Dit artikel opent met de trends en ontwikkelingen die leiden tot steeds meer geautomatiseerde controles. Deze trends en ontwikkelingen worden verder uitgediept in de daaropvolgende paragraaf, waarin controletransformatie, controlerationalisatie en de risicoanalyse worden bezien vanuit de accountant. Een groot deel van dit artikel is gewijd aan de verschillende soorten applicatiecontroles en het testen hiervan, aangevuld met implicaties voor de accountant en de eventueel noodzakelijke aanvullende tests voor het verkrijgen van additionele assurance.

Trends en ontwikkelingen

(SOx) compliance heeft de aandacht voor geautomatiseerde controles in de applicaties versterkt. Om compliance structureel te integreren in de organisatie en het risico op fouten in de financiële verslaglegging te voorkomen, is het efficiënter om geautomatiseerde controles (lees beheersingsmaatregelen) binnen de bedrijfsprocessen te verankeren zodat de controles meer en meer één geïntegreerd geheel worden met de systemen en dus de processen. Deze transitie van manuele detectieve controles naar geautomatiseerde preventieve controles, ook wel controletransformatie genoemd, maakt dat de controles effectiever, efficiënter, minder in aantal en dus goedkoper kunnen worden uitgevoerd. Bijkomend voordeel is dat bij een effectieve implementatie op basis van geautomatiseerde controles continue monitoring plaats kan vinden van de werking van de controles. Gevolg is dat governance en compliance steeds meer worden samengevoegd met de bedrijfprocessen. De genoemde ontwikkelingen leiden ertoe dat de auditor bij zijn werkzaamheden steeds vaker in aanraking komt met geautomatiseerde beheersingsmaatregelen (lees applicatiecontroles) waarop wordt gesteund. Hoe kunnen deze controles nu het meest efficiënt en effectief worden getest? Dit artikel biedt een handreiking voor de auditor bij het testen van de verschillende soorten applicatiecontroles.

Inleiding

Als onderdeel van de werkzaamheden in het kader van de jaarrekeningcontrole zien we dat ter ondersteuning van deze werkzaamheden bij veel klanten nog altijd de nadruk op de algemene IT-beheersingsmaatregelen (verder ITGC) ligt. Diverse (internationale) templates zijn voor ITGC opgezet, die zelfs verplicht in het controledossier dienen te worden opgenomen. Inzake het testen van applicatiecontroles is er echter minder guidance voorhanden. In een kleine enquête gehouden onder IT-auditors bleek dat slechts een beperkt aantal van hen daadwerkelijk meerdere soorten applicatieve controles test of heeft getest. Dit is opmerkelijk omdat het testen van applicatiecontroles door ontwikkelingen binnen het vakgebied, SOx en de toegenomen beheersing van ICT door ondernemingen een steeds belangrijker rol inneemt in de accountantscontrole. Wat is noodzakelijk om de documentatie en het testen van applicatiecontroles te verbeteren?

Bij de uitvoering en documentatie van het testwerk dient een goede beschrijving van de controle-informatie (beschrijving van de opzet van de controle, categorie van de controle, verantwoordelijk personeel voor het testen van de controle, doel van de controle) aanwezig te zijn. De vastlegging van het feitelijk testen van de applicatiecontroles in het kader van Test of Design / Walkthrough en Test of Effectiveness dient naast de uitgevoerde procedures tevens de resultaten, evaluatie en conclusie te bevatten. Vaak gebeurt het dat bij grote opdrachten meerdere teams werken, waarbij de applicatiecontroles worden getest op basis van de individuele kennis van de auditors en de vastlegging daarvan zeer divers is.

Standaardisatie van testmethode en documentatie is het middel om de kwaliteit van het testen en daaraan gekoppeld de vastlegging ervan te verbeteren en aldus de accountant te ondersteunen bij het vaststellen van het adequaat functioneren van de administratieve organisatie en interne beheersing.

Het artikel zal achtereenvolgens ingaan op de achterliggende gedachte en voordelen bij het meer en meer gebruikmaken van geautomatiseerde beheersingsmaatregelen, de verschillende soorten die we daarin onderkennen, het testen van de verschillende soorten en een korte handreiking betreffende de interpretatie van de resultaten.

Controletransformatie, controlerationalisatie en de risicoanalyse bezien vanuit de accountant

De overgang naar meer geautomatiseerde beheersingsmaatregelen is ingegeven vanuit diverse trends uit de business. In deze paragraaf zal kort op een aantal van deze trends, namelijk de controletransformatie, de controlerationalisatie en de risicoaanpak, worden ingegaan.

Controletransformatie, -rationalisatie en de Business Case

De controletransformatie van detectieve manuele controles naar preventieve applicatiecontroles is ingegeven door de wens om de hoge interne en externe inspanning bij en dus kosten die gepaard gaan met het testen van detectieve manuele beheersingsmaatregelen te verlagen. Preventieve maatregelen hebben een sterkere invloed op de beheersing (geen correctieve acties nodig) en preventieve applicatiecontroles hoeven slechts éénmaal getest te worden om het bestaan en de werking van de controles aan te tonen en daarmee te voldoen aan de richtlijn van de externe auditor, mits er sprake is van adequate algemene computercontroles. Zowel de wens om de efficiency van de bedrijfsprocessen te verbeteren als de behoefte van organisaties aan het reduceren van kosten en energie om te voldoen aan alle wet- en regelgeving, leidt ertoe dat er een verplaatsing ontstaat van manueel detectieve controles naar automatische preventieve controles ([Brou06]).

Naast de al genoemde controletransformatie zien we ook een sterke wens om niet alleen de aard van de controle te wijzigen, maar ook om het aantal controles te beperken. Deze trend wordt ook wel controlerationalisatie genoemd. De controlerationalisatie is ingestoken vanuit de bedrijven om nogmaals kritisch naar hun bedrijfsprocessen te kijken en niet alleen de kwaliteit (controletransformatie), maar ook de kwantiteit van de belangrijkste controles (controlerationalisatie) aan te pakken. Het rationaliseren van de controles wordt tevens ondersteund vanuit de transformatiegedachte waarbij meerdere manuele controles worden vervangen door bijvoorbeeld één applicatiecontrole. Een voorbeeld hiervan is een aantal klanten waar een project met de naam ‘Kill Excel’ is gestart om Excel te verbannen en alle calculaties, reconciliaties niet extracomptabel maar binnen de systemen te laten uitvoeren. Bijkomend voordeel is dat de beheersingsmaatregelen voor end user computing hierdoor vervallen, hetgeen dus tot minder beheersingsmaatregelen leidt.

Waartoe de controletransformatie en -rationalisatie uiteindelijk kan leiden, wordt kort uiteengezet in de ‘Business Case voor Application Controls’ ([ITGI06]). Als indicatief voorbeeld is een organisatie genomen die vijfhonderd controles voor SOx dient te implementeren waarbij een vergelijking tussen een manuele en applicatiecontroleaanpak is gemaakt.

C-2007-3-Perk-t1

Tabel 1. Vergelijking van een applicatieve controleaanpak met een manuele controleaanpak ([ITGI06]).

Ondanks dat het documenteren van applicatiecontroles meer tijd in beslag kan nemen vanwege de complexiteit van de omgeving, bedraagt de besparing in het eerste jaar toch al 1.250 uur (total effort manual – total effort automated). Indien we ‘sustained compliance’ beschouwen over een periode van vijf jaar bedraagt de besparing al 10.250 uur (4 × 2.250, het jaarlijkse verschil in total effort to test + 1.250 het verschil in total effort van het eerste jaar). De besparing over vijf jaar bezien bedraagt dan 13.000 (total effort manual) – 2.750 (total effort automated) is 10.250 oftewel 79% van 13.000. Gezien het feit dat applicatiecontroles over het algemeen gesproken betrouwbaarder kunnen zijn in hun werking, zijn de voordelen, zeker ook vanuit de risicogedachte nog groter, aangezien indien de betrouwbaarheid van de werking van de controle toeneemt, het risico op het niet werken van de controle afneemt.

Risicogedachte

De controletransformatie- en -rationalisatie-initiatieven van ondernemingen dienen beide vanuit een risicobenadering te worden geëvalueerd door de accountant. Belangrijkste doel van de accountant is het verlagen van het accountantscontrolerisico, aangezien het uiteindelijke doel het verstrekken van een (goedkeurende) verklaring bij de jaarrekening is (ook al zijn compliance en kostenreductie in de praktijk ook sterke drijfveren).

Met het toepassen van de risicoanalyse als controlebenadering komt de accountant tot een efficiënt en effectief ontworpen geheel van controlewerkzaamheden. De aard en omvang van deze controlewerkzaamheden is de resultante van de inschatting van de kans op fouten en omissies in de jaarrekening. De inschatting ten aanzien van fouten en omissies in de jaarrekening valt uiteen in een kans op onvolkomenheden voor en na de corrigerende werking van de interne beheersingsmaatregelen. Het eerste wordt aangeduid als inherent risico (IR)[Definitie inherent risico: het risico dat materiële onjuistheden in de verantwoording optreden, afgezien van het effect van bestaande interne beheersingssystemen.], het tweede als het internecontrolerisico (ICR)[Definitie internecontrolerisico: het risico dat materiële onjuistheden niet of niet tijdig door de interne beheersingsmaatregelen worden voorkomen, dan wel niet of niet tijdig worden gesignaleerd en gecorrigeerd.].

Uitgaande van het door de accountant aanvaarde accountantscontrolerisico[Definitie accountantscontrolerisico: het risico dat de accountant, ondanks zorgvuldige uitvoering van zijn controleprogramma, onbewust een onjuiste verklaring afgeeft bij een verantwoording die onvolkomenheden van materieel belang bevat.], wordt op basis van het ingeschatte inherente risico en het internecontrolerisico het toegestane ontdekkingsrisico[Definitie ontdekkingsrisico: het risico dat materiële onjuistheden noch door de interne beheersing noch door de accountant worden gesignaleerd en gecorrigeerd.] bepaald en worden de uit te voeren gegevensgerichte controlewerkzaamheden geïdentificeerd.

De mate van automatisering heeft gevolgen voor de concrete invulling van de controlewerkzaamheden. Een geautomatiseerde controleomgeving heeft namelijk een belangrijke invloed op de inschatting van de hiervoor vermelde risico’s. De accountant zal het uitvoeren van de controlewerkzaamheden aanpassen aan de mate waarin de controleomgeving is geautomatiseerd en rekening houden met de daarin opgenomen (geautomatiseerde) procedures en beheersingsmaatregelen.

Meer en meer gebruik van geautomatiseerde controles kan resulteren in een verlaging van het internecontrolerisico en het accountantscontrolerisico. Het woord ‘kan’ is hier gekozen aangezien de voorwaarde is dat de controle goed geprogrammeerd is en de ITGC ten aanzien van toegangscontrole en wijzigingsbeheer op orde zijn. De betrouwbaarheid en de effectiviteit van de controle moeten dan ook vastgesteld zijn. Een betrouwbare geprogrammeerde controle is veelal efficiënter en vereist minder interne en externe inspanning. Geautomatiseerde controles zijn er in verschillende soorten en de verschijningsvorm kan per applicatie heel verschillend zijn. Toch blijken in de kern de applicatiecontroles veel gelijkenis met elkaar te vertonen en zijn zij in een beperkt aantal basistypen in te delen waarbij ook voor het testen van dezelfde technieken gebruik kan worden gemaakt. Voor we het testen van de applicatiecontroles gaan behandelen zetten we eerst de verschillende soorten en hun kenmerken uiteen.

Soorten en testen van applicatiecontroles

Soorten applicatiecontroles

Kenmerk van een geautomatiseerde controle (applicatiecontrole) is dat de controle in de programmatuur is vastgelegd zodat ze consequent wordt uitgevoerd. In essentie betreft het vaak het berekenen en/of vergelijken van gegevens ([Fijn06]). Hoewel we vaak onderscheid maken tussen manuele controles en applicatiecontroles is er nog een ‘tussen’categorie, de IT Dependent Manual Control, ofwel de IT-afhankelijke manuele controles, die karaktereigenschappen hebben van zowel de handmatige controle als de applicatiecontrole. Om de applicatiecontroles en IT-afhankelijke manuele controles in het IT-controleraamwerk te plaatsen verwijzen we naar figuur 1. Een IT-afhankelijke manuele controle is een manuele controle die enerzijds bestaat uit een puur handmatige handeling en anderzijds uit een geautomatiseerde handeling die leidt tot een systeemuiting, bijvoorbeeld uitvoer van één of meer applicatie(s) op een lijst of scherm. Of de IT-component getest moet worden, het is ten slotte primair een manuele controle, wordt bepaald door de afhankelijkheid van de manuele controle van de (geautomatiseerde) systeemuiting. Figuur 2 kan daarbij als hulpmiddel dienen om de mate van afhankelijkheid van IT te evalueren.

C-2007-3-Perk-1

Figuur 1. IT-controleraamwerk. [Klik hier voor grotere afbeelding]

C-2007-3-Perk-2

Figuur 2. Bepalen van de afhankelijkheid van de manuele controle van de IT-controle.

De afhankelijkheid wordt bepaald aan de hand van een viertal vragen:

Heeft de systeemuiting een signalerende werking (verschillenlijsten, betalingen boven een bepaalde grens, bedragen boven een limiet, etc.) of is het rapport slechts een presentatie van gegevens uit een systeem?
In hoeverre steunt de medewerker op de systeemuiting, is deze leidend bij het uitvoeren van de controle?
Betreft het een een-op-een presentatie van gegevens of vinden er bewerkingen op de data plaats?
Zijn er problemen bekend inzake de juistheid en volledigheid van de controle?

Het gaat om het totaalbeeld en de mate van afhankelijkheid wordt bepaald op basis van professional judgment. Bij weinig afhankelijkheid zal alleen het handmatige deel worden beoordeeld, bij veel afhankelijkheid zal ook de betrouwbaarheid van het geautomatiseerde deel moeten worden beoordeeld; je kunt ook zeggen dat bij grote afhankelijkheid de controle kan worden gesplitst in een manuele controle en een applicatiecontrole ([Gils06]). In dit artikel worden de volgende basistypen applicatiecontroles onderscheiden die in de subparagraaf ‘Testen van applicatiecontroles’ nader zullen worden toegelicht:

Toegangscontroles: controles die waarborgen dat alleen die personen toegang krijgen die vanuit hun functie daartoe zijn geautoriseerd (exclusiviteit).
Applicatieconfiguratiecontroles: controles die worden geëffectueerd door middel van het gebruik van instellingen, parameters en tabellen en daarmee de betrouwbaarheid van transacties waarborgen.
Fouten- en uitzonderingsrapportages: rapportages die afwijkingen ten opzichte van een vooraf gedefinieerde norm signaleren en daarmee de juistheid van transacties waarborgen.
Geprogrammeerde controles: controles, opgenomen in de programmatuur, die onder andere de invoer valideren op een vooraf gedefinieerde norm en de integriteit en controleerbaarheid van transacties waarborgen.
Aansluiting/verband-controles: controles die de volledigheid van een transactie/verwerking waarborgen;
Interfaces: controles die een juiste, tijdige en volledige overdracht van gegevens waarborgen.

Continue werking van applicatiecontroles

Naast het constateren van de feitelijke werking van de applicatiecontrole op het moment van testen wil de accountant ook een uitspraak over de continue werking van de applicatiecontrole, zodat de accountant daadwerkelijk kan steunen op de applicatiecontrole als interne beheersingsmaatregel. Bij de uitvoering van een integrated audit (SOx 404 en Financial Statement) is het verplicht om een systeemgerichte controleaanpak te hanteren. De algemene IT-beheersingsmaatregelen zijn derhalve onderwerp van onderzoek zodra de accountant steunt op beheersingsmaatregelen uitgevoerd door een applicatie en/of zodra de accountant gebruikmaakt van rapporten uit een IT-applicatie. Als blijkt dat de werking van een relevant deel van de ITGC ontoereikend is (‘ineffective’), dan kan niet zomaar worden aangenomen dat de applicatiecontrole effectief werkt, ondanks dat deze tijdens een acceptatietest geaccordeerd is en getest. Bij ontoereikende ITGC kunnen de controles bewust of onbewust zonder te testen worden veranderd.

Redelijke zekerheid van de continue werking van applicatiecontroles dient te worden verkregen door de ITGC te testen. Ten aanzien van het effectief werken van geautomatiseerde controles ligt bij ITGC de focus op:

Change management: kunnen zich wijzigingen in de applicatie voordoen die een impact hebben op de applicatiecontrole en is na de wijziging de applicatiecontrole getest op een juiste werking.
Autorisaties: kunnen medewerkers de gewenste functiescheidingen omzeilen.
Datawijzigingen: kunnen er directe datawijzigingen op de database worden uitgevoerd die niet volgens de normale processen lopen en waarbij de beheersingsmaatregelen worden omzeild?

Hoe evalueren we de ITGC? Tekortkomingen in de ITGC (kunnen) leiden tot aandachtspunten in de management letter, maar leiden niet direct tot misstatements. Belangrijk hierbij is vooral de relatie tot de applicatiecontroles. Een ineffectieve applicatiecontrole kan direct leiden tot een misstatement. Kan de accountant nog wel steunen op de applicatiecontrole bij onvoldoende beheersing van ITGC? Het antwoord is in principe nee. In de praktijk zien we echter dat juist door overleg tussen de accountant en de IT Advisory-medewerker (of beoordelaar van ITGC) de daadwerkelijke risico’s kunnen worden vastgesteld en gezamenlijk alternatieven worden bedacht om deze risico’s te evalueren. Essentieel hierbij is om vast te stellen of een theoretische mogelijkheid van het zich voordoen van het risico op basis van het ontbreken van de continue werking van de beheersingsmaatregel zich ook daadwerkelijk heeft voorgedaan.

Testen van applicatiecontroles

Het testen van applicatiecontroles kan zeer verschillend zijn en is afhankelijk van de aard, timing en mate van testen. Tests kunnen worden uitgevoerd door het gebruik van de onderstaande testtechnieken:

trial and error (falsificatie), bij voorkeur in de testomgeving (gelijk aan de productie) met testscripts;
verificatie van systeeminstellingen, tabellen en parameters (configuraties);
evaluatie van Gebruikers Acceptatie Test (GAT) indien deze in het jaar van de controle heeft plaatsgevonden of het zelf uitvoeren van een gebruikersacceptatietest (in de testomgeving);
evaluatie van autorisatielijsten;
re-performance van de beheersingsmaatregel, reconciliaties door het evalueren van data, bijvoorbeeld met behulp van auditsoftware zoals IDEA (specifiek voor pakket of generiek).

In de praktijk blijkt dat ten aanzien van de invulling van het testen van applicatiecontroles nog een verbetering dient te worden aangebracht ([Beug06]). Een handreiking daartoe zullen we in de nu volgende subparagrafen geven. Allereerst gaan we wat dieper in op de hierboven genoemde testtechnieken en vervolgens gebruiken we deze testtechnieken om de verschillende soorten applicatiecontroles te testen.

De testtechnieken nader bekeken

Falsificatie

Het testen door middel van trial and error (ook wel falsificatie genoemd) is vooral te gebruiken voor validatiecontroles, zoals geprogrammeerde controles, toegangscontroles en configuratie-instellingen, dus daar waar een norm wordt vergeleken met een invoerwaarde van de gebruiker. Een veelvoorkomende key control bij klanten is de functiescheiding tussen de invoer en goedkeuring van een transactie. De gebruiker die een transactie (betalingsverzoek) heeft ingevoerd mag niet tevens de betaling goedkeuren. Deze controle dient bij voorkeur in een aan de productieomgeving gelijk zijnde testomgeving te worden getest met betalingsvoorstellen. Let wel:

Betreft het een controle op basis van een toegekende autorisatierol, controleer dan of er geen medewerkers zijn die beide rollen (invoer en acceptatie) hebben, of zichzelf deze rol kunnen toekennen.
Betreft het een controle op user-id, dus onafhankelijk van het profiel, evalueer dan of er geen gebruikers zijn met meerdere user-ids.

Een ander voorbeeld is het testen van een kredietlimiet, dus het testen van een goede werking van de geprogrammeerde limiet (‘checkt het systeem daadwerkelijk altijd op kredietlimieten’). Hierbij kan men gezamenlijk met de gebruiker een limiet opvoeren die buiten diens rechten ligt en vervolgens testen of het systeem blokkeert en de gebruiker een melding geeft.

Verificatie van systeeminstellingen

Applicaties maken veelal gebruik van tabellen (ook wel stuurtabellen genoemd) en instellingen. Een voorbeeld dat we in de praktijk veelvuldig zien zijn productafhankelijke parameters. We zien deze bijvoorbeeld bij leasemaatschappijen, krediet/hypotheekverstrekkers maar ook bij groothandelsbedrijven. Het testen van deze controles is omvangrijk, aangezien er gewoonweg veel mogelijkheden zijn, en vooraf dient dan ook te worden bepaald (in samenspraak met de accountant) welke controles dienen te worden getest. Deze controles kunnen jaarlijks rouleren. Van belang is hierbij tevens wie de ‘eigenaar’ van de instellingen is en welke procedure wordt gehanteerd voor wijzigingen in de instellingen (ITGC). Let wel! Indien het beveiligingsinstellingen betreft dient de security officer te worden geconsulteerd. Onderstaand een aantal voorbeelden van verificatie van instellingen ter indicatie. Het betreft de evaluatie van:

de limietbedragen in een tabel per functieniveau of per rol (dus: klopt de tabel met limieten per functieniveau of rol) of zelfs per product (dus: geldt de tabel voor alle producten);
de renteberekening (gebruikt het systeem de juiste rente bij het juiste product);
het kredietadvies door het systeem op basis van de gegevens van de kredietaanvrager (klopt het kredietadvies met de interne richtlijnen en de ingestelde parameters);
de logging (logt het systeem de acties van een gebruiker, staat de logging ‘aan’ en is deze logging leesbaar);
de matching van twee bestanden (koppelt het systeem bijvoorbeeld de juiste transacties aan elkaar en boekt het systeem beneden een ingestelde waarde het verschil automatisch naar de juiste rekening).

Evaluatie van autorisatielijsten

Autorisatielijsten in systemen kunnen variëren van makkelijk interpreteerbaar tot totaal onleesbaar. In het laatste geval is aanvullende documentatie van de opzet essentieel. Let erop dat de lijsten uit de productieomgeving komen, compleet zijn (dus inclusief de IT-organisatie) en recent. Naast de evaluatie van de autorisatielijst binnen één systeem dient er, indien er meerdere systemen zijn, ook een evaluatie over de systemen heen te zijn. Een bekend voorbeeld hierbij is de scheiding tussen frontoffice- en backofficesystemen. Binnen één applicatie kan de functiescheiding zijn gewaarborgd, echter indien de autorisaties van twee systemen worden gecombineerd niet. Mogelijke evaluaties van autorisatielijsten zijn:

een goede koppeling van personen aan de rollen (dus: bevat de autorisatietabel de goede personen per functieniveau of rol);
essentiële functiescheiding tussen vooraf met de accountant opgestelde kritieke rollen en functies, zoals aanmaken leverancier, invoeren facturen en autoriseren uitbetaling van facturen.

Voor een efficiënte en effectieve controle kan, zeker indien het grote bestanden en een combinatie van veel applicaties betreft, gebruik worden gemaakt van bestandsanalysetools zoals IDEA. Door middel van IDEA kunnen grote bestanden worden ingelezen en geanalyseerd. Tevens kan, door het bouwen van een script, de controle eenvoudig periodiek worden herhaald!

Gebruikersacceptatietest

Veel klanten incorporeren het testen van applicatiecontroles (bijvoorbeeld relevant in het kader van SOx 404) in gebruikersacceptatietests na het installeren van een nieuwe release en/of het in productie nemen van een wijziging. De auditor kan door een review uit te voeren op de hierbij vastgelegde documentatie zich een oordeel vormen van de controleomgeving en de werking van de controle. Let wel, in een aantal gevallen kan het noodzakelijk zijn dat de auditor zelf testwaarnemingen uitvoert dan wel bijwoont. In dat geval kan de auditor gezamenlijk met de klant de gebruikersacceptatietest uitvoeren.

Re-performance van de beheersingsmaatregel, reconciliatie

Indien grote hoeveelheden data nodig zijn voor het re-performen van een beheersingsmaatregel en/of het uitvoeren van een aansluiting kan de auditor gebruikmaken van hulpmiddelen. Computer Assisted Audit Techniques (verder CAAT’s) zijn manieren waarop de auditor de computer gebruikt in een IT-omgeving om audit evidence te verzamelen en evalueren. Voorbeelden van CAAT’s zijn Excel, een ingebouwde auditmodule, IDEA en ACL. Door het gebruik van de auditsoftware kan de auditor zeer gericht een beheersingsmaatregel controleren. Voorbeelden van het re-performen van controles zijn:

het matchen van gegevens uit twee bronbestanden ter controle op een juiste en volledige matching;
het zelf uitvoeren van een aansluiting op basis van bronbestanden ter controle op de reconciliatietools;
het evalueren van een logbestand om vast te stellen of de invoerder van een transactie in alle gevallen afweek van de medewerker die de transactie autoriseerde;
het evalueren van transacties boven een gestelde limiet in het systeem, waarbij indien het een gebruikerscontrole betreft de accountant gericht de transacties kan selecteren en kan controleren of de procedure hiervoor juist is gevolgd;
het evalueren of de situatie die zich theoretisch kan hebben voorgedaan door het ontbreken dan wel niet werken van een controle, zich ook daadwerkelijk heeft voorgedaan. Bijvoorbeeld het evalueren van een logbestand om vast te stellen of functiescheiding daadwerkelijk is doorbroken.

Het testen van een applicatiecontrole beperkt zich niet tot het gebruik van één van de mogelijke testtechnieken. Voor het testen en om de effectieve werking van een applicatiecontrole vast te stellen dienen vaak meerdere aspecten te worden bekeken. Zoals uit bovenstaande voorbeelden ook blijkt kan bijvoorbeeld het testen van de effectieve werking van een kredietlimiet worden uitgevoerd met behulp van een combinatie van falsificatie, een evaluatie van autorisatielijsten en een evaluatie van de configuratie-instellingen.

Het testen van de verschillende soorten applicatiecontroles

In de hiernavolgende tabellen doen wij een handreiking voor het documenteren en testen van de diverse applicatiecontroles. In de tabel ‘Testen applicatiecontroles’ hebben we per basistype applicatiecontrole de stappen voor het uitvoeren van de test en enkele voorbeelden/activiteiten per stap opgenomen. Als eerste stap voor het testen van een controle stellen we de SOLL-situatie vast als meetlat waartegen we testen en om vast te stellen of de controle in opzet aanwezig is. De tweede stap beschrijft het vaststellen van de IST-situatie om zodoende het bestaan van de controle aan te tonen. Idealiter willen we vervolgens SOLL en IST met elkaar vergelijken, echter in niet alle gevallen zal dit mogelijk zijn, en testen we de controle op werking door het gebruik van de eerdergenoemde testtechnieken. Indien de conclusie van de test is dat de controle effectief werkt en we kunnen steunen op de ITGC, zijn er geen verdere activiteiten nodig en wordt het risico door de beheersingsmaatregel afgedekt. Indien de controle niet aanwezig is of het risico niet volledig afdekt, heeft dit implicaties voor de accountant, aangezien er de mogelijkheid bestaat op een misstatement. De laatste actie is dan ook het in samenspraak met de accountant vaststellen van het daadwerkelijke risico (kans dat het ook plaatsvindt) en op basis van deze risicoanalyse het eventueel uitvoeren van additionele controlewerkzaamheden om zo alsnog het risico af te dekken. De voorbeelden zoals opgenomen in de tabellen zijn bedoeld ter indicatie en hebben niet de bedoeling om volledigheid na te streven.

Toegangscontrole

Logische toegangsbeveiliging is het meest gebruikte instrument om functiescheiding in applicaties af te dwingen. De kracht is afhankelijk van de kwaliteit van de programmatuur die de toegangsbeveiliging moet afdwingen, instellingen als wachtwoordlengte, etc. en natuurlijk de profielen die in de autorisatietabellen zijn opgenomen. De essentie van de autorisatiecontrole is dat het systeem per transactie vergelijkt of de gebruiker gerechtigd is om die transactie uit te voeren. Autorisatiecontroles zijn controles die zich richten op het waarborgen van de exclusiviteit van de transactie. Exclusiviteit refereert aan de beperking van de bevoegdheid en mogelijkheid tot het uitvoeren/wijzigen van transacties en/of uitvoeren van acties. In de tabel hebben we een splitsing gemaakt in Functiescheiding en Logische toegangsbeveiliging; alhoewel ze beide de toegangscontrole beslaan, worden ze apart getest en geëvalueerd.

C-2007-3-Perk-a

Functiescheiding. [Klik hier voor grotere afbeelding]

C-2007-3-Perk-b

Logische toegangsbeveiliging. [Klik hier voor grotere afbeelding]

Applicatieconfiguratiecontroles

Applicaties hebben veelal de mogelijkheid de werking van de procesgang te sturen met behulp van instellingen, parameters en tabellen. Samenvattend ook wel de configuratie (inrichting) van het systeem genoemd. Van belang is dat de parameters zodanige waarden bevatten dat de controledoelstellingen ten aanzien van de processen worden gehaald. Voorbeelden van interne richtlijnen en beleidsregels zijn:

het boekingsschema;
calculatieregels (interestcalculaties, voortijdige beëindiging vergoedingen);
signaleringen van overschrijdingen (bijvoorbeeld op limieten of kortingen);
instellingen die van toepassing zijn op de gehele applicatie (zoals geldigheidsduur van offertes, maximale limieten).

Configuratiecontroles, afhankelijk van de soorten instellingen, parameters en tabellen, zijn controles die zich richten op het waarborgen van de juistheid en volledigheid (betrouwbaarheid) van de transacties. Veelal richten deze controles zich ook op bedrijfsrisico’s naast de financial statement risico’s.

C-2007-3-Perk-c

Configuratie. [Klik hier voor grotere afbeelding]

Fouten- en uitzonderingsrapportages

Fouten- en uitzonderingsrapportages zijn controles die zich richten op het waarborgen van de juistheid van de transacties. Fouten- en uitzonderingsrapportages zijn nauw gerelateerd aan de configuratiecontroles. Het niet voldoen aan interne richtlijnen, beleidsregels en/of geprogrammeerde controles dient te worden gesignaleerd in de applicatie. Ter ondersteuning van deze signalering worden controlerapporten, uitzonderingsrapporten gedefinieerd. Ter illustratie enkele voorbeelden van dergelijke rapportages:

een afwijking van een interne richtlijn (een lijst met hypotheken met 0% rente);
een batchcontrole (een lijst met facturen zonder factuuradres);
verschillenlijst (verschillen tussen de investeringswaarde en de inkoopfactuur);
foutieve aanlogpogingen (lijst met medewerkers die meer dan drie keer een fout wachtwoord hebben ingegeven).

Ter identificatie van deze fouten en uitzonderingen zijn periodieke rapportages opgesteld of ingeregeld in een job scheduler die deze fouten en uitzonderingen aan een gebruiker kan rapporteren (IT dependent manual controls). Fouten- en uitzonderingsrapportages worden ook vaak gehanteerd als detectiecontrole, indien preventieve (geprogrammeerde) controles niet mogelijk blijken.

C-2007-3-Perk-d

Fouten- en uitzonderingsrapportages. [Klik hier voor grotere afbeelding]

Geprogrammeerde controles

Geprogrammeerde controles zijn applicatiecontroles die zich richten op de kwaliteitsaspecten integriteit (juistheid, volledigheid, tijdigheid) en controleerbaarheid van de bewerkte gegevens in een bepaald proces. De controles zijn gericht op het vergelijken van een gegeven met een norm en worden bij afwijking gevolgd door een signalering aan de gebruiker. Voorbeelden van geprogrammeerde controles zijn:

formules voor berekeningen (zoals kredietlimiet, berekenen annuïteit);
functiescheiding (afdwingen van vierogenprincipe);
workflow;
minimaal noodzakelijke data-invoer;
automatische boekingen;
(totaal-)verbandcontrole;
logging.

De geprogrammeerde controles zijn gedefinieerd in de programmacode en kunnen alleen door een wijziging in de programmatuur worden aangepast. Zonder wijziging blijft de geprogrammeerde controle werken. Dit is tevens het onderscheid met de configuratie-instellingen, waarbij de instellingen en dus de werking van de controle zonder wijziging van programmatuur kunnen worden gewijzigd door het ‘eenvoudig’ wijzigen van een instelling/parameter. Geprogrammeerde controles kunnen preventief, detectief of correctief van aard zijn. Bij afwijkingen van de norm dient de gebruiker een signalering te krijgen.

C-2007-3-Perk-e

Geprogrammeerde controles. [Klik hier voor grotere afbeelding]

Aansluiting/verband-controles

Aansluiting/verband-controles zijn controles die zich richten op het kwaliteitsaspect volledigheid. Aansluitingen (reconciliaties) worden veelal uitgevoerd als controle op de goede (ver)werking van één applicatie of ter controle op de relatie met andere applicaties. Aansluitingen hebben tot doel (periodiek) verschillen te identificeren waarna gebruikers de eventuele verschillen/fouten adequaat dienen af te handelen. De aansluitingen zijn gericht op het aansluiten van de gegevens binnen een systeem of tussen twee of meer systemen. De aansluiting kan worden uitgevoerd aan de hand van een recordtelling (telling van het aantal records), een batchtotaal (telling dat een bepaalde waarde voorkomt), een hashtotaal (optelling van een opzichzelfstaande betekenisloze waarde) of een controletotaal (optelling van waarden). Aansluitingen kunnen zowel automatisch, gescheduled of op verzoek van de gebruiker worden uitgevoerd per gewenste periodiciteit (per uur, dag, week, maand, jaar).

Voorbeelden van aansluitingscontroles zijn:

aansluiting tussen contractadministratie en grootboek;
aantal assets in contractadministratie versus financiële administratie;
waarde van de ingeboekte facturen versus de waarde van de inkooporders (saldo tussenrekeningen);
leveranciersdetails in systeem X gelijk aan leveranciersdetails in systeem Y.

De gerealiseerde aansluitingen binnen de applicatie of tussen de applicaties kunnen op verschillende wijze zichtbaar worden gemaakt. De realisatie van een aansluiting kan direct zichtbaar zijn in het systeem of aan de hand van rapportages. In het laatste geval kunnen de aansluitingsrapportages op de volgende wijze worden verkregen:

direct uit het systeem (in het systeem geprogrammeerde rapportage);
met behulp van een rapporteringstool;
extracomptabel door het samenvoegen van verschillende databronnen in bijvoorbeeld een Excel-lijst.

Het gebruik van rapportages (en tools) komt veel voor, waarbij de aansluitingen veelal IT-afhankelijke gebruikerscontroles zijn. IT-afhankelijk duidt op het aspect dat de gebruiker weliswaar de controle uitvoert, echter hiervoor steunt op de juiste opzet, bestaan en werking van de gedefinieerde aansluiting/rapportage.

C-2007-3-Perk-f

Aansluiting/verband-controles. [Klik hier voor grotere afbeelding]

Interfaces

Interfacecontroles zijn controles die zich richten op de kwaliteitsaspecten integriteit (juistheid, volledigheid, tijdigheid). Een interface is een (automatische) overdracht van gegevens tussen twee of meer applicaties of tussen modules binnen één applicatie. Dit kunnen onder andere financiële, operationele en betalingsgegevens zijn. Voor het overdragen van de gegevens bestaan ruwweg de volgende drie mogelijkheden:

manuele overdracht: applicatie X produceert een lijst die manueel wordt ingevoerd in applicatie Y;
volledig automatische overdracht (online, real-time): applicatie Y gebruikt direct data van systeem X en/of vice versa;
overdracht via up-/download van gegevens: applicatie X genereert een file, die wordt ingelezen in applicatie Y.

Onafhankelijk van het soort interface gaat het in alle gevallen om een overdracht van gegevens tussen twee of meer applicaties of tussen modules binnen één applicatie. Voorbeelden van interfacecontroles zijn:

hashtotalen; voor het verkrijgen van zekerheid omtrent de juistheid en volledigheid van de invoer en uitvoer door middel van controlevergelijkingen. Bij een hashtotaal kan de controletelling gebaseerd zijn op bijvoorbeeld het optellen van alle rekeningnummers;
ontvangst- en bevestigingsberichten.

C-2007-3-Perk-g

Interfaces. [Klik hier voor grotere afbeelding]

Samenvatting

De beschreven trends alsmede ontwikkelingen als ‘sustainable compliance’ en (IT) governance maken dat steeds meer applicatiecontroles worden opgenomen in de bedrijfsprocessen. Hierdoor zal zowel de financial auditor als de IT-auditor in toenemende mate met applicatie- en IT-afhankelijke manuele controles te maken krijgen. De aard en opzet van de controle is sterk afhankelijk van de applicatie en het soort applicatiecontrole. De zes basistypen applicatiecontroles die kunnen worden onderscheiden zijn in dit artikel beschreven. Hierbij hebben we getracht een handreiking te leveren voor zowel de IT- als de financial auditor voor wat betreft het testen van de applicatiecontroles, de implicaties voor de accountant en de eventueel noodzakelijke aanvullende tests.

Literatuur

[Beug06] Mw. B. Beugelaar RE RA en drs. C.J. Visch RA, Integrated audit: een uitdaging voor de auditor?, Compact 2006/2.

[Brou06] Drs. P.P.M.G.G. Brouwers RE RA, drs. M.A.P. op het Veld RE en drs. ing. A.T.J. Lissone, Tool-based monitoring en auditing van ERP-systemen, van hebbeding naar noodzaak, Compact 2006/2.

[Fijn06] R. Fijneman, E. Roos Lindgreen en K.H. Ho, IT-auditing en de praktijk, juli 2006.

[Gils06] H. van Gils, IT controls KPC, juli 2006.

[ITGI06] IT Governance Institute, The Role of IT in the Design and Implementation of Internal Control Over Financial Reporting 2nd Edition, September 2006.

[Jenk01] B. Jenkins, P. Cooke en P. Quest, An Audit Approach to Computers, maart 1992.

Accountant en IT-auditor – Samenwerking in de praktijk

Accountants en IT-auditors hebben al vele jaren ervaring in de samenwerking bij jaarrekeningcontroleopdrachten. Door de steeds sterkere afhankelijkheid van bedrijven van IT, is het in het laatste decennium een must en vanzelfsprekend om IT-auditkennis in het auditteam te integreren. Het artikel handelt over praktijkervaringen van de auteurs. Mede naar aanleiding van een tweetal specifieke praktijkvoorbeelden wordt ingegaan op de taken en verantwoordelijkheden van een IT-auditor in een jaarrekeningcontroleopdracht, wordt een aantal specifieke succesfactoren beschreven en worden suggesties gedaan voor optimalisatie van samenwerkingsprocessen.

Inleiding

Integratie van IT-auditors in accountantsteams is vanzelfsprekend geworden in de huidige praktijk van jaarrekeningcontroles. Nu bedrijven steeds afhankelijker van IT zijn geworden, is het voor accountants onontkoombaar om de IT-auditkennis in het team te integreren. We schrijven over onze ervaringen in het algemeen en specifiek in een tweetal praktijkvoorbeelden, over de succesfactoren en over verdere stappen voor optimalisatie van de samenwerking. Om de kaders te stellen starten we met een paragraaf over de aanpak van een jaarrekeningcontrole en de rol van een IT-auditor daarin.

De rol van IT in de controle

Deze paragraaf gaat ter inleiding in op de verschillende fasen van het controleproces van een jaarrekeningcontroleopdracht (hierna: het controleproces) en de rol die de IT-auditor hierin (in het algemeen) speelt.

Het controleproces

Het controleproces onderscheidt (doorgaans) de volgende fasen:

Planning;
Evalueren van opzet, bestaan en werking van controls (‘control evaluation’);
Gegevensgerichte werkzaamheden (‘substantive procedures’); en
Conclusie & Afronding.

Hierna volgt een korte toelichting per fase.

Planning

De planningsfase heeft als doel om via een risicoanalyse de controlestrategie en controleaanpak te bepalen. In deze fase wordt de kwalitatieve basis gelegd voor de overige fasen van de controle.

Control evaluation

In deze fase vindt een evaluatie van opzet, bestaan en werking van de beheersingsmaatregelen (‘controls’) plaats. Deze stelt de accountant in staat de kans op een significante fout in de jaarrekening (‘Risk of Significant Misstatement’ (RoSM) in te schatten.

Substantive procedures

De uitkomsten van de werkzaamheden in de vorige fasen bepalen de aard en reikwijdte van de gegevensgerichte werkzaamheden (zoals cijferbeoordeling, verbandscontroles en steekproeven), waarbij gegevensgerichte werkzaamheden worden uitgevoerd bij een significant risico, als de RoSM op ‘hoog’ wordt gesteld of als deze werkwijze efficiënter en/of effectiever is dan het uitvoeren van systeemgerichte werkzaamheden.

Conclusie & Afronding

De doelstelling van deze fase is het afronden van de controle en het vormen van een oordeel ten aanzien van de jaarrekening.

De rol van IT-auditor

In elke fase van het controleproces kan de IT-auditor een belangrijke rol spelen.

Rol in de planningsfase

In de planningsfase heeft de IT-auditor een rol bij het verkrijgen van het overzicht van ‘Key IT applications’ en bijbehorende infrastructuur en bij het evalueren van de opzet en het bestaan van IT-gerelateerde Entity Level Controls.

Entity Level Controls (ELC) zijn organisatiebrede controls en liggen op een hoger niveau dan Assertion Level Controls. Bij de beoordeling van de ELC wordt de beheersingsstructuur van een organisatie beoordeeld, zoals de algehele controleomgeving (‘tone at the top’), de organisatiebrede risicoanalyse door het management en de informatie- en communicatielijnen binnen de organisatie.

Het vaststellen van de opzet en het bestaan van de ELC bij een organisatie kan en wordt veelal zelfstandig door een accountant uitgevoerd.

Rol in de fase van control evaluation

In de fase van control evaluation richt de IT-auditor zich met name op de Assertion Level Controls en IT General Controls.

Assertion Level Controls zijn controls die bepaalde beweringen (bijvoorbeeld volledigheid, juistheid, bestaan en tijdigheid) over jaarrekeningposten ondersteunen en die in de organisatieprocessen zijn verankerd. Een control kan handmatig, IT-afhankelijk of volledig geautomatiseerd worden uitgevoerd.

Teneinde zekerheid te verkrijgen over de werking van de IT-afhankelijke of geautomatiseerde controls, is het veelal de rol van de IT-auditor om de IT General Controls (ITGC) te beoordelen ([Bomm04]).

Rol in de fase van substantive procedures

In de fase van substantive procedures kan de accountant het gebruik van IT-tools overwegen, de zogenaamde Computer Aided Audit Tools (CAAT’s) ([Scho04], [Dijk04]). Het voordeel van deze tools is dat de accountant in staat is effectief en efficiënt de gehele populatie van gegevens te controleren. Ook kunnen deze CAAT’s een bijdrage leveren door alsnog achteraf de werking van geprogrammeerde controls aan te tonen als het wijzigingsbeheer onvoldoende beheerst wordt.

Praktijkvoorbeelden van goede samenwerking

In deze paragraaf worden twee best practices van succesvolle samenwerking tussen accountant en IT-auditor beschreven. Naast een beschrijving van de praktijksituatie besteden we aandacht aan de belangrijkste succesfactoren van deze praktijkvoorbeelden (de gebruikte klantnamen zijn fictief).

Klantcasus 1: Oils & Palms

O&P is een wereldwijde onderneming die zich toelegt op de productie van halffabricaten uit landbouwproducten voor onder andere de voedingsmiddelenindustrie. Naast het bezit van fabrieken met een beperkte voorraadcapaciteit, handelt O&P veel in hun eigen grondstoffen op de termijnhandel. O&P is daarom een industriële onderneming met kenmerken van een financiële instelling.

