonnen. Naar onze overtuiging slaat een professionele inzet van data-analyse een brug tussen de wereld van de ITauditor en de accountant. Zo is het onder meer mogelijk om nietgekwantificeerde bevindingen, voortvloeiend uit IT-audits, om te zetten in concrete posten voor de accountant, die om verdere aandacht vragen. De afgelopen jaren is in de praktijk gebleken dat het mogelijk is om doelgericht grote onzekerheden om te zetten in een relatief klein aantal posten, dat nader beschouwd moest worden. Naar onze mening is aldus een witte vlek die al enige tijd bestond, op deze wijze in te vullen. Momenteel worden de data-analyse activiteiten veelal door de ADD zelf uitgevoerd. Het ligt voor de hand dat in de toekomst deze activiteiten langzaam maar zeker voor een groot deel worden geadopteerd door de lijnorganisatie. Noot 1. Met BCF ADD wordt bedoeld het framework dat de ADD hanteert voor het inrichten van haar controleaanpak. In de praktijk wordt dit ook vaak het Audit Framework genoemd. Met BCF wordt in deze context niet bedoeld: de wijze waarop het verantwoordelijke managent zijn bedrijfsvoering heeft ingericht. Door gebruik te maken van data-analyse kan in veel gevallen de voor de accountant ontstane onzekerheid door de kwalitatieve bevindingen worden weggenomen, dan wel worden geconcretiseerd/gekwantificeerd. Een mooi voorbeeld vanuit de praktijk is de constatering dat in de SAPproductieomgeving enkele consultants/beheerders met vrijwel onbeperkte rechten aanwezig zijn. Hoewel dit te allen tijde dient te worden voorkomen dan wel geminimaliseerd, kan het in de praktijk wel degelijk optreden. Zeker als er sprake Drs J.C.M. (Johan) Schoonen RE RA MGA is werkzaam als auditmanager bij de Audit Dienst Defensie (ADD) en is verantwoordelijk voor audits naar de implementatie van SAP bij Defensie. V.E. (Vincent) Toms RE is werkzaam als auditor bij de Audit Dienst Defensie (ADD) en heeft onderzoeken gedaan naar de implementatie van SAP bij Defensie. de IT-Auditor nummer
INTERNATIONALE CONTROLESTANDAARD 402 IN OVERWEGING TE NEMEN FACTOREN BIJ DE CONTROLE VAN ENTITEITEN DIE GEBRUIKMAKEN VAN SERVICE-ORGANISATIES
INTERNATIONALE CONTROLESTANDAARD 402 IN OVERWEGING TE NEMEN FACTOREN BIJ DE CONTROLE VAN ENTITEITEN DIE GEBRUIKMAKEN VAN SERVICE-ORGANISATIES INHOUDSOPGAVE Paragrafen Inleiding... 1-3 Door de auditor in
Nadere informatieOp naar een excellente controle
Op naar een excellente controle Welke controlewerkzaamheden kunnen verder geoptimaliseerd worden om kosten te besparen of om meer toegevoegde waarde te kunnen bieden aan cliënten? Hoe kunnen deze werkzaamheden
Nadere informatieDATA-ANALYSES IN PRAKTIJK
DATA-ANALYSES IN PRAKTIJK 11 mrt 15 Anco Bruins Mazars Management Consultants 1 EVEN VOORSTELLEN Drs. Anco Bruins RA EMITA Manager IT Audit Mazars Management Consultants 14 jaar ervaring in de MKBaccountantscontrole
Nadere informatieVoldoende audit evidence?
51 Voldoende audit evidence? Drs. H.G.Th. van Gils RE RA In versterkte mate komt de laatste tijd weer de discussie opzetten over de diepgang van de controlewerkzaamheden van de accountant en IT-auditor.
