FINANCE

& CONTROL
Informatiemanagement

Func t ie s cheidingen

CONTROLEER HET GEGEVEN

VERTROUWEN
Functiescheiding vindt plaats in iedere organisatie waar arbeidsverdeling aanwezig is. De auteur reikt in
dit artikel een methode aan waarmee controllers en auditors de opzet en het bestaan van functiescheidin-
gen in informatiesystemen kunnen beoordelen. Deze methode is ontwikkeld op basis van een onderzoek
naar functiescheiding binnen het bedrijf Organon.

D O O R A N T W A N VA N E C H T E LT

U w inkoper heeft een nieuwe leverancier gevonden voor

een standaard bulkgrondstof. Op basis van het onderzoek van
uw inkoper heeft de nieuwe leverancier de beste prijs en de beste
levervoorwaarden. Uw inkoper legt leveranciersgegevens vast in
het ERP-pakket en plaatst grote orders voor levering op termijn.
De facturen komen al snel binnen. Uw inkoper keurt de facturen
via het ERP-pakket goed en de crediteurenadministratie verzorgt
de betaling. Dan laat de inkoper u weten dat hij oververmoeid
is en dat hij graag zes weken vakantie wil opnemen om te gaan
bijtanken in Argentinië. Geeft u hiervoor toestemming?
De doelstelling van dit artikel is om voor u de drempel voor
het ‘ontleden’van complexe autorisatiestructuren weg te
nemen. Hiervoor reik ik u een methode aan die u in staat stelt
de functiescheidingen binnen uw organisatie te beoordelen.
In dit artikel licht ik de verschillende onderdelen van de
beoordelingsmethode op hoofdlijnen toe. De beoordelings-
methode wordt aan de hand van mijn bevindingen bij NV
Organon beschreven. Allereerst ga ik in op de achtergrond
van mijn onderzoek en de centrale onderzoeksvraag. Daarna
volgt een korte introductie van NV Organon met aansluitend
een uitwerking van de beoordelingsmethode. Tot slot be-
spreek ik de resultaten van het onderzoek en maak ik enkele
kanttekeningen voor de uitvoering van een beoordeling.
Achtergrond en centrale vraag
Functiescheiding vindt plaats in iedere organisatie waar ar-
beidsverdeling aanwezig is. Afhankelijk van de omvang van de
organisatie worden de onderscheiden taakgroepen in functies
of functiegroepen samengebracht. We spreken van controle-
technische functiescheidingen indien de nadruk gelegd wordt
op het controleaspect van functiescheidingen.
Automatisering heeft de afgelopen decennia voor een meer
geformaliseerde en gestructureerde informatieverzorging
gezorgd. Het gebruik van informatiesystemen maakt het
eenvoudiger om functiescheidingen toe te passen. Bevoegd-
heden van een gebruiker worden gedefinieerd in het informa-
tiesysteem en worden zodoende ook afgedwongen. Echter, het
monitoren van het bestaan van functiescheidingen binnen de
informatiesystemen is complexer geworden. Hieraan liggen
meerdere oorzaken ten grondslag:
~ Informatiesystemen kennen een grote mate van flexibiliteit
voor het toekennen van verschillende bevoegdheden aan
gebruikers.
~ Ingerichte organisatiestructuren in de informatiesystemen
worden alsmaar complexer.
~ Er worden verschillende informatiesystemen gebruikt
binnen één organisatie.

