Het olielampje van uw auto gaat branden. U vertrouwt deze ‘applicatiecontrole’ en gaat naar de garage. Na ‘changemanagement’ door de monteur is het lampje weer uit. Gaat u weer met blind vertrouwen de weg op? Een gesprek met Jurgen de Ruiter, directeur Financiën en Bedrijfsondersteuning en Anil Changoe, interim risk & audit manager bij Parteon over in control zijn met Tobias AX.
Een ERP-systeem is geen auto, maar dat de motor van de corporatie net zo betrouwbaar en zeker moet zijn als onze heilige koe, is voor iedere bestuurder evident. “Wil je in control zijn, dan moet je kunnen vertrouwen op de metertjes op je dashboard, de motor en alle controlemaatregelen eromheen”, zegt Anil.
Olielampje
Om zeker te weten dat Parteon kan sturen en vertrouwen op Tobias AX heeft de corporatie de applicatiecontroles in Tobias AX laten onderzoeken. “Application Controls (zie kader) zijn controlemaatregelen die in de applicatie zijn opgenomen om betrouwbare gegevensverwerking te waarborgen”, legt Anil uit. “Daaromheen zitten allemaal IT-beheersingsprocessen. Het is wederom het olielampje en de monteur; als deze persoon onder de motorkap de verkeerde dingen doet, werken de controlemechanismen mogelijk ook niet meer. De permanente werking van de applicatiecontroles is daarom afhankelijk van de effectiviteit van de generieke IT-controles. Zonder goede IT-beheerprocedures, waaronder autorisatiebeheer en changemanagement, kunnen bijvoorbeeld ongeautoriseerde wijzigingen worden doorgevoerd aan de applicatiecontroles.”
Ingaande en uitgaande geldstromen
Aareon heeft BDO opdracht gegeven om bij Parteon het onderzoek naar de applicatiecontroles uit te voeren. De scope van het onderzoek was gericht op het prolongatieproces en inkoopproces, om inzicht te krijgen in de geautomatiseerde beheersing van de ingaande en uitgaande geldstromen. Het resultaat is een rapportage dat inzicht geeft in de betrouwbaarheid, ofwel de integriteit, exclusiviteit en controleerbaarheid rondom de verwerking van gegevens in en door Tobias AX voor de betreffende processen. “Op basis van deze rapportage kan de correcte werking van applicatiecontroles worden vastgesteld en eventuele ontbrekende applicatiecontroles door Aareon worden ingebouwd. Een voorbeeld van een belangrijke applicatiecontrole in het prolongatieproces is dat het systeem waarborgt dat bij prolongeren niet kan worden afgeweken van de huurprijzen in de stamgegevens. Voor het inkoopproces bepalen applicatiecontroles bijvoorbeeld aan de hand van procuratierechten tot welk bedrag een medewerker facturen mag fiatteren.”
Reductie handmatige controles
Naast een betrouwbare gegevensverwerking leveren applicatiecontroles efficiency in beheersing wanneer handmatige controles worden verlegd naar het systeem. Tevens verhoog je met preventieve applicatiecontroles de effectiviteit. Handmatige controles hebben namelijk vaak een detectief karakter, waardoor corrigerende maatregelen nodig zijn, daarnaast is er een groter risico op menselijke fouten. “Hoe meer de accountant kan steunen op geautomatiseerde controles hoe minder tijd gaat zitten in het beoordelen van de werking van de handmatige controles”, beaamt Anil. “Het belang van de generieke IT-controles neemt dan wel toe. Bij een goede werking van de generieke IT-controles hoeven de applicatiecontroles in principe maar één keer per jaar getoetst te worden op bestaan en werking. Door reductie van het aantal te testen beheersmaatregelen zouden de accountantskosten mogelijk gereduceerd kunnen worden. Zie het als de Duyvis-reclame waarin elk afzonderlijke pinda handmatig op kwaliteit werd gecontroleerd. Met geborgde applicatiecontroles zijn deze checks verlegd naar het systeem. Dit levert ook meer inzicht in de integere werking van de financiële administratie.”
Corporaties worden steeds afhankelijker van IT om beslissingen te maken en verantwoording af te leggen. Dit vraagt om betrouwbare geautomatiseerde gegevensverwerking in de primaire systemen. Applicatiecontroles leveren, naast de generiek beheersmaatregelen voor IT, een belangrijke bijdrage om deze betrouwbaarheid te garanderen.
In control
Op de vraag of Parteon met Tobias AX nu ‘in control is’, zegt Anil: “Wat ‘in control zijn’ is krijgt pas inhoud als je ook afbakent waarover je in control wilt zijn. Parteon heeft met de rapportage een control framework met de belangrijkste applicatiecontroles in Tobias AX die periodiek getest worden op effectiviteit. Daarmee richten wij ons op adequate conformance en performance. Het eerste betreft compliance met wet- en regelgeving en het tweede het verbeteren van de prestaties van Parteon. Door goed geborgde applicatiecontroles zijn we beter in staat te sturen op data en te voldoen aan de steeds strengere eisen van de toezichthouder op het gebied van interne risicobeheersing. Binnen de reikwijdte van het control framework beoordelen we elk kwartaal of we in control zijn, waarbij altijd ruimte is voor verbetering. We proberen een goeie mix aan te brengen tussen geautomatiseerde controles en handmatige controles waarbij we de soft controls niet uit het oog verliezen. De winst zit hem natuurlijk om de handmatige controles zoveel mogelijk met applicatiecontroles te ondervangen, maar de mens is uiteindelijk de zwakste schakel.”