Geïntegreerde aanpak O&P

Na de implementatie van een nieuw ERP-systeem heeft de IT-auditor een aantal risicoanalyseopdrachten (met behulp van de System Integration Controls (SIC)-methode ([Beza01])) uitgevoerd bij verschillende vestigingen van O&P. Doel van deze opdrachten was het in kaart brengen van alle manuele en geprogrammeerde controls in de processen die door het ERP-systeem ondersteund worden. Hierbij wordt gebruikgemaakt van een risicoanalyse, die grote overeenkomsten vertoont met de procesanalyse die accountants uitvoeren om de controls in kaart te brengen. De risicoanalyse werd uitgevoerd door een multidisciplinair team van IT-auditors en accountants.

De uitkomst van de risicoanalyse was een selectie van key controls die van belang zijn voor de controle. Deze key controls bestonden uit configuratiecontroles, autorisaties in het ERP-systeem, IT-afhankelijke manuele controls en manuele controls. Deze key controls zijn vervolgens op werking getest.

Op deze wijze is een gestructureerd top-down controleprogramma ontwikkeld waarin accountants en IT-auditors in een gezamenlijke aanpak de interne controle toetsen (figuur 1). Tevens heeft dit geresulteerd in een controleaanpak waarin op relatief veel geprogrammeerde controls gesteund wordt, waardoor de effectiviteit van de controle is toegenomen.

C-2007-3-Meuldijk-1

Figuur 1. Van risicoanalyse naar auditprogramma. [Klik hier voor grotere afbeelding]

Succesfactoren O&P

De volgende (belangrijkste) succesfactoren hebben naar onze mening bijgedragen aan een goede samenwerking op de O&P-controle:

De managers en partners van IT-auditors en accountants hebben nauw samengewerkt om het geïntegreerde controleplan tot stand te laten komen. De teams van de managers en partners kunnen hierdoor effectiever samenwerken en met elkaar communiceren.
De SIC-opdrachten hebben het controleteam in staat gesteld om in multidisciplinaire teams van accountants en IT-auditors de interne controle in en rondom het ERP-systeem op gestructureerde wijze en met voldoende diepgang in kaart te brengen.

Door het multidisciplaire karakter ontstond effectieve kennisoverdracht en wederzijds begrip tussen beide partijen. De gestructureerde en grondige risicoanalyse (direct na de oplevering van het ERP-systeem per businessunit) leverde een schat aan inzichten en een gedegen raamwerk van controles en auditprogramma op. De effectiviteit van het controleproces is hierdoor verbeterd. Bijkomend voordeel is dat deze wijze van aanpak toegevoegde waarde voor de klant opleverde (de klant heeft het controleraamwerk tot haar beschikking gekregen).
Binnen het geïntegreerde auditteam zijn duidelijke afspraken gemaakt over de verdeling van verantwoordelijkheden voor de uitvoering van de IT-gerelateerde auditwerkzaamheden.

Klantcasus 2: Fresh

Deze tweede casus speelt zich af bij de internationale massaproducent Fresh, die eveneens in verregaande mate geautomatiseerd is. Fresh heeft een ERP-systeem geïmplementeerd in de belangrijkste werkmaatschappijen en werkt aan optimalisatie. De ERP-implementaties bij de werkmaatschappijen zijn verschillend en daarom streeft Fresh ernaar de komende jaren te migreren naar uniforme ERP-implementaties. Dit stelt Fresh in staat de procesgang en interne beheersing van de verschillende werkmaatschappijen te uniformeren. Het neveneffect is dat een dergelijke uniformiteit kan leiden tot een efficiëntere controleaanpak. Immers, de application controls zijn gelijk voor alle werkmaatschappijen en de gebruikerscontroles eromheen kunnen daarom gelijksoortig zijn.

Aanpak op groepsniveau

Om de efficiëntie en de effectiviteit van de interne controle van de groep te bevorderen is Fresh drie jaar geleden gestart met de ontwikkeling van een raamwerk van relevante internecontrolemaatregelen. Dit raamwerk geeft zowel controls relevant voor de jaarrekeningcontrole als voor de operationele effectiviteit van het proces.

In samenwerking met de interne accountant, groepsaccountant, IT-auditors en lokale accountants zijn vervolgens, in een aantal sessies, de voor de jaarrekening relevante (‘key’) controls geselecteerd. De lokale (interne) accountants zijn ingeschakeld om de ontwikkelde raamwerken op opzet, bestaan en werking te testen en eventuele verschillen tussen het kader en de praktijk te rapporteren.

IT-auditors en accountants hebben in belangrijke mate samengewerkt in dit proces van ontwikkeling en uitrol van het raamwerk. Voor het huidige controlejaar zijn een IT-auditor en een manager van het controleteam samen verantwoordelijk voor de beoordeling van het raamwerk en de aansturing, het houden van toezicht op en de ondersteuning van de lokale controleteams (van de werkmaatschappijen) bij het toepassen/gebruikmaken van het raamwerk.

De Nederlandse werkmaatschappij

Op lokaal niveau is enkele jaren geleden de IT-auditor integraal onderdeel geworden van het controleteam. Via de identificatie van het systeemlandschap (naast het besproken ERP-systeem een groot aantal legacy-systemen) en de mogelijke jaarrekeningrisico’s zijn key application controls geïdentificeerd in een aantal kritieke applicaties. Voor deze kritieke applicaties heeft de IT-auditor de ITGC’s getest. De bevindingen zijn gezamenlijk door IT-auditor en accountants vertaald naar jaarrekeningrisico’s, waarbij de opmerkingen rondom het wijzigingsbeheer uiteindelijk tot aanvullende gegevensgerichte werkzaamheden hebben geleid.

Daarnaast is een selectie gemaakt van de application controls en IT-afhankelijke gebruikerscontroles die relevant zijn voor de jaarrekeningcontrole. In het eerste jaar heeft de IT-auditor een intensieve rol gehad bij het testen van deze IT-controls.

Kritieke succesfactoren van de Fresh-audit

De volgende succesfactoren hebben naar onze mening bijgedragen aan een goede samenwerking op de controleopdracht van Fresh:

Communicatie vindt plaats op het juiste (met name ‘hoog genoeg’) niveau binnen de teams. Hierdoor wordt commitment gekweekt bij beide partijen.
Het stellen van heldere, duidelijke verantwoordelijkheden en afspraken op het gebied van timing, dossiervorming en rapportage.
Op holdingniveau vervult een IT-auditor (managerniveau) op permanente basis een sleutelrol in het controleproces.
De accountant en IT-auditor trekken samen op in de control evaluation. Hierdoor wordt bereikt dat beiden van elkaar kunnen leren.
De klant beschikt over een gedegen controleraamwerk (dat door de externe auditors is geaccordeerd) dat onderscheid maakt in application controls, autorisaties, rapportages en gebruikerscontroles.

Kritieke succesfactoren voor een succesvolle samenwerking tussen accountants en IT-auditors

Verschillende factoren spelen een rol in het al dan niet succesvol zijn van de samenwerking tussen accountants en IT-auditors. Hieronder hebben wij op basis van persoonlijke ervaring vijf belangrijke kritieke succesfactoren (KSF) uiteengezet. We onderkennen dat meer KSF zijn aan te wijzen, echter deze vijf geraken naar onze mening snel op de achtergrond in de drukte van het controleproces.

KSF1: Communicatie op seniorniveau

De sleutel voor het succes van iedere samenwerking is communicatie. Om een efficiënte en effectieve controle met voldoende daadkracht te bewerkstelligen is het van belang dat partners en/of managers van accountants en IT-auditors voldoende betrokken zijn bij het controleproces en op gezette tijden met elkaar communiceren en de grote lijnen uitzetten. Dit geldt in het bijzonder in de planningsfase van een controle: de senior teamleden dienen gezamenlijk na te denken over de controledoelstellingen, risico’s en de vertaling hiervan naar het controleplan.

Tevens dient het senior management een belangrijke rol te vervullen in de evaluatie van de gezamenlijke bevindingen en de vertaling hiervan naar noodzakelijke compenserende controlemaatregelen, gegevensgerichte werkzaamheden en adviespunten voor de klant.

KSF2: ‘Horizontale samenwerking’: kennisoverdracht en taken uitwisselen

Tevens is kennisoverdracht tussen de verschillende disciplines van groot belang. IT-auditors zijn in veel gevallen in staat een constructieve bijdrage te leveren aan de beschrijving van de interne controle en daarmee een bredere functie te vervullen in het controleproces dan sec het uitvoeren van de pure IT-auditwerkzaamheden (testen van ITGC en application controls).

Accountants zijn voorts over het algemeen prima in staat (delen van) het ITGC-onderzoek en het testen van application controls op zich te nemen.

Het uitwisselen van taken (‘horizontale samenwerking’) kan voor beide partijen het werk uitdagend en leerzaam maken/houden, onderling begrip kweken en daarmee een stimulans zijn voor optimale samenwerking (zie ook kader 1).

Kader 1. Horizontale samenwerking.

Horizontale samenwerking: wat kan een accountant zelf?

Veelvoorkomende applicatiecontroles zijn te verdelen in (zie ook de tabel):

invoercontroles, zoals verplichte velden, bestaanscontroles (selectie uit een stamtabel / drop-down list) en formatcontroles (numeriek, alfanumeriek, lengte, elf-proef);
complexe geautomatiseerde controles, zoals complexe calculaties, automatische boekingen en tolerantiecontroles;
autorisaties;
interfaces;
rapportages.

Het testen van invoercontroles kan over het algemeen heel goed worden uitgevoerd door middel van inspectie van gegevensinvoer door een eindgebruiker (de accountant kijkt over de schouder van een eindgebruiker mee en verifieert of het systeem inderdaad de vereiste invoercontroles uitvoert). Voor het auditdossier kunnen screenprints worden gemaakt van de gegevensinvoer, waarbij zichtbaar is dat systeemcontroles worden uitgevoerd (bijvoorbeeld verplichte velden zijn ‘grijs’, of een errormelding is zichtbaar als niet aan het juiste format wordt voldaan). Het moge duidelijk zijn dat voor een dergelijke test geen universitaire informaticaopleiding of IT-auditopleiding benodigd is.

Voor het testen van meer complexe geautomatiseerde controles daarentegen is veelal wel meer IT-kennis benodigd. Een test hiervan beslaat veelal een controle van systeemconfiguratie (in het geval van ‘standaard’pakketten/ERP-systemen) of code review (in geval van maatwerk) in combinatie met één of meer transactietests. Een dergelijke test zou daarom door de IT-auditor zelfstandig of (beter nog) in een gecombineerd team van accountant en IT-auditor moeten worden uitgevoerd.

Ook voor autorisaties geldt dat dit veelal een verhoogd inzicht in IT-beveiliging vereist: in grote ERP-systemen is het auditen van autorisaties bijna een specialisme op zich. Goede afstemming en communicatie met de accountant over de noodzakelijke functiescheiding is echter van belang: een IT-auditor is geneigd meer autorisatiebevindingen te rapporteren dan echt benodigd voor de auditdoelstellingen. Een gecombineerd team van accountant en IT-auditor is derhalve ook hier op zijn plaats.

Interfaces kunnen complexe IT-aspecten in zich hebben en het technisch testen van interfaces vereist daarom veelal een goed begrip van IT. Echter, in veel gevallen kan een interface efficiënter worden getest door te steunen op de aansluiting die de proceseigenaar maakt tussen het bronsysteem en het ontvangende systeem.

Rapportages worden veel geselecteerd als key control. Rapportages op zich zijn in het algemeen geen controle, maar wel de controlerende activiteit die de eindgebruiker op basis van de rapportage uitvoert. Dit wordt daarom ook wel aangeduid als ‘key IT dependent control’. De test van een rapportage kan bestaan uit verschillende onderdelen:

het testen van de query waarmee de rapportage wordt gegenereerd;
het testen van (het ontwerp van) de rapportagelay-out (geeft het inzicht in alle benodigde informatie);
het uitvoeren van één of meer systeemtransacties om na te gaan of de verwachte uitvoer ook daadwerkelijk op de rapportage terechtkomt.

De laatste twee tests kunnen heel goed door een accountant zelfstandig worden uitgevoerd. Voor het testen van de query is de inzet van IT-auditkennis aan te bevelen.

C-2007-3-Meuldijk-k1

KSF3: ‘Verticale samenwerking’: samenwerking in het gehele controleproces

Aan het begin van dit artikel is beschreven dat het controleproces uit een aantal fasen bestaat en dat in iedere fase de IT-auditor een rol heeft / kan hebben. Traditioneel draagt de IT-auditor echter voornamelijk bij aan de fase ‘control evaluation’ en is zijn rol in de andere fasen (te) beperkt. Bij een succesvolle samenwerking tussen accountant en IT-auditor blijkt dat de IT-auditor een belangrijke rol vervult in alle fasen van het controleproces.

Planningsfase

In succesvol geïntegreerde audits is de IT-auditor al in de planningsfase van de controle betrokken. De IT-auditor denkt in dat geval mee over de belangrijkste risico’s, financiële stromen in een organisatie en waar deze stromen worden geraakt/ondersteund door IT, inclusief het verkrijgen van inzicht in het IT-landschap.

Doordat beide partijen de wederzijdse verantwoordelijkheden vooraf doornemen, wordt voorkomen dat sommige taken niet worden uitgevoerd.

Control evaluation

Vervolgens is de IT-auditor betrokken in de procesanalyse: de IT-auditor werkt mee aan het in kaart brengen van de interne controle in de processen en systemen en bepaalt mede welke interne controles relevant zijn voor het controleproces. De IT-auditor is nauw betrokken bij het identificeren van de controlewerkzaamheden die worden uitgevoerd en bij de onderlinge taakverdeling tussen accountants en IT-auditor. Gestreefd wordt naar een situatie waarin zoveel mogelijk gezamenlijk, als één team, wordt geopereerd.

Op basis van de inventarisatie van de opzet van de beheersingsmaatregelen en de selectie van relevante controls maken accountant en IT-auditor een vertaling naar de wijze waarop deze controls worden getest.

Het verdient hierbij de voorkeur om niet direct alle IT-gerelateerde werkzaamheden bij de IT-auditor neer te leggen, maar af te wegen in hoeverre het efficiënt, interessant/leerzaam en uitdagender voor beide disciplines is om samen op te trekken en accountants ook IT-controls te laten testen (zie KSF2 ‘Horizontale samenwerking’).

De IT-auditor voert in dezelfde periode als de accountant, liefst tegelijkertijd, de werkzaamheden uit.

Daarna is er nauwe betrokkenheid over de (interim) rapportage / management letter. De IT-auditor denkt na over de gevolgen van de IT-bevindingen voor de jaarrekeningcontrole en adviseert de accountant hierin. Gezamenlijk wordt nagedacht over het testen van compenserende of mitigerende maatregelen en/of het uitvoeren van gegevensgerichte werkzaamheden.

Gegevensgerichte werkzaamheden

Gegevensgerichte werkzaamheden kunnen tijdrovend zijn. In het geval dat de werking van geprogrammeerde controls niet vastgesteld kan worden, omdat uit de ITGC-werkzaamheden is gebleken dat het wijzigingsbeheer bij de klant niet voldoende beheerst wordt, kan deze werking alsnog worden vastgesteld. Namelijk door gebruik te maken van CAAT’s. Deze CAAT’s zijn in staat efficiënt een volledige populatie te controleren en alsnog de effectiviteit van application controls vast te stellen.

Het is de verwachting van de auteurs dat de rol die CAAT’s spelen bij de controle de komende jaren verder zal toenemen. De nieuwste producten op dit gebied leveren niet alleen functionaliteit voor gegevensanalyse, maar bieden ook een workflow voor controlebeheer. De kracht van CAAT’s is dat op efficiënte wijze transacties in een periode kunnen worden geïdentificeerd ([Brou06]).

De rol van de IT-auditor zal hierdoor veranderen van het eenmalig testen van geprogrammeerde controls naar het opstellen van rule sets voor CAAT’s die als normenkader dienen voor de geautomatiseerde gegevensgerichte controle (zie ook kader 2).

Kader 2. Voorbeeldtoepassingen van een CAAT.

Efficiënt beheer en vastlegging van geïdentificeerde controls.
Vastleggen van een normenkader voor de systeemconfiguratie van een klant (SOLL-positie) en tegelijk ook de IST-positie bepalen.
Mogelijkheden voor continuous auditing, dat wil zeggen een geautomatiseerde permanente controleomgeving die de control owners direct waarschuwt bij excepties.
Geprogrammeerde controls toetsen op werking.
Op basis van logging vaststellen of geen functievermenging heeft plaatsgehad gedurende het boekjaar, ook al schiet de systeemconfiguratie hierin tekort.
Genereren van rapportages voor zowel de IT General Controls als geprogrammeerde controls.
Vaststellen of wijzigingen op het systeem van de klant impact hebben op de IT-afhankelijke (rapportages) en geprogrammeerde controls waarop de interne controle en de controle steunen.

Conclusie & Afronding

De accountant neemt de IT-auditor mee naar besprekingen met de directie en/of stelt de IT-auditor op de hoogte van het verloop van dergelijke gesprekken.

KSF4: Volgorde en timing van uitvoering van IT-auditwerkzaamheden

Het komt het controleproces ten goede als in een vroeg stadium bekend is wat de kwaliteit is van de ITGC’s. In succesvolle controles wordt daarom het testen van de opzet van de ITGC’s uitgevoerd voordat de interim-werkzaamheden plaatsvinden. Indien nodig kan dan, op basis van de eerste indruk van de opzet van de ITGC’s, het controleproces vroegtijdig worden bijgestuurd. Als niet op de application controls kan worden gesteund, kan het controleteam, in overleg met de IT-auditor, compenserende controls identificeren en vaststellen of aanvullende gegevensgerichte werkzaamheden noodzakelijk zijn.

KSF5: Gedegen risicoanalyse

Uit beide blijkt dat indien het controleteam of de klant beschikt over een gedegen raamwerk van interne controles, dit het controleproces effectiever kan maken. Voorwaarde is meestal wel dat het raamwerk tevens de interne controle in en rondom omvangrijke IT-systemen bevat (onderscheid in application controls, autorisaties, rapportages en gebruikerscontroles) en dat het raamwerk is opgesteld door een gecombineerd team van accountants en IT-auditors.

Vervolgstappen op weg naar nauwere samenwerking

De ervaringen en evaluatie tussen IT- en financial auditors in de praktijk van de auteurs hebben geleid tot een aantal voorstellen voor vervolgstappen om de samenwerking te optimaliseren. Hierbij denken wij aan:

het invoeren van verschillende rollen in verschillende controleopdrachten;
de versterking van de betrokkenheid van IT-auditors in het hele controleproces; en
het uitgebreider opleiden van de accountant op het gebied van IT, en de IT-auditor op dat van controle.

Hieronder worden deze vervolgstappen nader uiteengezet en toegelicht.

Verschillende rollen in de verschillende controleopdrachten

Een zinvolle vervolgstap in de nauwere samenwerking is het aanbrengen van meer differentiatie in de rollen van de IT-auditor en accountant binnen verschillende controleopdrachten. Controleopdrachten kunnen hierbij (bijvoorbeeld) worden ingedeeld in een drietal categorieën. Deze indeling is gebaseerd op de omvang van de controle (uren) en de mate van afhankelijkheid van IT.

Categorie I:
- organisaties met grote omvang in controle-uren;
- organisaties/werkmaatschappijen met gemiddelde omvang in controle-uren én een hoge mate van IT-afhankelijkheid.
Categorie II:
- organisaties/werkmaatschappijen met gemiddelde omvang in controle-uren én een lage mate van IT-afhankelijkheid;
- organisaties/werkmaatschappijen met een beperkt aantal controle-uren én een hoge mate van IT-afhankelijkheid.
Categorie III:
- organisaties/werkmaatschappijen met een beperkt aantal controle-uren én een beperkte mate van IT-afhankelijkheid.

C-2007-3-Meuldijk-2

Figuur 2. Verschillende rollen in verschillende controleopdrachten.

In het controleproces van organisaties in categorie I dient te worden gestreefd naar een optimale samenwerking waarin wordt voldaan aan de kritieke succesfactoren zoals deze zijn benoemd in dit artikel. Voor het controleproces van organisaties in categorie II en III kan worden gekozen voor een andere benadering: de accountant zal hier zelf een belangrijke(re) rol hebben in het testen van ITGC en/of application controls.

Categorie II: De IT-auditor als meewerkende coach

Bij de controle van organisaties in categorie II zal de IT-auditor een actief coachende rol vervullen:

De IT-auditor wordt betrokken in de planningsfase van de controle en denkt mee over de risico’s in de jaarrekeningcontrole, de belangrijkste processen en wijze waarop IT hierin een rol speelt.
De IT-auditor bepaalt samen met de accountant welke IT-auditwerkzaamheden dienen te worden uitgevoerd. Vervolgens wordt in het auditprogramma bepaald welke discipline welke activiteiten zal uitvoeren, waarbij het uitgangspunt is dat de accountant zoveel mogelijk IT-auditwerkzaamheden zelf uitvoert. Alleen in het geval van bijvoorbeeld complexe IT-applicatiecontroles zal de IT-auditor zelf testwerkzaamheden uitvoeren. Verder treedt de IT-auditor in de rol van coach van de accountants die de werkzaamheden uitvoeren. Hij kan bijvoorbeeld de werkzaamheden/interviews die de accountants willen gaan uitvoeren, gezamenlijk voorbereiden.
De IT-auditor reviewt de uitgevoerde IT-auditwerkzaamheden en denkt mee over de in de te schrijven management letter op te nemen punten.

Categorie III: De coach op afstand

Bij organisaties in categorie III zal de IT-auditor een passief coachende rol vervullen:

De IT-auditor denkt mee met de accountant indien deze hierom vraagt.
De IT-auditor verzorgt trainingen voor accountants die willen leren hoe zij IT General Controls en (beperkt) applicatiecontroles kunnen testen.

Voordelen

De voordelen van de benadering van controleopdrachten in de categorieën II en III zijn dat:

de inspanning van de IT-auditor beperkt kan blijven tot het leveren van de specifieke expertise, waardoor beter gebruik kan worden gemaakt van de deskundigheid van de IT-auditor;
de kennisoverdracht wordt bewerkstelligd, waardoor accountants zelfstandig IT-auditwerkzaamheden kunnen uitvoeren en ook beter in staat zullen zijn om bevindingen te evalueren in combinatie met hun overige controlewerkzaamheden.

Het indelen van controleklanten in verschillende categorieën ten aanzien van gewenste IT-auditondersteuning helpt de wederzijdse verwachtingen te managen. Bij de eerste categorie past een meer actieve grondhouding bij de IT-auditor, bij de andere categorieën fungeert de IT-auditor als adviseur van het controleteam. Het controleteam is dan initiator. Deze afspraken over de verantwoordelijkheden vormen de basis voor goede samenwerking.

Versterking betrokkenheid IT-auditors in het hele controleproces

Planningsproces

Het is van belang om intensieve betrokkenheid van (senior) IT-auditors te hebben bij de planningsfase en het opstellen van het controleplan. De IT-auditor brengt kennis in en wordt betrokken bij het gestructureerd en top-down in kaart brengen van de risico’s in processen en IT en de vertaling hiervan naar controlestrategie.

Control evaluation

Voorts is het als geïntegreerd team uitvoeren van interim-werkzaamheden naar onze mening een zeer waardevolle ontwikkeling. Dit geldt in het bijzonder voor processen die in sterke mate worden ondersteund door IT, zoals ERP-systemen. In deze opzet wordt een team samengesteld uit accountants en IT-auditors die gezamenlijk de interne controle in kaart brengen. Het voordeel, maar ook een randvoorwaarde, voor het succes van deze aanpak is kennisoverdracht. De accountant zal de IT-auditor leren hoe een controle wordt uitgevoerd, welke controledoelstellingen van belang zijn (inclusief de reden) en op welke wijze deze worden gecontroleerd en gedocumenteerd. De IT-auditor op zijn beurt leert de accountant hoe het IT-systeem werkt en op welke wijze de IT-controls in en rondom het systeem kunnen worden getest.

Substantive procedures

Vervolgens kunnen verdere stappen worden gezet wat betreft de inzet van IT-auditondersteuning op het gebied van de CAAT’s. De uitdaging hierbij is om de tool zodanig in te zette / te configureren dat de effectiviteit en efficiency van de (gegevensgerichte) controleaanpak toeneemt.

Accountants opleiden tot RE / IT-auditors opleiden tot RA

Er zijn voorbeelden van accountants die ook de opleiding tot RE volgen. Ook zijn er IT-auditors die aansluitend nog een RA bemachtigen. Het grote voordeel hiervan is dat de accountants en IT-auditor elkaar in de toekomst beter zullen begrijpen. Bundeling van kennis biedt veel mogelijkheden om tot een efficiëntere planning van de audit te komen.

C-2007-3-Meuldijk-t1

Tabel 1. Mogelijke rollen van de IT-auditor in de verschillende fasen van het controleproces.

Tot slot

Accountants en IT-auditors hebben al vele jaren ervaring in de samenwerking bij controleopdrachten. De auteurs hebben een vijftal specifieke factoren belicht die, op basis van praktijkervaring, kritiek zijn voor succesvolle integratie. Hoewel deze succesfactoren veel auditors bekend zullen voorkomen, is het volgens de auteurs een uitdaging om aan deze factoren op continue basis voldoende aandacht te schenken. Daarbij kan een aantal (lichte) ingrepen in de samenwerking bij verschillende soorten controleopdrachten het (samen)werk voor beide partijen (nog) uitdagender, leerzamer en interessanter maken.

Literatuur

[Beza01] C. Bezant en P.P. Brouwers, System Integration Controls Lessons Learned from ERP Projects applied to e-Business Systems, Compact 2001/1.

[Bomm04] C.F. van Bommel en H.M. van Goor, IT-auditing in het kader van de jaarrekeningcontrole?, Compact 2004/2.

[Brou06] P.P.M.G.G Brouwers, M.A.P. op het Veld en A.T.J. Lissone, Tool-based monitoring en auditing van ERP-systemen, van hebbeding naar noodzaak, Compact 2006/2.

[Dijk04] A.A. van Dijke, R.A. Jonker en R. Ossendrijver, Het meten van effectiviteit van controlemaatregelen, Compact 2004/1.

[Scho04] R.P. Schouten, De revival van auditsoftware, Compact 2004/1.

Jaarrekeningcontrole en technische IT-beveiliging

IT-beveiliging is een belangrijk aspect dat de IT-auditor in het kader van de jaarrekeningcontrole dient te onderzoeken, in het bijzonder de technische IT-beveiliging. Deze technische IT-beveiliging is een randvoorwaarde om te kunnen steunen op IT-applicaties en daarmee verwerkte data. Ook is technische IT-beveiliging een randvoorwaarde voor IT General Controls, met name Access to Programs and Data en Program Changes. Dit vraagt om een onderzoek naar de technische IT-beveiliging.

Inleiding

De IT-auditor verzorgt in het kader van de jaarrekeningcontrole een onderzoek naar de betrouwbare geautomatiseerde gegevensverwerking. In het algemeen betreft dit een onderzoek naar de relevante IT-application controls en de IT General Controls (ITGC). Mede dankzij SOx is een duidelijker beeld ontstaan van de IT-aspecten die juist bij ITGC dienen te worden onderzocht. Het blijft echter de vraag in welke mate (scope en diepgang) de technische IT-beveiliging hierbij dient te worden geadresseerd. Ook kan de vraag worden gesteld of de algemene IT-auditor nog steeds de technische IT-beveiliging in een complexe IT-omgeving zelf kan beoordelen, of dat een gespecialiseerde technical IT-auditor hierbij een rol heeft.

Een beoordeling van de technische IT-beveiliging van de IT-omgeving betreffende een organisatie vereist net als bij andere beoordelingen een duidelijke opdrachtformulering, met name in termen van:

kwaliteitsaspecten;
diepgang;
mate van zekerheid;
objecten;
auditdoelstellingen;
normen;
werkwijze.

In dit artikel wordt de opdrachtformulering bij een onderzoek naar de technische IT-beveiliging nader toegelicht.

Aspecten van een audit naar technische IT-beveiliging

Kwaliteitsaspecten

Een accountant onderzoekt de jaarrekening om de getrouwe weergave van de balans- en resultaatposten evenals de daarbij geplaatste uitspraken (zogenaamde disclosures) te toetsen. Afhankelijk van de mate waarin voor een betrouwbare gegevensverwerking wordt gesteund op de IT-applicaties en IT-application controls, dient een onderzoek plaats te vinden naar de beheersing en de beveiliging van de IT-omgeving. Dit onderzoek betreft met name de integriteit en in enige mate de beschikbaarheid (ter overweging van de continuïteit van de bedrijfsvoering) van de geautomatiseerde gegevensverwerking en de data.

De vereisten voor de jaarrekeningcontrole dienen door de IT-auditor in samenwerking met de accountant te worden vertaald naar specifieke controledoelstellingen en normen, op basis waarvan een oordeel dient te worden gevormd over de geautomatiseerde gegevensverwerking in het kader van de jaarrekeningcontrole.

Diepgang en mate van zekerheid

Vroeger werd de IT-auditor gevraagd in het kader van de jaarrekeningcontrole in een beperkt aantal dagen zijn bevindingen inzake een IT-omgeving terug te koppelen naar de accountant. Later werd gevraagd om een meer concreet onderzoek uit te voeren naar de opzet en het bestaan van maatregelen inzake de geautomatiseerde gegevensverwerking. Mede dankzij de komst van SOx is de relatie tussen de jaarrekening, bedrijfsprocessen, application controls en ITGC verder geëxpliciteerd en wordt tegenwoordig aan de IT-auditor gevraagd de opzet en de werking van de geautomatiseerde gegevensverwerking te onderzoeken, teneinde op de werking van de IT-application controls te kunnen steunen. De diepgang van het onderzoek wordt hierbij direct afgeleid van de risico’s betreffende de jaarrekening.

Het onderzoek naar de werking van de ITGC vraagt van een IT-organisatie een bepaalde volwassenheid. Immers, een IT-auditor zal alleen een uitspraak over de werking van de ITGC kunnen doen, als de organisatie zelf enige mate van controle op naleving van gedefinieerde ITGC heeft bewerkstelligd. We spreken dan ook over aantoonbare beheersing (figuur 1).

C-2007-3-Kornelisse-1

Figuur 1. Volwassenheidsniveaus van IT-beveiliging.

Juist vanwege de voorwaarde van aantoonbare beheersing is het van belang dat een organisatie voor wat betreft technische IT-beveiliging standaarden heeft gedefinieerd en controle op naleving verricht. Deze standaarden kunnen zelf worden ontwikkeld, waarbij mede kan worden gesteund op beschikbare publieke middelen, bijvoorbeeld standaarden van het Platform Informatiebeveiliging (PI) en andere bronnen.

Aan de IT-auditor wordt gevraagd met een redelijke mate van zekerheid een oordeel te geven over de opzet en werking van een aantal ITGC. Voor een IT-auditor is een redelijke mate van zekerheid de hoogste mate van zekerheid die wordt afgegeven. Als het dan ook gaat om technische IT-beveiliging, impliceert dit een zorgvuldig onderzoek van de algemeen aanvaarde relevante systeemconfiguratieparameters. Immers, een door één parameter veroorzaakt lek is al voldoende om geen (redelijke mate van) zekerheid te hebben dat technische IT-beveiliging adequaat is geborgd.

Het is hierbij van belang te onderkennen dat het risico van het ontbreken van adequate technische IT-beveiliging hoger is geworden. Dit wordt op basis van de volgende formule toegelicht:

Risico = Dreiging × Verwachting × Impact

C-2007-3-Kornelisse-t1

Tabel 1. Risicoaspecten.

Waar voorheen de IT-auditor kon volstaan met de toetsing van enkele parameterinstellingen van een IT-component, is tegenwoordig de zorgvuldigheid van een meer uitvoerige toetsing van systeemconfiguratieparameters vereist, om het optreden van een dreiging te voorkomen waardoor een enkele onjuist ingestelde parameter zou resulteren in een onveilige IT-component, en daarmee (mogelijk) een onveilige IT-applicatie en resulterende onveilige data.

De omvang van IT-omgevingen van organisaties is ook dusdanig gegroeid, dat een integrale controle van alle relevante IT-componenten en van alle relevante systeemconfiguratieparameters een dusdanige inspanning vraagt, dat de verwachting van niet-ontdekte fouten toeneemt.

Veelal resulteert dit in de realisatie van een systeemgerichte aanpak, waarbij beveiligingsstandaarden worden toegepast en de mate van consistente implementatie en de controle op de naleving van deze standaarden wordt onderzocht.

Objecten

Binnen de IT-omgeving zijn diverse IT-componenten van belang (zie figuur 2).

C-2007-3-Kornelisse-2

Figuur 2. IT-componenten in de IT-omgeving.

Het is niet eenvoudig voor een IT-auditor de scoping uit te voeren van de relevante IT in het kader van de jaarrekeningcontrole ([Korn05]). Ten behoeve van het efficiënt en effectief uitvoeren van de te onderzoeken IT-componenten is scoping wel noodzakelijk. Daarom wordt de volgende aanpak aanbevolen:

Selecteer de applicatiespecifieke IT-componenten betreffende de door de accountant aangedragen relevante IT-applicaties. Dit resulteert in de selectie van applicatie- en databaseservers, bijvoorbeeld ERP-, grootboek- en consolidatiesystemen.
Selecteer de generieke IT-componenten, die onderdeel uitmaken van de IT-infrastructuur van de organisatie, waarmee organisatiebreed de beheersing, beveiliging en beschikbaarheid van IT wordt ondersteund. Denk hierbij aan het interne bedrijfsnetwerk, identity managementsystemen en beheer- en monitoringsystemen.

Deze exercitie resulteert veelal in de in tabel 2 vermelde voor accountants relevante IT-componenten.

C-2007-3-Kornelisse-t2

Tabel 2. IT-componenten in de IT-omgeving.

Auditdoelstellingen

Mede dankzij SOx zijn IT-auditors onderling meer consistent in het controleren van IT-aspecten bij een jaarrekeningcontrole. Navolgend wordt per IT-aspect betreffende de jaarrekeningcontrole uitgewerkt welke de relatie is met technische IT-beveiliging en wat de aan technische IT-beveiliging te stellen eisen zijn.

C-2007-3-Kornelisse-t3

Tabel 3. IT-relevante aspecten en beheersing.

Operationele risicobeheersing van de geautomatiseerde gegevensverwerking

De IT-omgeving van een organisatie dient aantoonbaar te worden beheerst.

C-2007-3-Kornelisse-3

Figuur 3. Inrichting van IT-beveiliging.

Voor de technische IT-beveiliging resulteert dit in vereisten als beveiligingsstandaarden (baselines) voor IT-componenten en de monitoring van het gebruik van deze standaarden, zowel bij de initiële implementatie van een IT-component als periodiek ter controle van de continue naleving.

In de praktijk is het veelal niet mogelijk een beveiligingsstandaard integraal toe te passen. In een dergelijke situatie dient de afwijking op de beveiligingsstandaard te worden gedocumenteerd en dient de passende managementlaag deze afwijking te accepteren, tijdelijk of permanent.

Borgen van functiescheidingen

Door een organisatie dienen diverse functiescheidingen te worden gedefinieerd en te worden geïmplementeerd. In figuur 4 is een aantal van deze functiescheidingen gepresenteerd.

C-2007-3-Kornelisse-4

Figuur 4. Vereiste functiescheidingen.

Er is al aangegeven dat een organisatie gebruik kan maken van baselines om adequate technische IT-beveiliging te realiseren. Het realiseren van functiescheidingen stelt eisen aan de mate van technische IT-beveiliging, die met de gedefinieerde baselines kan worden bewerkstelligd.

Gescheiden omgevingen voor Ontwikkeling, Test, Acceptatie en Productie (OTAP)

Omtrent OTAP dienen eisen te worden gesteld aan de scheiding van de verschillende OTAP-omgevingen. Immers, OTAP-omgevingen kunnen op verschillende niveaus worden gescheiden. Een aantal voorbeelden:

gescheiden netwerken;
gescheiden applicatieservers;
gescheiden databaseservers.

Tegenwoordig kunnen deze scheidingen zowel fysiek als virtueel worden gerealiseerd.

Daarnaast is het van belang dat programmatuur en (test)gegevens veilig worden overgedragen tussen de verschillende OTAP-omgevingen. Immers, een ontwikkelaar hoort hierbij geen toegang te hebben tot de acceptatie- en de productieomgeving. Geautomatiseerde hulpmiddelen kunnen hierbij uitkomst bieden.

Borgen van kantoorautomatisering

Elke organisatie maakt op haar eigen wijze gebruik van kantoorautomatisering voor het beheersen van de financiële stromen en de financiële rapportage. Denk hierbij aan goedkeuringen voor transacties via e-mail, opslag van belangrijke gegevens op fileservers, het gebruik van spreadsheets voor consolidatiedoeleinden en dergelijke.

De IT-auditor dient dan ook na te gaan of wordt gesteund op de kwaliteit van kantoorautomatisering betreffende de financiële stromen en de financiële rapportage. Indien dit zo is, dient kantoorautomatisering in de scope van het onderzoek te worden opgenomen, en dienen bijvoorbeeld file- en mailservers, evenals de werkplekken van (een deel van de) medewerkers te worden onderzocht ten aanzien van de technische IT-beveiliging.

Normen technische IT-beveiliging

Gegeven de onderkende IT-componenten worden de volgende normen voorgesteld:

Systeemconfiguratie-instellingen

Het is eenvoudig te stellen dat relevante systeemconfiguratieparameters adequaat dienen te zijn ingesteld. Het is dan ook belangrijk te definiëren welke parameters ten minste aan de orde zijn. In een beveiligingsstandaard dienen deze parameters te zijn vastgelegd. Bij het vaststellen van een beveiligingsstandaard dient tevens rekening te worden gehouden met de overkoepelende beveiligingsarchitectuur.

In tabel 4 zijn de voornaamste normen aangeduid. Let erop dat deze specifiek voor een organisatie dienen te worden gemaakt.

C-2007-3-Kornelisse-t4

Tabel 4. Normen voor de beoordeling van systeemconfiguratie-instellingen. [Klik hier voor grotere afbeelding]

Werkwijze

Op basis van het voorgaande resteert de vraag, hoe per gestelde norm de relevante zekerheid kan worden verkregen. De wijze van informatievergaring wordt navolgend uiteengezet.

Controle van de opzet van technische IT-beveiliging

Voor het controleren van de opzet van technische IT-beveiliging dienen de volgende testwerkzaamheden te worden uitgevoerd:

Scope
- Vraag naar en inspecteer de IT-beveiligingsarchitectuur van de organisatie. Stel vast dat passende generieke IT-componenten in de scope van de IT-beveiligingsarchitectuur zijn opgenomen. Beoordeel hiertoe de locaties van IT-applicaties en data, en stel vast of de paden van eindgebruikers en beheerders naar IT-applicaties en data aanleiding geven om generieke IT-componenten in de scope op te nemen.
Beveiligingsstandaarden
- Inspecteer voor de binnen de scope vallende IT-componenten de aanwezige beveiligingsstandaarden, en stel vast of de gedefinieerde maatregelen betreffende technische IT-beveiliging adequaat zijn, gegeven de auditdoelstellingen.
  
  Inspecteer in het bijzonder voor IT-applicaties de beveiligingsstandaarden voor selectie en ontwikkeling van veilige IT-applicaties.
- Inspecteer documentatie inzake het goedkeuren van afwijkingen van beveiligingsstandaarden, en stel vast dat deze door een passend managementniveau worden geaccordeerd, tijdelijk of permanent.
- Inspecteer documentatie inzake monitoring betreffende compliance aan beveiligingsstandaarden, zowel bij initiële implementatie in de productieomgeving als periodiek na het in productie nemen, en stel vast op welke wijze eventueel aanwezige afwijkingen op beveiligingsstandaarden worden gezocht en of eventuele afwijkingen door de organisatie zelf worden onderkend.
Logging
- Inspecteer documentatie inzake monitoring betreffende gebeurtenissen in relatie tot IT-componenten, en stel vast dat relevante gebeurtenissen op adequate wijze zijn gedefinieerd en dienen te worden gedetecteerd.

Controle van de werking van technische IT-beveiliging

Voor het controleren van de werking van technische IT-beveiliging dienen de volgende testwerkzaamheden te worden uitgevoerd:

Indien de organisatie beveiligingsstandaarden systematisch hanteert, observeer dan een aantal IT-componenten van elk relevant type component (bijvoorbeeld SAP, Oracle, Windows, Unix, Cisco router, Checkpoint Firewall-1), en stel vast dat de systeemconfiguratie adequaat is ingesteld.
Indien een organisatie beveiligingsstandaarden niet systematisch hanteert, dan dienen alle relevante IT-componenten integraal (gegevensgericht) te worden onderzocht.

Het controleren van de systeemparameterinstellingen van een IT-component vraagt veel tijd en is foutgevoelig. Steeds vaker wordt dan ook auditprogrammatuur ingezet om dergelijke instellingen op te vragen. Ook worden steeds vaker penetratietests uitgevoerd om een indicatie te krijgen van de effectiviteit van technische IT-beveiliging.

Evaluatie van deficiënties

Op basis van de geconstateerde deficiënties betreffende de opzet en de werking van maatregelen dient te worden geëvalueerd welke beheersingsmaatregelen niet adequaat zijn gerealiseerd. Deze maatregelen kunnen bijvoorbeeld betrekking hebben op:

de operationele risicobeheersing, betreffende beschikbaarheid, integriteit en vertrouwelijkheid van de (geautomatiseerde) gegevensverwerking;
het borgen van functiescheidingen ten aanzien van de IT-omgeving;
het borgen van gescheiden omgevingen voor Ontwikkelen, Test, Acceptatie en Productie;
het borgen van functiescheidingen binnen de programmatuur;
het borgen van beschikbaarheid, integriteit en vertrouwelijkheid van kantoorautomatisering (bijvoorbeeld file- en mailservers).

In overleg met de accountant dient op basis van risico-overwegingen de impact van het eventueel doorbreken van deze beheersingsmaatregelen verder te worden beoordeeld in relatie tot de uitkomst van de financiële controle door de accountant.

Tot slot

Bij IT General Controls gaat de aandacht veelal uit naar de IT-beheerprocessen die ten grondslag liggen aan de integriteit en de beschikbaarheid van IT-applicaties en hierdoor verwerkte gegevens. Hiertoe zijn normenstelsels beschikbaar, onder andere gebaseerd op Cobit.

Het onderzoeken van technische IT-beveiliging in het kader van de jaarrekeningcontrole vraagt echter om meer complexe en minder routinematige activiteiten, zoals:

scoping van relevante IT-componenten, met name het vaststellen van de generieke IT-componenten naast de applicatiespecifieke IT-componenten, rekening houdende met de organisatiespecifieke beveiligingsarchitectuur van de IT-infrastructuur;
inspecteren van baselines betreffende diverse typen van beveiligingsstandaarden, bijvoorbeeld Windows, SAP, Oracle, Unix, Cisco IOS, Checkpoint Firewall-1. De kennis van elk van deze IT-componenten is veelal niet bij één persoon te vinden, ook niet bij een IT-auditor;
observeren van de feitelijke implementatie van IT-componenten en daarnaast het evalueren van de risico’s van afwijkingen van baselines in relatie tot een jaarrekening. Het eerste is niet eenvoudig, en het tweede is nog complexer.

Deze complexiteit neemt toe als gevolg van het onderzoeken van de werking van technische IT-beveiliging. Hierbij is het noodzakelijk op basis van het geconstateerde risicoprofiel van IT-applicaties in meerdere of mindere mate waarnemingen te verrichten betreffende de inrichting van de IT-componenten.

Gegeven het uitgebreide werkgebied van de IT-auditor mag niet worden verondersteld dat elke IT-auditor alle relevante kennis en ervaring inzake technische IT-beveiliging als bagage heeft. Indien een algemene IT-auditor de technische IT-beveiliging dient te beoordelen, is het dan ook van belang de eigen dekking van gevraagde kennis en ervaring expliciet in te schatten en waar nodig een technical IT-auditor in te schakelen. Afhankelijk van de omvang van de organisatie en in het bijzonder die van de IT-omgeving van de organisatie dient de inzet van laatstgenoemde nader te worden bepaald.

