Je verwacht dat je software goed functioneert, op basis van de programmaregels die er door de softwarefabrikant of jouzelf in zijn gestopt. Op een gegeven moment kan een systeem zo complex worden, dat je er niet meer 100 procent op kunt vertrouwen; er sluipen fouten in. Ook als je nieuwe versies van software implementeert, kun je je afvragen: werkt het nu nog allemaal naar behoren? Om kwaliteit te borgen kun je de integriteit van de werking van het systeem doorlopend controleren met application controls.
Een computersysteem moet op drie gebieden goed functioneren om optimaal bruikbaar te zijn voor
organisaties:
- Beschikbaarheid: heb ik toegang tot de gegevens?
- Integriteit: krijg ik de juiste gegevens?
- Vertrouwelijkheid: mag ik deze gegevens wel krijgen?
Beschikbaarheid wordt gewaarborgd door robuuste soft- en hardware. Vertrouwelijkheid wordt geregeld door bijvoorbeeld autorisatiesoftware of rechtenmanagement voor de bedrijfsinformatie. De automatisering van integriteit van gegevens is echter een minder bekend gebied. Vaak wordt de correctheid van de gegevens in handen gelegd van de medewerkers en vertrouwt de organisatie op afspraken en procedures.
Mensen, processen en hulpmiddelen
Een goedlopend bedrijf heeft drie essentiële zaken goed geregeld: mensen, processen en hulpmiddelen. Daarnaast moeten de administratieve organisatie en interne controle (AO/IC) goed geregeld zijn. AO beschrijft wie wat mag, waarom, wanneer en waarmee, en waar de gegevens naartoe gaan. IC controleert of dit wordt nageleefd. De samenhang van de controles is vastgelegd in een controleraamwerk.
Dat bestaat naast functiescheiding uit:
- user controls: mensen die zelf een controle uitvoeren, handmatig;
management controls: procedureafspraken die het bedrijf heeft opgesteld en opvolgt; - application controls: in systemen ingebouwde controlemechanismen.
Controle van de organisatie kan door een combinatie van deze controlemechanismen worden ingevuld. De drie mechanismen zijn tot op zekere hoogte onderling uitwisselbaar.
Wat doet een application control?
Hoe menselijke controles en managementprocessen werken, mag bekend worden verondersteld. Maar hoe zit het nu met application controls? Een application control vergelijkt waarden die ingevoerd zijn met een lijst van waarden van een andere als goed bekende staande bron, normen dus. Als de waarde die ingevoerd is niet voorkomt in de lijst van goedgekeurde waarden, gaat er een alarmbelletje rinkelen. Dit geeft de gebruiker of het systeem de gelegenheid om een mogelijke fout te herstellen voordat er daadwerkelijk schade wordt aangericht. Een goed voorbeeld van een application control is automatische controle van de ingevoerde bedragen. Ter illustratie een voorbeeld uit de financiële sector. Een beurshandelaar wil 1 aandeel voor 100 euro per stuk aanbieden, maar typt per ongeluk in: 100 aandelen voor 1 euro per stuk. Korte conclusie: deze beurshandelaar heeft een probleem. Hij is nu gedwongen om meer aandelen te verkopen dan hij eigenlijk kwijt wilde, voor een bedrag dat een honderdste is van zijn beoogde voorstel. Het was prettig geweest als het systeem had gezegd: weet u dat u een aandeel aanbiedt tegen minder dan de helft van de normale handelswaarde? Dan was er geen probleem geweest.
Meer en strengere regels voor financiële verslaglegging
Nu is het zo dat de overheid en andere toezichthoudende instanties steeds meer eisen gaan stellen aan de financiële verslaglegging van bedrijven. De wet- en regelgeving wordt strenger en neemt toe. Er wordt dus steeds minder ruimte gelaten voor menselijke fouten. Dat is niet eens zo vreemd, gezien de huidige technische mogelijkheden. Application controls kunnen taken uit handen nemen van de eerder genoemde soorten controles. Daarmee vormen zij een goede manier om bedrijven minder afhankelijk te maken van mensen en processen. Het is niet zomaar dat er steeds meer regels komen omtrent financiële verslaglegging en rapportage. Financiële verantwoording an sich wordt namelijk ook steeds belangrijker. Automatisch neemt ook het belang van juiste gegevens in de verslagen en rapportages toe. Bij het opstellen van een verslag is het belangrijk om te kunnen aantonen dat de gegevens te herleiden zijn tot de bron. Dit is goed te automatiseren. Je kunt een relatie leggen tussen bijvoorbeeld de gegevens in het grootboek en de gegevens in het verslag. Dit garandeert dat de bedragen herleidbaar zijn, waardoor fouten beter te analyseren en op te lossen zijn.