Audit en IT-wereld
Volgens Anil zorgt het onderzoek naar de applicatiecontroles voor een goed samenspel tussen de audit- en IT-wereld. “De audit- en risk-wereld is een andere dan die van ontwikkelaars van ICT-systemen. Daar zit hem soms ook spraakverwarring; een auditor heeft het over controles, terwijl een softwareontwikkelaar redeneert in bedrijfsregels en business logic. Verder heeft een softwareontwikkelaar vaak meer oog voor de functionele geschiktheid, prestatie-efficiëntie en onderhoudbaarheid van een systeem, terwijl een auditor vooral denkt in risicobeheersing en hierdoor meer oog heeft voor aspecten als integriteit, exclusiviteit en controleerbaarheid. Met het onderzoek naar applicatiecontroles brengen we beide werelden bij elkaar.”
Blind vertrouwen
Jurgen de Ruiter, directeur Financiën en Bedrijfsondersteuning bij Parteon en intern opdrachtgever van Anil heeft een duidelijk doel voor ogen. “We willen blind kunnen bouwen en vertrouwen op de data-kwaliteit van onze informatiehuishouding. Denken dat het goed zit, is onvoldoende - je moet het zeker weten.” Als voorbeeld noemt Jurgen de verbetering van de applicatiecontroles rondom het prolongatieproces. “Het huurstandenregister met huurmutaties moet exact aansluiten op de prolongatie, zodat kan worden vastgesteld dat alle verhuureenheden juist en volledig zijn geprolongeerd. Een applicatiecontrole hiervoor ontbrak ten tijde van het onderzoek en wordt nu door Aareon ingebouwd.” Jurgen juicht het toe dat Aareon de expertise van auditors gebruikt om de kwaliteit en betrouwbaarheid van Tobias AX te toetsen en waar nodig te verbeteren. “Auditors kijken met andere ogen naar systemen dan eindgebruikers, die zoeken vaak een workaround om tot het juiste antwoord te komen. Beter is natuurlijk om met applicatiecontroles een efficiënte validatieslag te doen tijdens invoer en procesverwerking. Met de wetenschap dat klanten en leveranciers steeds vaker invoerder van data zullen zijn, vind ik dat zelfs essentieel.”
Jeroen Kuiper, algemeen directeur Aareon juicht de samenwerking op het gebied van applicatiecontroles toe en wil de bevindingen graag delen. “In selectietrajecten gaat het soms nog steeds over ‘mooie schermen en knoppen’, terwijl dit is waar corporaties echt oog voor zouden moeten hebben. Wij willen met Tobias AX het veiligste en meest betrouwbare ERP-systeem leveren, één waarmee corporaties aantoonbaar en moeiteloos financieel in control zijn. Gevalideerde applicatiecontroles dragen daaraan bij en leiden bovendien tot verlaging van accountants- en IT-kosten.”
Wat zijn Application Controls?
Application Controls zijn controlemaatregelen die in de applicatie zijn opgenomen om betrouwbare gegevensverwerking te waarborgen. Er wordt in het onderzoek bij Parteon onderscheid gemaakt in de volgende applicatiecontroles:
• Programmed controls (PC)
Dit zijn in de software geprogrammeerde controlemaatregelen die niet kunnen worden gewijzigd door de gebruiker.
• Configurable controls (CC)
Dit zijn in de software geprogrammeerde controlemaatregelen die configureerbaar zijn voor de gebruiker, waarbij verwerking op basis van die configuratie-instelling door de software plaatsvindt.
• IT dependent Manual Controls (ITDMC)
Dit zijn controlemaatregelen die door de gebruiker plaatsvinden, maar die afhankelijk zijn van overzichten uit AX.
• Authorization Controls (AC)
Dit zijn controlemaatregelen gericht op het scheiden van autorisaties voor functies in AX om daarmee controle-technische functiescheidingen te waarborgen of te ondersteunen.
Bron: Aareon
Klik hier om de bedrijfsprofielpagina van Aareon in de CorporatieGids 2016 te bekijken
Zoals ieder jaar was het een voorrecht om CorporatiePlein te mogen organiseren. En de 2024-editie, de veertiende van het…
www.corporatieplein.nlCorporatieGids Magazine - November 2024 Inhoud Ferry van der Pal (Wonen Wateringen): Fusie leidt tot betere bijdrage aan de volkshuisvestelijke opgave…
Zoek en vind leveranciers en adviesbureaus die IT-diensten en oplossingen aanbieden aan woningcorporaties.