Bij diverse jaarrekeningcontroles van grotere organisaties wordt dit reeds onderkend en richt de algemene IT-auditor zich met name op IT-governance en IT-applicaties. De technical IT-auditor richt zich vervolgens op IT general controls en IT security binnen de rekencentra van deze organisaties.

Literatuur

[Ccg03] Commissie corporate governance, De Nederlandse corporate governance code, 9 december 2003.

[Korn05] Ir. P. Kornelisse RE CISA, R.P.J. van den Berg RA en A.A. van Dijke, SOx – de ICT aantoonbaar in control, Compact 2005/3.

[Korn06] Ir. P. Kornelisse RE CISA en H. IJkel RE CISA CISSP, Een inleiding tot integrated audit, Compact 2006/2.

[SEC03] US Securities and Exchange Commission, Final Rule: Management’s Reports on Internal Control Over Financial Reporting and Certification of Disclosure in Exchange Act Periodic Reports, Release Nos. 33-8238; 34-47986; IC-26068; File Nos. S7-40-02; S7-06-03, USA, June 2003.

Verschillen en overeenkomsten tussen SOx en SAS 70

Sinds de bekende boekhoudschandalen is er veel aandacht voor de interne beheersing en goed ondernemingsbestuur, opdat dergelijke schandalen in de toekomst worden voorkomen. SAS 70 en SOx zijn twee instrumenten om aan de buitenwereld aan te kunnen tonen dat de interne beheersing op orde is. Maar wat zijn de overeenkomsten tussen SOx en SAS 70 en wat zijn de verschillen? Dit artikel geeft een overzicht van beide.

Inleiding

De laatste jaren is er vanuit de regelgeving veel aandacht voor interne beheersing en goed ondernemingsbestuur. Doel hiervan is onder meer de interne beheersing binnen organisaties te verbeteren én aan de buitenwereld aan te tonen dat interne beheersingsmaatregelen ook daadwerkelijk effectief zijn. Een bekend voorbeeld hiervan is de Amerikaanse Sarbanes-Oxley Act van 2002 (SOx). Deze wet verplicht ondernemingen een verklaring uit te brengen over hun interne beheersingsmaatregelen. Daarnaast bestaat sinds 1992 de zogenaamde ‘Statement on Auditing Standard No. 70 Service Organizations’ (SAS 70) ([AICP06]). SAS 70 is een Amerikaanse verslaggevingsstandaard van toepassing op serviceorganisaties die diensten verlenen aan organisaties die delen van bedrijfsprocessen hebben uitbesteed. Door middel van een SAS 70-rapport geeft een serviceorganisatie haar klanten inzicht in de interne beheersingsmaatregelen en geeft een externe accountant hierover een oordeel. Niet alleen qua doelstelling hebben SOx en SAS 70 daarmee overeenkomsten, maar ook op andere aspecten lijken de twee op elkaar. Dat er overeenkomsten zijn is niet zo vreemd: SOx is voor een deel afgeleid van SAS 70. Er is echter ook een aantal significante verschillen. Hieronder worden deze overeenkomsten en verschillen uiteengezet.

SAS 70 en SOx

Sectie 404 van de Sarbanes-Oxley wetgeving eist dat ondernemingen de interne beheersing rondom hun financiële verslaggeving op een dusdanige manier hebben ingericht dat materiële onjuistheden in de jaarrekening voorkomen of gedetecteerd kunnen worden. Om dit te realiseren moet een onderneming haar systeem van interne beheersing hebben ingericht volgens een algemeen geaccepteerd intern beheersingskader. Het COSO-model wordt als geschikt beschouwd. Bovendien moet het management opzet, bestaan en werking van het systeem van interne beheersing jaarlijks evalueren. De externe accountant die de jaarrekening van de onderneming controleert dient zelfstandig werkzaamheden te verrichten om opzet, bestaan en werking van de interne beheersing vast te stellen ([PCAO07]). Volgens de regelgeving dient zowel het management als de accountant daarbij het gehele verwerkingsproces dat relevant is voor de financiële verslaggeving te beoordelen, dus inclusief een eventueel uitbesteed deel.

SAS 70 heeft (alleen) betrekking op de interne beheersing van de diensten die een serviceorganisatie verleent aan haar klanten. De reikwijdte van SAS 70 beperkt zich tot die diensten van de serviceorganisatie waarvan de klanten voor hun jaarrekening afhankelijk zijn. De (accountants van die) klanten steunen voor de betrouwbaarheid van hun financiële verslaggeving op de effectiviteit van interne beheersing bij de serviceorganisatie. Oorspronkelijk is SAS 70 met name bedoeld om de externe accountant zekerheid te geven over de kwaliteit van de uitbestede processen en/of gegevens, zodat de accountant samen met zijn eigen werkzaamheden voldoende inzicht had om tot de verklaring bij de jaarrekening te komen (zie figuur 1). Natuurlijk moest de SAS 70-mededeling door een publieke accountant worden afgegeven, meestal de externe accountant van de serviceorganisatie. Daarmee was de SAS 70 dus een rapportage bedoeld voor de externe accountants van de klanten van de serviceorganisatie. Het management van de uitbestedende partij, organisatie A in figuur 1, had niet zo’n behoefte aan de SAS 70-rapportage, omdat het veelal toereikende operationele informatie kreeg in de vorm van bijvoorbeeld service level rapportages of zelf de kwaliteit van de geleverde diensten kon beoordelen.

C-2007-3-Groosman-1

Figuur 1. Het oorspronkelijke doel van SAS 70.

Na de invoering van SOx, waarbij ook het management verplicht werd interne toetsen op de kwaliteit van het stelsel van interne controle uit te voeren, zag het management zich gedwongen om ook een gefundeerd oordeel te hebben over het uitbestede deel. En natuurlijk was de link met SAS 70 snel gevonden. Was de behoefte aan een SAS 70 vóór het SOx-tijdperk nog beperkt – de accountant kon vaak via cijferverbanden en -analyses ‘om de uitbesteding heen controleren’ –, na de invoering van SOx staat de kwaliteit van de beheersingsmaatregelen als zodanig mede op de voorgrond en wil ook het management van de serviceorganisatie een SAS 70-rapportage ter ondersteuning van haar interne beheersing. Dit is in figuur 2 weergegeven.

C-2007-3-Groosman-2

Figuur 2. Bij SOx is SAS 70 relevant voor de externe accountant en het management.

Om een ‘schone’ SAS 70-rapportage te verkrijgen dient de onderneming haar stelsel van interne beheersing effectief te hebben ingericht. De SAS 70-standaard verwijst hiervoor eveneens naar het COSO-model. Voor de relevante diensten die een serviceorganisatie verleent zal de uitbestedende partij beheersingsdoelstellingen (‘control objectives’) hebben gedefinieerd en al dan niet via de service level agreement aan de provider hebben opgelegd. Om deze beheersingsdoelstellingen te realiseren moet de serviceorganisatie één of meer beheersingsmaatregelen (‘controls’) hebben geïmplementeerd. Een externe accountant stelt vervolgens bij de serviceorganisatie vast of de beheersingsmaatregelen de beheersingsdoelstellingen realiseren. Afhankelijk van het type SAS 70-rapport (type 1 of type 2) toetst de accountant opzet en bestaan (type 1) van de maatregelen of opzet, bestaan én werking (type 2) van de maatregelen. De serviceorganisatie rapporteert over de interne beheersing door een SAS 70-rapport uit te geven met hierin een SAS 70-mededeling van een externe accountant. Het SAS 70-rapport is bestemd voor de klanten van de serviceorganisatie en voor de externe accountants van deze klanten.

Verschillen en overeenkomsten tussen SAS 70 en SOx

Uit het bovenstaande blijkt al dat er overeenkomsten zijn tussen SOx en SAS 70. Zowel SOx als SAS 70 heeft bijvoorbeeld als doelstelling derden inzicht te geven in de interne beheersingsmaatregelen van een onderneming door middel van een uiting. Voor SOx is de doelgroep van deze uiting echter breder dan bij SAS 70. Een SAS 70-rapport is in eerste instantie bestemd voor de accountant van de klanten (‘user organizations’) en in tweede instantie voor de klanten zelf. Het SAS 70-rapport kent derhalve een beperkte gesloten verspreidingskring. De externe accountant kan op de SAS 70-rapportage steunen bij het controleren van de jaarrekening van de gebruikersorganisatie. Een SOx-verklaring is daarentegen bestemd voor alle belanghebbenden van een onderneming en is daarom openbaar beschikbaar als onderdeel van het jaarverslag van een onderneming.

Een ander verschil is dat SOx een wet is, waaraan alle onder toezicht van de Securities and Exchange Commission (SEC) staande ondernemingen verplicht zijn te voldoen. De Public Company Accounting Oversight Board (PCAOB) is het orgaan dat de wetgeving heeft uitgewerkt in verschillende ‘audit standards’ en toezicht houdt op de accountantskantoren. De audit standards zijn voorschrijvend van aard en geven gedetailleerde richtlijnen over hoe het management en een accountant hun evaluatie van de interne beheersing moeten uitvoeren. Tot voor kort golden deze standaarden indirect ook voor het management. Voor 2007 heeft de SEC afzonderlijke (concept-) richtlijnen voor het management opgesteld ([SEC06]).

Het afgeven van een SAS 70-rapport is daarentegen een keuze van het management van de serviceorganisatie en is daarmee in tegenstelling tot SOx dus niet verplicht. Wel kan het natuurlijk zijn dat een aantal belangrijke klanten van de serviceorganisatie een SAS 70-rapport afdwingt, waardoor SAS 70 toch een plichtmatig karakter krijgt. Het eisen van een SAS 70-rapport (type 2) van een serviceorganisatie is min of meer verplicht voor organisaties die zelf aan SOx moeten voldoen en vanuit de eigen organisatie onvoldoende inzicht hebben in de effectiviteit van de interne beheersing van de voor SOx relevante activiteiten die zijn uitbesteed (zie ook [Bigg06]). SAS 70 is een standaard die door het American Institute of Certified Public Accountants (AICPA) is ontwikkeld en die is uitgewerkt in de Audit Guide Service organizations: Applying SAS No. 70 ([AICP06]). De standaard is minder gedetailleerd en minder voorschrijvend van karakter dan de audit standards van de PCAOB.

Zowel SOx en SAS 70 beperkt zich tot die interne beheersingsmaatregelen rondom de activiteiten die gevolgen kunnen hebben voor de jaarrekening. Bij SOx betreft het de jaarrekening van de onderneming die de SOx-verklaring afgeeft. Bij SAS 70 betreft het de jaarrekening van de onderneming waaraan het SAS 70-rapport wordt verstrekt. De reikwijdte van SAS 70 betreft daarom de interne beheersingsmaatregelen rondom de diensten die impact hebben op de jaarrekening van de gebruikersorganisatie waarvoor een serviceorganisatie haar diensten verricht. In beginsel zal de gebruikersorganisatie de te verantwoorden beheersingsdoelstellingen aan de serviceorganisatie opleggen. Dat maakt de SAS 70 tot maatwerk. Het zal duidelijk zijn dat indien een service provider voor meer klanten een SAS 70 moet afgeven, de service provider zal proberen de gevraagde beheersingsdoelstellingen op elkaar af te stemmen. Daardoor kan de situatie ontstaan dat de serviceorganisatie min of meer zelf bepaalt welke diensten en beheersingsmaatregelen deel uitmaken van het SAS 70-rapport. De reikwijdte van een SAS 70-rapport wordt daardoor breder dan alleen die beheersingsdoelstellingen die gericht zijn op de jaarrekening (van de gebruikersorganisatie), en derhalve wordt het rapport gebruikt als een soort kwaliteitsstempel op de algehele dienstverlening van de serviceorganisatie. De reikwijdte van een SOx-verklaring omvat de interne beheersingsmaatregelen rondom de activiteiten die de financiële verslaggeving van de onderneming kunnen beïnvloeden. Activiteiten die de (eigen) jaarrekening niet raken, vallen daarom buiten de reikwijdte van SOx.

Voor zowel SOx als SAS 70 wordt geadviseerd dat een onderneming interne beheersingsmaatregelen implementeert die de volgende vijf componenten uit het COSO-raamwerk in voldoende mate afdekken: ‘control environment’, ‘risk assessment’, ´control activities’, ‘information and communication’ en ‘monitoring’. Om dit te realiseren moeten ondernemingen de relevante maatregelen identificeren, mogelijk verbeteren en documenteren. Belangrijk daarbij is dat achteraf moet kunnen worden aangetoond dat de gedocumenteerde beheersingsmaatregelen effectief zijn geweest. Voor zowel SOx als SAS 70 stelt dit eisen aan de vastlegging van de uitvoering van de beheersingsmaatregelen. Ook vereisen beide dat een onderneming inzicht heeft in haar processen en deze heeft vastgelegd, waarbij het bij SOx alleen die processen dient te betreffen die gevolgen hebben voor de externe verantwoording over de financiële verslaggeving. Bij SAS 70 gaat het om de processen die door de serviceorganisatie worden uitgevoerd ten behoeve van de gebruikersorganisatie.

SOx vereist dat een onderneming inzicht heeft in de effectiviteit van de maatregelen om te voorkomen dat de jaarrekening materiële onjuistheden bevat. Daarbij dienen alle relevante ‘assertions’ van de significante posten in de jaarrekening te worden afgedekt. Aangezien het bij SAS 70 uiteindelijk niet om de jaarrekening van de serviceorganisatie zelf gaat, maar om de jaarrekening van de gebruikersorganisatie, mist de serviceorganisatie het beeld van de materialiteit en assertions van de gebruikersorganisatie en vereist SAS 70 daarom dat een serviceorganisatie beheersingsdoelstellingen definieert. Met deze doelstellingen moet de user auditor kunnen bepalen hoe de beheersingsmaatregelen van de serviceorganisatie de jaarrekening van de gebruikersorganisatie beïnvloeden. Zoals hiervoor al gemeld, is de serviceorganisatie echter min of meer vrij in het bepalen van de beheersingsdoelstellingen en er bestaat (dus) geen directe een-op-eenrelatie met de ‘assertions’ van de jaarrekeningposten van de gebruikersorganisatie.

SOx vereist dat een onderneming maatregelen treft om materiële onjuistheden in de jaarrekening te voorkomen en te detecteren. SAS 70 vereist dat de serviceorganisatie maatregelen treft om de gedefinieerde beheersingsdoelstellingen te realiseren. Zowel organisaties die onder de SOx-regelgeving vallen als organisaties die een SAS 70-rapport uitbrengen, dienen hun interne beheersingsmaatregelen te laten evalueren door een externe accountant.

Voor SOx geldt bovendien dat zowel het management van de organisatie als de externe accountant de interne beheersingsmaatregelen dient te evalueren. Daarbij geldt tevens dat een en dezelfde accountant zowel de financiële verantwoording als de interne beheersingsmaatregelen moet controleren. Voor SAS 70 gelden deze eisen niet: SAS 70 vereist slechts dat een externe accountant de maatregelen toetst.

Bij SOx is de jaarrekening uiteindelijk maatgevend voor het bepalen van de interne beheersingsmaatregelen die geëvalueerd moeten worden. Bij SAS 70 bepalen de door de serviceorganisatie gedefinieerde beheersingsdoelstellingen welke beheersingsmaatregelen door de accountant getoetst worden. In tegenstelling tot SOx kan een serviceorganisatie die een SAS 70-rapport wil uitgeven dus grotendeels zelf bepalen welke onderdelen worden getoetst.

Bij SOx dienen het management en de externe accountant altijd zowel opzet, bestaan als werking van de beheersingsmaatregelen te toetsen per het einde van het boekjaar waarop de jaarrekening betrekking heeft. Bij SAS 70 worden, afhankelijk van het type SAS 70-mededeling, ‘opzet en bestaan’ (type 1) of ‘opzet, bestaan en werking’ (type 2) getoetst. Bovendien bepaalt de serviceorganisatie bij een type 2-mededeling over welke periode de mededeling van toepassing is, zolang deze maar minimaal zes maanden beslaat.

Een SAS 70-rapport bestaat uit een mededeling van de externe accountant over opzet en bestaan (type 1) of over opzet, bestaan en werking (type 2) van de interne beheersingsmaatregelen. Bovendien geeft het rapport de gebruikersorganisatie en haar accountant een behoorlijk gedetailleerd inzicht in de interne beheersingsmaatregelen en de wijze waarop de serviceorganisatie deze heeft geïmplementeerd om aan de beheersingsdoelstellingen te voldoen. Tevens geeft het rapport inzicht in de testwerkzaamheden die de externe accountant per maatregel heeft uitgevoerd om de SAS 70-mededeling af te kunnen geven. Maar omgekeerd zegt het SAS 70-rapport in principe niets over het totale niveau van interne beheersing. Strikt genomen kan een serviceorganisatie weinig controledoelstellingen definiëren, of weinig controlemaatregelen per controledoelstelling opnemen. Hoewel niet formeel geregeld is het de taak van de externe accountant erop toezien dat het rapport geen ongerechtvaardigde verwachtingen oproept bij de gebruikersorganisatie.

Bij SOx wordt dit gedetailleerde inzicht in de beheersingsmaatregelen en testwerkzaamheden niet verschaft aan externe partijen, maar moeten de maatregelen wel geheel dekkend zijn. De uiting die een organisatie aan de buitenwereld doet, bestaat alleen uit een verklaring van zowel het management als de externe accountant. In tegenstelling tot SAS 70 betreft een SOx-verklaring altijd opzet, bestaan en werking van de interne beheersingsmaatregelen; een verklaring over alleen bestaan is bij SOx niet van toepassing.

De inhoud van deze paragraaf is samengevat in tabel 1.

C-2007-3-Groosman-t1

Tabel 1. Overeenkomsten en verschillen tussen SOx en SAS 70. [Klik hier voor grotere afbeelding]

Ten slotte

Dit artikel beschrijft de verschillen en overeenkomsten tussen SAS 70 en SOx op een aantal aspecten. Behalve het feit dat SOx verplicht is voor ondernemingen die onder toezicht staan van de SEC en SAS 70 een keuze is van het management, is het belangrijkste verschil tussen de twee voornamelijk gelegen in de reikwijdte van de interne beheersingsmaatregelen waarover wordt gerapporteerd. Met een SOx-verklaring geven de onderneming en haar externe accountant een oordeel over de effectiviteit van de interne beheersingsmaatregelen rondom de financiële verslaggeving. Bij SAS 70 gaat het om de effectiviteit van de interne beheersingsmaatregelen rondom de dienstverlening aan derden, voor zover deze derden voor hun financiële verslaggeving afhankelijk zijn van de effectiviteit van de interne beheersingsmaatregelen bij deze dienstverlener.

Literatuur

[AICP06] America Institute of Certified Public Accountants, Service Organizations: Applying SAS No. 70, as Amended with Conforming Changes as of May 1, 2006, mei 2006.

[Bigg06] Drs. ing. S.R.M. van den Biggelaar RE, drs. S. Janssen RE en drs. G.J.L. Lamberiks, Integrated audit: ‘SAS 70: het verlengstuk van internal control over financial reporting’, Compact 2006/3.

[PCAO07] Public Company Accounting Oversight Board, Auditing Standard No. 5 – An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements, mei 2007.

[SEC06], Securities Exchange Commission, Management’s report on internal control over financial reporting’, Proposal, December 2006.

Relatie IT application en IT general controls nog eens onder de loep

In het kader van de jaarrekeningcontrole groeit het besef dat IT general controls onderdeel vormen van de controls die samen het bouwwerk ‘internal controls over financial reporting’ vormen. IT-auditors ondersteunen de accountant met het beoordelen van IT general controls en IT application controls. Maar het is de vraag of in regelgeving en in de praktijk voldoende aandacht wordt besteed aan de relatie tussen application controls en IT general controls met het risico op een inefficiënte werkwijze en een belemmering voor een goede integratie tussen accountants en IT-auditors.

Inleiding

Kwalitatief goede IT general controls worden al jaren gezien als fundament om in de jaarrekening te kunnen steunen op geautomatiseerde informatiesystemen. Recent heeft de PCAOB Auditing Standard 2 in het kader van de Sarbanes Oxley Act nadrukkelijk aangegeven dat IT general controls een belangrijke randvoorwaarde zijn om te kunnen steunen op application controls. Het Amerikaanse IT Governance Institute heeft er zelfs een speciale Cobit-SOx guidance voor geschreven. Maar het geldt natuurlijk niet alleen voor organisaties die onder de SOx-regelgeving vallen; de regel is algemeen toepasbaar voor alle organisaties. Inmiddels weet iedere accountant dat hij alleen mag steunen op application controls (voortaan aangeduid als AC) wanneer de onderliggende IT general controls (voortaan aangeduid als ITGC) van voldoende niveau zijn.

In de PCAOB Auditing Standard 5 wordt wellicht minder expliciet gerefereerd aan de ITGC, maar in paragraaf 36 wordt vermeld ‘The auditor also should understand how IT affects the company’s flow of transactions’ en verder wordt verwezen naar de AU sec. 319, ‘Consideration of Internal Control in a Financial Statement Audit’ voor guidance voor testwerkzaamheden. Deze Amerikaanse auditing standard section 319 is al operationeel sinds 1 januari 1990! Met name de twee paragrafen 77 en 78 zijn duidelijk. Paragraaf 77: ‘In designing tests of automated controls, the auditor should consider the need to obtain evidence supporting the effective operation of controls directly related to the assertions as well as other indirect controls on which these controls depend. For example, the auditor may identify a ‘user review of an exception report of credit sales over a customer’s authorized credit limit’ as a direct control related to an assertion. In such cases, the auditor should consider the effectiveness of the user review of the report and also the controls related to the accuracy of the information in the report (for example, the general controls).’ En paragraaf 78: ‘Because of the inherent consistency of IT processing, the auditor may be able to reduce the extent of testing of an automated control. For example, a programmed application control should function consistently unless the program (including the tables, files, or other permanent data used by the program) is changed. Once the auditor determines that an automated control is functioning as intended (which could be done at the time the control is initially implemented or at some other date), the auditor should consider performing tests to determine that the control continues to function effectively. Such tests might include determining that changes to the program are not made without being subject to the appropriate program change controls, that the authorized version of the program is used for processing transactions, and that other relevant general controls are effective.’

Hieruit blijkt dat al in 1990 de relatie tussen AC en ITGC duidelijk was. Ook dichter bij huis was de relatie wel bekend. Zie bijvoorbeeld het NIVRA Studierapport 34 Normatieve maatregelen voor de geautomatiseerde gegevensverwerking in het kader van de jaarrekeningcontrole (1995), waarin ter motivatie van het testen van general controls staat: ‘Zo kan door onvoldoende scheiding tussen ontwikkel, test/acceptatie en productieomgeving onvoldoende aanwijzing bestaan voor de goede werking van de geprogrammeerde controles’, hetgeen werd geïllustreerd volgens figuur 1.

C-2007-3-Gils-1

Figuur 1. Verhouding AO/IC-maatregelen buiten en binnen de geautomatiseerde gegevensverwerking ([NIVR95]).

De soorten IT controls even nader toegelicht

Het is in dit artikel niet de bedoeling sluitende definities van AC en ITGC te geven, maar voor het vervolg is het wel belangrijk enkele kenmerken van verschillende soorten IT controls te vermelden. Overigens, het hoogste niveau van IT controls wordt in dit kader ook wel aangeduid met de Entity (of Company) Level Controls (ELC). Deze ELC vormen onderdeel van de ‘controleomgeving’ en worden vaak ondersteund door het COSO-raamwerk.

C-2007-3-Gils-2

Figuur 2. Relatie IT controls. [Klik hier voor grotere afbeelding]

Entity Level Controls

Entity Level Controls zijn interne beheersingsmaatregelen met name op het organisatieniveau en niet zozeer op het transactie/procesniveau, en bevatten daarom in het algemeen alle beheersingmaatregelen van het COSO-framework met uitzondering van de ‘control activities’, omdat die met name te vinden zijn op het transactie/procesniveau. Deze ELC geven een beeld van de mate waarin maatregelen zijn getroffen die een goede cultuur voor beheersing ondersteunen. Bij positieve bevindingen zal de accountant het inherente risico op het falen van het internecontrolemechanisme lager inschatten dan bij minder positieve bevindingen.

Kader 1 geeft een overzicht van de diverse IT-aandachtsgebieden in het kader van de ELC. Later in dit artikel zullen enkele voorbeelden van IT-aandachtsgebieden volgen die mogelijk geschikter zijn als onderdeel van de ELC dan van de ITGC.

Kader 1. Overzicht IT-aandachtsgebieden in Entity Level Controls.

IT-aandachtsgebieden in het kader van Entity Level Controls

Control environment

IT Strategic Planning
IT Organization and Relationships
Management of Human (IT) Resources
Education and Training of Users and IT staff

Risk assessment

IT Planning Subcommittee of IT steering committee
Assess information risk to achieve business objectives, consider probability and likelihood of threats
Linkage of IT Risks to Business Risks
Business impact assessment considering the impact of systems failure on financial reporting
Management has a formal change management process in place to ensure that any changes that are made to the IT systems are authorized and in line with the business objectives

Information and communication

Policies and Procedures governing IT Organization’s activities
Information Architecture
Defined security levels for each data classification
Communication of Management aims and directions
Development of information systems linked to the company’s overall strategy, that are responsive to achieving the company-wide and activity-level objectives

Monitoring

Compliance with External Requirements
Independent Assurance – i.e., internal audit reviews
Management review of key performance indicators which are linked to business objectives to help ensure the IT department is meeting its objectives
Management controls in place to ensure the effectiveness of any self-assessment processes or periodic systems evaluations utilized, and
Management controls in place to ensure the effectiveness of monitoring controls performed at centralized processing locations, including shared service centers.

Sinds de SEC-proposal ‘Management’s report on internal control over financial reporting’ van december 2006 en PCAOB’s Auditing Standard 5 – zie voor de relevante passages kader 2 – is een nieuwe discussie op gang gekomen over (indirecte) ELC en directe ELC. Deze discussie maakt duidelijk dat hoe verder een ELC af staat van een financial reporting element, hoe minder effectief de control is. En dat omgekeerd wanneer een ELC met hetzelfde niveau van precisie wordt uitgevoerd als een beheersingsmaatregel die men in processen verwacht om fouten in de financiële verantwoording te voorkomen of te detecteren, de accountant zal kunnen volstaan met het testen van de ELC in plaats van de controls in de processen. Daarmee wordt dan meer recht gedaan aan de top-downbenadering en worden naar verwachting minder detailcontroles uitgevoerd. In figuur 3 wordt dat inzichtelijk gemaakt. Volgens de PCAOB doet op dit moment de Committee of Sponsoring Organizations of the Treadway Commission (COSO) onderzoek naar deze uiteenrafeling van de ELC.

Kader 2. Relevante passages uit de SEC- en de PCAOB-publicatie in verband met de discussie over Entity Level Controls.

SEC december 2006:

The more indirect the relationship to a financial reporting element, the less effective a control may be in preventing or detecting a misstatement. Some entity-level controls, such as the control environment (e.g., tone at the top and entity-wide programs such as codes of conduct and fraud prevention), are indirectly related to a financial reporting element and may not, by themselves, be effective at preventing or detecting a misstatement in a financial reporting element. Therefore, while management ordinarily would consider entity-level controls of this nature when assessing financial reporting risks and evaluating the adequacy of controls, it is unlikely management will identify only this type of entity-level control as adequately addressing a financial reporting risk identified for a financial reporting element. Some entity-level controls are designed to operate at the process, transaction or application level and might adequately prevent or detect on a timely basis misstatements in one or more financial reporting elements that could result in a material misstatement to the financial statements.

PCAOB AS5: Entity-level controls vary in nature and precision –

Some entity-level controls, such as certain control environment controls, have an important, but indirect, effect on the likelihood that a misstatement will be detected or prevented on a timely basis. These controls might affect the other controls the auditor selects for testing and the nature, timing, and extent of procedures the auditor performs on other controls.
Some entity-level controls monitor the effectiveness of other controls. Such controls might be designed to identify possible breakdowns in lowerlevel controls, but not at a level of precision that would, by themselves, sufficiently address the assessed risk that misstatements to a relevant assertion will be prevented or detected on a timely basis. These controls, when operating effectively, might allow the auditor to reduce the testing of other controls.
Some entity-level controls might be designed to operate at a level of precision that would adequately prevent or detect on a timely basis misstatements to one or more relevant assertions. If an entity-level control sufficiently addresses the assessed risk of misstatement, the auditor need not test additional controls relating to that risk.

C-2007-3-Gils-3

Figuur 3. Testen van directe ELC kan tot vermindering van proces level tests resulteren.

Deze splitsing van directe en indirecte ELC doet zich ook voor bij IT controls. Ook hierbij kan onderscheid worden gemaakt tussen controls die als ‘indirect’ kunnen worden aangemerkt en controls die een direct karakter hebben. Dit is al min of meer vormgegeven in indirecte controls volgens IT-aandachtsgebieden in de ELC (zie kader 1) en de ITGC waarin de directe IT controls zijn opgenomen. Echter, deze splitsing lijkt nog niet opgezet te zijn vanuit de top-downgedachte zoals die eerder is aangegeven. In het vervolg van dit artikel zal hierop worden teruggekomen.

Application controls

Voor een application control (AC) geldt dat de beheersingsmaatregel in de applicatieprogrammatuur is vastgelegd zodat de control consequent wordt uitgevoerd. In essentie betreft het vaak het berekenen en/of vergelijken van gegevens. Een berekening is strikt genomen geen beheersingsmaatregel, maar de accountant wil toch wel graag vastgesteld zien dat bijvoorbeeld de maandelijkse interestberekening goed door het systeem wordt uitgevoerd.

Veel AC blijken feitelijk IT dependent manual controls te zijn, omdat er tevens een handmatig deel in de beheersingsmaatregel is opgenomen. Denk aan een geprogrammeerde controle die een foutenlijst genereert. Natuurlijk moet de auditor zich afvragen of de lijst wel alle fouten detecteert en op de lijst afdrukt; dat is het AC-deel of het ‘IT dependent’ deel. Maar vervolgens werkt de control pas echt als ook iemand de lijst doorloopt en correctieve acties neemt; dat is het handmatige deel.

Ook werken bepaalde AC parametergestuurd. Een bekende AC als de ‘3-way match’ (geautomatiseerde maatregel die controleert of de ontvangen factuur overeenstemt met de order en ook met de ontvangen goederen of diensten) kan technisch wel werken, maar als de limieten voor kleine verschillen zeer ruim zijn gedefinieerd (parameters), dan werkt de control inhoudelijk niet. In dit artikel ga ik niet verder in op het handmatige deel van AC.

Naar hun aard kunnen AC in enkele kenmerkende categorieën worden ingedeeld (zie tabel 1).

Wanneer we kritischer naar de IT-aspecten kijken zien we vooral twee elementen terugkomen:

geprogrammeerde instructies, dus harde coding in de applicatieprogrammatuur;
tabellen waarop de geprogrammeerde instructies de beslissingen en/of berekeningen mede baseren (wel of geen toestemming geven, wel of niet als uitzondering classificeren, etc.).

Daarbij kunnen de geprogrammeerde instructies en tabellen direct in de applicatieprogrammatuur of applicatietabellen zijn opgenomen, maar eventueel ook in infrastructurele componenten, zoals specifieke toegangsbeveiligings- en databasesystemen. Het zal duidelijk zijn dat het onderscheid in AC noodzakelijk is om zowel de aspecten van de AC te kunnen testen (denk aan de 3-way match), alsook de scoping te kunnen doen voor de ITGC. Hierop wordt in de volgende paragraaf nader ingegaan.

C-2007-3-Gils-t1

Tabel 1. Application controls, voorbeelden en IT-aspecten. [Klik hier voor grotere afbeelding]

IT general controls

ITGC zijn algemene beheersingsmaatregelen met betrekking tot de IT-verwerking. Er zijn vele publicaties die de ITGC opsommen, waarvan Cobit de meest bekende is. Door PCAOB’s AS2 zijn de IT controls voor de jaarrekeningcontrole toegespitst op de vier rubrieken ‘access to programs and data’, ‘change management’, ‘program development’ en ‘operations management’. Voor een nadere aanduiding van deze rubrieken zie kader 3. Deze indeling is voor Cobit aanleiding geweest een selectie van ITGC te maken uit het volledige raamwerk en deze selectie te koppelen aan de vier rubrieken. Menig accountantskantoor heeft de ITGC-checklists aangepast aan deze vier rubrieken. Bijzonder is nu dat in de proposed SEC-standaard deze vier rubrieken onveranderd zijn opgenomen maar dat in de AS5 deze rubricering achterwege is gebleven. In AS5 wordt verwezen naar AICPA’s standaard ‘AU sec. 319, Consideration of Internal Control in a Financial Statement Audit (Paragraphs .16 through .20, .30 through .32, and .77 through .79)’, inzake het effect van IT op interne controle op de financiële verantwoording en het risico waaraan de accountant aandacht dient te besteden. Bijzonder is dat in AU319 andere rubrieken zijn opgenomen: program changes, access controls and system software controls. Ook bijzonder is dat in AS5, appendix B over benchmarking toch de rubrieken worden vermeld, maar nu als program changes, access to programs, and computer operations. Het is even afwachten hoe de internationale IT-auditstandaarden, zoals SOx-Cobit, hierop zullen reageren.

Het aanduiden van de rubrieken lijkt een woordenspel te zijn, in de praktijk echter lijkt het voldoen aan de onderliggende normenstelsels, zoals (Cobit) IT Control Objectives for SOX van het IT Governance Institute en de checklists van de accountantskantoren, bijna een doel op zich te zijn geworden. De relatie naar de verschillende AC lijkt dan uit het zicht verdwenen.

Kader 3. Korte indicatie van ITGC (niet uitputtend).

Rubriek 1: Access to programs and data

information security policy / user awareness
physical access
configuration of access rules
access administration
identification and authentication
monitoring, and
super users.

Rubriek 2: Change management

authorization, development, testing and approval
migration to the production environment
configuration changes, and
emergency changes.

Rubriek 3: Program development

methodology for development /acquisition
design, development, testing, approval and implementation, and
data migration.

Rubriek 4: Operations

job processing
backup and recovery procedures, and
incident and problem management procedures.

Scoping van de ITGC

Zoals eerder is aangegeven, hoort de scoping van ITGC plaats te vinden op basis van application controls waarop de auditor wil steunen. Veelal worden daarvoor IT-identificatiematrices gehanteerd zoals weergegeven in de tabellen 2 en 3.

C-2007-3-Gils-t2

Tabel 2. IT-identificatiematrix aan de gebruikerskant (processen).

C-2007-3-Gils-t3

Tabel 3. IT-identificatiematrix aan de IT-kant (infrastructuur) voor scoping ITGC.

De relatie tussen de specifieke AC en de beheersingsmaatregelen is in tabel 3 voor de IT verdwenen en dus worden alle ITGC voor de van toepassing zijnde infrastructuur en locatie geselecteerd en getest (zie kader 3).

Daarmee is een risico voor een belangrijke inefficiency geschapen wanneer we vaststellen wat veelal getest wordt in het kader van de ITGC. Door eenvoudig te stellen dat het beoordelen van de ITGC noodzakelijk is voor bieden van redelijke zekerheid voor de werking van de AC doet de auditor waarschijnlijk tests die geen bijdrage leveren aan de onderbouwing van het goed functioneren van de laatstgenoemde controls.

ITGC-deficiencies relateren aan AC

Stel nu het volgende voorbeeld:

De accountant wenst te steunen op de AC 3-way match, mede in het kader van de beoordeling van de rekening Debiteuren. Het systeem controleert daarbij of de factuur aansluit op de in het systeem vastgelegde bestelling en ontvangstmelding van goederen of geleverde diensten. Daarop test de accountant of de AC goed is geïmplementeerd. Daartoe wordt bijvoorbeeld een interview gedaan met de systeemeigenaar, is aan de hand van enkele facturen vastgesteld dat het systeem de controle heeft uitgevoerd en zijn de tolerantiegrenzen in de tabel in het systeem beoordeeld. Op basis daarvan heeft de accountant vastgesteld dat de AC effectief is. Om vervolgens voldoende zekerheid te krijgen dat deze control ook in de tijd effectief is vraagt hij de IT-auditor de ITGC te beoordelen. Stel dat de IT-auditor vaststelt dat de 25 medewerkers van de afdeling Systeemontwikkeling allemaal de mogelijkheid hebben programma’s in de productiebibliotheek te zetten. De IT-auditor concludeert daarom dat change management niet effectief is (zie kader 3: change management, tweede bullet) ofwel dat er onvoldoende bewijs is om aan te nemen dat de geprogrammeerde controles ongewijzigd zijn gebleven.

De relatie tussen ontoereikende change management en de werking van de 3-way match is door de IT-auditor aan de accountant goed uit te leggen en gezamenlijk kunnen zij naar alternatieve controles zoeken om de tekortkomingen in change management te compenseren. Te denken valt aan bijvoorbeeld beoordeling van de logging van de productiebibliotheek waaruit zou kunnen blijken dat geen changes zijn aangebracht in de onderzochte periode. In dat geval kan de accountant toch steunen op de AC. Mocht er geen additionele zekerheid vanuit de IT-auditor komen, dan zal de accountant alternatieven zoeken om de controledoelstelling te halen. Bijvoorbeeld door via auditsoftware alsnog de 3-way match uit te voeren of via een uitgebreide steekproef de correcte boeking van de factuur te beoordelen.

Het bepalen welke alternatieve controles het meest efficiënt en effectief zijn gebeurt natuurlijk op basis van een risicoafweging vanuit de invalshoek van de accountant.

Maar hoe zal het overleg met de accountant gaan wanneer de IT-auditor bij de beoordeling van de ITGC vaststelt dat de fysieke beveiliging van het rekencentrum niet toereikend is (zie kader 3: access to programs and data, tweede bullet). Welk risico is er dat onbevoegde bezoekers in het rekencentrum precies weten welke databases op welke schijven staan en hoe vervolgens de 3-way match voor een bepaalde factuur kan worden gemanipuleerd? Overigens er dan nog van uitgaande dat dat niet wordt gesignaleerd via een control op de logging. Kortom, de relatie tussen fysieke beveiliging en een specifieke AC is meestal niet zodanig dat de werking van de AC zal worden beïnvloed, of de fysieke beveiliging nu effectief is of niet. En als dat zo is dan doet zich de vraag voor waarom de auditor dan de fysieke beveiliging heeft getest. En deze vraag speelt niet alleen bij fysieke beveiliging maar bij bijna alle onderwerpen van program development en operations (zie kader 3, rubrieken 3 en 4). En zelfs per AC zijn meestal niet alle controls binnen access to programs and data en change management (zie kader 3, rubrieken 1 en 2) relevant.

Voor bovenstaande voorbeelden kan de vraag worden gesteld of de IT-auditor vaker de invalshoek van de accountant moet volgen: het gaat er niet zozeer om of ergens in de IT-processen ingegrepen zou kunnen worden, maar wat de impact daarvan zou zijn op de jaarrekening. Door direct ook de materialiteit in ogenschouw te nemen, hoe moeilijk ook bij ITGC, zal een flink aantal mogelijke tekortkomingen kunnen worden afgedaan met een constatering dat de impact te laag is om verder te worden gecompenseerd via bijvoorbeeld alternatieve controles.

Door de IT-auditor dient per AC te worden nagegaan welke ITGC een directe relatie hebben tot die AC. ITGC die geen directe relatie hebben met de bewuste AC dienen dan dus niet op goede werking te worden beoordeeld. Alleen op basis van een deugdelijke selectie kan zinvol invulling worden gegeven aan de discussie wat te doen als er deficiencies worden gevonden. En natuurlijk wordt voorkomen dat ITGC worden beoordeeld die voor de AC niet relevant zijn.

Om dit te ondersteunen dient de IT-identificatiematrix (tabellen 2 en 3) dan ook te worden gecombineerd en aangepast volgens tabel 4. In deze matrix kan concreet worden aangegeven welke ITGC daadwerkelijk relevant zijn en dus ook welke niet.

C-2007-3-Gils-t4

Tabel 4. Verbeterde IT-identificatiematrix voor scoping ITGC. [Klik hier voor grotere afbeelding]

Dat wil natuurlijk niet zeggen dat de andere ITGC in het geheel niet meer relevant zijn, maar niet in detail voor deze control. Sommige ITGC zullen relevant zijn voor andere AC en sommige zullen nooit geraakt worden. Met name voor de categorieën Program development en Operations zal dat laatste van toepassing zijn. De auditor zal dat via een inventarisatie moeten vaststellen. Indien bijvoorbeeld nog veel batchverwerking plaatsvindt en door de IT-operators nog batchtotalen worden vergeleken om vast te stellen of alle bestanden in de verwerking zijn meegenomen, kan het zinvol zijn de uitvoering van de IT-operators te beoordelen, zeker als het risico groot is dat bepaalde invoerbestanden mogelijk anders niet verwerkt worden.

Hiermee is niet gezegd dat de auditor geen aandacht aan die controls zou hoeven geven. Natuurlijk zal het ontbreken van een ontwikkelingsmethodiek voor applicatieprogrammatuur niet bijdragen aan goed onderhoudbare systemen en zal het ontbreken van een incident-managementprocedure het tijdig herstellen van fouten niet ten goede komen. Hier gaat de vergelijking op met de ELC. Daar is beschreven hoe nu onderscheid gemaakt gaat worden tussen directe en indirecte ELC. Feitelijk staan in de ELC al enkele indirecte IT controls (zie kader 1) en kunnen de ITGC worden gezien als een verbijzondering van de directe ELC. Echter, uit het bovenstaande blijkt dat sommige ITGC toch niet zo’n directe relatie met de AC hebben en dus feitelijk misplaatst zijn in de ITGC. In analogie met de ELC geldt voor de directe ITGC de in figuur 4 weergegeven situatie.

C-2007-3-Gils-4

Figuur 4. Testen van directe ITGC kan tot vermindering van proces level tests resulteren.

Daarom zou de auditor dergelijke indirecte ITGC niet meer onder de standaard-ITGC moeten plaatsen, maar onder de ELC of in een aparte ‘indirecte ITGC’-rubriek. De indirecte ITCG geven een beeld van de kwaliteit van de IT-organisatie en zijn in die zin mede input voor te onderkennen risico’s in het kader van de controleaanpak of het vaststellen van de hoogte van de steekproefomvang bij het toetsen op de werking van ITGC. Daarnaast dekken de indirecte ITGC, samen met de directe ITGC, de behoefte van de accountant af om tijdig het management te waarschuwen voor risico’s als gevolg van zwakheden in de IT-omgeving. Denk bijvoorbeeld aan het ontbreken van een beveiligingsbeleid of aan ontoereikende back-up- en recoveryprocedures, die in het algemeen weinig of niet zullen bijdragen aan de voortdurende goede werking van AC. Een praktische uitwerking hiervan is het beoordelen van alle ITGC in opzet en bestaan (net zoals geldt voor de indirecte ELC) en voor de werking uitsluitend die ITGC te selecteren die daadwerkelijk een directe relatie met de AC hebben.

In figuur 5 is dat nog eens weergegeven.

C-2007-3-Gils-5

Figuur 5. Aanpak accountantscontrole waarbij de werking van de directe ITGC apart wordt getest.

Conclusie

In het kader van de jaarrekeningcontrole staat de beoordeling van de IT general controls niet op zichzelf. De bevindingen moeten bijdragen tot bevindingen met betrekking tot de financiële verantwoording, in het algemeen verwoord met het bieden van waarborgen van de voortdurend goede werking van de application controls in de financiële processen. Maar die relatie is niet altijd makkelijk, in een aantal gevallen zelfs vrijwel niet te leggen. Deze IT general controls worden sinds ze in vier categorieën door de PCAOB zijn aangeduid, algemeen herkend en ook het IT Governance Institute heeft een op Cobit gebaseerd ITGC-overzicht voor SOx geschreven, rekening houdend met die vier categorieën. In de praktijk worden vaak alle controls in alle vier categorieën beoordeeld zodra een application control is onderkend.