Nadere informatieHet BiSL-model. Een whitepaper van The Lifecycle Company
Het BiSL-model Een whitepaper van The Lifecycle Company Met dit whitepaper bieden we u een overzicht op hooflijnen van het BiSL-model. U vindt een overzicht van de processen en per proces een beknopte
Nadere informatieGrip op fiscale risico s
Grip op fiscale risico s Wat is een Tax Control Framework? Een Tax Control Framework (TCF) is een instrument van interne beheersing, specifiek gericht op de fiscale functie binnen een organisatie. Een
Nadere informatieCIOT-bevragingen Proces en rechtmatigheid
CIOT-bevragingen Proces en rechtmatigheid 2015 Veiligheid en Justitie Samenvatting resultaten Aanleiding Op basis van artikel 8 van het Besluit Verstrekking Gegevens Telecommunicatie is opdracht gegeven
Nadere informatieContinuous auditing and continuous monitoring: continuous solutions? J. Jacobs en M. Hoetjes
Continuous auditing and continuous monitoring: continuous solutions? J. Jacobs en M. Hoetjes Introductie Jacco Jacobs E-mail: jacco.jacobs@nl.ey.com Internet: www.ey.com Meta Hoetjes E-mail: meta.hoetjes@csi4grc.com
Nadere informatieGovernance, Risk and Compliance (GRC) tools
Governance, Risk and Compliance (GRC) tools Auteurs: Peter Paul Brouwers en Maurice op het Veld Samenvatting Het voldoen aan de wet- en regelgeving met betrekking tot bijvoorbeeld de Sarbanes Oxley Act
Nadere informatieAccountantsprotocol declaratieproces. revalidatiecentra fase 2 : bestaan en
Accountantsprotocol declaratieproces revalidatiecentra fase 2 : bestaan en werking Versie 29 september 2015 Inhoud 1. Inleiding en uitgangspunten 3 2. Onderzoeksaanpak accountant 4 2.1 Doel en reikwijdte
Nadere informatieMedewerker administratieve processen en systemen
processen en systemen Doel Voorbereiden, analyseren, ontwerpen, ontwikkelen, beheren en evalueren van procedures en inrichting van het administratieve proces en interne controles, rekening houdend met
Nadere informatieFunctioneel Applicatie Beheer
Functioneel Applicatie Beheer Functioneel Applicatie Beheer Goed functioneel beheer werkt als smeerolie voor uw organisatie en zorgt voor een optimale aansluiting van de informatievoorziening op de primaire
Nadere informatieAlgemene toelichting Intern controleplan 2012
Algemene toelichting Intern controleplan 2012 Inhoudsopgave: 1. Algemeen 3 2. Uitgangspunten interne controleplan 2012 3 2.1 Waarom een intern controleplan? 3 2.2 Controleaanpak 3 2.3 Uitvoering van de
Nadere informatieGrip op diversiteit aan beveiligingseisen: Compliant zijn en blijven, maar hoe? VIAG themadag Drs. D.J. van der Poel RE RA 21 maart 2014
1 Grip op diversiteit aan beveiligingseisen: Compliant zijn en blijven, maar hoe? VIAG themadag Drs. D.J. van der Poel RE RA 21 maart 2014 Inhoud 2 Inleiding: enige trends in de markt In het speelveld
Nadere informatieDoel. Context VSNU UFO/INDELINGSINSTRUMENT FUNCTIEFAMILIE ICT FUNCTIONEEL (INFORMATIE) BEHEERDER VERSIE 1 MEI 2012
Functioneel (informatie) beheerder Doel Zorgdragen voor het inrichten, aanpassen, vernieuwen en onderhouden van de informatievoorziening (processen, procedures en/of systemen), passend binnen het informatiebeleid
Nadere informatieNorm 1.3 Beveiligingsplan
Beantwoording vragen zelftest Suwinet oktober 2014 Norm 1.3 Beveiligingsplan De Inspectie SZW beschrijft norm 1.3 als volgt: De gemeente heeft een formeel vastgesteld beveiligingsbeleid en -plan. Het Beveiligingsplan
Nadere informatieData-analyse in de praktijk D E T O E PA S S I N G B I J V I S S E R & V I S S E R A C C O U N TA N T S - B E L A S T I N G A D V I S E U R S
Data-analyse in de praktijk D E T O E PA S S I N G B I J V I S S E R & V I S S E R A C C O U N TA N T S - B E L A S T I N G A D V I S E U R S Agenda Plaats in de praktijk Toepassing in audit De werkvloer
Nadere informatieEFQM model theoretisch kader
EFQM model theoretisch kader Versie 1.0 2000-2009, Biloxi Business Professionals BV 1. EFQM model EFQM staat voor European Foundation for Quality Management. Deze instelling is in 1988 door een aantal
Nadere informatieAssurancerapport importeurs ten behoeve van het aanleveren van CvO-gegevens
Assurancerapport importeurs ten behoeve van het aanleveren van CvO-gegevens Eigenaar: RDW, Divisie R&I Versiebeheer: Internal Audit RDW Datum: 12 januari 2016 Versie: 1.3 Inhoudsopgave 1 INLEIDING... 3
Nadere informatieManagementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C
Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C Versie 01, februari 2017 Pagina 1 van 5 A.1 Opdrachtverstrekking Dit informatiebeveiligingsbeleid wordt in opdracht
Nadere informatieToezicht op Financiën. Wim Touw 17 april 2013
Toezicht op Financiën Wim Touw 17 april 2013 Agenda OMGEVING FINANCIEEL MANAGEMENT SOFT CONTROLS DE ROL VAN DE ACCOUNTANT SPECIFIEKE VRAGEN 1 OMGEVING 2 1995 1996 1997 1998 1999 2000 2001 2002 2003 2004
Nadere informatieControleverklaring van de onafhankelijke accountant
Controleverklaring van de onafhankelijke accountant Aan: de Algemene Vergadering van Aandeelhouders en de Raad van Commissarissen van Nederlandse Waterschapsbank N.V. Verklaring over de jaarrekening 2015
Nadere informatieSAP Risk-Control Model. Inzicht in financiële risico s vanuit uw SAP processen
SAP Risk-Control Model Inzicht in financiële risico s vanuit uw SAP processen Agenda 1.Introductie in Risicomanagement 2.SAP Risk-Control Model Introductie in Risicomanagement Van risico s naar intern
Nadere informatieDe toekomst van een IT-auditor in een integrated / financial audit. Robert Johan Tom Koning
De toekomst van een IT-auditor in een integrated / financial audit Robert Johan Tom Koning Probleemanalyse Gebrek aan kennis accountant Niet doorvragen bij termen smijten Moeite toegevoegde waarde te tonen
Nadere informatieOns oordeel Wij hebben de jaarrekening 2016 van Lavide Holding N.V. te Alkmaar gecontroleerd.