14 | OKTOB E R 2008
 FINANCE
& CONTROL
~ Gebruikers van informatiesystemen veranderen nogal eens
van taak, functie of afdeling, waarbij de bevoegdheden
dienen mee te veranderen.
Indien functiescheidingen in de informatiesystemen niet goed
zijn ingericht of worden onderhouden, kan er onbedoeld een
functievermenging ontstaan. Functievermengingen kunnen
ontstaan doordat:
~ een gebruiker te veel rechten heeft toegewezen gekregen die
ongewenste combinaties vormen;
~ een functioneel applicatiebeheerder niet kan zien welke
rechten een gebruiker heeft in ‘andere’ informatiesystemen
(functievermengingen tussen informatiesystemen);
~ een gebruiker van afdeling verhuist zonder dat zijn ‘oude’
rechten worden verwijderd;
~ gebruikers elkaars gebruikersnamen en wachtwoorden delen.
Het laatstgenoemde type functievermenging (gebruikersna-
men en wachtwoorden delen) komt niet aan het licht door
de ontwikkelde beoordelingsmethode. De cultuur van een
organisatie bepaalt mede de oplossing om dit type functie-
vermenging tegen te gaan. Middels hoge straffen voor het
uitwisselen van gebruikersnamen met wachtwoorden en/of
het opnemen in de arbeidsvoorwaarden dat het uitwisselen
absoluut verboden is, kan getracht worden dit type functie-
vermengingen te beperken.
Voor de controller leidt het voorgaande tot belangrijke
vragen. De controller wil namelijk antwoorden vanuit een
beheer- en beheersingsperspectief. Hoe kan ik mijn organi-
satie zo efficiënt mogelijk inrichten, beheren en beheersen,
terwijl er geen functievermengingen ontstaan? Hieruit volgt
de volgende centrale vraag:
Hoe kan men de opzet en het bestaan van controletechnische
functiescheidingen binnen operationele informatiesystemen
beoordelen?
Het antwoord op deze centrale vraag dient minimaal te
voldoen aan een drietal randvoorwaarden. Er dient één
methode ontwikkeld te worden die voldoet aan de volgende
drie voorwaarden.
Bedrijfsprocesonafhankelijk. Een organisatie dient contro-
letechnische functiescheidingen in te richten voor al haar
bedrijfsprocessen. De methode dient van toepassing te zijn
voor alle bedrijfsprocessen.
Informatiesysteemonafhankelijk. Bedrijfsprocessen kunnen
ondersteund worden door meerdere informatiesystemen.
De methode dient van toepassing te zijn op alle operationele
informatiesystemen.
OKTOB E R 2008
Praktisch toepasbaar. Een wetenschappelijke methode die
niet toepasbaar is in de praktijk heeft voor controllers weinig
toegevoegde waarde. Onder praktisch toepasbaar wordt
verstaan dat:
~ de uitvoering van de beoordeling goed gepland kan
worden (tijd);
~ de kosten voor de beoordeling binnen het redelijke
vallen (geld);
~ de kwaliteit van de beoordeling gewaarborgd is (kwaliteit).
Hoewel alle processen en informatiesystemen van NV
Organon volgens de uitgewerkte beoordelingsmethode zijn
beoordeeld, beperk ik mij in dit artikel tot de operationele
informatiesystemen die het inkoopproces van de primaire
goederenstromen van NV Organon ondersteunen. Dit is een
willekeurige keuze.
Omdat de beoordelingsmethode aan de hand van mijn be-
vindingen bij NV Organon wordt beschreven, volgt hier eerst
een korte introductie.
Een wetenschappelijke methode
die niet toepasbaar is in de praktijk
heeft voor controllers weinig
toegevoegde waarde
Introductie NV Organon
NV Organon maakt sinds november 2007 deel uit van het
Amerikaanse farmaceutische bedrijf Schering-Plough. NV
Organon is een wereldwijd werkend bedrijf van middelgrote
omvang, dat zich bezighoudt met het onderzoeken, ontwik-
kelen en produceren van een breed scala aan innovatieve, bio-
farmaceutische producten, die bedoeld zijn om de gezondheid
en de kwaliteit van leven te verbeteren. NV Organon heeft
momenteel ongeveer 14.000 medewerkers in dienst, verspreid
over meer dan vijftig landen. Van hen zijn er ongeveer 5.000
werkzaam in Nederland, verspreid over verschillende locaties.
In Oss zijn er in totaal vijf productieafdelingen: één houdt
zich bezig met de goederenstroom, twee met de productie van
tabletten en injecteerbare stoffen en één met verpakking. De
vijfde richt zich op het maken van kleinschalige en speciale
producten.
Het inkoopproces wordt ondersteund door twee informa-
tiesystemen die worden beheerd door twee afzonderlijke
| 15
 FINANCE
& CONTROL