In de praktijk blijkt dat voor sommige IT general controls er geen directe link is te leggen met welke application control dan ook, met name in de onderdelen Program development en Operations. Het is dan ook niet effectief en niet efficiënt deze (indirecte) ITGC nog uitgebreid te testen ten behoeve van de jaarrekeningcontrole, inclusief SOx-integrated audit. Wel kunnen dergelijke controls bijdragen tot een beeld van de ‘control environment’ en daarmee van invloed zijn op de controleaanpak en de omvang van de tests op de werking van de ITGC. Deze zullen in analogie met de Entity Level Controls moeten worden onderscheiden in directe en indirecte ITGC. Voor het beeld dat de indirecte ITGC geven zullen zij alleen in opzet en bestaan worden getest, maar behoeven zij vervolgens niet op werking te worden getoetst. Voor de directe ITGC is die toets op de goede werking natuurlijk wel essentieel.

Literatuur

[NIVR95] NIVRA, Studierapport 34, Normatieve maatregelen voor de geautomatiseerde gegevensverwerking in het kader van de jaarrekeningcontrole, 1995.

De nieuwe AS5: Back to Basic

Mede door de SOx 404-wetgeving en de door de PCAOB uitgebrachte Auditing Standard 2 is IT de afgelopen jaren nadrukkelijk op de agenda van het management geplaatst. Het belang van IT voor een betrouwbare verslaglegging en de noodzaak om hierover zichtbaar ‘in control’ te zijn, heeft tot vele hoofdbrekens geleid. Uiteraard steunen veel organisaties op IT, maar welke IT en hoe groot zijn de risico’s precies. Naar de mening van de PCAOB hebben de organisaties en accountants te veel risico’s geïdentificeerd, waardoor te veel beheersingsmaatregelen object van onderzoek werden. Op 24 mei van dit jaar heeft zij een nieuwe auditingstandaard uitgebracht, waarin zij een meer risicogebaseerde aanpak voorschrijft. In dit artikel wordt kort stilgestaan bij de impact die dit op de IT-aspecten kan hebben.

Inleiding

Op 24 mei van dit jaar is de nieuwe standaard (AS5) voor audits van SOx 404-plichtige ondernemingen door de PCAOB uitgebracht ([PCAO07b]). Na goedkeuring door de SEC zal de Auditing Standard 5 van kracht zijn voor de betreffende ondernemingen die een boekjaar hebben dat na 15 november 2007 eindigt. In dit artikel wordt kort stilgestaan bij de huidige ervaringen met betrekking tot IT binnen deze audits en wat de mogelijke invloed van AS5 zal zijn. Hierbij zullen niet alle mogelijke consequenties kunnen worden besproken, maar zal de auteur de (in zijn ogen) belangrijkste aspecten behandelen.

AS5 als vervanger van AS2

IT-ervaringen binnen Auditing Standard 2

In Auditing Standard 2 (AS2) ([PCAO04]) was IT nadrukkelijk opgenomen en werd het belang voor de betrouwbare informatieverstrekking benadrukt. In dit verband zijn specifiek de IT-gebieden ‘program changes, program development, computer operations and access to programs and data’ opgenomen. Veel organisaties hebben de relevante controles binnen deze gebieden voor IT general controls uitgewerkt en kwamen vaak tot veertig à vijftig verschillende controles per platform of omgeving ([Fran07]). Daarnaast was er ook aandacht voor applicatiecontroles, maar hiervoor was minder guidance en dit bleek in de praktijk lastiger. De algemene indruk is dat applicatiecontroles relatief weinig aandacht hebben gekregen, zoals ook benadrukt door de PCAOB in haar (onlangs) gepubliceerde bevindingen over de 2005-reviews ([PCAO07a]). De audits zouden veel efficiënter kunnen plaatsvinden indien meer gebruik zou worden gemaakt van de geautomatiseerde controles.

IT-voorschriften binnen Auditing Standard 5

Op 19 december jl. heeft de PCAOB een voorstel gepubliceerd om AS2 te vervangen door AS5 ([PCAO06]). De SEC heeft op dezelfde datum een ‘guidance paper’ voor het management gepubliceerd ([SEC06]). De conceptstandaard is op onderdelen aangepast en op 24 mei uitgebracht. Ten opzichte van AS2 heeft IT, met uitzondering van de benchmarkingaanpak van volledig geautomatiseerde controles, minder aandacht gekregen. In paragraaf 36 wordt verwezen naar de algemene uitgangspunten van AU sec. 319, ‘Consideration of Internal Control in a Financial Statement Audit’, welke effectief is vanaf 1990. Met andere woorden, de auditor dient IT in zijn werkzaamheden te betrekken, zoals hij dat al langere tijd diende te doen, vóórdat AS2 was uitgebracht. Dit staat uiteraard los van de vraag of IT inderdaad in voldoende mate was meegenomen bij de effectieve en efficiënte uitvoering van de controle.

Betekent dit dat IT minder nadruk zou moeten krijgen, nadat AS2 hier juist verhoogde aandacht aan had gegeven? Nee, AS5 benadrukt het belang van een top-down- en risicogebaseerde aanpak, waarbij IT zeker van belang is. Maar de mate waarin is sterk afhankelijk, meer dan voorheen, van de specifieke feitelijke omstandigheden. We zagen de afgelopen jaren dat ITGC bij veel organisaties (min of meer) dezelfde controles bevatten, waarbij een zogenaamde ‘checkbox exercise’ werd uitgevoerd. Hier zal nu meer een selectie van relevante ITGC plaatsvinden, gebaseerd op relevantie, risico en complexiteit. De relevantie is in dit verband afhankelijk van het belang van de betreffende applicatie(controles) in relatie tot de betreffende controledoelstellingen, gerelateerd aan de meest risicovolle beweringen in de jaarrekening.

Daarnaast hebben veel van de wijzigingen in AS5 ook een directe invloed op de IT-auditplanning en -uitvoering. Hier wordt in de volgende paragrafen kort op ingegaan.

AS5 en IT-auditplanning en -uitvoering

Verwijderen onnodige procedures

Naast de eerdergenoemde top-down- en risicogebaseerde aanpak streven de opstellers van AS5 ook naar het zoveel mogelijk verwijderen van onnodige procedures. In dit verband dient de auditor geen evaluatie van het ‘management assessment’-proces uit te voeren en hierbij geen verklaring meer af te geven. Dit betekent dat de IT-auditor de uitgevoerde IT-testwerkzaamheden door het management met veel minder detail zal bekijken, indien hij geen gebruikmaakt van deze testwerkzaamheden. Het is de verwachting dat dit tot minder discussies zal leiden. Daarnaast wordt er minder vertraging in de uitvoering van de auditwerkzaamheden verwacht, omdat er niet hoeft te worden gewacht totdat het management zijn testwerk heeft uitgevoerd. Er wordt geen verklaring over afgegeven, de nadruk ligt op de werking van de relevante controles, die zouden moeten werken onafhankelijk van de uitgevoerde managementtesting. Hoeft het management dan helemaal niet meer te testen? Jawel, maar dit kan het op een andere wijze doen dan de auditor zou doen, waarbij de testing meer ’embedded’ kan zijn.

Verder zijn de ‘multi-location’-voorschriften aangepast en is het ‘coverage’-principe verwijderd. Dit betekent dat de auditor meer vanuit de risico’s beredeneerd zal selecteren welke processen en locaties in scope zijn voor de audit. Er zijn geen minimale percentages voor ‘coverage’, zoals de accountantskantoren intern voorschreven. Minder processen en locaties betekent ook minder IT in bereik.

Steunen op werk uit voorgaande jaren

Op aanraden van vele organisaties heeft de PCAOB aangegeven dat de auditor op voorgaande jaren kan steunen bij de uitvoering van zijn werkzaamheden. Maar ieder jaar staat nog wel op zichzelf en belangrijke controles dienen jaarlijks te worden getest. Op basis van de ervaring uit het verleden kan wel besloten worden minder te testen, bijvoorbeeld door het uitvoeren van andere testtechnieken en het selecteren van minder deelwaarnemingen. Voor geautomatiseerde controles kan men nog steeds gebruikmaken van de, in 2005, geïntroduceerde ‘benchmarking’-aanpak, waarbij deze controles niet jaarlijks hoeven te worden beoordeeld, indien de ITGC effectief zijn en de betreffende controle aantoonbaar niet is gewijzigd.

Steunen op werk van anderen

Binnen AS2 werd uitgebreid ingegaan op de mogelijkheid voor de auditor om op het werk van ‘anderen’ te steunen. Deze anderen kunnen interne auditors zijn, maar ook andere partijen, vallend onder aansturing en verantwoordelijkheid van het management. Hierbij is het begrip ‘principal evidence’ geïntroduceerd, wat in de praktijk heeft geleid tot aanzienlijke beperkingen bij het gebruikmaken van dit werk van ‘anderen’. Vooral bij de ITGC zijn beperkingen aangebracht door de accountantskantoren en moest het merendeel van de controles vaak door de externe auditor worden uitgevoerd. AS5 is ook hier aangepast en men verwijst naar bestaande algemene auditingstandaarden (AU-322, [PCAO07b]) voor het gebruikmaken van andere partijen in het uitvoeren van de auditwerkzaamheden. Er is uiteindelijk geen aparte standaard gekomen voor het steunen op het werk van ‘anderen’. Verder is in AS5 het begrip ‘principal evidence’ vervangen door ‘sufficient competent evidence’ om te benadrukken dat de eerdere voorschriften niet meer van toepassing zijn. Daarnaast is specifiek aangegeven dat we in dit verband mogen steunen op interne accountants, maar ook op andere medewerkers binnen de organisatie en ingehuurd personeel, zolang ze werken onder aansturing en verantwoordelijkheid van het management. Het is de verwachting dat er meer gesteund zal worden op ‘anderen’ bij het uitvoeren van de IT-auditwerkzaamheden.

Steunen op Company Level Controls

Mede doordat relatief veel organisatieonderdelen in de scope zaten voor de AS2-audit, zijn veel organisaties destijds gestart hun procescontroles in kaart te brengen en te testen. Hierbij werd een bottom-upaanpak toegepast in plaats van een top-downaanpak. De nadruk kwam hierbij te liggen op de procescontroles en in mindere mate op de aanwezige monitoring- en omspannende controles. Deze controles, zoals gedetailleerde marge- en cijferanalyses en verbandscontroles, kunnen voldoende bewijs leveren dat de betreffende controledoelstellingen zijn afgedekt, waardoor procescontroles minder (of niet) hoeven te worden getest. De PCAOB heeft in dit verband drie soorten Company Level Controls gedefinieerd:

indirecte – indirecte impact op andere controles;
controles die de effectiviteit van andere controles toetsen;
directe – werken met dezelfde precisie als de betreffende procescontroles.

De monitoring (tweede categorie) en de directe Company Level Controls zouden tot een efficiëntere beheersing kunnen leiden en tot besparing in de auditwerkzaamheden. Figuur 1 geeft dit grafisch weer.

C-2007-3-Francken-1

Figuur 1. Direct CLC versus PLC.

Dit principe is uiteraard ook van toepassing op de IT-controles, waarbij de auditors actief op zoek dienen te gaan naar de controles die impliciet andere controles testen, zoals de monitoring controles. Een review op de uitkomsten van geïmplementeerde geautomatiseerde security scripts op servers vervangt het beoordelen van de geïnstalleerde instellingen per server. En monitoring op het wijzigingsbeheerproces zou de noodzaak kunnen verkleinen om de individuele controles in het proces te testen. Uiteraard is dit soort voorbeelden afhankelijk van randvoorwaarden en feitelijke omstandigheden, maar AS5 stimuleert het creatief zoeken naar efficiency in de auditaanpak.

Steunen op professional judgement

Als we terugkijken op bovenstaande wijzigingen, waarbij de nadruk ligt op een top-down- en risicogebaseerde benadering en waarbij we meer steunen op ervaring uit het verleden, het werk van ‘anderen’ en de Company Level Controls, dan steunen we feitelijk meer op professional judgement. Dit betekent uiteindelijk minder, maar effectiever en efficiënter auditwerk, waarbij de inzet van meer ervaren medewerkers in de planningsfase toeneemt. In deze fase is een nauwe aansluiting tussen de scope en planning van het management en die van de externe auditor van groot belang. (Zie figuur 2 voor de SOx 404-aanpak.) Bedoelde interactie zal dan moeten leiden tot het realiseren van de kostenbesparingen, die mede ten grondslag lagen aan de gewijzigde AS5.

C-2007-3-Francken-2

Figuur 2. Top-down, risk-based approach SOx 404.

Conclusie

Bij het uitbrengen van AS2 is IT nadrukkelijk op de agenda gezet van het management en de auditors bij de SOx 404-plichtige ondernemingen. Dit heeft in de praktijk geleid tot een te grote nadruk op de IT general controls in relatie tot de applicatiecontroles, waardoor de compliancekosten zijn toegenomen. De PCAOB heeft benadrukt dat de efficiency in de geautomatiseerde controles dient te worden gezocht en in AS5 een meer top-down- en risicogebaseerde audit voorgesteld. Hierbij wordt in meerdere gevallen, zoals bij IT en het steunen op werk van anderen, verwezen naar bestaande standaarden. Ofwel, de auditors dienen hun werk meer op basis van professional judgement uit te voeren. Back to basic!

Literatuur

[Fran07] Drs. M.A. Francken RE RA CISA en drs. M.A.P. op het Veld RE, SOX IT eerste praktijkervaringen en toekomstige ontwikkelingen, Compact 2007/1.

[ITCO06] IT Control Objectives for Sarbanes-Oxley, second edition, ITGI, September 2006.

[PCAO04] An Audit Of Internal Control Over Financial Reporting Performed In Conjunction With An Audit Of Financial Statements, PCAOB Release No. 2004-001, March 9, 2004.

[PCAO06] An Audit Of Internal Control Over Financial Reporting Performed In Conjunction With An Audit Of Financial Statements, PCAOB Release No. 2007-001, December 19, 2006.

[PCAO07a] Report on the second-year implementation of auditing standard no. 2, an audit of internal control over financial reporting performed in conjunction with an audit of financial statements, PCAOB Release No. 2007-004, April 18, 2007.

[PCAO07b] An Audit Of Internal Control Over Financial Reporting That Is Integrated With An Audit Of Financial Statements, PCAOB Release No. 2007-005, May 24, 2007.

[SEC06] Securities and Exchange Commission, Release nos. 33-8762; 34-54976, Management’s Report on Internal Control over Financial Reporting, December 20, 2006.

IT governance en IT compliance, de relevantie voor het accountantsberoep

Ontwikkelingen ten aanzien van compliance maken de rol en betekenis van informatietechnologie steeds zichtbaarder. De compliancedruk heeft bedrijven gedwongen om de beheersing van informatietechnologie nadrukkelijk te testen en te documenteren. Indien de accountant in het kader van de jaarrekeningcontrole optimaal de beheersingsmechanismen van de te controleren organisatie wil benutten, wordt hij geconfronteerd met IT controls. Het is zaak dat de accountant beschikt over grondige IT-kennis om te kunnen bepalen welke (delen van) IT-systemen voor de controle van belang zijn en met welke diepgang en methodieken deze adequaat kunnen worden getest. Dit artikel gaat in op ontwikkelingen omtrent informatietechnologie als onderdeel van het accountantsproduct, beschikbare tooling en de relevantie voor het accountantsberoep.[Dit artikel is gebaseerd op de rede die is uitgesproken bij de 75-jarige viering van de Accountantsopleiding aan de Universiteit van Tilburg.]

Inleiding

De laatste jaren is de compliancedruk of wellicht beter gezegd de compliance-uitdaging overal waarneembaar in organisaties. Dit geldt niet alleen voor de in de Verenigde Staten aan de beurs genoteerde bedrijven, die sinds enkele jaren direct te maken hebben met de Sarbanes-Oxley Act, maar ook voor tal van andere organisaties. In Japan is JSOX geïntroduceerd, in Nederland gelden de eisen van de code-Tabaksblat en zo kan nog wel even worden doorgegaan met het noemen van voorbeelden.

Bij al deze compliancevraagstukken wordt de rol en betekenis van informatietechnologie (IT) steeds zichtbaarder. Hoewel aarzelend gestart in het kader van Sarbanes-Oxley is toch inmiddels wel duidelijk dat relevante IT controls moeten worden gedocumenteerd en getest. In dit betoog wordt ingegaan op enkele ontwikkelingen omtrent IT als onderdeel van het accountantsproduct.

Ontwikkelingen omtrent IT als onderdeel van het accountantsproduct

In mijn inaugurele rede, uitgesproken op de Universiteit van Tilburg in 2005, stelde ik dat de accountantsvraag inzake IT zich toespitst op de zekerheden die kunnen worden ontleend aan interne controls die in en rondom IT-systemen en -infrastructuren zijn opgenomen ([Fijn05]). Deze vraag is overigens niet nieuw, al decennialang is dit een te beantwoorden vraag. Indien de accountant optimaal de beheersingsmechanismen van de te controleren organisatie wil benutten in het kader van zijn jaarrekeningcontrole, wordt hij geconfronteerd met IT controls. Deze controls manifesteren zich niet alleen in de infrastructuur, door prof. Roos Lindgreen vaker aangeduid als de kruipruimte van de IT, maar juist ook in de applicaties. Deze applicaties kunnen bestaan uit ingewikkelde ERP-systemen, front- en backofficesystemen, een mix van legacy en nieuwe systemen en vele andere variëteiten. Het is zaak dat de accountant beschikt over grondige IT-kennis om het kaf van het koren te scheiden en te kunnen bepalen welke (delen van) IT-systemen voor zijn controle van belang zijn.

De eerdergenoemde IT controls worden veelal ingedeeld in twee categorieën, namelijk de IT general controls en de application controls. Publicaties van het IT Governance Institute, die bij de introductie van Sarbanes-Oxley zijn verschenen, werken deze indeling in meer detail uit. Overigens is het jammer om te constateren dat in de praktijk het belang van de IT general controls wordt overschat en de relatie tussen de IT general controls en application controls onvoldoende wordt gelegd.

Is er een dwingende reden voor de accountant om de beheersing van IT, ook wel aangeduid als IT governance, en de IT compliance te beoordelen? Uitgangspunt is dat de registeraccountant controleert of de jaarrekening is opgesteld in overeenstemming met de algemeen aanvaarde grondslagen en voldoet aan de wettelijke bepalingen zoals opgenomen in Titel 9, BW boek 2.

In 2006 hebben in [Fijn06] enkele IT-auditors (Beugelaar, Van Beek, Van Toledo, Van Gils) het volgende gezegd over de positie en het belang van IT in de accountantscontrole: ‘Informatietechnologie is in de afgelopen decennia een integraal onderdeel van de bedrijfsvoering van ondernemingen geworden. Alom wordt informatietechnologie gebruikt voor de financiële administratie en in toenemende mate worden ook complete logistieke processen binnen en tussen ondernemingen aan elkaar verbonden, waardoor geen enkele papieren vastlegging meer bestaat. Voorbeelden hiervan zijn telecombedrijven of ondernemingen waar de ordervastlegging via Internet plaatsvindt. Door het ontbreken van papieren vastleggingen is het in veel gevallen niet meer mogelijk om buiten de computer om te controleren. Het is haast niet voor te stellen dat controles nog handmatig kunnen worden uitgevoerd zonder op IT-uitvoer te steunen. Denk daarbij aan de aansluiting tussen twee systemen (‘interface’). De onderneming of accountant zal willen vaststellen dat de uitvoer van het ene systeem (logistiek systeem) geheel en ongewijzigd is ingevoerd in het tweede systeem (bijvoorbeeld het grootboeksysteem). Een veelvoorkomende controle is dat beide systemen lijsten produceren die door een medewerker of accountant op elkaar worden aangesloten. Dit lijkt een handmatige controle, maar gaat er wel van uit dat de lijsten op zich juist en volledig zijn. Met andere woorden, deze handmatige controle is sterk afhankelijk van de kwaliteit van de programmatuur (in Sarbanes-Oxley termen aangeduid als IT dependent controls).’

Directies van ondernemingen hebben de afgelopen jaren veel geld geïnvesteerd in IT en steunen voor hun interne beheersing volledig op de geautomatiseerde omgevingen. Zij verwachten van hun accountant dat hij in de accountantscontrole daar ook gebruik van maakt.

Het spreekt voor zich dat het accountantsberoep zich al vele jaren bewust is van deze ontwikkelingen en werkwijzen heeft ontwikkeld om op efficiënte wijze gebruik te maken van IT in de accountantscontrole. Daarnaast heeft ook de wetgever in BW, boek 2, artikel 393, lid 4 van de accountant gevraagd te rapporteren over zijn bevindingen inzake de betrouwbaarheid en continuïteit van de geautomatiseerde gegevensverwerking. Bij financiële instellingen gaat de betrokkenheid van de accountant nog verder. In het kader van de Wet op het financieel toezicht (Wft) zijn accountants verplicht te rapporteren over betrouwbaarheids- en continuïteitsaspecten van de geautomatiseerde gegevensverwerking. Concreet stelt de Wft (AMvB 5) in artikel 22 het volgende:

‘…Belangrijk is dat de externe accountant aandacht besteedt aan IT-risico’s. De externe accountant heeft met inachtneming van zijn opdracht een eigen taak en verantwoordelijkheid terzake van de inrichting en uitvoering van zijn werkzaamheden. De toetsing door de externe accountant wordt zoveel mogelijk geïntegreerd binnen het kader van het onderzoek van de jaarrekening. Dit betekent op grond van art. 393 BW 2 dat de accountant verslag uitbrengt van zijn onderzoek aan het bestuur en de RvC. Daarin vermeldt de accountant ook zijn bevindingen met betrekking tot de bedrijfsvoering.’

Het is steeds duidelijker dat IT een kritische positie inneemt in het intern risicobeheersings- en controlesysteem. Zowel de eerder aangehaalde code-Tabaksblat als in de Verenigde Staten de SEC en de Public Company Accounting Oversight Board (PCAOB, een toezichthoudend orgaan dat door de Sarbanes-Oxley Act is ingesteld) geven regels voor toezicht op de IT-activiteiten.

Zo stelt de code-Tabaksblat in artikel III.5.4 dat de auditcommissie zich in ieder geval richt op het toezicht op het bestuur ten aanzien van de toepassingen van de informatie- en communicatietechnologie. De accountant zal in het toetsen op de naleving van de code-Tabaksblat ook met deze IT-paragraaf worden geconfronteerd.

De Amerikaanse SEC heeft voor de ondernemingen die aan de SOx-wetgeving moeten voldoen in december 2006 nieuwe draft richtlijnen uitgegeven, waarin onder meer staat:

While general IT controls ordinarily do not directly prevent or detect material misstatements in the financial statements, the proper and consistent operation of automated or IT dependent controls depends upon effective general IT controls.

Ordinarily, management should consider whether, and the extent to which, general IT control objectives related to program development, program changes, computer operations, and access to programs and data apply to its facts and circumstances. For purposes of the evaluation of ICFR, management only needs to evaluate those general IT controls that are necessary to adequately address financial reporting risks.

En in de inmiddels definitieve versie van de Auditing Standard 5 van de PCAOB staat (art 36 note):

The identification of risks and controls within IT is not a separate evaluation. Instead, it is an integral part of the top-down approach used to identify significant accounts and disclosures and their relevant assertions, and the controls to test, as well as to assess risk and allocate audit effort as described by this standard.

Daarmee is IT governance en compliance als specifiek aandachtspunt een feit. Jammer is wel dat naar aanleiding van de Auditing Standard 2 van de PCAOB de IT general controls in de praktijk soms als een doel op zich worden gezien, hetgeen de eerder vermelde praktijkproblemen kan versterken. Primair zouden juist de application controls moeten worden beoordeeld en in het verlengde daarvan de relevante general IT controls. De bovenstaande eerste alinea van de SEC proposal geeft dat nu goed weer.

Wat betekent dit alles nu voor het accountantsberoep?

IT als object van onderzoek bij vele organisaties is voor de controlerend accountant een realiteit. Op welke wijze moet hij dit invullen? Het is bekend dat in de praktijk deze problematiek soms wordt uitbesteed aan een IT-auditor. Zoals wellicht bekend is het uitbesteden van een onduidelijke situatie meestal niet bevorderlijk voor de kwaliteit van de invulling. De accountant zal zelf moeten definiëren welke IT controls kritisch zijn in het kader van de jaarrekeningcontrole en vervolgens, waar nodig, in overleg treden met een expert, de IT-auditor, om hem te helpen bij het beoordelen van deze IT controls. Dit vergt proces- en IT-kennis op het juiste niveau, voorwaar een blijvende uitdaging in de zich continu veranderende IT-wereld.

Tot op heden zijn in dit betoog de ontwikkelingen omtrent IT als object van onderzoek centraal gesteld. Ter afsluiting wil ik graag enkele opmerkingen maken over IT als hulpmiddel bij de uitvoering van de jaarrekeningcontrole. Ik wil het dan niet hebben over hulpmiddelen bij het vastleggen van de dossiers maar juist over IT-middelen om audit evidence te vergaren.

Decennia terug spraken we al over auditsoftware, waarbij meestal deze hulpmiddelen waren en zijn gericht op het gegevensgericht vaststellen van de kwaliteit van de financiële gegevens. Ik ben ervan overtuigd dat we in het accountantsberoep een omwenteling zullen zien naar tool based auditing, juist gericht op het vaststellen van de kwaliteit van IT controls. Dit vraagstuk is feitelijk al langer aan de orde bij het gebruik van ERP-systemen. Deze systemen leveren controlerapportages op, die ook een basis bieden voor de werkzaamheden van de accountant. Met name door de invloed van de compliance wet- en regelgeving, die de focus heeft verlegd van ‘show me’ naar ‘prove me’, is dit verder versterkt. De kwaliteit van controls en ook IT controls moet op continue basis aan te tonen zijn. Dit vereist monitoring van IT-systemen, processen en controls. Leveranciers spelen hierop in. Momenteel zijn er al diverse producten voorhanden waarmee de kwaliteit van de IT controls zowel op applicatie- als op infrastructuurniveau (de kruipruimte) kan worden gedocumenteerd, getest en continu bewaakt. Op applicatieniveau kunnen de voor de jaarrekeningcontrole relevante proces controls in ‘rule books’ of ‘control catalogs’ worden vastgelegd. De tool stelt vervolgens vast of deze controls, denk daarbij aan functiescheidingen, integriteitcontroles, waarschijnlijkheidscontroles en dergelijke correct zijn geïmplementeerd en ook blijvend juist functioneren. Exception exports worden indien van toepassing opgeleverd.

Hiermee is een zeer krachtig middel geïntroduceerd om audit evidence te vergaren en verandert de jaarrekeningcontrole qua uitvoering. Ook voor het testen van de general IT controls zijn tools beschikbaar.

De aanpak verandert of is al veranderd. De beschikbare tools veranderen en vereisen IT-kennis voor het gebruik van deze tools. Dit alles moet de accountant in zijn bagage hebben, niet alleen vanuit veranderingen in wet- en regelgeving, maar hopelijk ook vanuit een inherent kwaliteitsbesef. Interessant is dat in 2006 de International Accounting Education Board van de IFAC een concept Practice Statement heeft uitgegeven over Information Technology voor Professional Accountants. Dit is een bewerking van de sinds 1995 bestaande Education Guideline IEG11. In de kern beschrijft deze Practice Statement de kennis benodigd bij accountants om zowel IT te gebruiken, maar juist ook om IT te beoordelen. De accountant als IT-expert of minimaal als degene die de IT-auditspecialisten kan aansturen en beoordelen. Een mooie gedachte, zeker, maar naar mijn mening ook de harde realiteit.

Literatuur

[Fijn05] Prof. dr. R.G.A. Fijneman RE RA, IT-auditing: grenzeloos of gelimiteerd?, inaugurele rede Universiteit van Tilburg, april 2005.

[Fijn06] Prof. dr. R.G.A. Fijneman RE RA, prof. dr. E.E.O. Roos Lindgreen RE en drs. K.H.G.J.M. Ho RE RA (red.), IT-auditing in de praktijk, juli 2006.

Fact-finding en data-analyse, toepassingen in de praktijk

Organisaties hebben interne beheersingsmaatregelen geïmplementeerd ten behoeve van onder meer een effectieve en efficiënte bedrijfsvoering. Daarnaast dragen adequate interne beheersingsmaatregelen bij aan de betrouwbaarheid van de gegevensverwerking in het kader van de financiële verantwoording. Aan het implementeren en uitvoeren van dergelijke maatregelen en het aantonen van het ‘in control’ zijn, zijn kosten verbonden voor organisaties. Ook maakt de externe accountant kosten in verband met het beoordelen (testen) van geïmplementeerde interne beheersingsmaatregelen. Door de inzet van data-analysetools kunnen in het overgrote deel van de situaties de interne beheersings- en controlekosten dalen.

De praktijk is echter zeer weerbarstig, maar wij zien onder invloed van de SOx-wetgeving een verhoogde aandacht voor data-analysetools.

In dit artikel zullen wij aan de hand van een aantal praktijkvoorbeelden laten zien dat (het bestaan en de werking van) interne beheersingsmaatregelen op een effectieve en efficiënte wijze getest kunnen worden door de inzet van data-analysetools, zoals IDEA en ACL.

Inleiding

Als gevolg van een toenemende aandacht bij organisaties en auditors voor het belang van het uitvoeren van een effectieve en efficiënte beoordeling van het stelsel van interne beheersingsmaatregelen zien wij dat hierbij een belangrijke rol is weggelegd voor de inzet van data-analysetools ([Brou06a]). Daarnaast worden er steeds zwaardere eisen gesteld aan de dossiervorming/bewijslast van de uitgevoerde controles. Data-analysetools kunnen voor allerlei doeleinden worden ingezet, bijvoorbeeld bij de uitvoering van de jaarrekeningcontrole, de beoordeling van dataconversies en specifieke onderzoeken zoals fraudeonderzoeken.

De markt op het gebied data-analysetools is in hoofdlijnen op te splitsen in tools die voor een specifieke applicatie zijn bedoeld (bijvoorbeeld Approva, SAP GRC (Governance Risk and Compliance), Oracle GRC Manager), voor bepaalde technische platforms (bijvoorbeeld Symantec, NetIQ, Consul Risk Management), en de producten die in principe productonafhankelijk zijn (bijvoorbeeld IDEA en ACL). In dit artikel wordt ingegaan op de productonafhankelijke tools. Zie voor de achtergrond en het toepassingsgebied van ERP-specifieke tools het artikel in een eerder verschenen Compact ([Brou06b]).

In dit artikel geven wij eerst de voordelen en aandachtspunten van de inzet van data-analysetools. Hierna maken wij aan de hand van een aantal praktijkvoorbeelden inzichtelijk dat interne beheersingsmaatregelen op een effectieve en efficiënte wijze getest kunnen worden door de inzet van data-analysetools. Dit doen wij aan de hand van een door ons ontwikkelde methodiek waarin ‘Internal Controls Frameworks’ en ‘Rulesbooks’ opgesteld worden. De ‘Internal Controls Frameworks’ beschrijven het te testen proces, de risico’s per proces en de controledoelstellingen. De zogenoemde ‘Rulesbooks’ bevatten gerichte instructies om de data-analyseactiviteiten te kunnen uitvoeren.

Voordelen van de inzet van data-analysetools

Er zijn op de markt verschillende productonafhankelijke tools verkrijgbaar waarvan IDEA en ACL de bekendste zijn. De tools kunnen op verschillende gebieden worden ingezet:

analyse van beveiligingslogging;
testen van interface en dataconversiemaatregelen;
controleren van toegangsrechten in applicaties, vooral gericht op het vaststellen van functiescheiding;
beoordelen van de juiste werking van de (handmatige en geprogrammeerde) beheersingsmaatregelen.

De echte kracht van data-analysesoftware ligt in de functionaliteit. Met behulp van data-analysetools kunnen over (meerdere) grote bestanden complexe bewerkingen worden uitgevoerd. De gegevens vanuit de bron blijven hierbij inzichtelijk, dat wil zeggen er wordt een audit trail opgebouwd van het inlezen van de bestanden tot aan het uiteindelijke resultaat.

De voordelen van het inzetten van data-analysetools zijn evident. Voordelen zijn zowel te behalen door organisaties zelf als door de auditors. Data-analyse kan worden ingezet vanuit verschillende invalshoeken. Zij kan bijvoorbeeld worden gebruikt om een betrouwbare gegevensverwerking van transacties vast te stellen, maar zij kan ook worden ingezet om de effectiviteit en efficiency van processen binnen organisaties te meten, alsmede om analytical reviews uit te voeren die als Company Level Controls kunnen bijdragen aan een verdere efficiëntere SOx 404 interne monitoring of externe audit. Verder kan met behulp van deze tools worden vastgesteld of applicatiecontroles gedurende het hele jaar hebben gewerkt, hetgeen belangrijk is in het geval de algemene computercontroles ontoereikend zijn gebleken.

Belangrijk pluspunt van data-analysetools is dat dergelijke tools met massale gegevensbestanden om kunnen gaan: het analyseren van honderdduizenden databaserecords is geen enkel probleem. Spreadsheets zijn bijvoorbeeld begrensd tot een maximumhoeveelheid data en de performance van veel rapportagesoftware laat bij grote gegevensverzamelingen algauw te wensen over. Daarnaast blijkt uit de praktijk dat met behulp van traditionele rapportagesoftware gemaakte managementrapportages te veel gericht zijn op het verleden en het management geen instrumenten in handen geven om bij te sturen of in te grijpen. Data-analysesoftware is juist in staat gerichte analyses uit te voeren die een bijdrage kunnen leveren aan gefundeerde ingrepen door het management.

Enkele voordelen van de inzet van data-analysetools zijn dan ook:

Door het inzetten van data-analysetools kan meer controlezekerheid verkregen worden. De tools kunnen grote stromen van transacties verwerken die onderworpen worden aan de gestelde testcriteria. Wanneer er fouten gemaakt worden binnen het proces bestaat er meer kans dat deze worden ontdekt dan dat dit het geval zou zijn bij het uitvoeren van een steekproef en het bij toeval ontdekken van een fout.
Het inzetten van data-analysetools bevordert de standaardisatie en snelheid bij het uitvoeren van tests op de internecontrolemaatregelen.
Het inzetten van data-analysetools kan ondersteunend zijn aan de informatiebehoefte van het management bij de beheersing en aansturing van de organisatie en haar processen.

Aandachtspunten bij het hanteren van data-analysesoftware

De ervaring leert dat de inzet van data-analyse leidt tot bruikbare resultaten. De geschetste voordelen van deze inzet kunnen echter niet zonder meer worden gerealiseerd. Het gebruik van dergelijke tools vergt een aanzienlijke hoeveelheid specialistische kennis. Gegenereerde resultaten dienen juist geïnterpreteerd te worden, en hiervoor is gedetailleerde kennis van modellering van processen en data onontbeerlijk. Naast deze technische kennis is een stevige dosis branchekennis en proceskennis noodzakelijk. Bovendien dient de probleemstelling goed te worden afgebakend. De focus dient te liggen op de ‘key-controls’ binnen de interne beheersing. Anders dreigt het gevaar dat data-analyse verzandt in steeds gedetailleerdere analyses, met alle kosten van dien. Branchedeskundigen kunnen de probleemstelling of informatiebehoefte van het management vertalen naar voor de technische specialisten uitvoerbare data-analyses. Ook hebben zij een cruciale rol bij de evaluatie en interpretatie van de uitkomsten. Deze uitkomsten moeten (afhankelijk van het doel van de analyse) immers weer worden vertaald naar een informatiebehoefte van het management. Als uitgangspunt hierbij geldt dat de analyse van de controlebehoefte de helft van de totale onderzoekstijd bedraagt. Vandaar de behoefte om per branche de essentiële data-analyse-instructies vast te leggen in de eerdergenoemde ‘Rulesbooks’.

Ook moet bij het gebruik van data-analysetools worden bedacht dat data-analyses die worden uitgevoerd op onbetrouwbare data tot verkeerde conclusies kunnen leiden. Het is daarom van groot belang om eerst te evalueren of de betrouwbaarheid van de brondata toereikend is voor het analysedoel. Hierbij moet voordat tot data-analyse wordt overgegaan, worden onderzocht of en zo ja, in hoeverre het noodzakelijk is data te schonen, te corrigeren of buiten beschouwing te laten. Hiertoe is inzicht nodig in het datamodel en de databasestructuur van de organisatie. Datatabellen kunnen immers wat naamgeving betreft een bepaalde inhoud suggereren die in de praktijk anders wordt uitgelegd. Het is daarom een vereiste dat inzichtelijk is wat de betekenis is van de diverse velden en hoe dit vertaald wordt in de bestanden. Veelal wordt hierbij snel inzicht verkregen in de data-integriteit van de bestanden. Dit op zijn beurt geeft weer inzicht in de werking van handmatige en geprogrammeerde beheersingsmaatregelen.

Ten slotte dient te worden nagegaan of de peildatum van de bestanden gelijk is om verschillen vooraf te voorkomen. Het is verstandig om vooraf de veronderstellingen te beschrijven ten aanzien van het onderliggende proces en de bronbestanden, bijvoorbeeld dat de database integer wordt verondersteld. Daarnaast dienen de handelingen beschreven te worden in de data-analysetool voor review en controles achteraf (audit trail, log file).

Methodiek voor het gebruik van data-analysetools

Om (het bestaan en de werking van) internecontrolemaatregelen te kunnen testen met behulp van data-analysetools is het belangrijk om van tevoren duidelijk te bepalen op welke wijze activiteiten uitgevoerd moeten worden. Een aantal aspecten speelt hierbij een rol, zoals de doelstelling van de data-analyse, evenals de scope en omvang van de analyse. Ten behoeve van het effectief en efficiënt inzetten van data-analysetools hanteren wij de in figuur 1 weergegeven methodiek.

C-2007-3-Brouwers-1

Figuur 1. Standaardmethodiek voor data-analysewerkzaamheden.

De methodiek wordt hieronder toegelicht.

Inzicht verkrijgen in het te testen proces en bepalen van de controledoelstelling

Allereerst is het belangrijk om te onderzoeken hoe het te testen proces binnen de organisatie is ingericht en te bepalen wat de controledoelstelling/-behoefte is. In het kader van de jaarrekeningcontrole is dit een proces dat in samenwerking met het controleteam wordt gedaan. Veelal kunnen binnen organisaties verschillende processen worden onderkend. Deze processen worden ondersteund door de inzet van applicaties om de transacties te verwerken. De data in deze applicaties vormen de basis voor onze data-analyse. Ook tussen processen bestaat samenhang, die van belang is bij het testen van internecontrolemaatregelen. Verder zal nagegaan moeten worden welke risico’s aanwezig zijn in de te testen processen.

Per te testen proces dient bepaald te worden wat de controledoelstelling(en) is (zijn). Voorbeelden van controledoelstellingen zijn:

de juistheid en volledigheid van inkoopkortingen per leverancier bij een inkoopproces;
de juistheid van gehanteerde betaalrekeningen van bijvoorbeeld leveranciers binnen een betalingsverkeerproces;
de juistheid van gehanteerde rentepercentages gedurende een bepaalde periode binnen een kredietverleningproces.

Analyse van het ‘Internal Controls Framework’

Zodra meer inzicht bestaat in het te testen proces, de risico’s per proces en de controledoelstellingen bepaald zijn, kan een start worden gemaakt met het identificeren van de internecontrolemaatregelen binnen het proces. Deze maatregelen worden vastgelegd in het ‘Internal Controls Framework’ (ICF). Het ICF bevat de belangrijkste processen, risico’s en controledoelstellingen. Een voorbeeld van een ICF wordt verderop in dit artikel gegeven. In het ICF kan ook aandacht worden besteed aan het testen van beheersingsmaatregelen die de effectiviteit van uitvoering van de processen meten. Bijvoorbeeld het meten of hypotheekoffertes worden uitgebracht binnen vijf werkdagen na ontvangst van de aanvraag.

Ontwerpen van ‘Rulesbooks’

De basis voor het ontwerpen van ‘Rulesbooks’ wordt gevormd door het ‘Internal Controls Framework’. De zogenoemde ‘Rulesbooks’ bevatten gerichte instructies om de data-analyseactiviteiten te kunnen uitvoeren. Door middel van de specificaties in het ‘Rulesbook’ wordt bepaald welke gegevens nodig zijn uit de applicatie(s) en worden de ‘queries’ op de data bepaald, zodat de internecontrolemaatregelen getest kunnen worden. De ‘queries’ worden ingevoerd in de data-analysetools. Per record in de database worden velden aangemaakt om te bepalen waaraan een specifiek record moet voldoen, vervolgens worden deze records gesommeerd over een bepaalde waarde. Dit leidt tot een nieuwe set aan records die voor de controle van data inzicht verschaft.

Vastlegging en rapportage

Naar aanleiding van het uitvoeren van de data-analyse met behulp van een data-analysetool dienen de uitkomsten hiervan geanalyseerd en vastgelegd te worden in een rapportage of verslag. De gegevens vanuit bijvoorbeeld IDEA kunnen eenvoudig worden geëxporteerd naar Excel. De lay-out van dergelijke rapportages is flexibel. Hierbij kan onder meer gedacht worden aan het opnemen van dashboards in de rapportage.

Niet elke beheersingsmaatregel uit het ICF is geschikt voor data-analyse. Deze beheersingsmaatregelen kunnen dan door middel van andere controlemiddelen worden getest, zoals waarnemingen ter plaatse, uitvoeren van cijferbeoordelingen en interviews. De inschatting hiervan zal per specifieke situatie uitgevoerd moeten worden. Beheersingsmaatregelen die niet via data-analyse getest worden, worden ook niet meegenomen in het ‘Rulesbook’ voor de data-analyse.

Voorbeeld toepassing in de praktijk

De ICF en ‘Rulesbooks’ kunnen onder meer worden gehanteerd bij de uitvoering van de controlewerkzaamheden in het kader van de jaarrekeningcontrole. Ten behoeve van de uitvoering van de jaarrekeningcontrole is het van belang om inzicht te hebben in het stelsel van de te testen interne beheersingsmaatregelen en wordt een controleaanpak ontwikkeld die een primair systeemgericht of primair gegevensgericht karakter kan hebben. In beide situaties kan de inzet van data-analysetools een bijdrage leveren aan de zogenaamde ‘fact-finding’, dat wil zeggen het vergaren van controlebewijs. ‘Rulesbooks’ worden alleen opgesteld voor die interne controles die via data-analyse onderzocht dienen te worden.

Ten behoeve van de uitvoering van controlewerkzaamheden in het kader van de jaarrekeningcontrole dient bepaald te worden welke activiteiten uitgevoerd moeten worden. Door middel van de hiervoor beschreven methodiek kan hier invulling aan worden gegeven. Belangrijk is dat afhankelijk van het type onderneming specifieke ICF en ‘Rulesbooks’ opgezet worden. Het opzetten hiervan brengt een belangrijk voordeel met zich mee, namelijk het gestandaardiseerd testen van interne beheersingsmaatregelen en het hergebruik hiervan (mits zich geen significante wijzigingen hebben voorgedaan in de controlemaatregelen en processen). Daarnaast zien wij een tendens binnen organisaties om IT te centraliseren en te standaardiseren waardoor dergelijke analyses ook weer breder toepasbaar zijn. Het opstellen van het ‘Rulesbook’ gaat gepaard met onder meer standaardisatie van het gebruik van controletoepassingen bij verschillende typen organisaties. Als een standaardwerkprogramma jaarlijks wordt toegepast, wordt hiermee een historie opgebouwd van de controle en kan vaak de data van het voorgaande jaar als input dienen voor de controlewerkzaamheden van het huidige jaar.