Aan: de aandeelhouders en de Raad van Commissarissen van Lavide Holding N.V. Grant Thornton Accountants en Adviseurs B.V. De Passage 150 Postbus 71003 1008 BA Amsterdam T 088-676 90 00 F 088-676 90 10
Nadere informatieTweede Kamer der Staten-Generaal
Tweede Kamer der Staten-Generaal 2 Vergaderjaar 2013 2014 31 460 Project SPEER Nr. 36 LIJST VAN VRAGEN EN ANTWOORDEN Vastgesteld 5 november 2013 De vaste commissie voor Defensie heeft een aantal vragen
Nadere informatieAdvies. Advies over en ondersteuning bij het (initieel) inrichten/optimaliseren van de structuur van de(it Service Management)organisatie
DIENST Advies over en ondersteuning bij het (initieel) inrichten/optimaliseren van de structuur van de(it Service Management)organisatie Advies over en ondersteuning bij het initieel inrichten/optimaliseren
Nadere informatieInspiratiedag. Workshop 1: Risicogestuurde interne controle. 15 september 2016
Inspiratiedag Workshop 1: Risicogestuurde interne controle 15 september 2016 Programma Inleiding Risicomanagement Interne beheersing Relatie met de externe accountant Van interne controle naar beheersing
Nadere informatieControle protocol. 1 Doelstelling. 2 Eisen en aanwijzingen. 3 Toleranties en gewenste zekerheid
Controle protocol 1 Doelstelling Het CZ Fonds moet voldoen aan de eisen van het convenant vastgelegd in 1998 tussen Zorgverzekeraars Nederland en de overheid van de Besteding Reserves Voormalige Vrijwillige
Nadere informatieData-analyse en boekhoudsoftware voor de MKB-accountant in een breder perspectief
Data-analyse en boekhoudsoftware voor de MKB-accountant in een breder perspectief Wie ben ik Wat is data-analyse Plaats in de controle Schema Een netwerkmodel van de controle; Focus op en inkleuren van
Nadere informatieAuteur Arjaan den Ouden Datum 4 december 2013 Status Definitief Versie 1.0
Auteur Arjaan den Ouden Datum 4 december 2013 Status Definitief Versie 1.0 Behoudens uitzondering door de wet gesteld, mag zonder schriftelijke toestemming van de rechthebbende op het auteursrecht van
Nadere informatieRechtmatigheidsverantwoording Annemarie Kros RA (PWC) & Marieke Wagemakers RA (gemeente Uden)
Rechtmatigheidsverantwoording Annemarie Kros RA (PWC) & Marieke Wagemakers RA (gemeente Uden) Planning & control Samenwerken Verbinder Adviseren sportief Pro-actief Register- Accountant ruim 10 jaar ervaring
Nadere informatieControleprotocol Multidisciplinaire zorg 2016
Controleprotocol Multidisciplinaire zorg 2016 1 Doelstelling In het kader van de NZa-beleidsregel BR/REG-17171 Huisartsenzorg en multidisciplinaire zorg heeft CZ voor de jaren 2015 en 2016 overeenkomsten
Nadere informatieControleverklaring van de onafhankelijke accountant
Controleverklaring van de onafhankelijke accountant Aan: het algemeen bestuur van Waterschap Vechtstromen A. Verklaring over de in de jaarstukken opgenomen jaarrekening 2017 Ons oordeel Wij hebben de jaarrekening
Nadere informatieGemeente Doetinchem. Clientserviceplan voor het boekjaar 2013
Clientserviceplan voor het boekjaar 2013 oktober 2013 Inhoud 1. Inleiding 4 2. Controleopdracht 4 2.1 Opdracht 4 2.2 Materialiteit en tolerantie 5 2.3 Fraude 6 3. Planning 6 3.1 Inleiding 6 3.2 Algemene
Nadere informatieControle bij de Geautoriseerde Marktdeelnemers (AEO) met behulp van statistische steekproeven.