functionele applicatiebeheerders. Het inkoopproces omvat het Beoordelingsmethode

geheel tussen het selecteren van een leverancier en het ver-
richten van betalingen.
~ Apollo. Apollo is het informatiesysteem voor ‘control’ en
‘manufacturing’. De belangrijkste functies van Apollo zijn
het aanmaken, muteren en bewaken van inkooporders, pro-
ductieorders, voorraad en verkooporders. Ten behoeve van
de inkoop- en verkooporders bevat Apollo tevens leveran-
ciers- en klantgegevens.
~ Fado. Fado is het centrale administratieve systeem van NV
Organon. Als zodanig vormt Fado het hart van het admi-
nistratieve proces en de belangrijkste bron voor de finan-
ciële verslaglegging. Fado is een ERP-pakket van Oracle
e-Business Suite.
De afdeling Internal Control & Compliance is verantwoorde-
lijk voor de naleving van relevante wet- en regelgeving (o.a.
SOx), beleidsrichtlijnen en procedures binnen NV Organon.
Het toepassen van controletechnische functiescheidingen
is fundamenteel voor NV Organon ten behoeve van de
betrouwbaarheid van de informatieverzorging en ter voor-
koming van fraude.
De methode maakt een onderscheid in een theoretische en
praktische beoordeling:
~ Theoretische beoordeling. Deze beoordeling is volledig
geautomatiseerd en is gebaseerd op een vastgestelde norm
en de gegevens uit het informatiesysteem.
~ Praktische beoordeling. Deze beoordeling volgt na de the-
oretische beoordeling en is gebaseerd op de output (functie-
vermengingen) van de theoretische beoordeling.
Dit is gebaseerd op de zogenaamde professional judgment van
managers.
Dit onderscheid is gemaakt omdat er zeer veel gegevens ver-
werkt en beoordeeld dienen te worden. Door eerst een theoreti-
sche beoordeling uit te voeren, worden alle ‘door de norm geac-
cepteerde’ functiecombinaties van gebruikers er uitgefilterd.
Beide beoordelingen dienen eerst per informatiesysteem
uitgevoerd te worden. Daarna vindt de beoordeling van func-
tiescheidingen ‘tussen’ de informatiesystemen plaats.
Voordat we verdergaan met de theoretische beoordeling, licht
ik eerst een aantal definities toe, die belangrijk zijn voor de
beoordelingen (zie figuur 1).

Figuur 1
Definitie van gebruikte begrippen

Definitie Uitleg Voorbeeld

Gebruiker Een medewerker met toegang tot informatiesysteem. De heer Jan Janssen.
Transactie* Een mogelijke handeling door een gebruiker in een infor- Het kunnen toevoegen van een orderregel aan een
matiesysteem, die leidt tot een mutatie in het informatie- inkooporder.
systeem.
Functiecategorie Een verzameling van transacties behorende bij één func- De functiecategorie ‘inkooporder’ bestaat onder andere
tie en waar onderling geen functievermenging aanwezig uit de transacties:
is. Het inkoopproces wordt onderverdeeld in zeven func- • maken van de inkooporder;
tiecategorieën. • orderregel toevoegen;
• wijzigen van het afleveradres.

De zeven functiecategorieën voor het inkoopproces zijn:

• productbestand;
• leverancier NAW;
• leverancier BANK;
• inkooporder;
• goederenontvangst;
• inkoopfactuur;
• betaling.
Norm De norm bestaat uit alle mogelijke combinaties van func- De combinatie van de functiecategorieën leverancier
tiecategorieën met bijbehorende risicofactor. De norm BANK en Inkooporder is ongewenst en heeft daardoor
wordt vastgelegd in de normmatrix/normtabel. een hoge risicofactor (schaal 0-3, waarbij 0 geen risico en
3 een hoog risico betekent).
* Oracle maakt gebruik van responsibilities. Een responsibility is een verzameling unieke transacties. In mijn scriptie wordt uitgelegd hoe
hiermee wordt omgegaan.

16 | OKTOB E R 2008
 FINANCE
& CONTROL

Gebruiker Transactie
MS Access-model
Jan Janssen Aanmaken inkooporder
Jan Janssen Muteren adres leverancier

Input per applicatie Input per proces Piet Pieterse Muteren adres leverancier

De normtabel wordt in samenwerking met de Internal Control

(FCSVJLFST
& Compliance-afdeling opgezet. Zij bepalen de norm voor
functiescheidingen. De normtabel wordt als volgt weergegeven.
(FCSVJLFST
USBOTBDUJF Functiecategorie Functiecategorie Risico
Leverancier BANK Inkooporder 3

5SBOTBDUJF Inkooporder Goederenontvangst 3

DBUFHPSJF /PSNNBUSJY
Leverancier Betaling 3
Bankrekening

0VUQVU
'VODUJF Door de voorgaande tabellen aan elkaar te relateren in MS
WFSNFOHJOHFO Access wordt met een redelijk eenvoudige query inzichtelijk
gemaakt welke theoretische functievermengingen er per
gebruiker aanwezig zijn. De query zoekt naar combinaties van
transacties waarbij geldt:
~ combinaties hebben een risico hoger dan 1;
Figuur 2 ~ beide transacties zijn beschikbaar voor één gebruiker.
MS Access-model ten behoeve van de theoretische
functievermengingen Het rapport dat uit MS Access ziet er als volgt uit.