In het ‘Rulesbook’ zijn specifieke ‘werkinstructies’ opgenomen om de tests met behulp van data-analysetools uit te voeren. Het praktijkvoorbeeld is gebaseerd op een toepassing van het tool IDEA om data-analyse uit te voeren. Het ‘Rulesbook’ bestaat uit stappen/instructies die doorlopen kunnen worden om IDEA effectief en efficiënt te kunnen gebruiken. Deze stappen/instructies vormen de basis voor het opzetten van de ‘queries’ in IDEA. Omdat bestanden van verschillende klanten vaak anders zijn ingericht, is het niet mogelijk een algemeen toepasbaar bestand te maken waarbij de gebruiker alleen de input hoeft in te lezen en de output automatisch gegenereerd wordt. Het is wel mogelijk om voor de stappen die worden doorlopen een macro op te nemen en jaarlijks de jaartallen in de broncode aan te passen en uit te voeren. Daarmee is een bepaalde mate van standaardisering van de werkzaamheden mogelijk en zijn belangrijke efficiencyvoordelen te behalen. De ervaringen tot nu toe leren dat door middel van IDEA een effectieve en efficiënte jaarrekeningcontrole kan worden uitgevoerd.

Indien gekozen wordt om gebruik te maken van IDEA dan kunnen de in het ‘Rulesbook’ opgenomen stappen worden gebruikt als vastlegging van auditbewijs.

Wanneer we uitgaan van een standaardprocesmodel kunnen we vanuit het ICF de werkinstructies voor het uitvoeren van de data-analyse definiëren. Aan de hand van het ICF wordt bepaald welke interne beheersingsmaatregelen getest worden met behulp van data-analysetools en worden de werkinstructies hiervoor vastgelegd in de ‘Rulesbooks’.

Het definiëren van de werkinstructies in de ‘Rulesbooks’ baseren we op de vastlegging in het ICF (zie figuur 2).

C-2007-3-Brouwers-2

Figuur 2. Opbouw template van ICF.

Een voorbeeld van de inzet van IDEA betreft een standaardcontrole bij een pensioenfonds. Bij deze controle bestaat de mogelijkheid om het deelnemersbestand (alle deelnemers aan het pensioenfonds) aan te melden bij de Gemeentelijke Basis Administratie (GBA). Op het moment van overlijden van de deelnemer ontvangt het pensioenfonds een bericht van overlijden. Hiernaast bestaat er de mogelijkheid op te vragen welke deelnemers nog in leven zijn per afsluitdatum. Voorwaarde voor toepassing hiervan is dat het pensioenfonds alle deelnemers tijdig aanmeldt bij het GBA en tijdig de gemelde overlijdensgevallen in zijn deelnemersadministratie verwerkt.

Hier dient dus voor de volledigheid van de aanmelding gesteund te worden op de AO/IB. Als hier niet op gesteund kan worden, dan vormt de controle de juistheid te valideren door de in leven zijnden van de deelnemersadministratie aan te sluiten met het downloadbestand van het GBA. In de voorbeelduitwerking is dit voor een pensioenfonds uitgevoerd. We vergelijken hierbij het bestand ontvangen van het GBA met het uitkeringenbestand van het pensioenfonds. De processtap, het risico en de werkinstructie zijn weergegeven in figuur 3.

C-2007-3-Brouwers-3

Figuur 3. Voorbeeld ICF.

In de in figuur 4 weergegeven schermafbeelding zien we dat twee bestanden worden vergeleken op het unieke nummer van de deelnemer, namelijk het BSN-nummer in het GBA met het sofinummer van het uitkeringenbestand.

C-2007-3-Brouwers-4

Figuur 4. Schermprint 1: Aansluiting van GBA en uitkeringenbestand.

De schermprint van figuur 5 toont het resultaat van de koppeling van deze twee bestanden: de resultaten in de kolom BSN-nummer uit het GBA-bestand zijn gelijk aan de resultaten in het veld sofinummer zoals dat is opgenomen in de administratie van het pensioenfonds.

C-2007-3-Brouwers-5

Figuur 5. Schermprint 2: Resultaat van de samenvoeging van de bestanden.

De resultaten van deze controle zijn overgezet naar Excel. Met behulp van de functionaliteit van datafilters worden nadere analyses uitgevoerd op het samengestelde bestand. Het resultaat wordt in schermprint 3 (zie figuur 6) getoond. Deze deelnemers dienen door het management van het pensioenfonds nader te worden onderzocht. In dit voorbeeld kan dus niet volledig worden gesteund op de werking van de internecontroledoelstellingen.

C-2007-3-Brouwers-6

Figuur 6. Schermprint 3: Analyse van de resultaten.

Andere praktijktoepassingen

In de praktijk wordt auditsoftware al veelvuldig toegepast. Onderstaand volgt een overzicht van diverse voorbeelden van onderzoeken die hebben plaatsgevonden waarbij het nut van de inzet van data-analysetools is gebleken.

Bij een leasemaatschappij is de juistheid en volledigheid van een dataconversie beoordeeld. Hierbij zijn de brondata uit het oude systeem aangesloten op de data in het nieuwe systeem. Er zijn minimale verschillen gevonden ten aanzien van de volledigheid van de data.
Bij een verzekeringsmaatschappij is onderzoek verricht naar de transacties en verslaggevingsprocessen vanuit een ‘unit-linked’ levensverzekeringensysteem. Op basis van interviews en beperkte systeemdocumentatie is inzicht verkregen in de belangrijkste verslaggevingsrapportage, die vervolgens vanuit data-analysetools is nagebouwd om de betrouwbaarheid van de werking van het systeem vast te stellen. Het belangrijkste resultaat is dat ten aanzien van het interne beheersingsraamwerk adviezen zijn gegeven over de beheersbaarheid van de transactieprocessen en de verslaggevingsprocessen.
Bij een verzekeraar is een onderzoek uitgevoerd naar de autorisatie-inrichting. Per rol zijn de autorisaties op de menustructuur en de bestanden bepaald. Vervolgens is vanuit het polisbeheersysteem het volledige bestand ingeladen. Per medewerker is zodoende bepaald of de autorisaties overeenkomen zoals deze zijn gedefinieerd binnen de rol. Resultaat is dat de volledige set is geschoond en geactualiseerd naar de huidige situatie.
Bij een pensioenfonds zijn de uitkeringen en mutaties in de standen onderzocht. Doordat het controleteam de beschikking had over de data van het voorgaande jaar, konden de belangrijkste mutaties per deelnemer op juistheid worden onderzocht.

Conclusie

Data-analyse maakt gebruik van krachtige geautomatiseerde tools waarmee het mogelijk is bruikbare managementinformatie uit massale gegevensbestanden te destilleren. Bovendien kan dit in relatief korte tijd en zonder grote investeringen. Uiteraard is data-analyse geen panacee en kent zij haar eigen uitdagingen. Niettemin is uit de praktijkcasussen af te leiden dat data-analyse tot interessante resultaten kan leiden en dus terecht volop in de belangstelling staat. Data-analysesoftware lijkt een welkome aanvulling op de al bestaande geautomatiseerde hulpmiddelen.

Door middel van de inzet van data-analysetools kan meer inzicht worden verkregen in de beheersbaarheid van processen en het functioneren van internecontrolemaatregelen. We zien in de praktijk dat op verschillende gebieden data-analysetools worden toegepast door zowel management, internal audit als external audit. Voor de ondersteuning van de externe audit leidt het standaardiseren van controleprogramma’s in de vorm van ‘Internal Control Frameworks’ en ‘Rulesbooks’ tot een versnelde aanpak voor het testen van controlemaatregelen en biedt deze werkwijze daarnaast meer zekerheid dan de traditionele handmatige aanpak op basis van steekproeven. Echter, het toepassen van data-analysetools is wel onderworpen aan een aantal voorwaarden.

Literatuur

[Brou06a] P.P.M.G.G. Brouwers, Toekomst is nu, geautomatiseerde tools niet meer weg te denken, De Accountant, april 2006.

[Brou06b] Drs. P.P.M.G.G. Brouwers RE RA, drs. M.A.P op het Veld RE en drs. ing. A.T.J. Lissone, Tool-based monitoring en auditing van ERP-systemen, van hebbeding naar noodzaak, Compact 2006/2.

[PCAO04] PCAOB, Standard number 2: An Audit of Internal Control over Financial Reporting Performed in Conjunction with an Audit of Financial Statements, Public Company Accounting Oversight Board, March 9, 2004.

Nut en noodzaak van SAS 70

De uitbesteding van processen in de financiële sector heeft ertoe geleid dat de toezichthouder wil dat de uitbestedende organisatie aantoont ‘in control’ te zijn over de uitbestede processen. Steeds meer ondernemingen verlangen daarom – en ook uit hoofde van hun SLA-management – een SAS 70-rapport van de serviceorganisaties. In dit artikel geven de auteurs op basis van hun praktijkervaring en aan de hand van de Nederlandse accountantscontrolestandaarden en de SAS 70 guidance aan wanneer een SAS 70 nodig is en welke alternatieven voorhanden zijn. Tevens wordt stilgestaan bij zaken waar de gebruiker en de opstellers op moeten letten bij het lezen en vervaardigen van een SAS 70-rapport.

Inleiding

De laatste jaren besteden steeds meer organisaties expliciete aandacht aan het ‘in control’ zijn, want zij moeten aan de buitenwereld kunnen aantonen dat zij grip hebben op de processen in hun organisaties. De buitenwereld komt daarbij met meer regelgeving, zoals Sarbanes Oxley (SOx) 404 en commissie-Tabaksblat.

Een andere trend die de laatste jaren in opkomst is, betreft de focus op kernactiviteiten. Als gevolg hiervan worden specifieke werkzaamheden uitbesteed die niet tot de primaire activiteiten behoren of werkzaamheden waarvan de kennis en/of capaciteit binnen de eigen organisatie onvoldoende aanwezig is. Voorbeelden van uitbesteding zijn legio, waaronder uitbesteding van vermogensbeheer, uitbesteding van de uitvoering van de pensioenregeling en uitbesteding van (delen van) ICT.

De uitbesteding van processen in bijvoorbeeld de financiële sector heeft geleid tot nieuwe wet- en regelgeving, waarbij de toezichthouder wil dat de uitbestedende organisatie aantoont ‘in control’ te zijn over de uitbestede processen. De uitbestedende organisatie legt deze eis inzake de aantoonbaarheid van het ‘in control zijn’ neer bij de partij waaraan is uitbesteed. Deze laatste partij laat in de praktijk vaak een verklaring opstellen door een onafhankelijke derde die door zowel het management van de uitbestedende organisatie, haar accountant als de externe toezichthouder gebruikt kan worden.

Waarschijnlijk kennen de meeste lezers van Compact wel de bekende Third Party Mededeling (TPM) waarbij een externe partij, veelal een auditor, een oordeel afgeeft over de dienstverlening van een organisatie. Deze TPM’s worden van oudsher veel in de ICT gebruikt, waarbij de klant of een ICT-dienstverlener op verzoek van zijn klant een onderzoek laat verrichten door een onafhankelijke externe partij dat leidt tot een verklaring over de kwaliteit van zijn dienstverlening.

Een nieuwe variant die, hoewel reeds langer aanwezig, de laatste jaren in Nederland steeds meer aandacht krijgt en wordt toegepast is de Statement of Auditing Standard No. 70 (SAS 70). Vooral veel pensioenuitvoerders en verzekeringsmaatschappijen zorgen met SAS 70-rapporten dat pensioenfondsbestuurders kunnen voldoen aan de Regeling Uitbesteding van De Nederlandsche Bank. Daarnaast wordt door Amerikaanse beursgenoteerde bedrijven die in Nederland dochterondernemingen hebben, veel gebruikgemaakt van deze standaard omdat strikte SOx-regelgeving dit vereist. Hierdoor wordt SAS 70 steeds meer als standaard gezien. In het verlengde hiervan nemen wij het fenomeen waar dat organisaties een SAS 70-rapport vaak als marketinginstrument gebruiken om aan te geven dat zij ‘in control’ zijn door met advertenties naar buiten te treden wanneer een SAS 70-rapport wordt uitgebracht.

SAS 70-trajecten zijn over het algemeen erg kostbaar vanwege de inhuur van externe projectmanagers en doordat de administratieve organisatie in veel gevallen fors verzwaard wordt aangezien er veel meer eisen worden gesteld aan de aantoonbare vastlegging van interne controles. Hierdoor is het van belang voor zowel de serviceorganisatie als de gebruikers van SAS 70-rapporten – iemand zal uiteindelijk deze kosten dienen te betalen – na te gaan of een SAS 70-traject met een SAS 70-rapport als product noodzakelijk is dan wel welke alternatieven er voorhanden zijn. Dit artikel probeert antwoord te geven op de vragen wanneer een serviceorganisatie een SAS 70-rapport moet opstellen en wanneer de accountant van de gebruikersorganisatie een SAS 70-rapport dient te verlangen. Ofwel: wat is het nut en de noodzaak van een SAS 70-rapport?

Als eerste wordt hiertoe de SAS 70-standaard uiteengezet, waarbij met name wordt ingegaan op de inhoud van het SAS 70-rapport. Vervolgens wordt aan de hand van de Nederlandse accountantscontrolestandaarden uiteengezet wanneer een SAS 70-verklaring nodig is en welke alternatieven voorhanden zijn. Daarna wordt stilgestaan bij zaken waar de gebruiker en opstellers op moeten letten bij het lezen en vervaardigen van een SAS 70-rapport. Ten slotte volgen er enkele alternatieven voor een SAS 70-rapportage.

SAS 70

De standaard

SAS 70[Vermeldenswaardig is dat de Statement on Auditing Standards (SAS) No. 70, Service organizations, is geamendeerd en dat de werkelijke standaard (nu feitelijk de regelgeving) te vinden is in Professional Standards, vol. I, AU SEC 324. Toch spreekt men niet over SAS 324 omdat de term SAS 70 inmiddels is ingeburgerd.] is een Amerikaanse richtlijn uitgevaardigd door het American Institute of Certified Public Accountants (AICPA). In deze richtlijn wordt primair beschreven hoe de externe accountant van de gebruikersorganisatie om dient te gaan met door de gebruikersorganisatie uitbestede processen, aan bijvoorbeeld een externe beheerder van vermogen of een automatiseringsorganisatie (de serviceorganisatie).

Essentie van het SAS 70-rapport is dat de gebruikersorganisatie ten behoeve van haar jaarrekeningcontrole meer inzicht en/of zekerheid wil hebben dat de prestaties van de serviceorganisatie voldoen aan door de gebruikersorganisatie gestelde normen. Een SAS 70-rapport richt zich vooral op de interne processen en beheersingsmaatregelen binnen de serviceorganisatie. In figuur 1 is de relatie tussen klant, serviceorganisatie en auditor weergegeven. Tussen de klant en de serviceorganisatie is een service level agreement afgesloten. Daarnaast geeft de auditor een SAS 70-rapport af aan de serviceorganisatie, die deze in het kader van service level management mag verstrekken aan de klant.

C-2007-3-Bellen-1

Figuur 1. Relatie klant, serviceorganisatie en auditor.

In een SAS 70-rapport wordt op basis van het control framework van COSO de control environment beschreven. In dit controleraamwerk worden de aanwezige beheersingsmaatregelen beschreven. De auditor moet hierbij aangeven of deze beheersingsmaatregelen in opzet toereikend zijn en bestaan (type I) dan wel gedurende een bepaalde periode hebben gewerkt (type II). Daarnaast moet de auditor vaststellen of de aanwezige beheersingsmaatregelen de door het management gedefinieerde beheersingsdoelstellingen afdekken[Voor de jaarrekeningcontrole kan de accountant niet louter steunen op een type I-rapport, omdat de accountant de key controls over een jaar moet hebben getest.].

De standaard SAS 70 is voornamelijk gericht op de vorm van de rapportage en niet zozeer op de inhoud. Er wordt dus geen minimumset aan beheersingsdoelstellingen voorgeschreven. Dit is de verantwoordelijkheid van de serviceorganisatie. De auditor moet echter wel de toereikendheid van deze beheersingsdoelstellingen vaststellen. De guidance rondom SAS 70 geeft eisen aan de vorm van de rapportage.

Het SAS 70-rapport

De vorm van een SAS 70-rapport is uitgewerkt in de guidance van SAS 70 ([AICP06])[De SAS 324-standaard is niet zo uitgebreid. De guidance daarentegen wel. Hierin staan veel voorbeelden en ook voorbeeldrapporten.], waarin tevens de verantwoordelijkheden voor de diverse partijen zijn uitgewerkt. De rapportage heeft een vast voorgeschreven indeling, die overigens in de Nederlandse praktijk nog niet in alle SAS 70-rapporten herkenbaar terugkomt:

Sectie 1 bevat de mededeling van de auditor. Hierin geeft de auditor zijn oordeel over opzet en bestaan en/of werking van de beheersingsmaatregelen. Bij de opzet geeft de auditor tevens een oordeel of de maatregelen in algemene zin voldoen aan voorwaarden die de gebruikersorganisaties stellen in relatie tot de jaarrekening van de gebruikersorganisatie en specifiek de opzet van de beschreven beheersingsmaatregelen in sectie 2.
Sectie 2 bevat een beschrijving van de organisatie, het gevoerde beleid en de geïmplementeerde procedures op hoofdlijnen door de serviceorganisatie. In sectie 2 staan ook de beheersingsdoelstellingen en de beheersingsmaatregelen beschreven.
Sectie 3 is een sectie geschreven door de auditor, waarin hij een beschrijving kan geven van de uitgevoerde tests op de werking en de resultaten van deze tests.
Sectie 4 is voor de serviceorganisatie. Dit hoofdstuk wordt in de praktijk vaak gebruikt voor een toelichting op de geconstateerde bevindingen door het management, dan wel een toelichting op bepaalde (toekomstgerichte) aspecten. In ieder geval dekt de mededeling van de auditor sectie 4 niet af.

Indien een type II-verklaring wordt afgegeven, wordt in sectie 1 expliciet de werkingsperiode beschreven. De werkingsperiode betreft minimaal zes maanden (veelal het eerste jaar), waarbij het gebruikelijk is om een werkingsperiode van één jaar te hanteren voor daaropvolgende jaren. In uitzonderingssituaties kan afgeweken worden van de minimale werkingsperiode van zes maanden, waarbij het minimum drie maanden is. Een SAS 70-rapport over een periode van zes maanden is in principe niet voldoende voor de jaarrekeningcontrole. Er dient ook control evidence te worden verkregen over de andere maanden. Theoretisch gezien is het uitgangspunt van SAS 70 dat alleen het eerste jaar een periode van zes maanden zal beslaan, daarna zal de verklaring een heel jaar bestrijken. In de praktijk zien we echter steeds meer dat organisaties meerdere jaren achter elkaar een SAS 70 over een periode van zes maanden afgeven. Dit betreft vaak het tweede en het derde kwartaal van het jaar. De gebruikersorganisatie heeft dan nog de tijd en ruimte om in het vierde kwartaal compenserende maatregelen in haar eigen organisatie en controleraamwerk te treffen bij eventuele geconstateerde tekortkomingen.

In tabel 1 is samengevat in hoeverre de secties verplicht of optioneel zijn in geval van een type I- of een type II-rapport.

C-2007-3-Bellen-t1

Tabel 1. Sectie-indeling SAS 70-rapport.

Sectie 4 wordt niet door de auditor beoordeeld, de inhoud hiervan is de verantwoordelijkheid van de serviceorganisatie. In sectie 3 hoeft de auditor geen gedetailleerde beschrijving te geven van de uitgevoerde tests, het gaat in die sectie met name om de soorten uitgevoerde tests (inspectie, waarneming ter plaatse, verificatie met documentatie en reperformance). Een uitzondering hierop betreft die gevallen waarin de geteste beheersingsmaatregelen niet effectief waren, dan is een nadere toelichting op de uitgevoerde test(resultaten) vereist.

Nut en noodzaak

De noodzaak voor het opstellen van een SAS 70-rapport door de serviceorganisatie wordt primair ingegeven doordat de klanten en de accountants van deze klanten dit eisen uit hoofde van de externe jaarrekeningcontrole. Om de noodzaak van deze eis bloot te leggen zullen wij derhalve de Nederlandse accountantscontrolestandaard COS 402 De controleconsequenties van het gebruikmaken van serviceorganisaties[Deze standaard is afgeleid van de Internationale Accountantscontrolestandaarden van het IFAC.] ([NIVR07]) uiteenzetten. Waarna wij verder ingaan op het nut van een SAS 70-onderzoek.

Jaarrekeningcontrole

Uit COS 402 is een aantal belangrijke afwegingen te herleiden die een externe accountant, en in zijn kielzog het management van de gebruikersorganisatie, dient te maken in het geval bepaalde processen zijn uitbesteed aan een serviceorganisatie.

Verantwoordelijkheid extern

Artikel 2 geeft aan dat de accountant dient te beoordelen welke invloed het gebruikmaken van een serviceorganisatie door de gebruikersorganisatie heeft op de interne beheersing van de entiteit om het risico van een afwijking van materieel belang te kunnen onderkennen en in te kunnen schatten alsmede om aanvullende controlewerkzaamheden op te kunnen zetten en uit te kunnen voeren. In de reguliere jaarrekeningcontrole dient de accountant te bepalen in hoeverre de gebruikersorganisatie zelf de autorisatie van transacties uitvoert en/of voldoende effectieve maatregelen heeft getroffen. Indien de verantwoordelijkheid van de autorisatie van transacties bij de serviceorganisatie ligt kan de gebruikersorganisatie het noodzakelijk achten te moeten steunen op de voorschriften en procedures van de serviceorganisatie.

Invloed op de controle

In het laatste geval dient de accountant de betekenis van de activiteiten van de serviceorganisatie voor de gebruikersorganisatie en de invloed daarvan op de accountantscontrole vast te stellen (bijvoorbeeld de controleerbaarheid van de door de serviceorganisatie uitgevoerde werkzaamheden). In het geval dat de accountant concludeert dat de activiteiten van de serviceorganisatie belangrijk zijn voor de onderbouwing van de beweringen in de jaarrekening van de huishouding en dus relevant voor de controle zijn, dient de accountant voldoende inzicht te verkrijgen om risico’s van een afwijking van materieel belang te kunnen onderkennen.

Rapporten aanwezig

Daarvoor moet de accountant vaststellen of er rapportages aanwezig zijn voor het verkrijgen van informatie over de interne beheersing van de serviceorganisatie. Deze rapporten kunnen zowel zijn opgesteld door de (interne) auditor van de serviceorganisatie als door toezichthouders. COS 402 stelt geen eisen aan het ‘format’ of de inhoud van de rapportage. In deze rapporten dient wel een mededeling te zijn opgenomen door een externe auditor omtrent de effectieve werking van de interne beheersing van de serviceorganisatie met betrekking tot de activiteiten van de serviceorganisatie die voor de controle van belang zijn.

Hoewel COS 402 geen eisen stelt aan ‘format’ en inhoud, wordt in artikel 13 gesteld dat de accountant de reikwijdte, bruikbaarheid en toereikendheid van het verstrekte rapport dient te beoordelen. Daarnaast dient de accountant te beoordelen, indien het rapport de effectieve werking betreft, of de aard, het tijdstip van uitvoering en de diepgang van de tests toereikende controle-informatie verschaffen om het door de accountant ingeschatte risico van een afwijking van materieel belang te onderbouwen.

Aanvullende werkzaamheden

Concreet betekent het vorengenoemde dat als er geen rapporten aanwezig zijn dan wel de aanwezige rapporten onvoldoende zijn, de accountant zelf controlemaatregelen zal moeten uitvoeren teneinde een deugdelijke grondslag te verkrijgen voor zijn oordeel. Over het vaststellen van de effectiviteit stelt alinea 10 van COS 402 dat de accountant deze deugdelijke grondslag kan verkrijgen op twee alternatieve manieren:

toetsen van de werking van de beheersingsmaatregelen binnen de gebruikersorganisatie op de activiteiten van de serviceorganisatie;
bezoeken van de serviceorganisatie en het uitvoeren van systeemgerichte werkzaamheden.

Dit betekent dat, indien er geen SAS 70 of gelijkwaardig rapport aanwezig is, de accountant zelfstandig (aanvullende) werkzaamheden dient te verrichten. Dit is niet efficiënt wanneer de serviceorganisatie meerdere gebruikersorganisaties bedient.

Van belang bij het bepalen van de noodzaak van een SAS 70-rapport is de mate waarin de gebruikersorganisatie steunt op maatregelen die door de serviceorganisatie zijn getroffen. Dit is met name het geval als de beheersingsmaatregelen die door de gebruikersorganisatie zelf zijn getroffen inzake de uitbestede processen, niet alle risico’s in hun geheel afdekken. Als de gebruikersorganisatie zelf voldoende beheersingsmaatregelen heeft getroffen, is een SAS 70-rapport niet noodzakelijk. Een voorbeeld in dit verband is de uitbesteding van de salarisverwerking door een onderneming. Indien deze onderneming voldoende ‘input-output controls’ heeft op de juist-, volledig- en tijdigheid van de aangeleverde data en daarnaast de ontvangen cijfers beoordeelt door middel van deelwaarnemingen en totaalverbanden op de verwachte brutoloonsom en fiscale afdrachten, zouden deze ‘boundary controls’ voldoende kunnen zijn. Is dat niet het geval, dan is een SAS 70-rapport een mogelijke oplossing, waarbij uiteraard wel alle keyprocessen en -risico’s moeten zijn meegenomen.

Wel of geen SAS 70-rapport?

De gebruikersorganisatie dient vanuit haar verantwoordelijkheden een besluit te nemen over de noodzakelijkheid van een SAS 70-rapport.

Figuur 2 geeft een en ander kernachtig weer in een beslisboom.

C-2007-3-Bellen-2

Figuur 2. Beslisboom in het kader van de jaarrekeningcontrole.

Samenvattend kan gesteld worden dat in het kader van de reguliere jaarrekeningcontrole een SAS70-rapport niet altijd noodzakelijk is. Wel kan een SAS 70-rapport, afhankelijk van het type en de beschreven beheersingsdoelstellingen, voldoen aan de informatiewensen van het management van de gebruikersorganisatie. In de praktijk komt het echter vaak voor dat de accountant een SAS 70-rapport alléén, onvoldoende controle-informatie vindt voor de jaarrekeningcontrole van de gebruikersorganisatie. Het SAS 70-rapport dekt met name de volledigheid van de transactieverwerking af, maar geeft onvoldoende informatie bijvoorbeeld over de waardering en het bestaan van de beleggingen die in beheer zijn bij een vermogensbeheerder, waardoor aanvullende gegevensgerichte werkzaamheden dienen te worden verricht door de accountant op de beleggingsstanden per jaareinde.

SAS 70 voor andere doeleinden

Naast de noodzaak die voortvloeit uit een externe jaarrekeningcontrole zien we in de praktijk regelmatig dat SAS 70-rapporten worden opgesteld ten behoeve van andere doeleinden, zoals:

onderbouwing van het, onder SOx verplichte, in control statement, afgegeven door de CEO van de gebruikersorganisatie;
nakoming van afspraken zoals vastgelegd in service level agreements;
het kunnen voldoen aan de Regeling Uitbesteding van DNB;
commerciële doeleinden in die zin dat men wil aantonen dat de processen worden beheerst.

Hoewel een SAS 70-rapport vaak wordt gebruikt voor commerciële doeleinden, geeft het geen zekerheid voor de toekomst. Een SAS 70-rapport gaat specifiek in op een bepaalde werkingsperiode in het verleden (type II), terwijl een ISO-certificaat bijvoorbeeld geldend is voor een bepaalde periode in de toekomst (tot einde geldigheidsduur). Een goedkeurend SAS 70-rapport zonder bevindingen geeft alleen aan dat de organisatie in de werkingsperiode de betreffende beheersingsmaatregelen had ingericht (afhankelijk van de type-verklaring).

Een SAS 70-onderzoek is echter volgens de verplichte formulering van de accountantsmededeling gericht op het verkrijgen van een redelijke mate van zekerheid dat de beschrijving een getrouw beeld geeft van die aspecten van beheersingsmaatregelen van de serviceorganisatie die van belang kunnen zijn voor de interne beheersing van een gebruikersorganisatie, voor zover een en ander betrekking heeft op de controle van de jaarrekening van de gebruikersorganisatie.

Attentiepunten bij gebruik van SAS 70

Indien de noodzaak van een SAS 70-rapport aanwezig is en een SAS 70-rapport wordt opgesteld en uitgebracht, zijn de volgende, in willekeurige volgorde behandelde zaken van belang voor zowel het management van de serviceorganisatie als van de gebruikersorganisatie.

Relevante scope voor eindgebruikers

Zowel voor het management van de gebruikersorganisatie als haar accountant is het van belang een SAS 70-rapport aandachtig te bestuderen. Een auditorsrapport met goedkeurende strekking (afkeurend komt zelden voor) betekent niet automatisch dat het rapport voldoet aan de verwachtingen. Het is van belang dat de gebruiker vaststelt welke beheersingsdoelstellingen zijn getest en welke beperkingen het rapport kent. De auditor van de serviceorganisatie zal in zijn rapportage duidelijk de scope van het onderzoek moeten omschrijven en in zijn mededeling dan ook verwijzen naar de bijlage in de rapportage waarin de overeengekomen beheersingsdoelstellingen worden beschreven en waarin hij aangeeft welke tests hij heeft uitgevoerd en wat zijn bevindingen waren. Het komt in de praktijk voor dat essentiële beheersingsdoelstellingen, van belang voor de uiteindelijke gebruikers, niet zijn opgenomen en getest. Om dit te voorkomen is het raadzaam om vooraf met de gebruikersorganisatie af te stemmen welke beheersingsdoelstellingen in het SAS 70-rapport worden afgedekt. Het is overigens tevens raadzaam voor de serviceorganisatie om, al dan niet in een specifieke paragraaf genaamd ‘gebruikerscontroles’, aan te geven welke controles de gebruikers zelf dienen te verrichten teneinde de beheersingsdoelstellingen af te dekken.

Reikwijdte verklaring in relatie tot de accountantscontrole

In principe hebben de werkzaamheden in het SAS 70-onderzoek directe raakvlakken met de werkzaamheden die de accountant van de gebruikersorganisatie in het kader van de jaarrekeningcontrole uitvoert. Zoals eerder is gesteld gaat bijvoorbeeld de formulering van het oordeel van de auditor specifiek in op de jaarrekeningcontrole.

Een essentieel verschil is echter dat het doel van een jaarrekeningcontrole is om een oordeel uit te spreken over de getrouwheid van de gepresenteerde cijfers ten behoeve van een brede groep gebruikers (‘het maatschappelijk verkeer’). In het SAS 70-onderzoek geeft de auditor uitsluitend een oordeel over de afzonderlijk genoemde beheersingsmaatregelen voor een beperkte, vooraf gedefinieerde, verspreidingskring.

Afhankelijk van de gedefinieerde beheersingsdoelstellingen zal hij dus andere controlestappen uitvoeren: als de doelstelling is dat transacties tijdig moeten zijn verwerkt, dan zal hij van de geselecteerde transacties de tijdige verwerking vaststellen, terwijl hij in het kader van de jaarrekeningcontrole kan volstaan met vaststellen dat ultimo jaar de transacties zijn verwerkt door bijvoorbeeld afstemming met de bankafschriften.

Daarentegen wil een SAS 70-rapport ook niet direct zeggen dat alle zaken die in een SLA zijn opgenomen worden afgedekt, omdat de primaire scope van een SAS 70-rapport betrekking heeft op de jaarrekening.

Ten slotte kan de eindgebruiker, c.q. haar accountant, vaststellen dat bepaalde belangrijke beheersingsmaatregelen niet zijn onderzocht en er kan, in onderling overleg tussen de gebruikersorganisatie, haar accountant en de serviceorganisatie, besloten worden tot aanvullend onderzoek.

Timing van een SAS 70-rapport

Een verklaring bij de jaarrekening wordt aan het einde van een boekjaar verstrekt, wat zou kunnen inhouden dat een SAS 70-verklaring dezelfde einddatum zou moeten hebben. Idealiter is dat ook zo, maar indien een SAS 70-rapport na einde boekjaar wordt ontvangen en er tekortkomingen zijn gesignaleerd, is er geen mogelijkheid om hier nog compenserende maatregelen voor te identificeren c.q. te implementeren door de gebruikersorganisatie. Met name om die reden worden SAS 70-rapporten veelal opgevraagd en opgesteld per einde derde kwartaal, zodat de uitkomsten kunnen worden geëvalueerd in het vierde kwartaal van het boekjaar van de betreffende gebruikersorganisatie. Een andere vraag die hierbij opkomt, is hoe moet worden omgegaan met dit laatste kwartaal. Uiteraard is dit afhankelijk van het belang van het SAS 70-rapport binnen het internecontroleraamwerk van de gebruikersorganisatie, maar ook van de aard en omvang van de geconstateerde tekortkomingen. De gebruikersorganisatie zal in elk geval moeten vaststellen dat de situatie in het laatste kwartaal niet significant is gewijzigd ten opzichte van het voorgaande kwartaal: wijzigingen in management, systemen, processen en andere omgevingsfactoren. Het kan wellicht zinvol zijn de serviceorganisatie te vragen om door haar auditor specifieke overeengekomen werkzaamheden te laten verrichten op dit laatste kwartaal met een beperktere scope en diepgang dan het SAS 70-rapport zelf. Daarnaast kan de gebruikersorganisatie ook zelf een beperkte follow-up geven bij de serviceorganisatie.

One size fits all?

Het is voor de serviceorganisatie het meest efficiënt indien zij één SAS 70-rapport opstelt voor meerdere gebruikers. Binnen de verplichte management assessment (in geval van SOx) zien we dat er strak voorgeschreven ‘sample sizes’ van toepassing zijn met betrekking tot de te testen beheersingsmaatregelen. Indien de serviceorganisatie bij haar tests de minimale ‘sample sizes’ evenredig verdeelt over de processen en data van al haar klanten, kan het zijn dat de data en processen van de betreffende ondernemingen slechts beperkt (of niet) in deze testscope vallen. Indien bijvoorbeeld de serviceorganisatie het wijzigingsbeheerproces over de IT-infrastructuur verricht voor diverse ondernemingen en hierbij dertig van de driehonderd doorgevoerde wijzigingen test, kan het heel goed zijn dat er ondernemingen zijn waarvan de wijzigingen niet in de test vielen. Betekent dit nu dat de betreffende beheersingsmaatregelen van deze ondernemingen niet zijn getest? Dat is een moeilijke vraag waar eigenlijk geen eenduidig antwoord op is te geven. Dit hangt wederom sterk af van het belang en de bijbehorende risico’s van de uitbestede diensten. We zien in de praktijk dat ondernemingen die SOx 404-plichtig zijn, veelal specifieke testgevallen afdwingen voor de data die de serviceorganisatie onder haar beheer heeft, met name indien processen niet uniform verlopen of als systemen anders zijn ingericht voor verschillende gebruikersorganisaties.

Detailniveau beschreven tests

In een SAS 70-rapport behoeft het detailniveau van de uitgevoerde tests niet per test te worden vermeld, tenzij er afwijkingen zijn geconstateerd. Maar de AICPA SAS 70 audit guide (artikel 2.45) geeft in dit verband ook het volgende aan: ‘… description of tests of operating effectiveness and the results of those tests:

controls that were tested;
control objectives the controls were intended to achieve;
indication of nature, timing, extent, and results of the tests applied in sufficient detail to enable user auditors to determine the effect of such tests on their assessment of control risk …’

Veel SAS 70-rapporten geven dit detailniveau nog niet aan bij effectieve beheersingsmaatregelen. Dit is akkoord indien er duidelijk, bijvoorbeeld in de inleiding bij sectie 3, is aangegeven welke testmethodiek is toegepast en welke ‘sample sizes’ daar doorgaans bij horen.

Uiteraard zijn er nog andere aspecten te benoemen, maar dat gaat voor de doelstelling van dit artikel te ver.

Alternatieven voor een SAS 70-rapport

In de praktijk zien we dat er een aantal alternatieven voor een SAS 70-rapport is. Deze alternatieven zijn van oudsher in gebruik, vaak nog van vóór de tijd van SAS 70. Deze alternatieven zijn:

TPM, en
overeengekomen specifieke werkzaamheden.

Beide alternatieven worden hieronder kort uitgewerkt.

TPM

Een Third Party Mededeling (TPM) is een schriftelijke uiting over de interne beheersing van de processen van een serviceorganisatie. Deze uiting wordt verstrekt door een onafhankelijke en onpartijdige auditor ten behoeve van één of meer gebruikers, zoals gebruikersorganisaties en (potentiële) klanten van een serviceorganisatie en hun externe auditor(s). Hierbij wordt met een redelijke mate van zekerheid gerapporteerd over een set van normen.

Een TPM gaat daarmee expliciet in op een gedefinieerd normenkader en niet zozeer op de controleomgeving en de beheersingsdoelstellingen van een serviceorganisatie. Een TPM is van oudsher veel in gebruik bij automatiseringsorganisaties.

De belangrijkste verschillen tussen SAS 70 en TPM zijn in tabel 2 aangegeven.

C-2007-3-Bellen-t2

Tabel 2. Verschillen tussen SAS 70 en TPM.

Eén van de voordelen van een TPM is dat deze vaak gerichter is, doordat alleen de normen beoordeeld worden en niet de control environment. Dat maakt dat dit soort onderzoeken vaak goedkoper is. Het grote verschil tussen de inspanning voor een SAS 70-rapport en een TPM-rapport zit in het opstellen van het rapport.

Overeengekomen specifieke werkzaamheden

Bij overeengekomen specifieke werkzaamheden voert de auditor werkzaamheden uit bij de serviceorganisatie. Dit is veelal de auditor van deze serviceorganisatie, die in opdracht van de klant werkzaamheden uitvoert. Bij overeengekomen specifieke werkzaamheden wordt geen totaalconclusie gegeven. Dit betekent dat deze onderzoeken ook geen zekerheid geven ten behoeve van de jaarrekeningcontrole.

De auditor rapporteert per control bevindingen en of deze control wel of niet effectief is. Op basis hiervan kunnen de klant en diens accountant zelf hun conclusies trekken. De user auditor zal in dit verband veel betrokken zijn bij de uitvoering van de opdracht, om te kunnen waarborgen dat de uitkomsten van het onderzoek bruikbaar zijn.

De belangrijkste verschillen tussen SAS 70 en overeengekomen specifieke werkzaamheden zijn in tabel 3 aangegeven.

C-2007-3-Bellen-t3

Tabel 3. Verschillen tussen overeengekomen specifieke werkzaamheden en SAS 70.

Conclusie

Het nut en de noodzaak van een SAS 70-rapport zijn afhankelijk van het doel van de verklaring, de inhoud ervan (scoping) en de mate van uitbesteding. Elke gebruikersorganisatie dient, eventueel samen met haar accountant, te bepalen in hoeverre een verklaring voor de uitbestede dienstverlening noodzakelijk is. Dit zal afhankelijk zijn van het controleraamwerk bij de gebruikersorganisatie, alsmede van in hoeverre en in welke mate de werkzaamheden en de verwachte beheersingsmaatregelen van de serviceorganisatie daarin passen. Vervolgens moet bepaald worden op basis van effectiviteits- en efficiencyoverwegingen in hoeverre dit een SAS 70-rapport moet zijn of dat een TPM of overeengekomen specifieke werkzaamheden ook tot de mogelijkheden behoren. Tot slot zal de gebruikersorganisatie in samenspraak met haar accountant moeten bepalen of een SAS 70-rapport alleen voldoende is, mede gezien de werkingsperiode, of dat aanvullende werkzaamheden, bijvoorbeeld meer specifiek overeengekomen (andere) werkzaamheden, noodzakelijk zijn.

Literatuur

[AICP06] Service Organizations: Applying SAS No. 70, as amended, AICPA Audit Guide, American Institute of Certified Public Accountants, 2006.

[Bigg05] S.R.M. van den Biggelaar RE en P.C.V. Waldenmaier RE RA, Praktijkervaringen binnen SAS 70-trajecten, Compact 2005/2.

[Bigg06] S.R.M. van den Biggelaar RE, S. Janssen RE en G.J.L. Lamberiks, SAS 70 in een ICT-fabriek, accessoire, fabrieksoptie of onderdeel van de standaard, Compact 2006/1.

[NIVR07] Controle en Overige Standaarden COS 402, de controleconsequenties van het gebruikmaken van serviceorganisaties, Koninklijk NIVRA, 2007.

Fraudepreventie tegen phishing en pharming

Identiteitsdiefstal is al jaren een bekend fenomeen. Desondanks heeft phishing pas in de laatste twee à drie jaar veel aandacht gekregen in het landelijke nieuws. Dit artikel beoogt duidelijkheid over de werking van phishingaanvallen te geven en daarnaast aan te geven wat betrokken partijen kunnen doen om te voorkomen dat phishing en pharming succesvol zijn.

Inleiding

Het woord phishing, met de karakteristieke ‘ph’ erin, is afgeleid van de termen ‘password harvesting’ (ph) en ‘fishing’ en stamt uit de tijd toen inbelgegevens van AOL gestolen werden om gratis internettoegang te verkrijgen ([APWG07]). Het is een fenomeen dat zich de afgelopen jaren voornamelijk in de financiële sector als een serieus probleem heeft gemanifesteerd.

Met de term phishing wordt in essentie bedoeld: ‘op digitale wijze ‘stelen’ van gevoelige informatie (zoals creditcardnummers, sofinummers, inloggegevens, etc.) van individuen met behulp van vervalste e-mails’. Men tracht een gebruiker met behulp van een authentiek lijkende e-mail te bewegen persoonlijke gegevens direct via e-mail of via een vervalste website in te voeren, waardoor deze in de handen van personen terechtkomen die hiermee vervolgens fraude trachten te plegen.

Misbruik op deze wijze is aanlokkelijk omdat veel authenticatiemethoden zijn gebaseerd op een authenticatiefactor die iemand weet. Er worden in de praktijk drie soorten factoren onderscheiden: iets wat je hebt (een pasje), iets wat je bent (vingerafdruk) en iets wat je weet (wachtwoord). Een wachtwoord kan, indien gestolen, door een derde worden gebruikt om toegang te verkrijgen tot alle functionaliteiten waartoe de oorspronkelijke eigenaar geautoriseerd is, inclusief het uitvoeren van bijvoorbeeld financiële transacties uit naam van die gebruiker.

Naast phishing bestaat het fenomeen pharming. Pharming is geen aanval op zich maar wordt gebruikt als technische component in een phishingaanval. Er bestaat daarom niet zoiets als een pharmingaanval. Het doel van pharming is ervoor te zorgen dat de vertaling van internetnamen (DNS-namen) naar internetadressen (IP-adressen) voor een gebruiker anders verloopt dan normaal. Dit is mogelijk door het wijzigen van instellingen op de computer (de hostfile of DNS-server) met behulp van een Trojan óf door het hacken van de DNS-server van de gebruiker. DNS-vertaling is een belangrijk proces omdat dit ervoor zorgt dat een gebruiker die ‘www.fictievebank.nl’ benadert op de juiste webserver terechtkomt. In het geval van pharming kan een aanvaller de DNS-vertaling in een computer zo aanpassen dat bij het intypen van ‘www.fictievebank.nl’ in de webbrowser de gebruiker niet uitkomt bij de originele website maar bij een aangepaste website gemaakt door de aanvaller.

Dit artikel gaat verder met de werking van phishingaanvallen en maatregelen die kunnen worden getroffen om phishing en pharming tegen te gaan.

Achtergrond

De basisopzet van een phishingaanval bestaat uit vier stappen, geïllustreerd in figuur 1:

bepalen van een doelgroep en kwetsbaar systeem;
creëren van een systeem om de kwetsbaarheid uit te buiten;
doelgroep in contact brengen met het systeem;
creëren van voordeel voor de aanvaller.

C-2007-2-Steevens-1

Figuur 1. Basisopzet van een phishingaanval.

Stap 1. Bepaal doel

Om een succesvolle aanval op te zetten is in eerste instantie een tekortkoming in het systeem van een bedrijf nodig waardoor uiteindelijk fraude kan worden gepleegd. Deze zwakke plek kan zich praktisch overal in het bedrijf bevinden, hoewel in de context van phishing het meestal een zwakke plek betreft die vanaf het internet uit te buiten is. De keuze voor internet heeft als voordeel voor de aanvaller dat de communicatie lastig te traceren is naar de afzender én dat personen in het buitenland juridisch lastig te vervolgen zijn.