Controle bij de Geautoriseerde Marktdeelnemers (AEO) met behulp van statistische steekproeven. Wat is goed genoeg? Verhandeling in het kader van de Europese Fiscale Studie TopMaster Douane Auteur: W.F.A.
Nadere informatieNota Risicomanagement en weerstandsvermogen BghU 2018
Nota Risicomanagement en weerstandsvermogen BghU 2018 *** Onbekende risico s zijn een bedreiging, bekende risico s een management issue *** Samenvatting en besluit Risicomanagement is een groeiproces waarbij
Nadere informatieAan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015
Bedrijfsvoering De gemeenteraad van Bloemendaal Datum : 19 augustus 2015 Uw kenmerk : Ons kenmerk : 2015056815 Behandeld door : J. van der Hulst Doorkiesnummer : 023-522 5592 Onderwerp : Rapportage informatiebeveiliging
Nadere informatieDeelplan IC Treasury 2014. Gemeente Lingewaard
Deelplan IC Treasury 2014 Gemeente Lingewaard 1 Inhoudsopgave 1. Aanleiding 3 2. Structureel / incidenteel 3 3. Opdrachtgever 3 4. Opdrachtnemer 3 5. Relevante wet- en regelgeving 3 6. Rapportage 4 7.
Nadere informatieUitkomsten onderzoek Controle en Vertrouwen. 7 mei 2012
Uitkomsten onderzoek Controle en Vertrouwen 7 mei 2012 Voorwoord Onderwerp: resultaten onderzoek Controle en Vertrouwen Geachte heer, mevrouw, Hartelijk dank voor uw medewerking aan het onderzoek naar
Nadere informatieControleverklaring van de onafhankelijke accountant
Controleverklaring van de onafhankelijke accountant Aan: de algemene vergadering van Nederlandse Waterschapsbank N.V. Verklaring over de jaarrekening 2014 Ons oordeel Wij hebben de jaarrekening 2014 van
Nadere informatieCliëntnaam: Cliëntnummer: Jaar: Verantwoordelijk accountant: Ja Nee Opmerkingen OPDRACHTGERICHTE KWALITEITSBEOORDELING
Cliëntnaam: Cliëntnummer: Jaar: Verantwoordelijk accountant: Ja Nee Opmerkingen OPDRACHTGERICHTE KWALITEITSBEOORDELING Algemeen: De beoordeling van de werking van het kwaliteitsbeheersingssysteem omvat
Nadere informatieControle protocol Stichting De Friesland
Controle protocol Stichting De Friesland 1. Doelstelling Stichting De Friesland heeft van de Belastingdienst de ANBI (algemeen nut beogende instelling) verkregen. Ten aanzien van de verantwoording van
Nadere informatie/ IJssels. Intern controleplan Samenwerking
Intern controleplan 2018 ^ Gemeente / IJssels gemeente Montfoort Vast te stellen door Managementteam UW Dagelijks Bestuur UW College van B&W IJsselstein College van B&W Montfoort Vastgesteld dd 28 maart
Nadere informatieHandleiding uitvoering ICT-beveiligingsassessment
Handleiding uitvoering ICT-beveiligingsassessment Versie 2.1 Datum : 1 januari 2013 Status : Definitief Colofon Projectnaam : DigiD Versienummer : 2.0 Contactpersoon : Servicecentrum Logius Postbus 96810
Nadere informatieGegevensbeheer Organisatie (GBO)
Ministerie van Defensie Aan: Supervisor SPEER, VADM JG van der Burg D-DMO, Dhr ir. R.A. Hendrichs I.a.a.: zie verzendlijst nota Gegevensbeheer Organisatie (GBO) Spul 32 2500 ES Den Haag Nederland www.defensie.nl
Nadere informatieEnergie management Actieplan
Energie management Actieplan Conform niveau 3 op de CO 2 -prestatieladder 2.2 Auteur: Mariëlle de Gans - Hekman Datum: 30 september 2015 Versie: 1.0 Status: Concept Inhoudsopgave 1 Inleiding... 2 2 Doelstellingen...
Nadere informatieMet veel belangstelling heeft SRA-Bureau Vaktechniek kennisgenomen van het consultatiedocument NBA Handreiking 1141 Data-analyse bij de controle.