Theoretische beoordeling Gebruiker Transactie Transactie Risico

Voor het uitvoeren van de theoretische beoordeling voor één Jan Janssen Toevoegen Boeken ontvangst 3
informatiesysteem is een model ontwikkeld in MS Access (zie order regel goederen
figuur 2). Piet Toevoegen Boeken ontvangst 3
Pieterse order regel goederen
Bij NV Organon hebben 456 gebruikers toegang tot Apollo en Piet Aanmaken Wijzigen 3
Pieterse inkooporder productbestand
het informatiesysteem bevat 1072 verschillende transacties.
In samenwerking met de functioneel applicatiebeheerder van
Apollo is iedere transactie aan een van de zeven functiecatego- In dit voorbeeld zijn er drie functievermengingen, waarvan er
rieën van het inkoopproces toegewezen. Transacties met alleen twee uniek zijn.
een ‘kijkfunctie’ of die buiten het inkoopproces vallen, worden
hierbij als niet-relevant beschouwd. Op basis van deze gegevens Praktische beoordeling
wordt in het MS Access de tabel ‘transactie/categorie’ gevuld. De praktische beoordeling vindt plaats in samenwerking met
de functioneel applicatiebeheerders en met de proceseigena-
Transactie Functiecategorie
ren. Het doel is om iedere theoretische functievermenging
naar de praktijk te beoordelen.
Aanmaken inkooporder Inkooporder
Muteren adres leverancier Leverancier NAW
Het kan namelijk zo zijn dat theoretische functievermengingen
Inzien openstaande facturen Niet relevant
in de praktijk niet blijken te bestaan doordat een transactie in
werkelijkheid niet relevant blijkt te zijn. Bijvoorbeeld: het alleen
Op basis van een rapport uit Apollo werd per gebruiker kunnen wijzigen van een faxnummer van een leverancier bete-
inzichtelijk gemaakt welke transacties hij/zij kan uitvoeren. kent niet dat je een nieuwe leverancier kunt aanmaken.
Op basis van deze gegevens wordt in het MS Access de tabel Voor de overgebleven functievermengingen dient beoordeeld
‘gebruikers/transactie’ en de tabel ‘gebruikers’ ingevuld. te worden of er reeds een applicatie- of procescontrole is die

OKTOB E R 2008 | 17
 FINANCE
& CONTROL

het risico van de functievermenging mitigeert. tabellen aan elkaar te relateren in MS Access wordt door een
De praktische beoordeling kan het beste gezien worden als query inzichtelijk gemaakt welke theoretische functievermen-
één grote trechter om functievermengingen eerst proberen te gingen er per gebruiker aanwezig zijn. De query zoekt naar
elimineren en anders te mitigeren (zie figuur 3). combinaties van transacties tussen Apollo en Fado waarbij
geldt:
Beoordeling ‘tussen’ de informatiesystemen ~ de combinaties hebben een risico hoger dan 1;
Voor de beoordeling van de functiescheidingen ‘tussen’ de ~ beide transacties zijn beschikbaar voor één gebruiker.
informatiesystemen wordt gebruikgemaakt van een tweede
MS Access-model. De input voor dit model is gelijk aan die Het rapport uit MS Access ziet er als volgt uit.
van het eerste model. Voor NV Organon wordt beoordeeld
of er ook functievermengingen bestaan voor gebruikers die Gebruiker Transactie Apollo Transactie Fado Risico
transacties mogen uitvoeren in zowel Apollo als Fado. Door Jan Aanmaken inkoop- Wijzigen bank- 3
deze beoordeling wordt het hele inkoopproces afgedekt. Janssen order rekening lev.
Piet Aanmaken inkoop- Wijzigen bank- 3
Pieterse order rekening lev.
Voor het uitvoeren van de theoretische beoordeling tussen
informatiesystemen is een model ontwikkeld in MS Access
(zie figuur 4). Bij NV Organon zijn er ruim honderd gebruikers die toegang
hebben tot beide informatiesystemen. In Apollo en Fado
In dit model worden de tabellen van de MS Access-databases kwamen er in totaal 36 unieke theoretische functievermen-
van Apollo (IS-A) en Fado (IS-B) geladen. Door voorgaande gingen naar boven. Deze 36 functievermengingen vormen de