Voorbeelden van tekortkomingen zijn: een eenvoudig te omzeilen authenticatiesysteem, fouten in de website voor internetbankieren en het handelen van gebruikers. Het laatste voorbeeld moet genuanceerd worden. Wat bedoeld wordt is: indien een gebruiker verleid wordt zijn wachtwoord kenbaar te maken kan er eenvoudig fraude worden gepleegd. Hierbij moet vermeld worden dat gebruikers vaak beperkt in staat zijn legitieme websites van de valse website te onderscheiden ([Soni07]).

De doelgroep van phishingaanvallen bestaat in de meeste gevallen uit klanten van een financiële instelling, bijvoorbeeld gebruikers van internetbankieren. De rapportages die maandelijks door de Anti Phishing Working Group worden uitgegeven, geven al maandenlang aan dat het overgrote deel (bijna negentig procent, zie ook figuur 2) van alle aanvallen is gericht op financiële instellingen.

C-2007-2-Steevens-2

Figuur 2. Sectoren waarop phishingaanvallen zijn gericht ([APWG07]).

Stap 2. Creëer een systeem om kwetsbaarheid uit te buiten

Om de tekortkoming uit te buiten zijn specifieke ‘gevoelige’ gegevens nodig. Voorbeelden hiervan zijn rekeningnummers, creditcardnummers, pincodes, inlognamen en wachtwoorden. Om deze gegevens van een persoon te stelen moet de aanvaller een manier ontwikkelen waarop de gebruiker deze gegevens kenbaar maakt. Belangrijke gevoelige gegevens worden normaliter niet zomaar afgegeven door personen. Er moet een goede aanleiding zijn om een persoon te verleiden deze informatie toch te geven.

De manier waarop aanvallers hun doelgroep aanvallen is continu aan verandering onderhevig. De basis van praktisch elke phishingstrategie berust op gebruik van een e-mail die de gebruiker overtuigt om een (vervalste) website te bezoeken waarop een pagina wordt gepresenteerd die de bezoeker vraagt om een aantal specifieke gegevens in te vullen. De vervalste website wordt getoond in plaats van de legitieme website die de gebruiker verwacht.

Een voorbeeld van een technologische vernieuwing in een phishingaanval is pharming, een techniek die gebruikmaakt van wijzigingen in het DNS-vertaalsysteem om internetgebruikers naar de vervalste website te dirigeren. In de volgende paragrafen wordt op phishing en pharming dieper ingegaan.

Stap 3. Breng doelgroep in contact met het systeem

De doelgroep wordt in een phishingaanval benaderd door middel van een e-mail. Omdat het voor aanvallers moeilijk is om een goede set e-mailadressen met klanten van de betreffende instelling te verzamelen, wordt met een grootschalige set (dergelijke sets worden vaak ook gebruikt om spam te versturen) gehoopt dat men ook een behoorlijk aantal klanten zal raken. Phishingaanvallen gaan daarom vaak gepaard met grootschalige e-mailgolven.

In enkele gevallen zijn aanvallers in staat het klantenbestand van een instelling te bemachtigen, waardoor het effect van de aanval vele malen groter wordt.

Stap 4. Creëer voordeel voor de aanvaller

Het ‘voordeel’ dat een aanvaller kan creëren hangt af van het type gegevens dat hij buit heeft gemaakt. Zoals eerder is aangegeven, trachten de meeste aanvallers te frauderen bij financiële instellingen. Het doel is om financiële middelen van de slachtoffers af te boeken richting de aanvallers.

De aanvaller wil het geld naar zich toe laten komen zonder dat zijn identiteit bekend wordt. Omdat financiële instellingen transactieverkeer monitoren en rekeningen op naam staan is het onmogelijk om geld niet-traceerbaar over te boeken. Een veelgebruikte strategie is het gebruik van zogenaamde intermediairs, ook wel oneerbiedig ‘mules’ genoemd. Deze intermediairs sturen het geld op contante wijze, door middel van een ‘international money transfer’, in een keten van andere intermediairs door naar de eindbestemming. Een ‘international money transfer’ betaalt een aangeboden hoeveelheid geld, contant of giraal, in het buitenland aan een andere persoon contant uit. De eindbestemming van het geld is uiteindelijk een persoon dicht bij de aanvaller die het geld fysiek overbrengt.

De werkwijze rondom het gebruik van intermediairs is als volgt. De intermediairs worden geronseld via valse banenwebsites waar ze veel geld wordt beloofd om een ‘internationaal georiënteerde’ baan aan te nemen ([Ollm05]). De intermediair wordt geïnstrueerd om een nieuwe bankrekening te openen bij de aan te vallen financiële instelling. De aanvallers boeken vervolgens het geld van de rekening van het phishingslachtoffer naar de zojuist geopende rekening van de intermediair. De intermediair krijgt de instructie om het geld op te nemen, minus zijn ‘commissie’, en door te sturen via een ‘international money transfer’ naar een andere intermediair. Met gebruik van elke volgende intermediair komt het geld dichter bij de aanvaller. Uiteindelijk wordt het geld fysiek aan de aanvaller overgedragen.

Tracering van het spoor door de banken en/of politie levert, als de hiervoor beschreven methode is gevolgd, alleen tussenpersonen op die weinig tot niets van de algehele fraude weten.

Techniek achter phishing en pharming

Er zijn twee aanvalsvarianten te identificeren. De eerste, oudste en meest gebruikte variant maakt alleen gebruik van een e-mail die de gebruiker overtuigt om ‘de website van de bank’ te bezoeken. De tweede variant maakt gebruik van een aanpassing in het DNS-vertaalsysteem om internetgebruikers naar valse webpagina’s te dirigeren. Beide varianten worden hier verder uitgewerkt.

Variant 1. E-mail + website

De eerste variant start met het massaal verzenden van een e-mail naar internetgebruikers, vergelijkbaar met spam (zie ook figuur 3). De e-mail heeft als doel de internetgebruikers te verleiden om de phishingwebsite te bezoeken. Een nadeel van het massaal verzenden van e-mail is dat het zeer waarschijnlijk is dat een groot deel van de ontvangers geen klant is van de betreffende instelling.

C-2007-2-Steevens-3

Figuur 3. Werking misleidende e-mail met vervalste website.

Het potentiële slachtoffer wordt een link aangeboden in de e-mail die uitkomt op een website gecreëerd door de aanvaller. Deze website is er volledig op gericht om een gebruiker het idee te geven dat hij op de website van de betreffende instelling komt. Daar aangekomen wordt de bezoeker gevraagd om een set persoonlijke gegevens in te vullen en te versturen. Het proces eindigt nadat de ingevulde gegevens vanaf de website automatisch naar de aanvaller zijn gestuurd.

Variant 2. Vervalste DNS-informatie + website

In de tweede variant wordt geknoeid met de DNS-vertaling van de internetgebruiker (pharming). Door deze onjuiste vertaling kan een internetgebruiker op een andere website uitkomen dan normaal, ook als hij netjes zelf het adres van zijn bank foutloos intypt. In deze uitwerking wordt ervan uitgegaan dat instellingen op de computer van de gebruiker gewijzigd zijn. In werkelijkheid kan de wijziging ook plaatsvinden op de DNS-server van de internet service provider.

In figuur 4 is geïllustreerd dat een internetgebruiker tracht een legitieme website te openen. Door de gewijzigde DNS-vertaling zal de oproep voor www.fictievebank.nl niet uitkomen op de legitieme website maar op de vervalste website van de aanvaller.

Het vervolg is analoog aan de website van variant 1. De vervalste website zal de gebruiker uitnodigen om informatie in te vullen die na verzending doorgestuurd zal worden naar de aanvaller.

C-2007-2-Steevens-4

Figuur 4. Werking vervalste DNS-informatie en vervalste website.

Relevante actoren

Bij een phishingaanval zijn meer partijen betrokken dan de aanvaller (de fraudeur) en zijn slachtoffer (de internetgebruiker en het bedrijf). De volgende actoren kunnen als relevant worden betiteld in een phishingaanval en de afwikkeling ervan:

Internetgebruikers. Internetgebruikers vormen de kwetsbare groep voor phishingaanvallers.
Phishingaanvallers. Deze mensen trachten op digitale wijze gegevens van internetgebruikers afhandig te maken met het doel fraude te plegen.
Bedrijven. Bedrijven die financieel-gerelateerde diensten aanbieden of gevoelige gegevens registreren op internet zijn een potentieel slachtoffer van phishingaanvallen richting hun klanten.
Internet Service Providers. ISP’s zijn de transporteurs voor het internetverkeer en daarmee de spil in het internet. Vanuit deze rol hebben zij raakvlakken met vrijwel alle partijen in deze problematiek, wat hen in zekere mate een morele verantwoordelijkheid geeft om iets met deze problematiek te doen.
Overheid. De overheid heeft als wetgevende instantie de verplichting om de regels op een dusdanige manier in te richten dat crimineel gedrag vervolgd kan worden. De taak van de wetsuitvoerende tak van de overheid is om preventief en repressief op te treden tegen fraudeurs. In de praktijk wordt het repressieve optreden op internet, zoals het uit de lucht halen van een phishingwebsite, door de ISP’s gedaan. Vanuit bestuurlijk oogpunt heeft de overheid de verantwoordelijkheid om burgers voor te lichten over eventuele bedreigingen en hen daartegen te beschermen.

Mogelijke tegenmaatregelen

In deze paragraaf wordt ingegaan op mogelijkheden die actoren uit de voorgaande paragraaf hebben om te voorkomen dat zij slachtoffer worden van phishing én om phishing in z’n totaliteit tegen te gaan. De phishingaanvallers zijn niet meegenomen omdat we ervan uitgaan dat deze groep geen maatregelen tegen zichzelf zal nemen.

Gebruikers

Alle courante webbrowsers zijn op dit moment geschikt voor het gebruik van anti-phishing toolbars. Deze plugins geven de gebruiker een risico-indicatie van een benaderde website. Anti-phishing toolbars gebruiken onder andere achtergrondinformatie over het IP-adres van de website, ervaringsinformatie van andere gebruikers, tekstanalyse en een zwarte lijst met IP-adressen en domeinnamen van bekende phishingwebsites om de betrouwbaarheid van de website te beoordelen. De praktijk leert dat deze plugins een vrij goede inschatting maken.

Door het installeren van beveiligingssoftware (virusscanner en firewall) kan een behoorlijke bescherming worden bereikt tegen virussen, Trojans en aanverwante software die de correcte werking van de computer verstoren. Dit is van belang om te voorkomen dat er met de DNS-vertaling in het systeem kan worden geknoeid. Een voorwaarde om een acceptabel veiligheidsniveau te creëren is dat virusscanner én firewall up-to-date worden gehouden. Naast beveiligingssoftware is het een goede gewoonte om ook het besturingssysteem regelmatig van de laatste updates te voorzien. Hierdoor worden beveiligingslekken gedicht wat de infecteerbaarheid van de computer beperkt.

Qua gedrag is het belangrijk dat gebruikers kritisch zijn over de afgifte van persoonlijke gegevens. Daarnaast is het een goede gewoonte om bij de keuze voor een nieuwe bank of dienst ook het veiligheidsbeleid mee te nemen in de evaluatie.

Bedrijven

Bedrijven hebben als dienstverlenende partij een scala aan mogelijkheden om te detecteren en te voorkomen dat klanten slachtoffer worden van phishing.

Op technologisch vlak:

Bedrijven dienen de eigen website en het internet te monitoren voor potentieel frauduleuze activiteiten jegens het eigen bedrijf. In het geval dat het bedrijf met dergelijke activiteiten wordt geconfronteerd, kan gepaste actie worden ondernomen om de activiteit tegen te gaan. Er kan bijvoorbeeld worden getracht de betrokken computers met hulp van ISP’s offline te brengen. Zowel het monitoren als het offline brengen van computers wordt door gespecialiseerde bedrijven als dienst aangeboden.
Door een hoogwaardig authenticatieproces op de gebruiker toe te passen wordt een grote mate van zekerheid verkregen over de identiteit van de persoon die inlogt. De kwaliteit van een authenticatieproces wordt bepaald door enerzijds de sterkte van het authenticatiemiddel en anderzijds de waarborging in het uitgifteproces. Elk authenticatiemiddel, bijvoorbeeld een wachtwoord, token, smartcard of combinatie van middelen, geeft een andere mate van zekerheid over de vraag of de gebruiker die zich aanmeldt ook de gebruiker is die het middel uitgereikt heeft gekregen. Het uitgifteproces geeft een mate van zekerheid dat het authenticatiemiddel is uitgereikt aan de persoon die eigenaar van het account is.
In lijn met het vorige punt wordt de veiligheid verhoogd door het toepassen van transactieverificatie of -authenticatie. Door deze maatregel valideert de gebruiker expliciet elke (set van) transactie(s) die plaatsvindt op zijn account. Bekende werkwijzen zijn SMS of een token. Hierdoor heeft de gebruiker de mogelijkheid om, door phishingaanvallers, geïnjecteerde transacties op te merken. Transactieverificatie complementeert sterke authenticatie.
Standaard SSL-certificaten worden door websites gebruikt om sessies met de gebruiker te versleutelen en om zichzelf te identificeren aan de gebruiker. De nieuwe variant (Extended Validation SSL) certificaten kent een strikter gecontroleerd uitgifteproces waardoor deze een grotere mate van zekerheid biedt dan normale SSL-certificaten. In dit verbeterde uitgifteproces worden de identiteit en autoriteit van de aanvrager beter geverifieerd en wordt er onderzocht of er verwarring met bestaande namen kan ontstaan. Extended Validation SSL-certificaten worden inmiddels door de meeste partijen aangeboden hoewel deze significant duurder zijn dan SSL-certificaten.
Door het intensief monitoren van transacties kunnen frauduleuze en verdachte transacties worden opgemerkt en kunnen gepaste maatregelen worden genomen. Fraudedetectie kan worden gebaseerd op kenmerken van een transactie. Voorbeelden hiervan zijn: geografische locatie van de gebruiker, tijdstip van transactie, gebruikt IP-adres, bestemming van de transactie, hoogte van het bedrag, etc.

Op procesmatig vlak:

Gepersonaliseerde communicatie naar klanten bevordert het gevoel van veiligheid in e-mailcommunicatie. Ongepersonaliseerde e-mailcommunicatie wordt hierdoor impliciet minder betrouwbaar dan gepersonaliseerde.
Actieve voorlichting richting gebruikers over de basisprincipes van veilig online bankieren is een algemeen toepasbare tegenmaatregel. Dit is eerder met de pincode gedaan waardoor iedereen deze als een belangrijke sleutel tot dienstverlening is gaan beschouwen.
Het stimuleren van klanten om beveiligingssoftware te gebruiken bevordert de veiligheid van systemen van gebruikers. Een bedrijf kan, als voorbeeld, ter stimulering van het gebruik van beveiligingssoftware korting geven op software in samenwerking met een softwareleverancier.

Overheid

De overheid is in haar hoedanigheid beperkt tot juridische maatregelen en voorlichting, mede doordat zij geen direct raakvlak met de phishingaanval heeft.

Nederland kent sinds enkele jaren wetgeving die ruimte biedt om digitale fraudeurs te vervolgen. Waar het op dit moment nog aan schort is voldoende capaciteit en prioriteit ter vervolging van digitale criminaliteit en internationale samenwerking. Voor digitale criminaliteit is het kenmerkend dat opsporing tijdintensief is en criminelen zich vrijwel altijd in andere landen bevinden waar wetgeving op het gebied van digitale criminaliteit vaak minder volwassen is dan in de Europese landen.

Ter preventie van digitale criminaliteit zijn er legio kanalen om burgers voor te lichten hoe zij het beste kunnen omgaan met onlinediensten en internetbankieren. Voorbeelden van deze kanalen zijn: Postbus 51, Digibewust.nl en Waarschuwingsdienst.nl.

Internet Service Providers

De volgende technologische maatregelen kunnen door ISP’s worden genomen:

ISP’s zijn in staat malafide e-mailverkeer te filteren. E-mail is onder andere te filteren op basis van zogenaamde ‘zwarte lijsten’ en tekstanalyse. De meeste ISP’s bieden al een bepaalde vorm van e-mailfiltering aan.
ISP’s dienen garant te staan voor de juiste werking van hun infrastructuur. Daarbij ligt de nadruk op de DNS-functionaliteit die op juiste wijze internetnamen naar internetadressen vertaalt. Deze DNS-functie kan kwetsbaar zijn voor manipulatie (een vorm van pharming) waardoor alle gebruikers van de ISP onjuiste informatie kunnen krijgen over bepaalde domeinnamen.
Om verspreiding van virussen, Trojans en aanverwanten tegen te gaan kunnen ISP’s besmette computers in een quarantaine netwerk plaatsen. Hierdoor wordt de creatie van botnets en het versturen van spam sterk beperkt. Botnets zijn netwerken van geïnfecteerde computers die worden bestuurd door aanvallers.

Als procesmatige maatregel kunnen ISP’s een rol spelen als meldpunt voor frauduleuze e-mail en kunnen zij beveiligingssoftware tegen gereduceerd tarief aanbieden.

Conclusie

De problematiek rondom phishing en pharming kenmerkt zich door een speelveld met meerdere gedeeltelijke probleemeigenaren. Het gedrag waarmee phishing en pharming tot uiting komt is moeilijk tegen te gaan door één enkele actor waardoor een collectieve aanpak logisch lijkt.

In het artikel is ook naar voren gekomen dat elke partij een beperkte set van maatregelen kent om een deel van het probleem op te lossen. Hoewel fraude een gedrag is dat niet geheel voorkomen kan worden, zowel in de fysieke als in de digitale wereld, is uit dit artikel gebleken dat er wel degelijk maatregelen genomen kunnen worden om fraude tegen te gaan. Door als collectief in het speelveld maatregelen en standaardwerkwijzen af te spreken is het mogelijk om phishing en pharming minder effectief te maken. Een voorwaarde hiervoor is dat bedoelde afspraken tussen alle relevante actoren worden gemaakt.

Literatuur

[Alla06] Ant Allan en Avivah Litan, Transaction verification complements fraud detection and stronger authentication, Gartner, september 2006.

[APWG07] Anti Phishing Working Group, www.antiphishing.org, geraadpleegd op 20-2-2007.

[APWG06] Anti Phishing Working Group report, december 2006.

[Lita06a] Avivah Litan, How to evaluate combined fraud detection and authentication services, Gartner, april 2006.

[Lita06b] Avivah Litan, Phishing attacks leapfrog despite attempts to stop them, Gartner, november 2006.

[Ollm05] Gunter Ollmann, Next Generation Security Software Ltd., 27-9-2004, pagina 27, www.nextgenss.com/papers/NISR-WP-Phishing.pdf, geraadpleegd op 2-5-2005.

[Pesc07] John Pescatore, Avivah Litan, Vic Wheatman en Greg Young, Extended Validation SSL certificates: A big step forward, but more progress is needed, Gartner, februari 2007.

[Soni07] Sonicwall.com, Phishing IQ Test – Find out how well you can recognize a Phishing email, geraadpleegd op 17-3-2007.

[Stee05] J. Steevens, Desktop Security – De bescherming van internetgebruikers tegen phishing, Technische Universiteit Eindhoven, oktober 2005, www.justbiz.nl/personal/Eindscriptie_Jules_Steevens_Phishing.pdf.

[Wiki07] Wikipedia, Phishing, http://en.wikipedia.org/w/index.php?title=Phishing, geraadpleegd op 20-2-2007.

Return On Security Investments – ROSI

Investeringen in informatiebeveiliging roepen veelal discussie op. De vraag is dan wat deze investeringen opleveren, wat hun rendement is. Leveren deze investeringen (kosten) voldoende baten op die de investering rechtvaardigen? Wat zijn de kosten die samenhangen met minder investeren in informatiebeveiliging?

Dit artikel is gebaseerd op de resultaten van de expertbrief ‘Return On Security Investment (ROSI): Hoe te komen tot een bedrijfseconomische onderbouwing van uitgaven op het gebied van informatiebeveiliging?’ van het Genootschap van Informatie Beveiligers en geeft een eerste aanzet tot de bedrijfseconomische onderbouwing van investeringen in informatiebeveiliging, alsmede richting aan de rol van de auditor hierbij.[Dit artikel is mede gebaseerd op een expertbrief van het GvIB. De auteurs nodigen u uit bij te dragen aan de discussie.]

Inleiding

In een wereld waarin hackers, computervirussen en cyberterrorisme regelmatig in het nieuws verschijnen, wordt informatiebeveiliging steeds belangrijker. Organisaties bedrijven in toenemende mate, al dan niet via het internet, ‘business’ met ketenpartners en zijn verbonden aan netwerken van derden. De informatievoorziening is de motor achter deze ontwikkeling, maar ook gevoelig voor risico’s.

Informatievoorziening bestaat in deze context uit tastbare onderdelen, zoals hardware en software, en niet-tastbare onderdelen. Niet-tastbare onderdelen zijn onder meer de waarde van gegevens in databases en de kennis alsook intellectueel eigendom in de systemen. De niet-tastbare onderdelen zijn vaak moeilijk in geld uit te drukken ([Mizz05]). Als de waarde van de informatievoorziening moeilijk is te bepalen, hoe kan dan eenduidig worden bepaald of evenredige maatregelen zijn getroffen om deze waarde te beschermen? Voor bedrijven speelt de vraag wanneer een redelijk beveiligingsniveau is gerealiseerd en, misschien nog belangrijker, hoeveel tijd en geld nog in informatiebeveiliging moet worden gestoken ([Sonn02]). Als bedrijven willen kwantificeren hoeveel ze zouden moeten investeren in informatiebeveiliging dan is veel informatie nodig:

Wat kost het gebrek aan informatiebeveiliging?
Wat zijn de gevolgen van het gebrek aan informatiebeveiliging voor de productiviteit?
Wat zijn de gevolgen van een catastrofale breuk in de informatiebeveiliging?
Wat zijn en kosten de meest effectieve oplossingen, de te treffen maatregelen?
Welke gevolgen hebben de getroffen maatregelen voor de productiviteit?
In hoeverre nemen getroffen maatregelen een dreiging weg en verminderen ze het risico samengaand met de dreiging?
Welke kosten gaan gepaard met het implementeren van een maatregel en wat kost het om deze operationeel te houden?

Corporate en IT-governance zorgen ervoor dat organisaties op basis van een risico-inschatting keuzen maken over het al dan niet implementeren van maatregelen voor beheersing en beveiliging. Een organisatie wil weten dat het financieel verantwoord is om een investering te doen. Zo ook investeringen in informatiebeveiliging. Een organisatie zal investeringen in informatiebeveiliging willen doen als de kosten van maatregelen lager zijn dan de reductie van het (financiële) risico. En dan nog moeten investeringen daar worden gedaan waar ze het best renderen.

De vraag naar een bedrijfseconomische onderbouwing van investeringen in beveiligingsmaatregelen werd in de wereld van de informatiebeveiliging tot voor kort nauwelijks gesteld. De drijfveer was angst, onzekerheid of twijfel. Investeringsbeslissingen werden genomen op basis van ‘gevoel’, de mening van een autoriteit, en ‘wat doen anderen’. De verschuiving naar een betere onderbouwing van investeringen past in de groeiende volwassenheid van het vakgebied. Waar informatiebeveiliging in het verleden steunde op de individuele professionaliteit (‘a few good men’), schuift informatiebeveiliging nu op langs risicomanagement in de richting van compliance management. In de beveiligingsfunctie komt daarmee het accent minder op IT te liggen, en meer op business risk management en compliance. Dat laatste wordt ook steeds meer geëist, niet alleen vanuit de steeds zwaarder wordende wet- en regelgeving, maar ook door ketenpartners of klanten ([Over06]).

Wat is ROSI en wat is het nut van ROSI?

Heden ten dage worden investeringen voor beveiliging veelal genomen op basis van gevoel, een analyse van de directe uitgaven, en het gedrag binnen een peer-groep (wat doen soortgelijke bedrijven). Op grond van subjectieve informatie wordt een beslissing genomen. Van belang is om de subjectieve informatie te objectiveren, zodat geobjectiveerde beslissingsondersteunende informatie kan bijdragen aan een minder subjectieve beslissing.

Er is een natuurlijke spanning tussen de indieners van een investeringsvoorstel, in dit geval veelal security professionals, en de beslissers over het voorstel (de business). De voorstellen van de indiener, de security professional, zijn enigszins verdacht: ‘Misschien geven we wel te veel uit aan beveiliging. Incidenten horen er gewoon bij.’ Daarbij komt dat de security professional de indruk wekt enkel een zo laag mogelijk aantal incidenten na te streven, in plaats van een zakelijke afweging te maken. Het voorstel is te vaak gedreven door een technology push in plaats van een demand pull. Bij demand pull is de business leidend, en geeft deze aan wat de risk appetite is. De security professional kijkt welke investeringsvoorstellen gedaan moeten worden om het gewenste risiconiveau te realiseren. De relatie tussen een investering in beveiliging en reductie van businessrisico’s wordt tot op heden te weinig gelegd.

Een veelgehoord vertrekpunt is dat uitgaven zijn begrensd aan de hand van een percentage van de omzet. Zo mag het IT-budget een maximaal percentage van de omzet bedragen. Van het IT-budget mag vervolgens weer een percentage aan beveiliging worden toegewezen. Gartner, bijvoorbeeld, geeft aan dat het gebruikelijk is dat tussen de vijf en tien procent van het IT-budget aan IT-beveiliging wordt besteed. Zo’n getal geeft wel een ankerpunt, maar is op zich geen onderbouwing. Daarnaast worden ook maatregelen getroffen buiten de IT die bijdragen aan een betere informatiebeveiliging. Denk hierbij bijvoorbeeld aan fysieke beveiliging of aan bewustwording.

Belangrijke vraag is: zijn er specifieke investeringen aan te merken als ‘beveiligingsinvesteringen’? De meeste investeringen zijn gericht op meetbare of zichtbare doelen, bijvoorbeeld op functionaliteit of op een hogere efficiëntie van het beheer. Helaas wordt security niet altijd als functionaliteit beschouwd. Wat er specifiek is aan ‘beveiligingsinvesteringen’ is niet eenduidig af te bakenen. Een eerste afbakening is ‘of een investering gerelateerd is aan het wegnemen of opvangen van ongewenste gebeurtenissen’, en niet gericht op primaire functionaliteit. Die dualiteit maakt het moeilijk. Beveiliging is geen primair proces maar een ondersteunend, voorwaardenscheppend proces.

Stel, men maakt het mogelijk voor medewerkers om te gaan thuiswerken op basis van secure VPN. Moeten deze investeringen worden beschouwd als beveiligingsinvesteringen, als ‘gewone’ IT-investeringen of een combinatie van beide? Als er eerst onbeveiligde verbindingen mogelijk waren, en er wordt nu beveiliging aan toegevoegd, dat zou je kunnen verdedigen dat het een beveiligingsinvestering is. Als er echter eerst veilige inbelverbindingen waren en dezelfde veiligheid wordt nu over een andere transmissievorm – VPN – geboden, dan zou het een gewone IT-investering zijn. Als de karakterisering van de investering afhangt van je vertrekpositie, is het onderscheid kennelijk niet erg fundamenteel. Wat wel relevant is, is dat de bedrijfsdoelstellingen ermee ondersteund worden. Men moet dus wel aan ‘de business’ uit kunnen leggen waarom een investering nodig of profijtelijk zou zijn.

Of neem een firewall. Een deel van de kosten zit in de routingfunctionaliteit, en een ander deel is gericht op het filteren van gewenste/ongewenste activiteiten. Moet dan het verschil in kosten tussen een netwerkdevice met louter routingfunctionaliteit en een firewall als de beveiligingsinvestering worden gezien? Wij zijn van mening dat deze fijnmazige differentiatie niet doelmatig is.

Natuurlijk zijn er wel investeringen die duidelijk beveiligingsinvesteringen zijn: professionele beveiligingsmedewerkers, antivirusprogrammatuur, uitwijkvoorzieningen, RBAC, etc. Indien een investering specifiek is gericht op het voorzien in of het herstellen van vertrouwelijkheid, integriteit en/of beschikbaarheid van informatie en systemen, dan is er sprake van een beveiligingsinvestering.

Controle of auditing wordt in deze definitie dan niet als beveiligingsinvestering gezien. Deze functie geeft inzicht in de opzet, het bestaan of de werking van de beheersingsmaatregelen. Als er al een preventieve werking van uitgaat, dan is deze secondair. Een herstellende werking van controle of auditing is mogelijk, maar indirect als gevolg van correctieve acties. De investeringen betreffen veelal functionaliteit die tevens een effect heeft op beveiliging.

In de beoordeling van investeringsvoorstellen voor beveiliging ligt het accent momenteel eenzijdig op de kosten van beveiliging. Wat onderbelicht wordt, is de opbrengstkant van beveiliging. Beveiliging is uiteraard een enabler voor veel IT-diensten. Zo is een e-mailvoorziening zonder antivirusmaatregelen niet werkbaar. Ook is beveiliging een differentiator tussen service providers: aanbieders die bijvoorbeeld een certificaat ‘Code voor Informatiebeveiliging’ hebben, hebben een streepje voor op de concurrentie. Ook beveiligingskeurmerken van ‘surf-op-safe’ zijn differentiators. Maar wat onderbelicht is, is de mogelijkheid van beveiliging een profitgenerator te maken. Als een aanbieder een basisbeveiligingsniveau als standaard aanbiedt in het dienstenpakket, kan voor alle aanvullende wensen worden gefactureerd. Als bijvoorbeeld in het basisniveau een wekelijkse back-up zit, dan kan daarboven een dagelijkse back-up als extra worden aangeboden. In de markt bestaat bereidheid te betalen voor extra beveiligingsdiensten. Als aanbieder moet je daar op voorbereid zijn: er moet een basisbeveiligingsniveau zijn dat aantoonbaar werkt, en er moeten aanvullende beveiligingsdiensten zijn, die vervolgens per afnemer aantoonbaar moeten werken. Beveiliging als profitgenerator vereist derhalve een ingerichte, meer volwassen beveiligingsorganisatie.

ROSI-rekenmodellen en -casussen

Tot op heden is een beperkt aantal specifieke modellen beschikbaar voor de onderbouwing van investeringen in informatiebeveiliging. In een investeringsbeslissing geldt het uitgangspunt dat de investeringen in maatregelen geringer zijn dan de verliezen als gevolg van beveiligingsincidenten over een zekere tijdsperiode. Als we als tijdsperiode een jaar nemen is het verwachte verlies per jaar (Annual Loss Expectancy of Exposure (ALE)) de optelling van verwachte verliezen als gevolg van incidenten in dat jaar. Voor een incident is het risico op verlies de kans dat het incident zich voordoet en de schade die daarbij optreedt. In formule ([Over06]) voor een incident:

R = K * S

Risico = Kans * Schade

Voor een jaar geldt dan:

ALE = SUM (K * S)

Of anders geschreven:

ALE = Σ(ARO * SLE) = SUM(ARO * SLE)

Hierbij is ARO de Annual Rate of Occurrence van een specifiek incident en SLE de Single Loss Exposure ofwel de schadeverwachting.

Vraag hierbij is natuurlijk op welke wijze ALE voor een bedrijfsspecifieke situatie kan worden bepaald. Laten we beginnen met een model om de mogelijke schade te berekenen. Stel je voor dat binnen een organisatie het systeem dat gebruikt wordt ter ondersteuning van de primaire bedrijfsprocessen als gevolg van een incident buiten gebruik raakt. De schade bestaat mogelijk uit een drietal componenten, namelijk:

de schade die direct opgelopen wordt als gevolg van beschadigingen aan het systeem;
de gederfde omzet of verloren productiviteit als gevolg van het niet beschikbaar zijn van het systeem gedurende een periode. Stel je voor dat honderd medewerkers, met een gemiddeld uurloon van € 20, niet kunnen werken over periode van drie dagen. De verloren productiviteit is dan al gauw (ervan uitgaande dat ze geen andere werkzaamheden kunnen oppakken) € 48.000;
de kosten die gemaakt moeten worden om de schade te herstellen, bijvoorbeeld aantal manuren.

Wordt dit in een formule beschreven dan is de schade (in het vervolg de gemiddelde schade van een incident (SLE)):

SLE = L + A(t) + R(t)

Hierbij staat L voor de directe schade, A(t) voor de schade als gevolg van het niet beschikbaar zijn van het systeem gedurende periode t en R(t) voor de kosten (mandagen) die gemaakt zijn om het systeem te herstellen.

Ingevuld in de formule voor ALE ziet dit er als volgt uit:

ALE = Σ(ARO * (L + A(t) + R(t))

In de praktijk is het van groot belang dat de beveiligingsmensen leren in de onderbouwing meer aan te sluiten bij de taal van de business. Praat niet over wormen of virussen, maar over verlies van productie. Hierdoor zijn de gevolgen van een incident direct zichtbaar. Om in de taal van de business te kunnen praten is het noodzakelijk om de gevolgen van een incident te kunnen schatten. Zoek uit wat de key performance indicators zijn voor de business, en geef het effect van je beveiligingsinvestering aan op de KPI’s van de business. Om de invloed van een incident op de productiviteit te bepalen is het noodzakelijk om kansen op incidenten te schatten. Kengetallen over incidenten zijn onnauwkeurig en accurate inschattingen zijn moeilijk te maken. Toch helpt het als er zicht is op kansen van incidenten, binnen een bandbreedte. De kans op verlies van een laptop is zo’n twee à drie procent per jaar. De gemiddelde kans op brand is eenmaal per tien tot vijftig jaar ([CSI06]). Hoe nauwkeurig moet de schatting zijn? Op basis van voortschrijdend inzicht kan de kansinschatting op een incident, maar evenzo ook de inschatting van het effect van maatregelen, worden verbeterd. Als voorbeeld: tabel 1 geeft een inschatting van de gemiddelde downtime als gevolg van een probleem met betrekking tot de informatievoorziening.

C-2007-2-Overbeek-t1

Tabel 1. Gemiddelde downtime per probleem ([Sonn02]).

Er zijn diverse methoden voor de onderbouwing van investeringen. Investeringen hebben nut als door de investering de kans op een incident afneemt dan wel de gevolgen van het incident worden verminderd. Voor zich spreekt dat de gedane investeringen niet meer kosten met zich meebrengen dan de kosten als gevolg van incidenten in een jaar, in ieder geval als alleen naar de financiële aspecten wordt gekeken en niet naar andere aspecten zoals een verhoogd gevoel van veiligheid of het voldoen aan wettelijke verplichtingen. In formule

K_J < ALE,

waarbij K_J alle investeringen zijn die in een jaar zijn gedaan.

Een dergelijke vergelijking kan ook over meerdere jaren worden gemaakt. Vraag is waar deze investeringen dan uit bestaan. Drie soorten investeringen kunnen worden onderscheiden:

kosten (F) die in een tijdsperiode worden gemaakt om bekende kwetsbaarheden te verwijderen in bestaande besturingssystemen;
investeringen in nieuwe beveiligingsmechanismen (B), denk hierbij bijvoorbeeld aan het aanschaffen van een firewall;
kosten (M) om de beveiligingsmechanismen te voorzien van de laatste patches, virusdefinities, etc.

De totale investeringen zien er dan als volgt uit ([Mizz05]):

K_J = F + B + M

Deze kosten kunnen ook onderverdeeld worden in investeringen (K_INV = B) en jaarlijkse kosten voor onderhoud en beheer (K_JAAR = F + M).

Om te zien wat de investeringen opleveren kan worden gekeken naar de mate waarin ze de ALE kunnen verminderen. De afname in ALE kan worden uitgedrukt als ALE_oud – ALE_nieuw. Ingeval de getroffen maatregelen van een investering langer dan een jaar werkzaam zijn, kunnen de kosten over de werkbare periode gespreid worden. Laten we aannemen dat de investering in beveiligingsmaatregelen drie jaar werkzaam is.

In formule:

K_INV/3 + K_JAAR < ALE_OUD – ALE_NIEUW

Of:

B/3 + F + M < ALE_OUD – ALE_NIEUW

In de business case wordt onderzocht of een maatregel rendabel is en worden alternatieven naast elkaar gezet. Zijn er andere mogelijkheden om dezelfde risicoreductie te krijgen of een gewenst niveau te bereiken? Geld voor investeringen moet zo goed mogelijk worden aangewend en dus wordt onderzocht waar de opbrengsten van een investering het hoogst zijn. Wordt een ton geïnvesteerd in bijvoorbeeld een bewustzijnscampagne of in continuïteitsmaatregelen? Of wellicht is men tevreden met een andere mate van risicoreductie waarvoor minder investeringen zijn vereist.

Om een vergelijking te maken tussen investeringen kan gebruik worden gemaakt van ROI of ROSI. ROI betekent Return on Investment. ROSI is Return on Security Investment. ROSI is een verbijzondering van ROI. Het bijzondere van ROSI zit deels in het feit dat de baten niet per se opbrengsten zijn, maar ook uit kostenreductie kunnen bestaan, en het feit dat bij ROSI de waardering van meer subjectieve factoren (bewustwording, kans op incidenten) een belangrijkere rol speelt.

ROI is in de bedrijfseconomie de rendementsberekening die de winst als percentage van het geïnvesteerde vermogen uitdrukt. Stel dat er een ROI van twintig procent uit komt. Dat betekent dat op iedere geïnvesteerde euro er € 1,20 wordt verdiend of bespaard. Van belang is hierbij over welke periode wordt gekeken. De periode van de verdienste en de investering moeten gelijk zijn.

Als zoals gezegd RO(S)I wordt gebruikt om investeringen of projecten te vergelijken, dan worden de rendementen van projecten vergeleken. Een ROI van tien procent kan dan nog te laag zijn, omdat er veel projecten zijn met een hogere ROI. Sommige bedrijven gebruiken ook een cut-off-rendement. Een negatieve ROI hoeft niet per definitie een slechte investering te zijn, alleen is er dan een andere onderbouwing dan een bedrijfseconomische.

De definitie van ROI en ROSI is als volgt:

ROSI = (Voordelen – Kosten) / Kosten

Ofwel

ROSI = [ (RiskExposure * %RiskMitigation) – K_INV] / K_INV

En met de ALE erbij:

ROSI = [ (ALE_oud – ALE_nieuw) – K_INV] / K_INV

In de formules voor ROI en ROSI ontbreekt de factor tijd. Zoals gezegd moet bij de berekening van de ROI de investering worden uitgesmeerd over de periode dat de baten worden genoten. Bij ROI worden de voordelen en de kosten altijd over dezelfde periode genomen. Dus als de baten over vijf jaar worden genoten, dan wordt voor de berekening de investering ook over vijf jaar uitgesmeerd. Dat geldt altijd, ongeacht hoe de berekening van de ROI wordt uitgevoerd.

Om dit te illustreren, stel wederom:

K_INV = eenmalige investering

K_JAAR = kosten per jaar

ALE_oud – ALE_nieuw = baten per jaar

J = aantal jaar dat de baten worden genoten, zonder dat aanvullende investeringen nodig zijn

Als de berekening over de gehele periode wordt genomen, dan volgt:

ROSI = [ (ALE_oud – ALE_nieuw) * J – K_INV – (K_JAAR * J) ] / [ K_INV + (K_JAAR * J) ]

Wordt de berekening over één jaar genomen, dan is de formule:

ROSI = [ (ALE_oud – ALE_nieuw) – K_INV / J – K_JAAR) ] / [ K_INV / J + K_JAAR]

([Over06])

Deze berekeningswijzen geven uiteraard dezelfde uitkomsten.

De beslissing wordt voor de gehele periode genomen, en dus worden ook de effecten over de gehele periode genomen.

De berekening van de ROI staat dus geheel los van de boekhoudkundige afschrijving. Ook geeft de ROI geen inzicht in het moment waarop de kosten worden gemaakt, bijvoorbeeld alle kosten aan het begin, versus de periode waarover de baten worden genoten. Het kan bijvoorbeeld goed zijn dat een hoge investering in het begin nodig is, die over een lange periode rendeert en een hoge ROI tot gevolg heeft. In verband met de financiering geven veel organisaties in dat geval er de voorkeur aan door lease de investering uit te smeren. Veel organisaties bekijken het effect van een investering op een periode van één jaar, drie jaar of over de periode dat de investering baten oplevert.

Men moet in het achterhoofd houden dat er naast het gebruik van ROSI ook andere methoden worden gehanteerd om een besluit met betrekking tot een investeringsaanvraag te nemen. Bijvoorbeeld:

in de pas lopen met anderen: benchmarken: vijf tot tien procent van het IT-budget;
bedrijfseconomisch onderbouwd: zolang de ROI > x%;
passend bij het beleid van de organisatie of het karakter. Tot een bepaald beveiligingsniveau is bereikt: maximaal aantal incidenten, minimaal niveau beschikbaarheid, voldoen aan bepaalde standaarden, etc.

Het bovenstaande is voornamelijk een theoretische onderbouwing. Op basis van twee voorbeelden willen we ROSI tastbaarder maken.

Voorbeeld 1: Storage Area Network aanleggen

Doel is het waarborgen dat de bedrijfsinformatie altijd beschikbaar is, zodat medewerkers de beschikking hebben over alle informatie om producten te verkopen.

Implementatiekosten gedeeld door de levensduur in jaren: € 200.000.
Beheer: € 50.000 per jaar.
Kosten voor het niet beschikbaar zijn van de gegevens, als gevolg van het ontbreken van beschikbaarheidsmaatregelen, is in casu gederfde omzet omdat geen deals kunnen worden gesloten door het niet beschikbaar zijn van de informatie. Bij een storing in de serverruimte duurt het gemiddeld drie dagen voordat de servers en de daarin opgeslagen informatie weer beschikbaar zijn. Gederfde omzet: € 60.000 per dag.
Kans dat er een storing is, is naar schatting drie keer per jaar.

ROSI: (3 * (3 * 60.000) – (200.000 + 50.000) / (200.000 + 50.000) = 116%

Terugverdientijd is 250.000 / 540.000 = 0,46. Dus binnen een half jaar.

Voorbeeld 2: Awarenessprogramma

Er is een budget van X beschikbaar. Aanwending in een awarenessprogramma levert een reductie van het aantal incidenten op van n%, kosten per incident zijn gemiddeld Y. Opbrengst dus: Aantal_inc * n% * Y.

Stel:

Budget is € 100.000.
Het security-awarenessprogramma reduceert tien procent van een type incidenten gedurende twee jaar (daarna is het awarenessprogramma ‘uitgewerkt’).
Een incident kost gemiddeld € 1.000.
Per jaar 1000 incidenten.

Voordelen: 1000 incidenten / jaar * 10% * 2 jaar * € 1.000 / incident = € 200.000.

Kosten: € 100.000.

ROSI: (Voordelen minus Kosten) / Kosten = 50%.

Wat is de rol van de auditor hierin?

De IT-auditor kan in de discussie over ROSI verschillende rollen spelen. De IT-auditor kan incidenteel een uitspraak doen over het nut van een bepaalde investering. Maar vaak is dat niet goed mogelijk in de beperkte context van zijn opdracht. De auditor kan wel het proces rond de investeringsaanvraag verifiëren en de business case toetsen. Een analyse van ROSI is een goed hulpmiddel.

Ook in relatie tot Cobit 4.0 zijn diverse raakvlakken met ROSI en de rol van de auditor te onderkennen. Dit komt reeds naar voren in de high-level control objectives:

PO5 manage the IT investments, waarvoor geldt dat investeringscriteria moeten worden bepaald (zoals ROI, netto contante waarde, enz.);
DS6 identify and allocate costs, waarin wordt gezegd dat IT-kosten moeten worden gemaakt in overeenstemming met goedgekeurde kostenmodellen ([ISAC06]).

ROSI helpt de discussie over investeringsbeslissingen voor beveiliging op een meer volwassen niveau te brengen. De échte argumenten komen op tafel, en subjectieve criteria worden expliciet gemaakt. De auditor kan hierin een stimulerende en toetsende rol vervullen.

Literatuur

[CSI06] CSI/FBI, Computer Crime and Security Survey, 2006.