NBA Het Bestuur Postbus 7984 1008 AD Amsterdam Consultatie-wet-en-regelgeving@nba.nl Betreft: Reactie op Consultatie Handreiking 1141 Nieuwegein, 14 september 2018 Geachte collegae, Met veel belangstelling
Nadere informatieresearch manager wij maken kwaliteit in de zorg meetbaar
research manager wij maken kwaliteit in de zorg meetbaar research manager is een product van: Cloud9 Software B.V. www.cloud9software.nl wij maken kwaliteit in de zorg meetbaar U kunt via onderstaande
Nadere informatieControleverklaring van de onafhankelijke accountant. Verklaring over de in de jaarstukken opgenomen jaarrekening 2016
EY working woud Controleverklaring van de onafhankelijke accountant Aan: de raad van de gemeente Bronckhorst Verklaring over de in de jaarstukken opgenomen jaarrekening 2016 Ons oordeel met beperking Wij
Nadere informatieControleverklaring van de onafhankelijke accountant
Controleverklaring van de onafhankelijke accountant Aan: de gemeenteraad van de gemeente Utrecht A. Verklaring over de in de jaarstukken opgenomen jaarrekening 2017 Ons oordeel Wij hebben de jaarrekening
Nadere informatieWWW.CAGROUP.NL COMPLIANCE RADAR HET MEEST COMPLETE BESTURINGSSYSTEEM VOOR GEMEENTEN.
WWW.CAGROUP.NL COMPLIANCE RADAR HET MEEST COMPLETE BESTURINGSSYSTEEM VOOR GEMEENTEN. COMPLIANCE RADAR De Compliance Radar helpt gemeenten een brug te slaan tussen beleidsdoelstellingen en uitvoering. Door
Nadere informatieCONTROLEPROTOCOL VOOR DE ACCOUNTANTSCONTROLE OP DE JAARREKENING 2016 VAN DE GEMEENTE TEN BOER.
CONTROLEPROTOCOL VOOR DE ACCOUNTANTSCONTROLE OP DE JAARREKENING 2016 VAN DE GEMEENTE TEN BOER. --------------------------------------------------------------------------------------------------------------------
Nadere informatieOnderzoeksrapport. Definitieve Vaststelling vn de. Risicovereveningsbijdrage 2011 van. Zorginstituut Nederland
Risicovereveningsbijdrage 2011 van Definitieve Vaststelling vn de Onderzoeksrapport Zorginstituut Nederland Auditdienst Rijk Ministerie van Financiën Colofon Titel Uitgebracht aan Definitieve Vaststelling
Nadere informatieInvesteringsstatuut STICHTING PLAVEI
Investeringsstatuut STICHTING PLAVEI Inhoudsopgave 1. Inleiding... 3 1.1. Algemeen... 3 1.2. Wettelijk kader Investeringsstatuut... 3 1.3. Doel Investeringsstatuut... 4 1.4. Doelstellingen investeringen...
Nadere informatieEen OVER-gemeentelijke samenwerking tussen Oostzaan en Wormerland
OVER OOSTZAAN Een OVER-gemeentelijke samenwerking tussen Oostzaan en Wormerland WORMERLAND. GESCAND OP 13 SEP. 2013 Gemeente Oostzaan Datum : Aan: Raadsleden gemeente Oostzaan Uw BSN : - Uw brief van :
Nadere informatie3 Management van ICT-kosten en baten
3 Management van ICT-kosten en baten Stand van zaken in de woningcorporatiesector Patrick van Eekeren en Menno Nijland Het bepalen van de hoogte van de ICT-kosten (en baten), bijvoorbeeld door gebruik
Nadere informatieAcceptatiemanagement meer dan gebruikerstesten. bridging it & users
Acceptatiemanagement meer dan gebruikerstesten bridging it & users Consultancy Software Training & onderzoek Consultancy CEPO helpt al meer dan 15 jaar organisaties om integraal de kwaliteit van hun informatiesystemen
Nadere informatie1 Inhoudsopgave 2 REFL@CTION... 3 2.1 WIE ZIJN WIJ?... 3 2.2 WAT BIEDEN WE?... 3 2.3 WAAR VINDT U ONS?... 3 3 TRAININGSAANBOD... 4
1 Inhoudsopgave 2 REFL@CTION... 3 2.1 WIE ZIJN WIJ?... 3 2.2 WAT BIEDEN WE?... 3 2.3 WAAR VINDT U ONS?... 3 3 TRAININGSAANBOD... 4 3.1 MASTERCLASS IT-B@SED AUDIT... 4 3.2 QUICK START IT-AUDIT IN HET MKB...
Nadere informatieGebruikershandleiding: Het invoer van waarnemingen
Gebruikershandleiding: Het invoer van waarnemingen Aan de basis van het gebruik van het Key Control Dashboard ligt in de meeste gevallen het uitvoeren van een waarneming. Het zijn deze uitgevoerde waarnemingen
Nadere informatieOracle ebs en een geautomatiseerde gegevensgerichte controle
40 Oracle ebs en een geautomatiseerde gegevensgerichte controle Het effect van data-analysetools op het uitvoeren en toetsen van beheersingsmaatregelen Ir. Björn van Nunen en drs. Mark Scheurwater Ir.
