Gebruik data uit legacy-systemen voor Continuous Auditing & Monitoring: back to the past!

Het toepassen van data-analyse biedt grote kansen voor auditors en controllers. Via Continuous Auditing en Monitoring kunnen bedrijfsprocessen en datastromen voortdurend worden gemonitord. Toch blijken audit teams met de implementatie hiervan te worstelen. Een belangrijk struikelblok: legacy-systemen. Is deze horde te nemen?

Onder legacy-systemen verstaan we de mainframe (zSeries) en AS/400 (iSeries) platforms die vandaag de dag nog steeds bij veel organisaties worden ingezet als verwerkingsplatform voor de kernprocessen. Deze platforms zijn echter gesloten, zeker voor eindgebruikers. Eindgebruikers kunnen niet gemakkelijk aankoppelen voor het verkrijgen van data en het uitvoeren van analyses.

Recent nam ik deel aan een bespreking met interne auditors over het inzetten van data-analytics ten behoeve van Audit en Monitoring. Alle aanwezigen waren in meer of mindere mate met dit onderwerp bezig, vanuit de wens om efficiënter vast te stellen dat processen goed werken en data van goede kwaliteit zijn. Een belangrijk struikelblok was het verkrijgen van data uit de legacy-systemen.

Het verkrijgen van data (extract), het transformeren van data voor analyse (transform) en het beschikbaar stellen van data voor analyse (load) wordt ook wel aangeduid met 'ETL'. Legacy-systemen wijken op nogal wat technische punten af van moderne database-servers. Alleen al de codetabel die deze legacy-systemen gebruiken ('IBM EBCDIC Character Table') kan voor veel hedendaagse ETL- en analysesoftware een probleem vormen.

Toch bevreemdt dit mij enigszins. Immers, vanaf de jaren tachtig van de vorige eeuw gebruiken auditors data uit deze systemen voor auditdoeleinden. En als ze voor audit uit deze systemen kunnen worden gehaald, dan kan dat voor controlling doeleinden eveneens. De auditsoftware die toen op de markt was, bestaat ook nu nog. Natuurlijk niet meer in een MSDOS-jasje, maar met een moderne grafische gebruikersinterface die op Windows draait. En deze auditsoftware heeft de functionaliteit om met legacy-systemen te kunnen werken nog steeds aan boord.

du ROI Audit & Monitoring is distributeur van Arbutus Software uit Canada. Arbutus biedt 'Direct Desktop Access and Control' aan voor organisaties die beschikken over z/OS, OS/390, MVS, of AS/400 platforms. Via de 'Arbutus Mainframe Server' of de 'Arbutus AS/400 Server' kunnen eindgebruikers direct toegang verkrijgen tot databronnen in het legacy-systeem. Gewoon vanaf hun laptop of desktop, rechtstreeks vanuit de analysesoftware 'Analyzer' en zonder tussenkomst van de IT-afdeling.

Het opzetten van oplossingen voor Continuous Auditing en Monitoring kan een behoorlijke uitdaging zijn. Onze ervaring is dat beginnen met kleine stapjes om ervaring op te doen, om daarna uit te bouwen tot meer veelomvattende toepassingen het beste werkt. Essentieel is daarbij dat de eindgebruikers (in dit geval auditors, controllers en mensen uit de business) zeer nauw moeten worden betrokken bij het opzetten van data-analysetoepassingen. Zij moeten kunnen experimenteren in een veilige omgeving. Tegelijkertijd zal aan alle eisen van controleerbaarheid (audit trail) moeten worden voldaan. De auditsoftware van Arbutus biedt deze mogelijkheid al meer dan 25 jaar.

Contact

Neem contact op met Wil Peters RE RA als u meer wilt weten of Arbutus Software voor het ontsluiten van uw legacy-systemen