[ISAC06], IS auditing guideline return on Security investments, exposure draft, 2006.

[Mizz05] A. Mizzi, Return on Information Security Investment. Are you spending enough? Are you spending too much?, januari 2005.

[Over06] P. Overbeek, R. Joosten, A. Jochem, R. Kuiper, A. Moens, J. Popping, P. Ruijgrok en J. Voeten, Return On Security Investment (ROSI): Hoe te komen tot een bedrijfseconomische onderbouwing van uitgaven op het gebied van informatiebeveiliging?, GvIB Expert Brief, november 2006, www.gvib.nl.

[Sonn02] W. Sonnenreich, Return on security investment (ROSI): a practical quantitative model, 2002.

Waarom lukt het niet (zuinig) te beveiligen?

Dit artikel is een vervolg op het artikel ‘Zuinig beveiligen’ ([Korn03]), dat reeds eerder in Compact is verschenen. In het voorgaande artikel is aangegeven op welke wijze organisaties zuinig de beveiliging kunnen realiseren. In het thans voorliggende artikel wordt ingegaan op de oorzaken waardoor (zuinig) beveiligen bij menige organisatie toch (nog) niet is gelukt.

Inleiding

Organisaties hebben in de praktijk ten minste enige mate van IT-beveiliging gerealiseerd. Daarmee is in vele gevallen echter nog geen effectieve beveiliging tot stand gebracht, omdat vaak nog beveiligingslekken aanwezig zijn die vanaf extern of intern kunnen worden doorbroken.

In het voorgaande artikel over zuinig beveiligen ([Korn03]) zijn adviezen gegeven om essentiële beveiligingsmaatregelen te treffen, opdat met beperkte middelen toch een effectieve beveiliging kan worden gerealiseerd:

Fase 1 – Inrichten versterkte preventieve beveiligingsmaatregelen
- opstellen van informatiebeveiligingsbeleid en inrichten van de beveiligingsorganisatie;
- selecteren van (hoog)gevoelige informatie en IT-middelen;
- instrueren van gebruikers over informatiebeveiliging;
- formaliseren van kritieke beheerprocessen;
- versterken van de beveiliging van de IT-infrastructuur.
Fase 2 – Versterken monitoring van beveiliging
- kanaliseren van verantwoordingsinformatie betreffende de gerealiseerde kwaliteit van informatiebeveiliging;
- testen van de effectiviteit van de getroffen maatregelen.

Het blijkt voor organisaties moeilijk de eerstgenoemde fase te doorlopen en daarmee een effectieve beveiliging te realiseren, terwijl hiermee in de praktijk nog niet eens het volwassenheidsniveau van aantoonbare beheersing (zie figuur 1) betreffende IT-beveiliging wordt gerealiseerd. En juist dat niveau van volwassenheid van de IT-beveiliging is nodig in bijvoorbeeld SOX- ([USSE03]) en Tabaksblat-gerelateerde ([Cocg03]) omgevingen, evenals in de financiële sector ([DNB01]).

C-2007-2-Kornelisse-1

Figuur 1. Volwassenheidsniveaus van IT-beveiliging.

Het blijkt moeizaam het niveau van aantoonbare beheersing van de IT-beveiliging te halen, laat staan op een efficiënte wijze en economisch verantwoord. Toch, een aantal organisaties is in staat gebleken aantoonbare beheersing van IT-beveiliging op effectieve én efficiënte wijze te realiseren. Uit onze ervaring gedurende de afgelopen jaren blijkt dat organisaties die hierin slagen, met name de volgende kenmerken hebben:

Deze organisaties gaan uit van eigen kracht en richten IT-beveiliging in uit vrije wil en wachten niet op wet- en/of regelgeving.
De gewenste wijzigingen worden gerealiseerd in een eigen tempo, waardoor in plaats van kortetermijn- direct langetermijnoplossingen tot stand worden gebracht.
Deze organisaties kunnen wijzigingen absorberen, omdat deze stapsgewijs worden ingevoerd, in plaats van (te) veel wijzigingen tegelijkertijd.
Er wordt door deze organisaties onderkend dat IT-applicaties en gegevens verschillende gevoeligheden kunnen hebben betreffende beschikbaarheid, integriteit en vertrouwelijkheid. Op basis hiervan vindt risicogebaseerd scoping van relevante ICT plaats, vervolgens vindt compliancegebaseerd implementatie van beveiligingsmaatregelen plaats.

Ambitieniveaus

Veel organisaties hebben, door wijzigingen in wet- en regelgeving, evenals de cultuur in de samenleving, een cultuurverandering ervaren als gevolg waarvan de volwassenheid van IT-beheersing en daarmee IT-beveiliging diende te worden verhoogd naar het niveau van aantoonbare beheersing, onder andere onder invloed van SOX en Tabaksblat. Het ambitieniveau van aantoonbare beheersing is daarmee een gegeven. Veel organisaties bevonden zich echter op een grote afstand van dit gewenste niveau, namelijk op het niveau tussen ad hoc en gedefinieerde processen.

C-2007-2-Kornelisse-t1

Tabel 1. Kenmerken van ambitieniveaus.

Er is voor die organisaties dan ook een grote stap te maken. Organisaties die onder invloed van SOX in korte tijd van tussen herhaalbaar en gedefinieerde processen naar aantoonbare beheersing dienden te groeien, ervoeren hierbij dan ook groeipijnen. Er ontstond veel druk in deze organisaties en wijzigingen werden nogal eens ‘kort door de bocht’ gerealiseerd, waardoor inefficiënties optraden.

Het is van belang voor organisaties vast te stellen welk ambitieniveau betreffende de volwassenheid van IT-beheersing gewenst is, gegeven de geldende wet- en regelgeving en de gewenste risicobeheersing binnen de organisatie.

Er was ook veel onduidelijkheid over de implicaties van het gedefinieerde ambitieniveau:

Voor welke beheerprocessen en ICT-objecten geldt het ambitieniveau van aantoonbare beheersing (scoping)?
Welke eisen dienen te worden gesteld aan de ICT-objecten binnen de scope?

Deze onderwerpen worden hierna behandeld.

Scoping

Het blijkt moeizaam voor organisaties om op adequate wijze de relevante scope vast te stellen betreffende de ICT-beheerprocessen en ICT-componenten die op het niveau aantoonbare beheersing dienen te zijn ingericht ([Korn05]). In de praktijk dient een organisatie hiertoe de relevante IT-applicaties vast te stellen, door per IT-applicatie het materiële risico voor het bijbehorende bedrijfsproces te bepalen, bijvoorbeeld door het evalueren van operationele risico’s en risico’s betreffende financiële rapportages.

Op basis van de onderkende IT-applicaties kunnen eenvoudig de applicatiespecifieke ICT-componenten worden vastgesteld; dit zijn de aan de IT-applicaties gerelateerde applicatie- en databaseservers.

Voor generieke ICT-infrastructuurcomponenten (ICT-componenten die door meerdere applicaties worden gebruikt, zoals bedrijfsnetwerken en beheerplatforms) blijkt dit moeizamer, met name door druk binnen de organisatie om ICT-componenten out-of-scope te verklaren, waardoor aantoonbare beheersing eenvoudiger haalbaar lijkt te worden.

Bij het selecteren van de relevante generieke ICT-infrastructuur is het van belang af te wegen welke ICT-componenten op de paden van de eindgebruikers tot de data en van de beheerders tot de te beheren objecten liggen. Dit vraagt om een complexe en uitgebreide analyse. Efficiënter en effectiever blijkt het de essentiële beveiligingsarchitectuur van de ICT-infrastructuur te definiëren, hetgeen veelal resulteert in een scoping van het interne netwerk, identity management en security monitoring.

Weliswaar is daarmee de scoping van de generieke ICT-componenten slagvaardig uitgevoerd, echter, de meeste organisaties ervaren deze drie ICT-componenten als lastig om in scope te verklaren. De reden hiervoor ligt veelal in het feit dat aantoonbare beheersing voor deze ICT-componenten thans niet is gerealiseerd.

Bijvoorbeeld netwerkkoppelingen met derde partijen worden vaak als risicovol gezien en verdienen veelal een aantoonbare beheersing. Toch, diverse organisaties hebben geen juist en volledig overzicht van deze externe netwerkkoppelingen en controleren externe netwerkkoppelingen ook niet op gestructureerde wijze.

Voor scoping is het van belang eerst de bij de relevante bedrijfsprocessen behorende essentiële IT-applicaties te selecteren. Op basis van de onderkende essentiële IT-applicaties worden de onderliggende applicatiespecifieke IT-componenten geselecteerd. Tevens worden de generieke ICT-componenten geselecteerd, die samen de essentiële beveiligingsarchitectuur van de organisatie vormen. De bij de IT-applicaties en ICT-componenten horende IT-beheerorganisaties en -processen horen tot slot ook binnen de scope.

Veelvoorkomende knelpunten

Procesmatige knelpunten

Tot de knelpunten van dit type behoren:

Identity & Access Management;
ICT-component security;
change management.

Identity & Access Management

Identity & Access Management dient te borgen dat alleen volgens een strikte procedure de eindgebruikers en beheerders met passende bevoegdheden in de systemen worden geïmplementeerd, en dat periodiek wordt gerapporteerd en gecontroleerd of alleen de juiste eindgebruikers en beheerders en bevoegdheden zijn geïmplementeerd.

Veel organisaties werken bij eindgebruikers (nog) niet (integraal) met single sign-on en Role Based Access Control, met als gevolg dat het verkrijgen van een volledig overzicht van gebruikers en hun bevoegdheden niet effectief en efficiënt kan plaatsvinden. Bijgevolg ontvangen applicatie-eigenaren en afdelingshoofden niet of niet regelmatig overzichten en worden daardoor de geïmplementeerde gebruikersaccounts en gebruikersbevoegdheden niet periodiek gecontroleerd.

Voor beheerders ligt dit vaak nog moeilijker. Voor elke ICT-component, van database tot server tot netwerkcomponent, is het gewenst de beheerderaccounts en beheerderbevoegdheden te controleren. Echter, de beheerderaccounts zijn veelal niet eenduidig geadministreerd en worden veelal ook niet regelmatig gerapporteerd.

Het is van belang Identity & Access Management voor eindgebruikers en beheerders dusdanig op te zetten, dat op effectieve en efficiënte wijze verantwoordingsinformatie kan worden opgeleverd.

Naast het rapporteren en controleren van bevoegdheden wordt nogal eens onderkend dat bij diverse organisaties de beheerders met hoge bevoegdheden een vertrouwensfunctie hebben, hetgeen betekent dat een beheerder activiteiten kan uitvoeren die niet door een ander (kunnen) worden gecontroleerd. Dit is niet gewenst voor het ambitieniveau van aantoonbare beheersing.

ICT-component security

Het aantoonbaar beveiligen van ICT-componenten vraagt om twee belangrijke activiteiten:

implementatie van ICT-componenten volgens security baselines;
patch management voor alle ICT-componenten.

Het is gewenst voor elk type van de aanwezige ICT-componenten een security baseline te hebben, de ICT-componenten conform de gedefinieerde security baselines te implementeren en periodiek te controleren of ICT-componenten conform baselines zijn geïmplementeerd.

Diverse organisaties blijken echter niet te beschikken over (alle relevante) security baselines, bijvoorbeeld doordat bepaalde ICT-componenten zoals mainframes en netwerkcomponenten slechts in beperkte mate voorkomen.

Daarnaast hebben veel organisaties controle van de compliance van ICT-componenten aan de bijbehorende security baselines niet ingeregeld en/of geautomatiseerd, waardoor controle van compliance aan security baselines niet plaatsvindt of dusdanig inefficiënt blijkt te zijn dat deze niet voldoende regelmatig plaatsvindt.

Wat betreft patch management blijkt dat organisaties nieuwe patches niet of laat analyseren en niet of niet tijdig implementeren, waardoor de organisaties meer gevoelig zijn voor virussen en inbrekers.

ICT-component security is één van de voornaamste preventieve maatregelen om te voorkomen dat derden (personen van buiten de organisatie) of interne medewerkers op ongeautoriseerde wijze de ICT-omgeving van de organisatie binnendringen. Om dit te voorkomen dienen ICT-componenten conform security baselines te worden geïmplementeerd, hetgeen ook periodiek dient te worden gecontroleerd, in samenhang met de geïmplementeerde patches.

Change management

Veel organisaties hebben voor change management een duidelijke procedure vastgesteld. In de praktijk wordt echter onderkend dat naast reguliere changes ook plaatsvinden:

urgente changes met beperkte tot geen goedkeuring vooraf, die achteraf dienen te worden verantwoord, evenals
kleine wijzigingen in de productieomgeving, die niet via change management verlopen.

Het lastige van urgente changes en kleine wijzigingen in de productieomgeving is, dat het niet altijd duidelijk is wanneer een change als urgent of klein mag worden geclassificeerd. Dit vraagt om duidelijke spelregels die echter nogal eens ontbreken en/of niet eenduidig zijn.

De meeste organisaties zijn niet in staat ongeautoriseerde changes te detecteren door het ontbreken van hulpmiddelen hiertoe, terwijl dergelijke hulpmiddelen wel bestaan (bijvoorbeeld checksumprogrammatuur van TripWire).

Wijzigingen dienen adequaat te worden getest, en bijgevolg zijn gelijke omgevingen gewenst voor het testen van wijzigingen en verwerking in productie. Echter, in de praktijk zijn deze omgevingen niet altijd in voldoende mate gelijk, waardoor de kwaliteit van het testen wordt beperkt.

Bij een change zijn diverse medewerkers betrokken, die allen een deel van de documentatie verzorgen en een deel van een change testen. Daardoor komt het nogal eens voor dat voor een change niet alle documentatie betreffende ontwerpen en testen is gebundeld, hetgeen controle van een change achteraf bemoeilijkt.

Bij change management dienen duidelijke spelregels te zijn vastgesteld voor reguliere, urgente en kleine wijzigingen. Voor kritieke bestanden dient te kunnen worden vastgesteld of zich wijzigingen hebben voorgedaan.

Betreffende alle wijzigingen dient de bijbehorende documentatie te worden verzameld en bewaard, opdat achteraf een change kan worden gecontroleerd.

Technische knelpunten

Als gevolg van onvolwassenheid van beheerprocessen, zoals het ontbreken of het niet adequaat inrichten van een aantal beheerprocessen, ontstaan nogal eens technische knelpunten die de beveiliging van de ICT-omgeving ondermijnen. Op technisch gebied is het daarom van belang een eenvoudige securityarchitectuur en IT-infrastructuur te handhaven. Dit vereist het proactief ontwerpen van benodigde IT-voorzieningen, bijvoorbeeld netwerkfiltering (extern en intern), authenticatievoorzieningen (Active Directory, Radius) en security monitoring (verzamelen, controleren en rapporteren inzake logging, evenals controleren van systeemconfiguraties, verzamelen en rapporteren inzake afwijkingen).

Een organisatie dient een eenvoudige securityarchitectuur en IT-infrastructuur te ontwerpen, te implementeren en in stand te houden.

Oorzaken van geconstateerde knelpunten

Op basis van onze ervaringen bij vele organisaties blijkt het gerealiseerde volwassenheidsniveau van IT-beveiliging steeds weer te worden beïnvloed door vier aspecten, die juist een basis voor IT-beveiliging zouden kunnen leggen:

Sponsoring en leiderschap betreffende IT-beveiliging ontbreekt, waardoor gestructureerde beheersing van IT-beveiliging uitblijft. Ad hoc worden bij strikte noodzaak onsamenhangende beveiligingsoplossingen gerealiseerd.
Beveiliging is veelal IT-gedreven; de business is niet of onvoldoende betrokken, waardoor beveiliging niet wordt gebaseerd op het risicoprofiel van de organisatie en haar bedrijfsprocessen.
Een organisatie heeft geen ambitieniveau vastgesteld betreffende de beheersing van IT-beveiliging, waardoor het belang van het vastleggen van procedures en beveiligingsstandaarden niet wordt erkend, evenals het belang van controle op naleving hiervan.
Een organisatie onderkent IT-beveiliging niet als een continu proces maar als een eenmalige gebeurtenis. Als gevolg hiervan ontbreekt veelal een gestructureerd (jaar)plan om IT-beveiliging op niveau te houden. In figuur 2 is IT-beveiliging als een continu proces weergegeven.

C-2007-2-Kornelisse-2

Figuur 2. Cyclus van IT-beveiliging.

Als een adequaat ambitieniveau voor IT-beveiliging niet is vastgesteld, dan resulteert dit veelal in de diverse gebreken, zoals:

Rapportage betreffende IT-beveiliging vindt niet plaats, waardoor zowel de werkvloer als het verantwoordelijke management niet worden geïnformeerd over mogelijke operationele knelpunten en de gevolgen daarvan.
Structurele voorzieningen ontbreken, zoals een documentbeheersysteem en registratie- en rapportagevoorzieningen, waardoor informatie niet efficiënt en effectief toegankelijk is.
Bij uitbesteding worden door de organisatie geen concrete eisen gesteld in contracten en/of SLA’s.
Bij nieuwe ontwikkelingen, bijvoorbeeld het gebruik van USB-geheugens, wordt geen beleid opgesteld en geïmplementeerd, waardoor nieuwe risico’s ontstaan.

Aandachtspunten voor de organisatie

Afwachten tot wet- en/of regelgeving op een organisatie afkomt, vraagt om het behalen van een bepaalde mate van beveiliging in (te) korte tijd en werkt dan kostenverhogend. Door proactief zelf beveiliging ter hand te nemen, kunnen direct langetermijn- in plaats van kortetermijnoplossingen worden ingeregeld en kunnen tevens beveiligingsrisico’s veelal efficiënter en effectiever worden gemitigeerd.

Een organisatie dient hiertoe de aansturing van IT-beveiliging te borgen. Dit vraagt om sponsoring vanuit de leiding van de organisatie en leiderschap van de verantwoordelijke voor IT-beveiliging. Voor de sturing zijn een informatiebeveiligingsbeleid en tactische beveiligingseisen nodig. Deze dienen op operationeel niveau te worden vertaald naar onder andere IT-beheerprocedures en systeemconfiguraties van IT-infrastructuurcomponenten.

C-2007-2-Kornelisse-3

Figuur 3. Inrichting van IT-beveiliging.

Naast een adequate inrichting van IT-beveiliging is het van belang het ontworpen huis periodiek te evalueren, via interne controle (bijvoorbeeld op het punt van registraties en systeeminstellingen), risicoanalyses, penetratietests en IT-audits. Hiertoe is het van belang jaarlijks vast te stellen welke mate van zekerheid gewenst is betreffende IT-beveiliging, zowel wat de IT-beveiligingsprocessen als de feitelijk ingerichte IT-beveiliging op operationeel niveau aangaat.

Op het operationele niveau is het van belang voor de essentiële IT-applicaties de ontworpen en geïmplementeerde maatregelen te inventariseren en te evalueren. Hierbij worden onderzocht: administratie en interne controle, IT-applicatieve maatregelen, IT-infrastructurele maatregelen en IT-beheermaatregelen (zie figuur 4).

C-2007-2-Kornelisse-4

Figuur 4. Operationele aandachtsgebieden.

De wijze waarop IT-beheerprocessen en beveiligingsstandaarden worden gedocumenteerd en gedistribueerd, bepaalt mede de effectieve en efficiënte inzet van deze middelen binnen een organisatie.

In de praktijk blijken organisaties die expliciet eisen voor het opstellen van interne documentatie hebben gedefinieerd en voor distributie bijvoorbeeld een intranet hanteren, slagvaardiger te zijn. Dit kan nog verder worden versterkt als registraties en rapportages hierbij worden meegenomen.

Aandachtspunten voor de IT-auditor

Organisaties vragen in veel gevallen aan een IT-auditor om de huidige status van de IT-beveiliging te beoordelen. Een perfecte situatie wordt in de praktijk niet vaak aangetroffen, en de IT-auditor zal veelal diverse (operationele) bevindingen en aanbevelingen kunnen rapporteren.

Knelpunten betreffende de operationeel gewenste maatregelen dienen te worden gerapporteerd, bijvoorbeeld risico’s betreffende IT-beheerprocessen en ongewenste systeeminstellingen van ICT-componenten.

Daarnaast is het van belang aan het management van de organisatie de risico’s te rapporteren ten aanzien van vertrouwelijkheid, betrouwbaarheid en continuïteit, door aan te geven welke functiescheidingen kunnen worden doorbroken, hoe groot de kans daarop is en met een inschatting van de mogelijke impact (bijvoorbeeld welke gegevens kunnen worden ontsloten, en/of welke gegevens en programma’s kunnen worden gewijzigd, en/of welke bedrijfsprocessen kunnen worden verstoord).

C-2007-2-Kornelisse-5

Figuur 5. Vereiste functiescheidingen.

Het is ook van belang te beseffen wat de organisatie na het rapporteren door de IT-auditor vervolgens wenst, namelijk risico’s onderkennen en keuzen maken betreffende de mate van en de wijze waarop aanbevelingen dienen te worden opgevolgd. Om te voorkomen dat een organisatie alleen geconstateerde operationele knelpunten oplost, dienen in het bijzonder ook de oorzaken van deze pijnpunten te worden geadresseerd. Hiertoe dient de IT-auditor te deduceren welke oorzaken ten grondslag liggen aan de geconstateerde operationele knelpunten. Dit betreft nogal eens het volgende:

IT-beveiliging is niet gestructureerd ingericht, bijvoorbeeld richtlijnen, procedures en/of beleid (op onderdelen) ontbreken.
Rapportages betreffende IT-beveiliging ontbreken, waardoor het management zich niet bewust is van risico’s en prioriteitstelling betreffende verbeteringen niet adequaat plaatsvindt.
IT-security is niet ingericht als een continu proces, bijvoorbeeld beveiligingsproblemen worden geïsoleerd opgelost.
Gestructureerde vastlegging van documenten vindt niet plaats, waardoor het gebruik ervan beperkt blijft.

Tot slot

In de loop der jaren blijken diverse organisaties een hoog niveau van IT-beveiliging te hebben kunnen bereiken. Ook zijn er diverse organisaties die al jaren aan de slag zijn en bewust pogen een hoger niveau van beveiliging te realiseren, maar het lukt hen (nog) niet. Hierbij is veel geld tevergeefs uitgegeven en is mogelijk schade opgelopen.

Het is van groot belang de consequenties van adequate IT-beveiliging onder ogen te zien, namelijk dat hierbij keuzen dienen te worden gemaakt, de flexibiliteit kan worden beperkt, maar ook het kwaliteitsbesef kan worden verhoogd, en dat daardoor nogal eens de efficiëntie en de effectiviteit en de slagvaardigheid van de organisatie kunnen worden verbeterd.

Alle betrokkenen van de organisatie dienen te beseffen dat IT-beveiliging een continu proces is en dat zij IT-beveiliging adequaat dienen te ondersteunen. IT-beveiliging blijft echter mensenwerk, hetgeen betekent dat individuen binnen de organisatie een transitie dienen te ondergaan van onbewust niet adequaat naar onbewust adequaat (zie figuur 6) betreffende IT-beveiliging. Hiermee wordt gestimuleerd dat de medewerkers van de organisatie op het punt van IT-beveiliging spontaan proactief handelen en op alle functies beveiliging verder brengen.

C-2007-2-Kornelisse-6

Figuur 6. Ontwikkeling van besef inzake IT-beveiliging.

Wacht dan ook niet af, maar bepaal de eigen koers van de organisatie voor een efficiënte en effectieve beveiliging.

Literatuur

[Cocg03] Commissie corporate governance, De Nederlandse corporate governance code, 9 december 2003.

[DNB01] DNB, Regeling organisatie en beheersing, 29 maart 2001.

[Korn06] Ir. P. Kornelisse RE CISA en H. IJkel RE CISA CISSP, Een inleiding tot integrated audit, Compact 2006/2.

[Korn05] Ir. P. Kornelisse RE CISA, R.P.J. van den Berg RA en A.A. van Dijke, SOX – Scoping van de relevante ICT, Compact 2005/3.

[Korn04] Ir. P. Kornelisse RE CISA, Security monitoring – De IT-infrastructuur aantoonbaar in control, de EDP-auditor 2004/4.

[Korn03] Ir. P. Kornelisse RE, Zuinig beveiligen?, Compact 2003/4.

[USSE03] US Securities and Exchange Commission, Final Rule: Management’s Reports on Internal Control Over Financial Reporting and Certification of Disclosure in Exchange Act Periodic Reports, Release Nos. 33-8238; 34-47986; IC-26068; File Nos. S7-40-02; S7-06-03, USA, June 2003.

In control ten aanzien van uw autorisatiemanagement

‘In control’ ten aanzien van autorisatiemanagement is een vereiste vanuit steeds stringenter wordende wet- en regelgeving, zoals Sarbanes-Oxley (SOX), Basel II en privacywetgeving. In dit artikel wordt beschreven op welke wijze organisaties effectief en efficiënt het voldoen aan deze vereisten aan kunnen tonen (‘compliance verification’) om vervolgens het huis structureel op orde te krijgen en te houden. Autorisatiemanagement op basis van het concept rolgebaseerd autoriseren kan hierbij een belangrijke rol spelen. In dit artikel wordt vooral ingegaan op de praktische kant van het onderwerp, gebaseerd op een aantal concrete praktijkvoorbeelden. Daarnaast wordt de relatie toegelicht met het thema Identity & Access Management (IAM).

Inleiding

Al zolang organisaties gebruikmaken van informatietechnologie speelt de toegangsverlening tot de informatie van de organisatie een belangrijke rol. Informatie is tegenwoordig één van de meest waardevolle ‘assets’ van een organisatie. Zonder de juiste informatie worden foutieve beslissingen genomen, kan het bedrijfsproces niet goed worden uitgevoerd, worden klanten minder goed geholpen of wordt schade geleden. Uiteraard speelt hierbij ook het voldoen aan wet- en regelgeving, zoals SOX en Basel II, een belangrijke rol. Het is dus zaak dat iemand over de juiste informatie kan beschikken en dat onbevoegden geen toegang hebben tot informatie, bijvoorbeeld financiële gegevens, klantgegevens en informatie die wordt gebruikt voor de besturing en uitvoering van de primaire processen.

Met het steeds complexer wordende applicatielandschap, fusies en overnames en eisen van de business ten aanzien van IT is het voor organisaties een voortdurende uitdaging om de autorisaties op orde te krijgen, en die ook op orde te houden. In dit artikel wordt een aanpak geschetst van de wijze waarop de organisatie de enorme brij aan foutieve autorisaties op orde kan krijgen en de juiste autorisaties daarna ook op orde kan houden. Dit laatste wordt vaak vergeten of hiervoor wordt niet tijdig een proces ingericht. Het gevolg hiervan is dat jaarlijks projecten worden opgestart om de autorisaties te schonen. Dit levert veel frustraties op aan zowel de IT- als de businesskant en slokt bovendien te veel tijd op. Hierdoor komen medewerkers niet aan hun primaire taken toe en wordt compliance onnodig duur.

Autorisatiemanagement – merendeel van de organisaties onvoldoende ‘in control’

Een enquête van KPMG uit 2006, waarin ongeveer duizend verantwoordelijken voor IT werden geënquêteerd, laat zien dat het merendeel van de organisaties aangeeft niet volledig in control te zijn ten aanzien van autorisaties ([KPMG06]). Zo geeft het merendeel van de geënquêteerden aan niet te weten of de uitgegeven autorisaties correct zijn en geen goed en up-to-date-overzicht te hebben van de verstrekte autorisaties. Wetende dat controleerbaarheid en het uitvoeren van deze controles één van de belangrijkste vereisten is van eerdergenoemde diverse wet- en regelgeving, is het niet erg bemoedigend dat slechts 38 procent van de geënquêteerden regelmatig autorisaties controleert.

Kader 1. Enkele uitkomsten enquête KPMG ten aanzien van autorisaties.

73% van de ondervraagden weet niet of uitgegeven autorisaties correct zijn.
77% van de ondervraagden heeft geen goed up-to-date inzicht in de verstrekte autorisaties.
Slechts 38% van de ondervraagden geeft aan autorisaties regelmatig te controleren.

C-2007-2-Hermans-k1

Autorisatiemanagement – relatie met compliance

Met de komst van SOX, Basel II en Tabaksblat is transparantie een niet te ontwijken eis geworden voor veel organisaties. In tabel 1 wordt een overzicht gegeven van de meest in het oog springende wet- en regelgeving. Het merendeel hiervan stelt ten aanzien van privacy en integriteit van data soortgelijke vereisten. Deze vereisten zijn terug te voeren op richtlijnen voor de opzet van autorisatiemodellen binnen organisaties evenals het proces van beheer van toegang tot data. Daarbij is het noodzakelijk om het daadwerkelijk voldoen aan deze vereisten aantoonbaar te maken (compliance). Recent onderzoek van The Ponemom Institute toont aan dat de meeste organisaties een handmatige aanpak hebben voor het verifiëren van controls ten aanzien van autorisaties ([Pone07]).

C-2007-2-Hermans-t1

Tabel 1. Overzicht van toepasselijke wet- en regelgeving.

De meeste wet- en regelgeving behandelt:

privacy- en data-integriteit;
het beheer van toegang tot deze data (‘wie heeft toegang tot welke data en hoe wordt dit gegarandeerd’);
een verandering van ‘vertrouwen’ naar ‘bewijzen’ → aantoonbaar ‘in control’ zijn.

Kortom, indien een organisatie niet aantoonbaar ‘in control’ is, bestaat er dan een oplossing waarbij een organisatie op een efficiënte wijze effectief autorisatiemanagement kan inrichten?

In de voorgaande paragraaf is aangegeven dat veel organisaties niet ‘in control’ zijn ten aanzien van autorisatiemanagement. Veel organisaties starten projecten, of hebben reeds projecten gestart, om het autorisatiemanagement te verbeteren. Uit al gestarte projecten blijkt dat veel organisaties moeite hebben met de tijdige realisatie van hun doelstelling, te weten effectief en efficiënt autorisatiemanagement. Belangrijke oorzaken hiervan zijn:

Geen gefaseerde aanpak met tussenresultaten. Wanneer een organisatie direct een zeer fijnmazig rollenmodel wil implementeren, kost dit een behoorlijke inspanning wat een langdurig traject tot gevolg heeft. Het risico hiervan is dat projecten worden gestaakt omdat na verloop van tijd nog steeds geen concrete resultaten zijn geboekt en de organisatie nog niet ‘in control’ is.
Veel projecten worden vanuit de IT-organisatie opgestart, waardoor de aansluiting met de business niet of nauwelijks wordt bereikt.
Het autorisatiemanagementproces wordt niet verbeterd en uitgebreid in relatie tot het beheren van rollen, een middel waarmee de organisatie in staat wordt gesteld haar verantwoordelijkheid te nemen ten aanzien van autorisatiemanagement.

Om wel tot een succesvol project te komen en de organisatie ‘in control’ te brengen ten aanzien van autorisatiemanagement moet de projectaanpak:

efficiënt en pragmatisch zijn. De business moet worden betrokken maar de benodigde betrokkenheid van de business, uitgedrukt in tijd, moet minimaal zijn. Zo niet, dan verliest het project al snel draagvlak.
leiden tot een structurele oplossing zodat er niet ieder jaar een opschoningstraject hoeft te worden gestart.
snel resultaat opleveren zodat de grootste problemen snel worden opgelost en het project aantoont echt toegevoegde waarde te bieden.

In figuur 1 is de aanpak waarmee autorisatiemanagement wordt verbeterd, schematisch weergegeven. Belangrijkste onderdelen hieruit zijn:

het inrichten van een complianceverificatieproces teneinde snel het eerste niveau van compliance te bereiken. In dit proces wordt gerapporteerd over de status van de huidige uitgegeven autorisaties en het management neemt mitigerende acties op basis van de rapportages.
het herinrichten, optimaliseren en automatiseren van delen van het autorisatiemanagementproces om nieuwe vervuiling te voorkomen en om te kunnen werken met rolgebaseerde autorisaties. Hierbij wordt het gebruik van een autorisatiemanagementtool aangeraden.

C-2007-2-Hermans-1

Figuur 1. Aanpak verbetering van autorisatiemanagement.

Het complianceverificatieproces

Inrichting van het complianceverificatieproces

Aangezien het aantonen van het niveau van compliance voor de organisatie vaak de hoogste prioriteit heeft, richt de eerste stap zich dan ook op het opzetten en inrichten van dit verificatie- en rapportageproces. In dit proces wordt in kaart gebracht welke bedrijfsregels er gelden ten aanzien van autorisaties (bijvoorbeeld functiescheiding) en wordt gevalideerd of de regels in de praktijk ook zijn nageleefd bij de daadwerkelijk geïmplementeerde autorisaties. De uitvoering van deze stap is daarnaast noodzakelijk om autorisaties rolgebaseerd te kunnen gaan beheren. Anders gaat men immers foutieve autorisaties in nieuwe rollen opnemen.

De zogenoemde bedrijfsregels worden afgeleid van intern beleid en procedures, evenals externe wet- en regelgeving, zoals:

SOX 404;
mededingingswetgeving (NMa);
privacywetgeving (Wet bescherming persoonsgegevens).

De bedrijfsregels worden opgesplitst in generieke en applicatiespecifieke regels. De generieke regels zijn van toepassing op de autorisaties van alle applicaties. Daarnaast kunnen ook generieke regels bestaan voor het beheer van de IT-infrastructuur. Naast de generieke regels wordt per applicatie bepaald welke regels van toepassing zijn in relatie tot de autorisaties. Deze specifieke regels worden vaak opgesteld op basis van beschikbare functionele ontwerpen, risicoanalyses in relatie tot functiescheiding en beschikbare autorisatiematrices. Tabel 2 geeft een aantal voorbeelden van bedrijfsregels.

C-2007-2-Hermans-t2

Tabel 2. Voorbeelden van generieke en applicatiespecifieke maatregelen.

Om een efficiënte analyse mogelijk te maken, kan voor complianceverificatie een geautomatiseerde analysetool worden gebruikt. Het voordeel hiervan is dat de analyse vele malen sneller wordt uitgevoerd. Eigenlijk is een handmatige analyse onmogelijk voor omvangrijke applicaties en gebruikersgroepen. Een tweede voordeel is, dat de analyse consistent wordt uitgevoerd op basis van geprogrammeerde regels.

Het is hierbij belangrijk om zich te realiseren dat de analysetool slechts een hulpmiddel is. Er moet nog steeds een proces worden ingericht en het opstellen van de bedrijfsregels is iets wat een analysetool niet doet. De inhoud van de bedrijfsregels bepaalt de output van de analyse en niet een geavanceerde analysetool die mogelijk door ondeskundigen wordt gebruikt.

In figuur 2 is het complianceverificatieproces schematisch weergegeven en in tabel 3 is iedere processtap kort beschreven.

C-2007-2-Hermans-2

Figuur 2. Complianceverificatieproces ten aanzien van autorisatiemanagement.

C-2007-2-Hermans-t3

Tabel 3. Processtappen behorende bij complianceverificatie. [Klik hier voor grotere afbeelding]

Resultaat van het complianceverificatieproces

Het beschreven complianceverificatieproces stelt de organisatie in staat:

op een snelle wijze te rapporteren over het niveau van compliance ten aanzien van voor de organisatie geldende compliancevereisten ten aanzien van autorisatiemanagement;
de verantwoordelijkheid bij de juiste functionarissen te beleggen;
door het verkregen inzicht de gewenste situatie ten aanzien van autorisaties te herstellen door het opschonen van accounts en autorisaties (verwijderen van zogenaamde ‘ghost accounts’ en van excessieve toegangsrechten);
op basis van de opgeschoonde situatie haar autorisatiemanagement structureel te verbeteren en desgewenst rolgebaseerd autorisatiemanagement in te voeren.

Aandachtspunten bij de inrichting van het complianceverificatieproces

Bij de inrichting van het complianceverificatieproces spelen de volgende aandachtspunten c.q. randvoorwaarden een belangrijke rol:

Van de applicaties in scope moet een eigenaar bekend zijn en tevens moet functioneel en technisch beheer helder zijn belegd. Deze betrokkenen moeten immers de benodigde documentatie en informatie aanleveren.
Beschikbaarheid van up-to-date documentatie zoals beleidsuitgangspunten ten aanzien van autorisatiemanagement, evenals autorisatiematrices en systeemdocumentatie waarin ook het autorisatiemodel van de applicatie wordt beschreven.
Beschikbaarstelling van de data, zeker als het systeem of de toepassing is geoutsourcet. Vaak zijn hierover geen afspraken gemaakt in de contracten of service level agreements (SLA).
Veel controles maken gebruik van verrijkte data. Het moet dus mogelijk zijn de ‘platte’ autorisatiedata uit een systeem of toepassing te verrijken met hr-data. Ofwel de gebruikersidentiteit moet herleidbaar zijn tot een natuurlijk persoon in hr.
Het autorisatieconcept van de toepassing zelf. Maakt de applicatie bijvoorbeeld gebruik van Active Directory-groepen voor de autorisatie of werkt de applicatie met een eigen autorisatiedatabase?

Is uw organisatie ‘in control’ na complianceverificatie?

In principe wel, want de autorisaties zijn nu weer op orde. Om ‘in control’ te blijven is het echter een randvoorwaarde dat de autorisatiemanagementprocessen (aanvraag, goedkeuring, controle) goed zijn ingericht. En dit is nu juist de uitdaging, het complianceverificatieproject is immers niet voor niets gestart. Gedurende het opschonen is het dus van belang dat het autorisatiemanagementproces wordt verbeterd. Dat kan natuurlijk op een procedurele wijze, met daarbij onderstaande nadelen:

grote beheerinspanning;
risico op verslappen van aandacht voor autorisaties;
controle achteraf en dan in het bijzonder ten aanzien van de aangebrachte autorisaties, echter geen controle op het totstandkomingsproces (autorisatiemanagementproces).

Om dus ‘in control’ te blijven is een structurele oplossing nodig die zich richt op:

Herinrichting van autorisatiemanagement op basis van rolgebaseerd autoriseren. Hierbij komen de volgende aspecten aan bod:
- rolanalyse;
- rolontwerp;
- rolmanagement.
Automatiseren van delen van de autorisatiemanagementprocessen. Hierbij ligt een nauwe relatie met het thema Identity & Access Management (IAM). Het verband tussen autorisatiemanagement en IAM wordt aan het slot van dit artikel behandeld.

Herinrichting van autorisatiemanagement, met als uitgangspunt rolgebaseerd autoriseren

Essentie van rolgebaseerd autoriseren is dat een gebruiker geautoriseerd wordt voor toegang tot een object via één of meer rollen. De voordelen van rolgebaseerd autoriseren worden in detail weergegeven in kader 2.

Kader 1. Traditioneel autorisatiemanagement.

Traditioneel autorisatiemanagement

Van oudsher heeft elk IT-systeem en elke applicatie een eigen implementatie voor autorisatiemanagement of, preciezer, toegangscontrole. Dit komt erop neer dat een gebruiker gescheiden accounts heeft op elk systeem dat en elke applicatie die hij gebruikt, elk met hun eigen permissiestructuur en methode om autorisaties toe te wijzen.

Over het algemeen zijn de permissiestructuur en de methode om rechten toe te wijzen in deze traditionele systemen vrij direct ingericht. Een veelgebruikte methode voor autoriseren is een Access Control List (ACL). Autorisaties voor de applicaties en systemen zijn direct gekoppeld aan gebruikers of gebruikersgroepen, zoals is weergegeven in de onderstaande afbeelding.

C-2007-2-Hermans-k2

De permissies die gebruikt worden binnen een applicatie of systeem zijn veelal op een gedetailleerd en technisch niveau.

De (bijna) directe relatie tussen de technische autorisaties en de gebruikers maakt dat het moeilijk is om op een functioneel niveau snel te zien wat een gebruiker daadwerkelijk binnen het systeem of de applicatie kan doen. Hieruit volgt dat het zeer lastig is om de toegang voor gebruikers te beheren.

Het gebrek aan overzicht van de toegangsrechten en de mogelijkheid tot goed beheer van deze rechten binnen organisaties neemt toe met het aantal systemen en applicaties dat in gebruik is. Naast het feit dat het gebruik van meerdere applicaties betekent dat het aantal permissies toeneemt en het aantal toewijzingsmethoden dat begrepen en geanalyseerd moet worden groter wordt, gaat het bestaan van meerdere accounts per gebruiker ook een rol spelen.

Verschillende systemen hebben verschillende regels, beperkingen of simpelweg ander beleid voor het aanmaken van accountnamen, wat betekent dat een gebruiker bij verschillende systemen bekend is onder verschillende accounts. Deze situatie wordt hieronder weergegeven.

C-2007-2-Hermans-k3

De volgende stappen moeten worden ondernomen om een overzicht te krijgen van de rechten die een gebruiker heeft op de IT-resources van een organisatie:

Stel vast welke accounts een gebruiker heeft op alle systemen waar hij toegangsrechten bezit. Dit kan een ‘kip en ei’-probleem opleveren, omdat een gebruiker over het algemeen toegang heeft tot systemen waarop hij een account heeft.
Bepaal welke (technische) permissies de gebruiker heeft binnen elk systeem, gebruikmakend van alle gebruikersaccounts.
Onderzoek wat de gebruiker op functioneel (business) niveau daadwerkelijk kan doen met de permissies die hij bezit.

Het doorlopen van deze stappen kan een behoorlijke uitdaging zijn. Het beheren van toegang (door de bovenstaande stappen in omgekeerde volgorde te behandelen) is nog lastiger.

Kader 2. Rolgebaseerd autorisatiemanagement.

Rolgebaseerd autorisatiemanagement (Role Based Access Control)

Zoals de naam doet vermoeden, spelen rollen een belangrijke rol binnen Role Based Access Control (RBAC). RBAC-rollen bevinden zich tussen de permissies en de gebruikers, en hebben zowel een functie bij het organiseren als bij het koppelen van deze niveaus. Dit wordt hieronder afgebeeld.

C-2007-2-Hermans-k4

Binnen dit model is een permissie een recht om een zekere actie op een bepaald (type) object te voltooien. De permissies zijn samengevoegd in rollen. De rollen worden toegewezen aan gebruikers. Zodra dit gebeurt, zijn de permissies binnen die rol ook beschikbaar voor de gebruiker.

Hoewel rollen slechts een kleine toevoeging lijken te zijn aan de traditionele autorisatiemanagementoplossingen, zijn ze wel degelijk een belangrijke factor in het verplaatsen van autorisatiemanagement naar het businessniveau. Een aantal redenen is hiervoor te geven, waaronder:

Een enkele rol kan permissies voor meerdere systemen of applicaties bevatten. Rollen overstijgen daardoor de grenzen van die systemen en applicaties. In traditionele autorisatiemanagementoplossingen compliceren deze grenzen het verkrijgen van een overzicht van en grip op permissies van gebruikers.
Aan rollen kunnen namen worden gegeven die betekenisvol zijn voor de business, en rollen zijn op deze manier ook te relateren aan businessconcepten. Bijvoorbeeld, als bepaalde permissies worden toegekend aan medewerkers met een bepaalde functie binnen de organisatie, dan kunnen die permissies worden gegroepeerd in een rol die de naam draagt van die functie. De permissies worden dan toegekend aan de betrokken medewerkers in die functie door hen die rol te geven. Ook mogelijk is dat sommige permissies toegekend worden aan alle medewerkers. In een dergelijk geval kan er een rol worden gemaakt met de naam ‘Medewerker’ die wordt toegekend aan alle medewerkers.

Het kunnen geven van betekenisvolle namen aan rollen is een belangrijk voordeel. Immers, in de huidige situatie wordt het verantwoordelijke management vaak geconfronteerd met allerlei technische benamingen van autorisatieprofielen, welke voor hem eigenlijk geen betekenis hebben. Hierdoor kan hij geen verantwoordelijkheid nemen ten aanzien van autorisatiemanagement.
Rollen ondersteunen situaties met meerdere abstractieniveaus van permissies door gebruik te maken van rolovererving. Door rolovererving kunnen rollen die permissies bevatten zelf ook gecombineerd worden tot abstractere rollen.