Nadere informatieVoorstel aan college van Burgemeester en Wethouders
Openbaar Registratienummer: 212560 Datum voorstel: 13 mei 2016 Niet openbaar Portefeuillehouder: De heer P. Lucassen Afdeling: BV Finance & Control Agendapunt 2 Onderwerp/Titel: Verslag interne controle
Nadere informatieWhitepaper. Ligt u s nachts ook wakker van alle commotie rondom nieuwe regelgeving of normering? Compliance Management
Whitepaper Compliance Management Ligt u s nachts ook wakker van alle commotie rondom nieuwe regelgeving of normering? Stop met piekeren: Mavim helpt om nieuwe wet- en regelgeving effectief en efficiënt
Nadere informatieBeleid Informatiebeveiliging InfinitCare
Beleid Informatiebeveiliging InfinitCare Wijzigingshistorie Versie Wie Wanneer Wat 2019-V001 Han Laarhuis 2019-03-04 Aanpassen aan nieuwe ISMS 2019 V096 Han Laarhuis 2016-03-21 Toevoegen Wijzigingshistorie
Nadere informatieSOLVENCY II Hoe een integrale aanpak van de Solvency II pijlers leidt tot een efficiënt en betrouwbaar risicomanagement- en rapportageproces
SOLVENCY II Hoe een integrale aanpak van de Solvency II pijlers leidt tot een efficiënt en betrouwbaar risicomanagement- en proces Door: Gert Verbaas en Auke Jan Hulsker november 2015 SAMENVATTING De volledige
Nadere informatieHandboek ZooEasy Online Uitslagen
Handboek ZooEasy Online Uitslagen Datum: Juni 2012 Versie: 1.04 Inhoudsopgave 1. ONDERHOUD UITSLAGEN... 3 1.1. INLEIDING... 3 1.1.1. KOPPELING BASISTABELLEN... 3 1.1.2. KOPPELING ROLLEN EN AUTORISATIES...
Nadere informatieGemeente De Bilt Management letter
Gemeente De Bilt Management letter Boekjaar 2017 28 november 2017 ~AKER TILLY BERK An independent member of Baker Tilly International VERTROUWELIJK Aan het College van Burgemeester en Wethouders van de
Nadere informatieNagtzaam Strategisch Advies, van strategie naar meetbaar succes
Nagtzaam Strategisch Advies, van strategie naar meetbaar succes Kent u uw bedrijf? Forse groeicijfers, tegenvallende resultaten, capaciteitsproblemen, productieoverschot, te ruime behuizing of 'uit de
Nadere informatieINTERNATIONALE CONTROLESTANDAARD 610 HET IN AANMERKING NEMEN VAN DE INTERNE AUDITWERKZAAMHEDEN
INTERNATIONALE CONTROLESTANDAARD 610 HET IN AANMERKING NEMEN VAN DE INTERNE AUDITWERKZAAMHEDEN INHOUDSOPGAVE Paragrafen Inleiding... 1-4 Reikwijdte en doelstellingen van de interne audit... 5 Verhouding
Nadere informatieHoogheemraadschap van Delfland
J^tA/ü4U^ Beleidsveld: Aard voorstel: Besluitvormend Vergaderdatum: 18 december 2008 Kenmerk VV: 710059 Aantal bijlagen: 1 Aan de verenigde vergadering van Delfland, Besluit: - het geactualiseerde normenkader
Nadere informatie4.1 Simulatie in de analysefase
1 Bijlage 4 Simulatietechnieken Simulatie is een toetstechniek waarmee door middel van het nabootsen van een bepaalde situatie (bijvoorbeeld een herontworpen bedrijfsproces) in een afgeschermde omgeving
Nadere informatieTransparantie in Transporttarieven. Informatie brochure 2014. Transparantie en inzicht in uw wegtransport tarieven. Dat bieden wij u!
Transparantie in Transporttarieven Informatie brochure 2014 Transparantie en inzicht in uw wegtransport tarieven. Dat bieden wij u! 2014 Transport Tender 1 Nederland telt ruim 10.000 vervoersbedrijven.