MS Access-model

Input per applicatie Input per proces

FO
SNFOHJOH
UJFWF
'VOD Gebruikers Gebruikers
IS-A IS-B

(FTQSFLLFO
GVODUJPOFFM
BQQMJDBUJFCFIFFSEFS
'VO
WFSN DUJF
FOHJO Gebruikers
UJF HFO
'VOD OHFO IS-A-B
F O H J
WFSN

(FTQSFLLFO
CVTJOFTT
QSPDFTPXOFST
'VO Transactie IS-A/ Transactie IS-B/
WFSN DUJF
FOHJO gebruiker gebruiker
HFO
U J F 
'VOD OHFO
FOHJ
W N
F S Transactie IS-
Normtabel
"QQMJDBUJFDPOUSPMF A-B/categorie

'VO
WFSN DUJF
FOHJO
HFO Output
Functie-
1SPDFTDPOUSPMF vermengingen

Figuur 4
Figuur 3 MS Access-model voor de theoretische beoordeling tussen
Trechter voor praktische beoordeling informatiesystemen

18 | OKTOB E R 2008
 FINANCE
&CONTROL

input voor de praktische beoordeling. Van de 36 theoretische ~ De benodigde gegevens zijn aanwezig in de informatie-
functievermengingen in het inkoopproces van NV Organon systemen. Wel is gebleken dat het inspanning kost om
is 95% geëlimineerd doordat transacties in werkelijkheid de gegevens op een juiste manier te structureren om ze
niet relevant bleken te zijn. Voor de overige 5% voldeden de vervolgens te kunnen verwerken in het model.
al bestaande controlemaatregelen waardoor het risico was
gemitigeerd. Drs. A.G. van Echtelt RC is Senior Business Consultant bij Atos
Consulting (antwan.vanechtelt@atosorigin.com).
Resultaten
De beoordeling van functiescheidingen zoals beschreven
levert meerdere resultaten op:
~ Het stelt de controller in staat om specifieke vragen te
stellen over de toekenning van rechten. Want ondanks dat
er geen functievermengingen aanwezig zijn, kun je soms
vraagtekens zetten bij bepaalde rechten toegekend aan
gebruikers.
~ Het stelt de functioneel applicatiebeheerder in staat om
vooraf een beoordeling te maken of een gebruiker bepaalde #"4&
rechten krijgt of niet. Details van de methode die zijn beschreven in de scriptie
~ Het stelt de riskmanager in staat een audit trail aan de die Antwan van Echtelt schreef ter afronding van de studie voor
accountant te overhandigen. Voor iedere theoretische Register Controller aan de UvA, kunt u vinden in de Base.
functievermenging leg je in het MS Access-model vast
waarom het niet relevant is of wat de controlemaatregel is.

De eerste beoordeling vergt de meeste inspanning. Er

moeten veel gegevens vergaard worden, transacties dienen
te worden toegekend aan functiecategorieën en alle theo-
retische functievermengingen moeten praktisch worden
beoordeeld. Dit vergt veel tijd van de proceseigenaren en de
functioneel applicatiebeheerders. Opvolgende beoordelin-
gen, bijvoorbeeld zes maanden later, vergen daarentegen een
stuk minder inspanning. Het is immers bekend welke gege- ;bi[c_[a[)(
vens in welk formaat benodigd zijn en transacties hoeven
niet opnieuw toegekend te worden. DeYdcYZgYV\bdZi^ciZg^bÒcVcX^Va:ahZb^Z`Z!
dc\ZVX]iW^_lZa`Z`aVcioZVVc]ZilZg`^h!Vai^_Y
kgdZ\lZ\#9VcbdZioZcVbZa^_`cVVgXjghjh#
CVVgZZcXjghjh\ZWVgZciVValZaiZkZghiVVc#
Het doel is om DbWZiZgiZXdbbjc^XZgZcbZi]VVgojh_ZY^Z
dcaVc\hYdd[lZgY#
iedere theoretische
functievermenging naar de
praktijk te beoordelen

De volgende kanttekeningen bij het toepassen van de

beschreven beoordelingsmethode zijn te plaatsen.
~ De persoon die verantwoordelijk is voor de beoordeling
moet voldoende kennis hebben van het vak AO/IC.
~ Daarnaast dient hij/zij voldoende kennis te hebben van MS
Access.

OKTOB E R 2008 | 19