In hoeverre heeft uw organisatie zicht op zwakheden in de interne beheersing? En hoe zou met behulp van data-analyse dat inzicht kunnen worden verkregen? De inzet van data-analyse is uitermate geschikt om dit inzicht te verkrijgen. Het loont voor uw organisatie om de zwakheden terug te dringen.
Vanuit het perspectief van risicomanagement kijken we hier naar de (on)mogelijkheden van data-analyse in relatie tot de interne beheersing van organisaties.
Logische onderdelen van risicomanagement zijn onder meer het hebben van maatregelen waarmee risico’s kunnen worden gemitigeerd en het monitoren van de mate waarin risico’s zich manifesteren. Daarbij spelen de zogenoemde general-IT-controls en de application-controls een voorname rol. De general-IT-controls kunnen worden geduid als algemene beheermaatregelen, het fundament van ITsecurity. In de regel maken IT-beheer, (toegangs)beveiliging en continuïteit van de IT-omgeving onderdeel uit van de general-IT-controls. De application-controls zijn de beheermaatregelen die zijn geïmplementeerd in de geautomatiseerde administratieve systemen van een organisatie. Bijvoorbeeld instellingen die afdwingen dat het banknummer van een nieuw ingevoerde crediteur te allen tijde ingevuld wordt. De application-controls zijn van belang voor de kwaliteit (integriteit) van gegevens.
In de praktijk blijkt een periodieke analyse van de kwaliteit van de in de administratieve systemen vastgelegde gegevens niet altijd goed uitvoerbaar. De kwaliteit van de in de administratieve systemen vastgelegde gegevens en de controls om die kwaliteit te bewaken blijken dan niet toereikend te zijn. Vanuit risicoperspectief is dit onwenselijk, omdat juist een periodieke analyse van gegevens in de administratieve systemen kan leiden tot het identificeren van zwakheden in de interne beheersing.
Een medewerker heeft het bankrekeningnummer van een bestaande crediteur gewijzigd in het bankrekeningnummer van een familielid. Op deze manier is in een periode van enige jaren meer dan een miljoen euro weggesluisd. De medewerker heeft hiervoor een crediteur gebruikt die, net als vele andere crediteuren, al jaren geen relatie meer heeft met de organisatie. In het administratieve systeem zijn deze crediteuren nooit formeel afgesloten. De medewerker heeft uit alle beschikbare crediteuren een crediteur geselecteerd met een bedrijfsnaam waarin de naam van het familielid voorkomt. Op deze manier leidde de naam-nummercontrole intern niet tot signaleringen. Daarnaast werden in het systeem geen logfiles van mutaties in de masterdata (stamgegevens) bijgehouden. Dankbaar maakte de medewerker gebruik van deze gelegenheid én van zwakheden in de interne beheersmaatregelen.
Het loont voor organisaties om aan de hand van relatief snel in te richten data-analyses inzicht te krijgen in de risico’s van zwakheden in de interne beheersing. Denk dan bijvoorbeeld aan analyses als:
Het aantal hier gegeven voorbeelden is beperkt en ter inspiratie. Voor organisaties geldt dat de analyses verder toegespitst kunnen en moeten worden voor de specifieke bedrijfsvoering.
Het monitoren van risico’s met behulp van data-analyse is geen eenmalige exercitie. Bij voorkeur is het monitoren onderdeel van de reguliere bedrijfsvoering. Om de data-analyse structureel vorm te geven kan een proces worden ingericht waarvan de volgende stappen onderdeel uitmaken:
• Bepalen informatiebehoefte
• Verzamelen gegevens
• Prepareren gegevens voor analyse
• Analyseren gegevens
• Rapporteren
• (Indien nodig) aanvullend onderzoek
Bij het doorlopen van deze processtappen worden de keuzes en beslissingen gedocumenteerd die gedurende het analyseproces zijn genomen. Hierdoor is het mogelijk om de analyses te herhalen en te verbeteren. De resultaten van de analyses dienen intern te worden geanalyseerd en eventueel te worden besproken met de verantwoordelijke managers. Resultaten kunnen namelijk in eerste instantie lijken op risico’s, maar mogelijk bestaan binnen de organisatie heldere verklaringen of aanvullende maatregelen die deze risico’s tegengaan. Door het management actief te betrekken bij de resultaten van de analyses (al dan niet weergegeven in een dashboard) kunnen organisaties een vorm van bewustzijn voor zwakheden in de organisatie creëren. Dit bewustzijn werkt weer kwaliteitsverhogend. Daarmee kan data-analyse lonend zijn voor uw organisatie.