Nadere informatieBeleidsnota Misbruik en Oneigenlijk gebruik. Gemeente Velsen
Beleidsnota Misbruik en Oneigenlijk gebruik Gemeente Velsen 2 Inhoudsopgave Inleiding blz. 4 Definities blz. 5 Kader gemeente Velsen blz. 7 Beleidsuitgangspunten blz. 7 Aandachtspunten voor de uitvoering
Nadere informatieAuditstatuut. Systeemtoezicht Wegvervoer
Auditstatuut Systeemtoezicht Wegvervoer Datum: 17 januari 2013 Status: vastgesteld versie 1.0 Pagina 1 van 9 Inhoud 1 Voorwoord 3 2 Audits 4 2.1 Systeemcriteria 4 3 Traject audit 5 3.1 Self-assessment
Nadere informatieGeachte leden van de rekeningencommissie,
Postbus 202 1000 AE Amsterdam Gemeente Amsterdam T.a.v. de Rekeningencommissie Postbus 202 1000AE Amsterdam datum 9 juni 2016 ons kenmerk RA_16_122 behandeld door A. Kok onderwerp Toezicht op ACAM bijlage
Nadere informatieManagement. Analyse Sourcing Management
Management Analyse Sourcing Management Management Business Driven Management Informatie- en communicatietoepassingen zijn onmisbaar geworden in de dagelijkse praktijk van uw organisatie. Steeds meer
Nadere informatieAlles onder controle met pro
WET EN REGELGEVING Drs. S. van der Smissen (svandersmissen@deloitte.nl). Drs. W. Bertoen (wbertoen@deloitte.nl), management consultants Deloitte, adviesgroep Finance & Control te Utrecht. Toezicht houden
Nadere informatieNBC Audit Services BV NBC Van Roemburg & Partners BV Data analyse. Drs. Ing. Niels Bond RE 11 maart 2015
NBC Audit Services BV NBC Van Roemburg & Partners BV Data analyse Drs. Ing. Niels Bond RE 11 maart 2015 Agenda NBC Voordelen en gebruik data analyse Gebruik auditfile Data analyse tool (ACL) vs Excel Stappenplan
Nadere informatieCloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.
Cloud Computing, een inleiding ICT Accountancy & Financials congres 2013: Cloud computing en efactureren 10 december 2013 Jan Pasmooij RA RE RO: jan@pasmooijce.com 10 december 2013 1 Kenmerken van Cloud
Nadere informatieControleprotocol voor de accountantscontrole op de jaarstukken 2015 van de gemeente Velsen
Controleprotocol voor de accountantscontrole op de jaarstukken 2015 van de gemeente Velsen Inleiding Jaarlijks dienen de accountants van gemeenten op grond van artikel 213 van de Gemeentewet behalve een
Nadere informatieCompliance Program. Voor pensioenfondsen die pensioenadministratie en/of vermogensbeheer geheel of gedeeltelijk hebben uitbesteed
Compliance Program Voor pensioenfondsen die pensioenadministratie en/of vermogensbeheer geheel of gedeeltelijk hebben uitbesteed September 2008 Inhoudsopgave 1 Inleiding 1 1.1 Voorwoord 1 1.2 Definitie
Nadere informatieA. Verklaring over de in het jaarverslag opgenomen jaarrekening 2017
VAN DE ONAFHANKELIJKE ACCOUNTANT Aan de Raad van Beheer van de Stichting voor Protestants Christelijk Onderwijs voor Meppel e.o. A. Verklaring over de in het jaarverslag opgenomen jaarrekening 2017 Ons
Nadere informatieII. VOORSTELLEN VOOR HERZIENING
II. VOORSTELLEN VOOR HERZIENING 2. VERSTEVIGING VAN RISICOMANAGEMENT Van belang is een goed samenspel tussen het bestuur, de raad van commissarissen en de auditcommissie, evenals goede communicatie met
Nadere informatieRegelgeving. Certificeringsprocedure Acceptant Payment Service Provider (APSP) Versie 1.0 1 februari 2012 12.008_LB Cert
Certificeringsprocedure Acceptant Payment Service Provider (APSP) Versie 1.0 1 februari 2012 12.008_LB Cert Inhoudsopgave 1. Algemeen 3 1.1 Doel van de certificeringsprocedure 3 1.2 Reikwijdte van de certificeringsprocedure
Nadere informatieIdentity Management. Risico s en kansen binnen het kader van de jaarrekeningcontrole. Drs. J. Visser 1667521 Drs. M.P. Hof 1662058
Identity Management Risico s en kansen binnen het kader van de jaarrekeningcontrole Drs. J. Visser 1667521 Drs. M.P. Hof 1662058 Amsterdam 31 maart 2008 Versie 1.0 [definitief] Afstudeerbegeleiders: Rudi
Nadere informatieINTERNATIONALE CONTROLESTANDAARD 330 DE DOOR DE AUDITOR UIT TE VOEREN WERKZAAMHEDEN IN FUNCTIE VAN ZIJN GEMAAKTE RISICO-INSCHATTING
INTERNATIONALE CONTROLESTANDAARD 330 DE DOOR DE AUDITOR UIT TE VOEREN WERKZAAMHEDEN IN FUNCTIE VAN ZIJN GEMAAKTE RISICO-INSCHATTING INHOUDSOPGAVE Paragrafen Inleiding...1-3 Algehele benadering...4-6 Controlewerkzaamheden
