Inzicht in zwakheden in uw interne beheersing met behulp van data-analyse

In hoeverre heeft uw organisatie zicht op zwakheden in de interne beheersing? En hoe zou met behulp van data-analyse dat inzicht kunnen worden verkregen? De inzet van data-analyse is uitermate geschikt om dit inzicht te verkrijgen. Het loont voor uw organisatie om de zwakheden terug te dringen.
Vanuit het perspectief van risicomanagement kijken we hier naar de (on)mogelijkheden van data-analyse in relatie tot de interne beheersing van organisaties.

Data-analyse en risicomanagement

Logische onderdelen van risicomanagement zijn onder meer het hebben van maatregelen waarmee risico’s kunnen worden gemitigeerd en het monitoren van de mate waarin risico’s zich manifesteren. Daarbij spelen de zogenoemde general-IT-controls en de application-controls een voorname rol. De general-IT-controls kunnen worden geduid als algemene beheermaatregelen, het fundament van ITsecurity. In de regel maken IT-beheer, (toegangs)beveiliging en continuïteit van de IT-omgeving onderdeel uit van de general-IT-controls. De application-controls zijn de beheermaatregelen die zijn geïmplementeerd in de geautomatiseerde administratieve systemen van een organisatie. Bijvoorbeeld instellingen die afdwingen dat het banknummer van een nieuw ingevoerde crediteur te allen tijde ingevuld wordt. De application-controls zijn van belang voor de kwaliteit (integriteit) van gegevens.

Kwaliteit van gegevens

In de praktijk blijkt een periodieke analyse van de kwaliteit van de in de administratieve systemen vastgelegde gegevens niet altijd goed uitvoerbaar. De kwaliteit van de in de administratieve systemen vastgelegde gegevens en de controls om die kwaliteit te bewaken blijken dan niet toereikend te zijn. Vanuit risicoperspectief is dit onwenselijk, omdat juist een periodieke analyse van gegevens in de administratieve systemen kan leiden tot het identificeren van zwakheden in de interne beheersing.

Ter illustratie beschrijven wij hier een casus uit de praktijk.

Een medewerker heeft  het bankrekeningnummer van een bestaande crediteur gewijzigd in het bankrekeningnummer van een familielid. Op deze manier is in een periode van enige jaren meer dan een miljoen euro weggesluisd. De medewerker heeft hiervoor een crediteur gebruikt die, net als vele andere crediteuren, al jaren geen relatie meer heeft met de organisatie. In het administratieve systeem zijn deze crediteuren nooit formeel afgesloten. De medewerker heeft uit alle beschikbare crediteuren een crediteur geselecteerd met een bedrijfsnaam waarin de naam van het familielid voorkomt. Op deze manier leidde de naam-nummercontrole intern niet tot signaleringen. Daarnaast werden in het systeem geen logfiles van mutaties in de masterdata (stamgegevens) bijgehouden. Dankbaar maakte de medewerker gebruik van deze gelegenheid én van zwakheden in de interne beheersmaatregelen.

Data-analyse als onderdeel van risicomanagement

Het loont voor organisaties om aan de hand van relatief snel in te richten data-analyses inzicht te krijgen in de risico’s van zwakheden in de interne beheersing. Denk dan bijvoorbeeld aan analyses als:

  • Het identificeren van crediteuren waarvoor geldt dat meer dan een jaar geen boekingen meer zijn verricht;
  • Het identificeren van ontbrekende gegevens in de masterdata (stamgegevens) van crediteuren (bijvoorbeeld het ontbreken van bankrekeningnummers);
  • Het bestaan van dubbelingen in de masterdata (stamgegevens);
  • Het ontbreken van loghistorie van mutaties;
  • Overboekingen naar buitenlandse bankrekeningnummers (denk aan CEO-fraudes).

Het aantal hier gegeven voorbeelden is beperkt en ter inspiratie. Voor organisaties geldt dat de analyses verder toegespitst kunnen en moeten worden voor de specifieke bedrijfsvoering.

Structurele monitoring = structurele identificatie van zwakheden

Digitale Administraties

Het monitoren van risico’s met behulp van data-analyse is geen eenmalige exercitie. Bij voorkeur is het monitoren onderdeel van de reguliere bedrijfsvoering. Om de data-analyse structureel vorm te geven kan een proces worden ingericht waarvan de volgende stappen onderdeel uitmaken:
• Bepalen informatiebehoefte
• Verzamelen gegevens
• Prepareren gegevens voor analyse
• Analyseren gegevens
• Rapporteren
• (Indien nodig) aanvullend onderzoek

Analyseproces

Bij het doorlopen van deze processtappen worden de keuzes en beslissingen gedocumenteerd die gedurende het analyseproces zijn genomen. Hierdoor is het mogelijk om de analyses te herhalen en te verbeteren. De resultaten van de analyses dienen intern te worden geanalyseerd en eventueel te worden besproken met de verantwoordelijke managers. Resultaten kunnen namelijk in eerste instantie lijken op risico’s, maar mogelijk bestaan binnen de organisatie heldere verklaringen of aanvullende maatregelen die deze risico’s tegengaan. Door het management actief te betrekken bij de resultaten van de analyses (al dan niet weergegeven in een dashboard) kunnen organisaties een vorm van bewustzijn voor zwakheden in de organisatie creëren. Dit bewustzijn werkt weer kwaliteitsverhogend. Daarmee kan data-analyse lonend zijn voor uw organisatie.

Contact

Wilt u meer informatie of wilt u weten wat wij voor uw bedrijf kunnen betekenen, neem dan contact op met Jethro Vrouwenfelder.

Lees meer over de diensten van EBBEN

Site by Merkelijkheid.nl

Op deze website gebruikt Ebbenpartners cookies en vergelijkbare technieken om de website goed te kunnen laten werken en om te analyseren hoe de website wordt gebruikt.