Geen nieuw idee
Application controls zijn niet nieuw. Het idee erachter is al zo oud als dubbel boekhouden. Toch houden veel systemen hier nog steeds weinig rekening mee, blijkt uit ervaringen van Invantive. Consultants komen het vaak tegen dat ze in bestaande systemen en processen application controls moeten toevoegen om te voldoen aan de hedendaagse eisen. Bedrijven weten wel dat controles belangrijk zijn en willen die controles ook graag automatiseren. Ze weten echter vaak niet hoe dit praktisch te realiseren is. Dus ze beperken zich tot menselijke controles. Het toevoegen van application controls in bestaande systemen is ook niet eenvoudig. Wat dat betreft is de terughoudendheid van het bedrijfsleven begrijpelijk. Maar gelukkig er zijn specialisten op de markt die weten wat er bij zo’n implementatie komt kijken.
De praktijk
“De toenemende regelgeving vraagt ook bij SNS REAAL om meer controlemaatregelen. Hoewel we niet SOX-plichtig zijn, willen we te allen tijde aantoonbaar ‘in control’ zijn. Basel II beloont dit ook nog eens door een verminderd kapitaalbeslag. Onze keuze voor application controls is dus niet alleen defensief, maar ook een kans om de kapitaalkosten omlaag te krijgen.
Om de kosten van de keten zo laag mogelijk te houden is het gebruik van application controls een must. Door de automatisering van de controles wordt het proces niet alleen efficiënter maar ook effectiever, want ze vragen alleen aandacht bij problemen.
Met application controls kan SNS REAAL dus niet alleen de juiste kwaliteit bewaken maar ook nog eens de laagste kosten bewerkstelligen.”
Arthur Spanjer, bedrijfshoofd bij SNS REAAL
Struikelblokken
Bedrijven kunnen echter niet achteroverleunen en kijken hoe de zaken voor hen geregeld worden. Er zijn genoeg veelvoorkomende interne en externe struikelblokken die opgeruimd moeten worden. We zetten de belangrijkste struikelblokken op een rijtje.
Interne organisatie
Het eerste struikelblok is interne besluitvorming. Niet alleen het systeem moet openstaan voor application controls, maar ook de organisatie. Het is vaak zo dat interne belanghebbenden de invoering tegenhouden. Met de implementatie van de automatische controles wordt blootgelegd hoe goed of hoe slecht de huidige situatie, het huidige systeem, is. Dit brengt voor betrokkenen het risico kritiek te krijgen met zich mee.
Kwaliteit van de huidige systemen
Waarmee we aankomen bij het tweede en grootste struikelblok: de kwaliteit van de huidige systemen. Die laat regelmatig sterk te wensen over. Om application controls te kunnen invoeren, moet er een betrouwbare startsituatie zijn. Anders kun je niet nagaan waar de afwijkingen zitten die gevonden worden. Het creëren van die goede startsituatie kan een ontzettend moeilijk proces zijn. Het is vooraf moeilijk te voorspellen hoe lang deze fase duurt. Kleine afwijkingen blijken soms enorm moeilijk op te lossen, terwijl bij grote verschillen met een heel simpele oplossing kan worden volstaan.
Afstemming met leveranciers
Het derde struikelblok is afstemming met de leveranciers van informatie. Om het systeem te kunnen standaardiseren moet duidelijk gecommuniceerd worden over de wijze van aanlevering van gegevens. Het apart aanleveren van normwaarden vereist inspanning van de leverancier.
Tips
Deze struikelblokken kunnen er gezamenlijk toe leiden dat het nooit tot een succesvolle implementatie van application controls komt. Om deze struikelblokken te kunnen overbruggen hebben zijn een aantal tips op een rij gezet om tot een succesvolle implementatie van application controls te komen:
- Werk samen: maak de betrokkenen duidelijk dat het niet de bedoeling is hen te bekritiseren. Fouten in een systeem zijn heel normaal. Creëer een sfeer van vertrouwen. Anders is een succesvolle implementatie niet mogelijk.
- Geef inzicht: maak inzichtelijk wat de huidige situatie is. Hoe staan de zaken er nu voor? Wat zijn de acties en processen binnen de software?
- Inspireer: schets de voordelen van een succesvolle implementatie voor alle betrokkenen en geef aan wat het hun biedt.
- Bepaal de ambities: welke onderdelen moeten er precies gecontroleerd worden? En op welk niveau (invoer, uitvoer, de totale procesketen)? Stel duidelijk de gewenste en verwachte uitkomsten vast.
- Balanceer het resultaat: weeg goed kosten en opbrengsten tegen elkaar af. Ieder precisieniveau en ieder risico heeft zijn prijs. Met alleen application controls kom je er niet. Vergeet daarom de andere controlemechanismes niet!
Als een bedrijf zich aan de hand van deze tips voorbereidt op implementatie van application controls, verloopt het proces vloeiender en sneller. Zo is een bedrijf in een relatief kort tijdsbestek verzekerd van aantoonbaar correcte gegevens en een systeem dat voldoet aan de eisen van deze tijd.
Dit artikel is eerder verschenen in juni 2008 in IT Beheer.