Nadere informatieOPERATIONEEL RISKMANAGEMENT. Groningen, maart 2016 Wim Pauw
OPERATIONEEL RISKMANAGEMENT Groningen, maart 2016 Wim Pauw Risicomanagement Risicomanagement is steeds meer een actueel thema voor financiële beleidsbepalers, maar zij worstelen vaak met de bijbehorende
Nadere informatieProvinciale Normenkader Rechtmatigheid 2015(aangepast)
Provinciale Normenkader Rechtmatigheid 2015(aangepast) Inleiding Met ingang van 2004 moeten alle provinciale jaarrekeningen worden voorzien van een accountantsverklaring met betrekking tot de financiële
Nadere informatieMKB Cloudpartner Informatie TPM & ISAE 3402 2016
Third Party Memorandum (TPM) Een Derde verklaring of Third Party Mededeling (TPM) is een verklaring die afgegeven wordt door een onafhankelijk audit partij over de kwaliteit van een ICT-dienstverlening
Nadere informatieSamenvattend auditrapport
r?' m Auditdienst Rijk Ministerie van Financiën Samenvattend auditrapport I u fonds (A) IM xi' ".r r' rri Samenvattend auditrapport 2016 Infrastructuurfonds (A) 15 maart 2017 Kenmerk 2017-0000036092 Inlichtingen
Nadere informatieADAPTABLE. Microsoft Dynamics TM NAV. Manufacturing Foundation 5.0 Snelzoekgidsen
ADAPTABLE Microsoft Dynamics TM NAV Manufacturing Foundation 5.0 Snelzoekgidsen Inhoudsopgave Productie instellen Setup Guide 1... Een artikelkaart maken Setup Guide 2... Een productiestuklijst maken Setup
Nadere informatieAanbieding continuering accountants dienstverlening Deloitte Accountants B.V. voor de boekjaren 2019 tot en met 2021
Aanbieding continuering accountants dienstverlening Deloitte Accountants B.V. voor de boekjaren 2019 tot en met 2021 2 Inhoud 1. Inleiding 3 1.1 Aanleiding voor deze aanbieding 3 1.2 Uitgangspunten voor
Nadere informatieAan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag
1 > Retouradres Postbus 20301 2500 EH Den Haag Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus 20018 2500 EA Den Haag Sancties Directie Sanctie- en Schedeldoekshaven 100 2511 EX Den Haag
Nadere informatieBehorend bij de Regeling Regionale Journalistieke Samenwerking
Controleprotocol Behorend bij de Regeling Regionale Journalistieke Samenwerking Dit controleprotocol is op maat gemaakt voor de Regeling Journalistieke Samenwerking, waarbij rekening is gehouden met de
Nadere informatieProactief en voorspellend beheer Beheer kan effi ciënter en met hogere kwaliteit
Proactief en voorspellend beheer Beheer kan effi ciënter en met hogere kwaliteit Beheer kan efficiënter en met hogere kwaliteit Leveranciers van beheertools en organisaties die IT-beheer uitvoeren prijzen
Nadere informatieOnderzoek beheersingsmaatregelen SAP Matlog
Ministerie van Defensie Supervisor SPEER D-DMO t T Onderzoek beheersingsmaatregelen SAP Matlog Spul 32 MPC 58 8 2500 ES Den Haag Nederland www.defensie.nl Contactpersoon drs. J.C.M. Schoonen RE RA MGI
Nadere informatiePost-hbo-opleiding IT-based-auditing 2015-2016
Post-hbo-opleiding IT-based-auditing 2015-2016 Instituut Werken en Leren Postbus 5171, 6802 ED Arnhem Ruitenberglaan 31, 6826 CC Arnhem T (026) 369 13 09, F (026) 369 13 69 I www.han.nl/finance E info.finance@han.nl
Nadere informatieCONTROLSTATUUT WOONSTICHTING SSW
CONTROLSTATUUT WOONSTICHTING SSW Vastgesteld: 23 november 2016 1 Algemene bepalingen 1.1 SSW hanteert three lines of defense, te weten (1) de medewerker zelf, (2) de activiteit businesscontrol in de organisatie
Nadere informatieControleprotocol subsidie Vervoersautoriteit MRDH - Openbaar Vervoer, concessie Bus -
Controleprotocol subsidie Vervoersautoriteit MRDH - Openbaar Vervoer, concessie Bus - 1. Inleiding 1.1 Dit protocol heeft betrekking op de controle van de door de subsidieontvanger af te leggen verantwoording
Nadere informatieICT Accountancy. Praktijkdag Webwinkels en Boekhouden
ICT Accountancy Praktijkdag Webwinkels en Boekhouden Thema Betrouwbaar Administreren Misbruik Afrekensystemen Misbruik Afrekensystemen Internationaal probleem Veel oplossingsrichtingen Overleg Belastingdienst
Nadere informatie