Stel bijvoorbeeld dat een organisatie applicatie-eigenaren heeft die over gedetailleerde kennis beschikken van de technische permissies binnen hun applicaties. Deze applicatie-eigenaren kunnen deze technische permissies groeperen in rollen, waarbij elke rol de permissies bevat die nodig zijn om een bepaalde taak binnen de applicatie uit te voeren. Een lijnmanager kan deze applicatierollen combineren, om zo tot rollen op een hoger niveau te komen. Elk van deze laatste rollen kan overeenkomen met een businessfunctie.
Rollen vormen een basis voor het implementeren van bepaalde beleidsregels, zoals functiescheidingen. Een beleidsregel die stelt dat twee taken of functies niet toegekend mogen worden aan dezelfde werknemer, kan vertaald worden naar een RBAC-regel die ervoor zorgt dat de betrokken rollen niet aan dezelfde gebruiker worden toegekend.

De levenscyclus van rollen

Een rol is allesbehalve statisch te noemen. Aangezien een organisatie en haar ‘business’ aan verandering onderhevig zijn, geldt dit ook voor autorisaties en bijbehorende rollen. Hierbij is het van belang te zoeken naar een goede balans tussen hoeveelheid rollen en benodigde rolwijzigingen. Om een dergelijk proces goed in te kunnen richten, is het om te beginnen belangrijk de levenscyclus van rollen te onderkennen. Deze wordt weergegeven in figuur 3.

C-2007-2-Hermans-3

Figuur 3. Levenscyclus van rollen.

De levenscyclus van rollen bevat drie fasen:

Rolanalyse. Tijdens de rolanalyse worden de rollen geïdentificeerd die binnen de organisatie kunnen worden onderkend. De rollen worden geïdentificeerd op basis van onder meer beleidsdocumenten, de organisatiestructuur, bedrijfsprocessen en functieomschrijvingen.
Rolontwerp. Tijdens het rolontwerp worden de rollen geïdentificeerd zoals deze zijn geïmplementeerd in de geautomatiseerde systemen. Op basis van de rolanalyse en het onderzoek naar de rollen in de geautomatiseerde systemen wordt een nieuw ontwerp voor rollen ontwikkeld, dat wordt vastgelegd in een zogenoemde rolcatalogus.
Rolmanagement. Rolmanagement omvat de processen voor het management van rollen, zoals aanvraag, aanmaak, activering, intrekking en schorsing alsmede het doorvoeren van wijzigingen in rollen als gevolg van bijvoorbeeld wijziging van organisatiestructuren, wet- en regelgeving of IT-omgeving.

Rolanalyse en -ontwerp

Om te komen van een bestaand autorisatiemodel naar een op rollen gebaseerd autorisatiemodel zijn twee aanpakken mogelijk, te weten ([Mien05]):

Top-down rolontwerp, een veelal meer strategisch georiënteerde aanpak. Hierbij wordt vanuit informatiebeleid, IT-governance en bijbehorende processen (ofwel de administratieve organisatie) bepaald welke autorisaties bij welke rollen zouden moeten horen. Uitdaging hierbij is dat IT-governance in de praktijk eveneens sterk in ontwikkeling is en nog tijd nodig heeft om tot volle wasdom te komen door alle veranderingen die het in ontwikkeling zijn met zich meebrengt.
Bottom-up rolontwerp, een veelal meer operationeel georiënteerde aanpak. Hierbij worden op basis van bestaande autorisaties binnen geselecteerde objecten op een geautomatiseerde wijze rollen gedestilleerd. Hiertoe zijn reeds diverse tools beschikbaar, alhoewel de markt van dergelijke tools nog erg in ontwikkeling is. Een uitdaging hierbij is daarom vooral het vertalen van de uitkomsten van deze technische analyse naar voor objecteigenaren begrijpelijke uitkomsten.

In werkelijkheid zullen deze aanpakken worden gecombineerd, waarbij bottom-up rolengineering zal worden uitgevoerd met gebruik van geautomatiseerde tools, waarna deze IT-rollen gecombineerd zullen worden tot businessrollen met gebruik van de top-downaanpak.

Om te kunnen beginnen met het bottom-up rolontwerp met gebruikmaking van geautomatiseerde rapportages en analysetools, is het nodig dat de data die zullen worden geanalyseerd bij het rolminingproces voldoen aan bepaalde kwaliteitscriteria. Gebaseerd op zowel de eerste analyse van de datakwaliteit als de rapporten over de verleende permissies naar de betrokken stakeholders worden de bestaande autorisaties geschoond. Na het bereiken van het benodigde kwaliteitsniveau wordt het geautomatiseerde rolminingproces gestart, gecombineerd met de top-down rolengineering van de resultaten uit de stap waarbij de rolminingactiviteiten worden omgezet naar businessrollen.

Nadat deze schoningsactiviteiten hebben geleid tot autorisatiedata van het vereiste kwaliteitsniveau, kan het proces van rolmining en rolengineering van start gaan. Rolmining wordt gebruikt voor het ontdekken van IT- of systeemrollen en rolengineering wordt gebruikt voor het creëren van businessrollen (ofwel het combineren van IT- of systeemrollen tot betekenisvolle businessrollen).

Het verschil tussen businessrollen en IT- of systeemrollen wordt weergegeven in figuur 4.

C-2007-2-Hermans-4

Figuur 4. Verschil tussen businessrollen en systeemrollen.

In autorisatiemanagement maken we een onderscheid tussen:

Permissieniveau. Dit is het laagste en meest grove niveau binnen de autorisatiemanagementaanpak. De permissies van deze aanpak zijn gekoppeld aan groepen, profielen of gelijkwaardige gebruikerscontainers in de beheerde applicaties.
IT- of systeemrollen. Bevatten veelal permissies die nodig zijn om een bepaalde businesstaak uit te voeren. Bedenk dat IT- of systeemrollen permissies kunnen bevatten van één of meer applicaties.
Businessrollen. Komen overeen met businessfuncties of zelfs businessrollen, en worden gecreëerd door het combineren van de daarvoor benodigde systeemrollen (de businesstaken).

Opgemerkt moet worden dat het mogelijk is meerdere niveaus van de zojuist genoemde businessrollen toe te voegen. Op deze manier wordt een businessrolhiërarchie gecreëerd. In de praktijk is het aantal omgevingen waarin dit noodzakelijk of praktisch is, vrij beperkt.

Met betrekking tot de autorisatiemanagementaanpak kunnen de volgende taken worden geïdentificeerd:

Rolmining met behulp van een geautomatiseerde rolminingtool:
- het identificeren en creëren van permissies;
- het samenstellen van systeemrollen.
Het samenstellen van businessrollen via een top-downaanpak.
Het implementeren en toepassen van beleidsregels (zoals functiescheidingen en rolactivatie gebaseerd op zogenaamde ‘rules’). Deze regels kunnen per rol worden aangegeven.

Rolmanagement

Een rol is een generieke term voor het groeperen van toegangsrechten die benodigd zijn voor het uitvoeren van taken door de gebruiker. In veel gevallen zijn deze taken direct gerelateerd aan de activiteiten die deze persoon uitvoert in een proces, een project of zijn of haar organisatorische eenheid.

Om te garanderen dat het ontwikkelen en managen van rollen volgens een consistent en uniform proces verloopt, is het belangrijk om rolmanagement in de organisatie te verankeren.

Rolmanagement bevat wijzigingsbeheer voor de roldefinities, gebaseerd op het managementbeleid. De coördinator van dit proces is de tactische rolmanager. De rol van de tactische rolmanager en de betrokken partijen en processen zijn getoond in figuur 5.

C-2007-2-Hermans-5

Figuur 5. Overzicht tactisch rolmanagement.

Het proces van het toewijzen van rollen aan gebruikers maakt geen deel uit van rolmanagement.

De uitkomst van het rolmanagementproces bestaat uit de definitie van de rollen. Deze definities kunnen worden opgeslagen in de autorisatiemanagementinfrastructuur.

Het beleid voor rolmanagement bevat met name een beschrijving van hoe de governancestructuur moet zijn met daarbij diverse rollen en verantwoordelijkheden van de betrokken functionarissen. Hierbij kan een zogenaamd RACI-schema worden gehanteerd (zie tabel 4).

C-2007-2-Hermans-t4

Tabel 4. RACI-matrix behorende bij rolmanagement.

Automatiseren van delen van de autorisatiemanagementprocessen

Teneinde een te onderhouden autorisatiemodel gebaseerd op rollen te verkrijgen, verdient het de voorkeur om de uitkomsten van rolanalyse en -ontwerp vast te leggen in een daarvoor ontworpen geautomatiseerd systeem. Hier geldt de anekdote ‘boekhouding kun je natuurlijk op papier doen, met een geautomatiseerd systeem is het toch wel wat efficiënter’.

Naast dat enerzijds de roldefinities zullen worden vastgelegd in een geautomatiseerde administratie, zullen daarin anderzijds ook aspecten worden opgenomen als welke groep functionarissen welke rollen mag toedelen, alsmede condities en voorwaarden waaronder een rol mag worden toebedeeld.

Rolgebaseerd autorisatiemanagement en IAM

In [Herm06] wordt een toelichting gegeven op een integrale set van processen die tezamen IAM wordt genoemd. Naast autorisatiemanagement, dat in dit artikel centraal staat, bestaat IAM uit een viertal andere processen. In figuur 6 worden deze (nogmaals) weergegeven. Naast de drijfveer ‘compliance’ en dientengevolge benodigde ‘verification’ is algehele procesverbetering (‘operational excellence’) een nimmer verdwijnend thema binnen organisaties. Het valt dan ook aan te bevelen om de inspanningen rondom autorisatiemanagement hand in hand te laten gaan met verbeteringen in de andere IAM-processen. Zo kunnen bijvoorbeeld aanvraagprocessen voor autorisaties alsmede het doorzetten van gewenste autorisaties (provisioning) richting objecten worden geautomatiseerd. Deze vorm van procesoptimalisatie wordt door veel organisaties uitgevoerd binnen een specifiek IAM- of algeheel security-verbeteringsprogramma.

Het verdient hierbij aanbeveling om autorisatiemanagement niet alleen in perspectief te zien met gerelateerde processen maar eveneens benodigde verbeteringen stap voor stap te realiseren (evolutie in plaats van revolutie).

C-2007-2-Hermans-6

Figuur 6. Overzicht IAM-processen. [Klik hier voor grotere afbeelding]

Kader 3. Resultaten van de herinrichting van autorisatiemanagement.

Resultaat van de herinrichting van autorisatiemanagement

Er is altijd een up-to-date inzicht in de autorisaties van medewerkers.
Een efficiënte en effectieve migratie naar het rolgebaseerd autorisatiemodel.
De huidige gewenste situatie is vastgelegd in het autorisatiesysteem.
De huidige situatie komt overeen met de gewenste situatie.
De efficiëntie kan worden verhoogd door gebruik te maken van analytische tools.
De transparantie, het onderhouden, de effectiviteit en de verificatiemogelijkheden worden verbeterd.
Autorisatiemanagement is aantoonbaar ‘in control’.
Door autorisatiemanagement nadrukkelijk in verband te brengen met (bestaande) inspanningen op het gebied van IAM kan er verdere ‘operational excellence’ worden behaald.

Kader 4. Aandachtspunten voor herinrichting van autorisatiemanagement.

Aandachtspunten bij herinrichting van autorisatiemanagement

Rolmining

Automatische rolmining heeft alleen succes als de te minen data voldoen aan de vereiste kwaliteitscriteria.

Rolengineering

Te veel variatie in rollen – de implementatie van een autorisatiemodel dat gebaseerd is op rollen is bedoeld om het aantal administratieactiviteiten te verkleinen door te standaardiseren. Om het aantal (variaties in) rollen te beperken, is het mogelijk contextafhankelijkheid onderdeel te laten uitmaken van het rolontwerp.
Een mogelijk probleem dat vaak wordt genoemd in relatie tot de implementatie van RBAC-oplossingen is rolexplosie of rolproliferatie. Rolexplosie kan voorkomen in een situatie waarbij een zeer groot en vrijwel onbeheersbaar aantal rollen moet worden gemaakt om alle permissies in de IT-omgeving te omvatten. Een nadere analyse van de oorzaken die hieraan ten grondslag liggen geeft vaak weer dat meestal te veel op elkaar lijkende permissies in gebruik zijn; ook wel omschreven als permissie-explosie.
Normaal gesproken zijn de verschillen tussen permissies min of meer direct te relateren aan de context waarin ze gebruikt worden. Bijvoorbeeld, in een organisatie waarin iedere divisie haar eigen fileshare op het netwerk heeft, moet men vaak een aparte permissie aanmaken voor iedere fileshare, en dus voor elke divisie. Bovendien is het nodig om een aparte rol voor elke divisie aan te maken die de filesharepermissie voor de divisie in kwestie bevat.
Soortgelijke voorbeelden kunnen worden gegeven voor organisaties (of divisies) met meerdere geografische locaties, medewerkers met verschillende niveaus van senioriteit, enz.

Om dit probleem te verhelpen kan het concept van zogenaamde Context-Sensitive Permissions (CSP’s) worden overwogen. CSP’s kunnen dienen als permissiesjablonen die velden voor contextinformatie kunnen bevatten.

Contextinformatie kan een eigenschap zijn van:

de applicatie waarvoor de permissie is gedefinieerd;
de rollen waarin de permissie is gevat;
de organisatorische eenheid en gebruikers aan wie de rollen worden toegewezen.

Wanneer een CSP daadwerkelijk wordt toegekend aan een gebruiker (door toekenning of activering van een rol die de CSP bevat) wordt de permissie voor die gebruiker aangemaakt door de relevante eigenschappen op te halen en ze te gebruiken om het sjabloon in te vullen. De afbeelding hieronder laat dat zien.

C-2007-2-Hermans-k5

Als de CSP wordt gekoppeld aan een andere gebruiker, wordt mogelijk een verschillende permissie aangemaakt. Dit zou het geval kunnen zijn als de tweede gebruiker lid is van een andere organisatorische eenheid en de CSP velden bevat voor eigenschappen van organisatorische eenheden. Door dit mechanisme is het niet nodig om handmatig meerdere permissies of rollen toe te wijzen om verschillende toegangsrechten toe te kennen.

Dit maakt Context Sensitive Permissions een zeer krachtige tool om rolexplosie tegen te gaan.

Conclusie

Het krijgen en houden van grip op autorisatiemanagement is van belang voor organisaties. Enerzijds vanuit overwegingen te maken vanuit compliancevereisten, anderzijds vanuit het perspectief van het realiseren van procesverbeteringen (efficiëntie en effectiviteit). Het verdient daarom aanbeveling het beheerproces rondom autorisaties stap voor stap te verbeteren door gebruik te maken van het concept ‘rolgebaseerd autoriseren’. Voordeel van het complianceperspectief is dat de aantoonbaarheid van wie toegang heeft tot welke data kan worden vergemakkelijkt.

Echter, invoering van rolgebaseerd autoriseren is bepaald geen sinecure. Waar te beginnen? Welke applicaties eerst, welke kunnen wachten? Hoeveel rollen heb ik eigenlijk nodig? Kritieke succesfactor daarom is vooral het bewandelen van ‘de weg van geleidelijkheid’. Hierbij dient een strategische aanpak te worden gecombineerd met een meer operationele. Ofwel beleid en IT-governance als kaderstelling versus concreet per applicatie bekijken welke autorisaties zijn er nu eigenlijk toebedeeld aan mensen en horen die autorisaties er wel te zijn?

Ten slotte is het raadzaam autorisatiemanagement te bezien vanuit het bredere raamwerk van IAM-processen. Tezamen zullen deze uw organisatie stap voor stap aantoonbaar ‘in control’ brengen en houden!

Literatuur

[Herm06] Ing. J.A.M. Hermans RE, drs. D.B. van Ham CISA en drs. J. ter Hart, Globalisering en de complexiteit van logische toegang: nut en noodzaak van een strategie op het gebied van Identity & Access Management (IAM), Compact 2006/3.

[Herm05] Ing. J.A.M. Hermans RE en drs. J. ter Hart, Identity & Access Management: operational excellence of ‘in control’?, Compact 2005/3.

[Koor04] Drs. ing. R.F. Koorn RE en ing. J.A.M. Hermans RE, Identity Management: hoe (on)toereikend is het nu en hoe kan het beter?, Compact 2004/2.

[KPMG06] KPMG IT Advisory, Onderzoek informatiebeveiliging: zes belangrijke signalen uit de praktijk, 2006.

[Mien05] Ing. P. Mienes RE, De (harde) praktijk van role engineering, Compact 2005/3.

[Pone07] The Ponemon Institute, Survey on Identity Compliance, 1 March 2007.

Excuse me, do you speak ITGC?

Vanaf 2005 zijn alle beursgenoteerde ondernemingen in de EU verplicht IFRS toe te passen. Met deze verplichting is een belangrijke stap gezet in de wereldwijde harmonisatie in de financiële verslaggeving ofwel de ‘financiële wereldtaal’. Als we kijken naar het beheersingsvraagstuk binnen het IT-domein zijn er momenteel diverse standaarden voorhanden, echter ontbreekt een ‘wereldtaal’. Ondanks dat de IT general controls door de IT-auditberoepsgroep (internationaal) zijn uitgewerkt, blijkt in de praktijk dat verschillende belanghebbenden (zoals klanten, toezichthouders en de externe accountant) verschillende standaarden gebruiken dan wel verschillende verklaringen vragen over de beheersing van de IT controls. Dit leidt nogal eens tot afstemmingsproblemen en interpretatieverschillen. Dit artikel geeft een aanzet om de IT controls zowel intern als extern, nationaal en internationaal te harmoniseren en standaardiseren.

Inleiding

Een aantal ontwikkelingen in de afgelopen jaren, zoals de invoering van de Sarbanes-Oxley (SOX) regelgeving en de International Financial Reporting Standards (IFRS), hebben gevolgen gehad voor de normering die de grondslag vormt voor de oordelen van auditors. Deze ontwikkelingen hebben ervoor gezorgd dat er op internationaal niveau wordt gesproken over uniformering dan wel harmonisatie van normen. Zo zijn vanuit de SOX-wetgeving heldere richtlijnen opgesteld over de verklaringen die moeten worden afgegeven door het management van een organisatie en de externe auditors. Hierbij is het van groot belang dat de onderliggende normeringen die internationaal door auditors worden gebruikt, gelijk zijn. Met andere woorden, auditors maar ook de auditees en de afnemers van de oordelen van auditors moeten dezelfde ‘taal’ spreken (of op z’n minst de gesproken ‘taal’ begrijpen). Kijken we naar de financiële verslaggeving dan zien we dat hier sinds de invoering van IFRS internationaal een set van afspraken geldt over hoe bedrijven hun jaarverslag moeten presenteren. Dat het gebruik van een dergelijk gemeenschappelijk normenkader voordelen heeft spreekt voor zich. Interpretatieverschillen worden hiermee geminimaliseerd en in bepaalde gevallen voorkomen. De accountants onder ons weten overigens wel dat er door de toepassing van IFRS als verslaggevingsstandaard in Nederland naast de Nederlandse wet- en regelgeving nog niet helemaal sprake van een eenduidige en uniforme verslaggevingstaal.

Het inrichten en onderhouden van beheersingsmaatregelen rond informatietechnologie (IT controls) is de afgelopen jaren, ook als onderdeel van de financiële verslaglegging en de verantwoording die daarover moet worden afgelegd, belangrijker geworden. IT controls vormen een onderdeel van de algemene interne beheersingsmaatregelen die een organisatie kan treffen. Interne beheersing definiëren we hierbij als een stelsel van processen dat is ingericht door de leiding van een organisatie om een redelijke mate van zekerheid te krijgen over het realiseren van de effectiviteit en efficiency van de bedrijfsvoering, de betrouwbaarheid van de financiële verslaglegging en de naleving van relevante wet- en regelgeving ([Fijn05]).

Bij de IT controls maken we onderscheid tussen applicatiespecifieke beheersingsmaatregelen (application controls) en algemene IT-beheersingsmaatregelen (IT general controls). De application controls omvatten alle maatregelen in en rond een specifieke toepassing[Kenmerk van een application control is dat de beheersingsmaatregelen in de programmatuur zijn vastgelegd, zodat ze consequent worden uitgevoerd. Soms komen bij application controls uitgebreide berekeningen voor, maar vaak ook blijven application controls beperkt tot vergelijkingen. Bij berekeningen kan gedacht worden aan eenvoudige controlegetallen of complexe hashtotals en bij vergelijkingen aan totalen of standen of aan details in een transactie ([Fijn06]).]. De IT general controls (ITGC) hebben niet slechts betrekking op een enkele applicatie, maar op alle aspecten van de informatievoorziening.

C-2007-1-Mancham-1

Figuur 1. Relatie tussen application controls en IT general controls.

In de publicatie IT control Objectives for Sarbanes-Oxley van het IT Governance Institute worden de ITGC als volgt ingedeeld:

Access to Programs and Data (Logische toegangsbeveiliging);
Computer operations (IT-beheer en exploitatie);
Program changes (Wijzigingsbeheer);
Program development (Systeemontwikkeling).

In dezelfde publicatie worden de application controls gerelateerd aan de bedrijfsprocessen en wordt een voorbeeld gegeven van application controls die de juistheid en volledigheid van de informatie in een inkoopproces kunnen waarborgen. Als we kijken naar de application controls dan heeft hier nog geen uniformering dan wel harmonisatie plaatsgevonden.

Als we kijken naar de ITGC, een belangrijk auditdomein van de IT-auditor, dan kunnen we stellen dat er steeds meer sprake is van uniformering dan wel harmonisatie: er zijn diverse normen, richtlijnen en ‘best practices’ die door de IT-auditor worden gehanteerd als referentiekader zoals Cobit, de Code voor Informatiebeveiliging (ISO/IEC 17799:2005), en ITIL. Op dit moment zien we dat internationaal de ‘IT Control Objectives for Sarbanes-Oxley’ steeds vaker als ‘leidraad’ door IT-auditors maar vooral door organisaties zelf worden gebruikt. De uitwerking van ITGC die in deze publicatie zijn opgenomen, zijn afgeleid van Cobit, de Code voor Informatiebeveiliging en ITIL, en sluiten aan bij COSO.

In de huidige praktijk worden er diverse internationale standaarden, zoals Cobit en de Code voor Informatiebeveiliging, gebruikt voor het beoordelen van (de onderdelen van) de IT controls, terwijl veel organisaties en ook samenwerkingsverbanden tussen organisaties ook eigen normenkaders hebben ontwikkeld, weliswaar vaak gebaseerd op algemene standaarden maar gericht op specifieke doeleinden. Door het ontbreken van een algemene standaard (een wereldtaal), die voor de meest voorkomende praktijksituaties concreet toepasbaar is, ontstaan er afstemmingsproblemen tussen organisaties en auditors bij het onderling gebruikmaken van verklaringen over de beheersing van de IT controls.

In dit artikel wordt eerst een aantal ontwikkelingen geschetst die aanleiding geven om te komen tot verdere harmonisatie en standaardisatie van IT controls. Alvorens, naar analogie van de ontwikkeling van IFRS, de weg naar een IT controls wereldtaal te verkennen, worden de voor de IT controls relevante raamwerken en standaarden benoemd. Daarnaast wordt een overzicht gegeven van verklaringen die momenteel door organisaties worden gebruikt om aan derden aan te tonen of en zo ja, in hoeverre de IT controls ‘in control’ zijn.

Kader 1. Sarbanes-Oxley (SOX).

SOX

De Amerikaanse SOX-regelgeving uit 2002 is genoemd naar de opstellers ervan, de voorzitters van het Huis van Afgevaardigden en de Senaat van de Verenigde Staten, Sarbanes en Oxley. De prikkel voor deze wetgeving komt voort uit de debacles die aan het eind van de vorige eeuw bij een aantal bedrijven ontstonden. Daarbij speelden ‘oneerlijkheid’ en ‘ondoorzichtigheid’ in het handelen van de bedrijfsleiding een belangrijke rol. De SOX-wetgeving richt zich op de inrichting van bedrijfsprocessen met betrekking tot de financiële verslaglegging en de verantwoording die daarover moet worden afgelegd.

Bron: Trends in IT-beveiliging 2006.

Ontwikkelingen

IT is bij nagenoeg alle ondernemingen een belangrijk onderdeel van de bedrijfsprocessen en is feitelijk het ‘hart’ van de organisatie. Organisaties steunen dan primair op de kwaliteit van de IT controls om de betrouwbaarheid van de (financiële) gegevensverwerking te waarborgen. Mede als gevolg van de steeds toenemende afhankelijkheid van IT zien we een aantal ontwikkelingen die aanleiding geven om te komen tot verdere harmonisatie van IT controls. Een voorbeeld is de steeds verdergaande proces- en ketenintegratie. Om de efficiency in het auditen van dergelijke informatieketens te bevorderen zien we auditors steeds vaker verklaringen afgeven waarop een andere auditor kan steunen. Het bekendste voorbeeld hiervan is een zogeheten SAS 70-verklaring.

Daarnaast zien we dat door de ketenpartners en auditors meer en meer gebruik zal worden gemaakt van een gemeenschappelijk dan wel geïntegreerd en procesgericht stelsel van internecontrolemaatregelen. Nu zien we vaak dat interne beheersingssystemen van de verschillende ketenpartners onvoldoende op elkaar aansluiten en hanteren de betrokken (externe) auditors hun eigen normenkader. Niet alleen vertoont het werk van de auditors hierdoor overlap, maar tevens bestaat de kans dat er onvoldoende inzicht is in de kwaliteit van het gehele proces.

Bovengenoemde ontwikkelingen hebben een belangrijke impact op de wijze waarop de IT-auditor zijn of haar werkzaamheden uitvoert en vastlegt. De verschuiving van ‘trust me’ naar ‘prove me’, het toenemende belang van transparantie en de aard van de ‘in control’-verklaringen van het management eisen dat de IT-auditor te allen tijde de deugdelijke grondslag van de uitgevoerde audit dient aan te tonen. Dit betekent niet alleen standaardisatie van werkwijze (waaronder dossiervorming) maar ook standaardisatie van normenkaders. In de volgende paragraaf wordt een overzicht gegeven van de raamwerken en standaarden die gebruikt worden voor IT controls. Hierna gaan we in op een aantal verklaringen die door organisaties worden gebruikt om aan derden aan te tonen of en zo ja, in hoeverre de ITGC ‘in control’ zijn.

Raamwerken en standaarden voor IT controls

In de inleiding hebben we al aangegeven dat er rond het gebied van de application controls nauwelijks sprake is van harmonisatie en uniformering. Er zijn dan ook geen breed toepasbare normenkaders, richtlijnen en/of ‘best practices’.

Voor het inrichten en onderhouden van de ITGC zien we in de praktijk dat verschillende raamwerken en standaarden worden gehanteerd. Hieronder geven we een kort overzicht van de verschillende raamwerken/standaarden. Het algemeen aanvaarde COSO-model voor interne beheersing kan worden gezien als de basis voor al deze raamwerken en wordt daarom als eerste behandeld. Daarna besteden we aandacht aan Cobit, een raamwerk voor de beheersing van informatietechnologie, dat mede op COSO is gebaseerd. Andere relevante raamwerken dan wel standaarden die we hier behandelen zijn de Code voor Informatiebeveiliging (ISO/IEC 17799:2005) en ITIL voor IT-beheer (ISO/IEC 20000:2005). Deze raamwerken, die elkaar gedeeltelijk overlappen, geven een verdere verdieping van de aandachtsgebieden binnen Cobit.

COSO

COSO heeft niet zozeer betrekking op IT, als wel op interne beheersing in brede zin. Als geïntegreerd raamwerk voor corporate governance wordt meestal gesteund op het COSO-model. Dit model is in de jaren negentig ontwikkeld door de Committee of Sponsoring Organizations of the Treadway Commission als gevolg van een aantal boekhoudschandalen in de Verenigde Staten. Het COSO-model helpt ondernemingen en andere organisaties met het beoordelen en verbeteren van de interne beheersingssystemen. Volgens COSO bestaat interne beheersing uit vijf verschillende componenten die onderling samenhangen: beheersingsomgeving, risicoanalyse, beheersingsmaatregelen, informatie en communicatie, en monitoring.

C-2007-1-Mancham-2

Figuur 2. COSO.

Cobit

Eind jaren negentig ontwikkelde de Information Systems Audit and Control Association (ISACA) de Control Objectives for Information and related Technology, ofwel Cobit. Cobit wordt gezien als de invulling van het COSO-model voor IT. Het Cobit-raamwerk biedt management en auditors richtlijnen om de IT-beheerprocessen in te richten en te beoordelen. Het Cobit-raamwerk is gebaseerd op drie dimensies. De eerste dimensie bestaat uit een zevental kwaliteitskenmerken van informatie en informatiesystemen: effectiviteit, efficiency, vertrouwelijkheid, integriteit, beschikbaarheid, naleving en betrouwbaarheid. De tweede dimensie bestaat uit vijf categorieën van informatiemiddelen: gegevens, applicatiesystemen, technologie, faciliteiten en mensen. De derde dimensie bestaat uit vier domeinen, waarbinnen beheersingsmaatregelen worden gegroepeerd: de planning en organisatie van de inzet van informatietechnologie, de acquisitie en implementatie van informatiesystemen, de levering van IT-diensten en de ondersteuning daarbij, en de bewaking van de voorgaande drie domeinen. Binnen elk van de domeinen definieert Cobit een aantal beheersingsdoelstellingen op procesniveau. In totaal zijn er 34 van dergelijke doelstellingen.

C-2007-1-Mancham-3

Figuur 3. Cobit.

Code voor Informatiebeveiliging

De Code voor Informatiebeveiliging is een ‘best practice’ voor het inrichten van een beveiligingsproces en het invoeren van beveiligingsmaatregelen. De Code voor Informatiebeveiliging is uitgegroeid tot de internationaal meest gebruikte (toonaangevende) standaard op het gebied van informatiebeveiliging.

De Code beschrijft meer dan honderd beveiligingsmaatregelen die door de opstellers ervan als minimaal noodzakelijk worden beschouwd. De maatregelen zijn ingedeeld in elf hoofdstukken, die gaan over beleid, organisatie, classificatie, personeel, fysieke beveiliging, beheer, logische toegangsbeveiliging, ontwikkeling en onderhoud, beveiligingsincidenten, continuïteit en naleving (compliance).

ITIL

Een andere relevante standaard is de Information Technology Infrastructure Library (ITIL), een verzameling richtlijnen voor het beheer van informatiesystemen, opgesplitst in modules voor de meest uiteenlopende beheerprocessen: configuratiebeheer, wijzigingsbeheer, probleembeheer, netwerkbeheer, enz. ITIL is een ‘best practice’: de procesbeschrijvingen zijn gebaseerd op de manier waarop een groot aantal bedrijven en instellingen het beheer van de informatievoorziening heeft ingericht. ITIL is inmiddels algemeen geaccepteerd en wordt in tal van varianten toegepast. Aan ITIL is twee jaar geleden een belangrijke ontbrekende schakel toegevoegd: de module Security Management, een Nederlands initiatief, gebaseerd op de Code voor Informatiebeveiliging. Veel automatiseringsafdelingen en serviceorganisaties werken op dit moment volgens ITIL.

In 2005 verscheen ISO/IEC 20000, een standaard voor IT Service Management. Deze standaard kent twee delen, namelijk 20000-1, waarin de formele specificaties voor certificatie staan beschreven, en 20000-2, ‘best practice’ voor IT Service Management. ISO/IEC 20000 is gebaseerd op BS 15000.

Verklaringen of statements over de beheersing van IT controls

Niet alleen SOX-trajecten, maar ook de eis van opdrachtgevers om de kwaliteit van uitbestede diensten te beheersen leidt tot de vraag naar SAS 70-verklaringen en/of andere verklaringen. Daarnaast eisen sommige instellingen van hun leveranciers dat ze aan een algemeen erkende norm voldoen zoals de Code voor Informatiebeveiliging. Soms wordt in aanvulling hierop nog een oordeel gevraagd met betrekking tot een specifiek stuk dienstverlening voor een bepaalde leverancier in de vorm van een third-partymededeling (TPM).

Hierna volgt een kort overzicht van een aantal verklaringen of statements over de beheersing van de IT controls. Deze verklaringen verstrekken een bepaalde mate van zekerheid. Per type verklaring staan we dan ook kort stil bij het zekerheidsniveau van de betreffende verklaring.

TPM

Een third-partymededeling (TPM) is een schriftelijke uiting van een onafhankelijk auditor ten behoeve van één of meer gebruikers waarbij naar aanleiding van een onderzoek een bepaalde mate van zekerheid wordt geboden over het stelsel van beheersingsmaatregelen dat de kwaliteit van de dienstverlening van een leverancier moet waarborgen. Afhankelijk van het type van onderzoek geeft een TPM een redelijke (audit) of beperkte (review) mate van zekerheid[Met redelijke mate van zekerheid bedoelen we de situatie waarin de IT-auditor toereikend bewijsmateriaal heeft verkregen om te kunnen oordelen dat het object van onderzoek in alle van materieel belang zijnde opzichten voldoet aan de gestelde criteria. Met beperkte mate van zekerheid bedoelen we de situatie waarin de IT-auditor toereikend bewijsmateriaal heeft verkregen om ervan overtuigd te zijn dat het object van onderzoek gegeven de omstandigheden voldoet aan de criteria. De mate van zekerheid correspondeert met ‘plausibel’.]. De wijze waarop het onderzoek wordt uitgevoerd en de wijze waarop wordt gerapporteerd, is niet aan bepaalde regels gebonden zoals bij SAS 70.

SAS 70-verklaring

SAS 70 staat voor Statement on Auditing Standards No. 70. Met SAS 70 wordt de standaard aangeduid van het rapport waarmee de ene auditor zich richt tot de andere auditor. De externe auditor van de aanbieder (service auditor) beoordeelt de interne beheersings- en controlemaatregelen die relevant zijn voor een klant en geeft hierover een oordeel af. De externe auditor van de klant (user auditor) kan vervolgens steunen op dit oordeel.

De serviceorganisatie (bijvoorbeeld IT service provider) beschrijft in een SAS 70-rapport op hoofdlijnen de beheerorganisatie en geeft hierbij aan hoe zij specifieke beheersingsdoelstellingen bereikt. Een externe auditor voegt een rapport toe over de mate waarin die beheersingsdoelstellingen worden gerealiseerd. Het resultaat is dat de uitbestedende organisatie inzicht krijgt in de wijze waarop de uitbestede processen worden beheerst.

C-2007-1-Mancham-4

Figuur 4. SAS 70.

Een SAS 70-verklaring geeft een redelijke mate van zekerheid dat de beheersingsmaatregelen op een bepaald moment in opzet toereikend zijn en ook daadwerkelijk bestaan (type I-verklaring) dan wel in een bepaalde periode ook hebben gewerkt (type II-verklaring).

Hoewel SAS 70 een aantal formaliteiten kent – zoals de verplichte hoofdstukindeling – zijn de grenzen van het object van onderzoek van een SAS 70-rapport niet voorgeschreven. De serviceorganisatie en de uitbestedende organisatie zijn (in onderling overleg) vrij om te bepalen welke processen en beheersingsdoelstellingen worden meegenomen in het onderzoek.

Certificatie van Informatiebeveiliging op basis van ISO/IEC 27001 en van IT Service Management op basis van ISO/IEC 20000

Certificering van Informatiebeveiliging of IT Service Management zijn onderzoeken waarbij een geaccrediteerde certificerende instelling niet zozeer de beheersingsmaatregelen op zich beoordeelt, maar het proces dat is ingericht om de (met behulp van risicoanalyse) geselecteerde beheersingsmaatregelen vast te stellen, in te voeren, uit te voeren, te controleren, te beoordelen en te verbeteren. De organisatie dient zelf aan te tonen dat het proces functioneert in overeenstemming met de ISO-standaard. In feite worden de geselecteerde beheersingsmaatregelen door de auditor aan de hand van steekproeven getoetst om het functioneren van het proces te beoordelen. Een certificeringsonderzoek kent grofweg twee fasen. De documentatiereview (te vergelijken met opzet), waarin de risicobeoordeling, de selectie van risicoreducerende maatregelen en de documentatie wordt getoetst, en de implementatiebeoordeling (te vergelijken met bestaan), waarin het stelsel van beheersingsmaatregelen wordt beoordeeld. Komt een organisatie in aanmerking voor een certificaat dan is dit certificaat voor drie jaar geldig. Gedurende deze periode voert de auditor periodieke controles uit om vast te stellen of het gedocumenteerde proces blijvend voldoet aan de ISO-standaard. Een dergelijk certificaat geeft een beperkte mate van zekerheid, ofwel de auditor heeft een gerechtvaardigd vertrouwen dat het gedocumenteerde proces functioneert in overeenstemming met de ISO-standaard.

Andere verklaringen

Naast de hierboven genoemde verklaringen zijn er nog een aantal andere verklaringen die in de praktijk voorkomen om bijvoorbeeld het vertrouwen van consumenten in websites te vergroten, zoals Systrust/Webtrust (www.webtrust.org). Met een Systrust- of een Webtrust-rapport geeft een onafhankelijke accountant aan in hoeverre de verklaring van het management dat de beheersingsmaatregelen in overstemming zijn met de van toepassing zijnde Trust Service Principles van de AICPA, redelijk en gerechtvaardigd is. De Trust Service Principles betreffen Security, Avalability, Processing Integrity, Online Privacy en/of Confidentiality. Een Systrust- of Webtrust-rapport geeft een beperkte mate van zekerheid.

De verschillende verklaringen die we hebben behandeld, zijn moeilijk met elkaar te vergelijken. Niet alleen omdat de reikwijdte en het onderzoeksobject verschillend zijn, maar ook omdat er geen voorgeschreven normen zijn voor de IT controls.

Een ITGC wereldtaal à la IFRS

Het nut van een ITGC-normenset en de weg ernaartoe

In de praktijk is het voor organisaties lastig om, naar tevredenheid van de verschillende belanghebbenden (auditor, toezichthouders, klant, etc.), een uitspraak te doen over het al dan niet ‘in control’ zijn. Dit komt niet zozeer doordat de (IT-) organisaties dit niet willen of kunnen, integendeel. De complexiteit zit vooral in het feit dat belanghebbenden nogal eens een verschillende uitspraak vragen en/of verschillende normenkaders hanteren. Binnen de eigen organisatie werkt de IT-afdeling vaak conform ITIL, terwijl vanuit oogpunt van interne beheersing door de business gekozen is voor Cobit, een bepaalde klant eist een certificaat op basis van ISO/IEC 27001:2005 en weer een andere klant vraagt een SAS 70-verklaring. En dan hebben we de externe accountant en toezichthouder nog niet eens genoemd. Om een lang verhaal kort te maken: als het gaat om de beheersing van de IT controls spreken de verschillende belanghebbenden nog onvoldoende dezelfde taal. Een gemeenschappelijke taal levert niet alleen voordelen op in de interne en externe communicatie maar ook worden er besparingen gerealiseerd in de kosten voor de IT-beheersing als geheel. De weg naar een dergelijke gemeenschappelijke ITGC-taal kan lopen zoals het is gegaan met IFRS als wereldwijde financiële taal.

Kader 2. Praktijkcasus Cordares.

Praktijk bij Cordares

Cordares is uitvoerder van pensioenregelingen voor ondernemingen en bedrijfstakken en van andere arbeidsvoorwaardelijke regelingen, collectief en privaat. Daarnaast verzorgt Cordares aanvullende inkomensverzekeringen en dekt het werkgeversrisico’s af. De meer dan één miljoen deelnemers mogen rekenen op een uitgebalanceerd pakket voor inkomenszekerheid. Bij pensionering, maar ook bijvoorbeeld bij arbeidsongeschiktheid of overlijden. Momenteel voert Cordares 27 verschillende regelingen uit met een totaal van één miljard euro aan premie-inkomsten per jaar. Het belegd vermogen bedraagt 23 miljard euro.

Cordares IT levert IT-diensten aan zowel interne partijen als aan externe partijen zoals het UWV. Voor het UWV wordt jaarlijks een TPM verstrekt door de stafafdeling Risk & Audit Services (RAS). Deze TPM is gebaseerd op door het UWV aangeleverde normen en is gericht op opzet, bestaan en werking van de (Key) IT controls.

Naast de jaarlijkse TPM worden IT-auditwerkzaamheden door RAS uitgevoerd voor de verschillende SAS 70-trajecten (type I en type II), voor het verantwoordelijk lijnmanagement, voor de controle van de jaarrekeningen van de klanten van Cordares en de jaarrekeningen van Cordares zelf. Bij deze IT- auditwerkzaamheden werd tot 2006 gebruikgemaakt van verschillende ITGC-normensets afkomstig uit verschillende bronnen. Ook de diepgang van de IT-audits was per onderzoek verschillend.

In 2006 is het stelsel van informatiebeveiliging van Cordares IT gecertificeerd op basis van ISO 27001 (voorheen BS 7799-2) door BSI Management B.V.

In 2005 is Cordares gestart met de code-Tabaksblat. Deze code heeft zijn weerslag op de beoordeling en beheersing van de IT-risico’s in het kader van de jaarlijkse ‘In Control Statements’.

Als recente relevante ontwikkeling in dit kader valt IT2Share te noemen; het samenwerkingsverband van Cordares en Mn Services op het gebied van continuïteit. Bij IT2Share hebben de auditors van RAS te maken met normen van Cordares, Mn Services en van de controlerende accountants van beide organisaties.

Deze ontwikkelingen waren voor RAS aanleiding om ‘het roer om te gooien’, om meer vanuit een ‘multi purpose single audit’-gedachte te gaan werken.

RAS heeft in 2006 een ITGC-normenset ontwikkeld die de basis vormt voor de IT-audits binnen Cordares. Deze set is dekkend voor bovenstaande onderzoeken. Binnen de normenset maakt RAS onderscheid tussen de Key IT Controls en de zogenaamde Add On Controls die in bijzondere onderzoeken worden meegenomen. De ITGC-normenset is in een vroeg stadium ook afgestemd met verantwoordelijk management en de externe accountants. Het verantwoordelijk IT-management heeft eind 2006 de ITGC-normenset opgepakt om deze verder te integreren in de IT-processen binnen Cordares. Hiervoor is een project opgestart dat medio 2007 dient te worden afgerond. De IT-organisatie wil zelf vanuit een zelflerende gedachte excelleren om in continuïteit aantoonbaar ‘in control’ te zijn.

Na het afronden van de ITGC-audits 2006 zal RAS in het voorjaar van 2007 de gekozen aanpak, gehanteerde werkwijze en toegevoegde waarde van de nieuwe aanpak kritisch evalueren en waar nodig actualiseren. De externe accountants worden bij deze evaluatie nauw betrokken.

IFRS als voorbeeld hoe het kan

In de afgelopen jaren moesten de beursgenoteerde bedrijven overgaan naar een wereldwijde financiële verslaggevingstaal: IFRS. De Europese Commissie heeft in een verordening vastgelegd dat alle beursgenoteerde bedrijven vanaf 1 januari 2005 hun jaarverslag in overeenstemming met IFRS moeten presenteren. IFRS is opgesteld door de International Accounting Standards Board (IASB). De IASB is een onafhankelijk internationaal orgaan belast met het opzetten van standaarden voor jaarverslagen en jaarrekeningen. De IASB bestaat niet alleen auditors, maar ook uit bedrijven (opstellers van jaarverslagen) en bijvoorbeeld overheden (gebruikers van jaarverslagen).

Eén van de belangrijkste doelstellingen van IFRS is de transparantie en onderlinge vergelijkbaarheid tussen ondernemingen te verbeteren. Met de invoering van IFRS is tevens de onderliggende normering voor financiële verslaggeving geharmoniseerd. Wereldwijd heeft de toepassing van IFRS ook voor de auditors voordelen bij het uitvoeren van financial audits. Immers, overal ter wereld wordt gebruikgemaakt van dezelfde normeringen op het gebied van financiële verslaggeving. Een kritische lezer zal bij het lezen van deze passage opmerken dat IFRS nog niet wereldwijd verplicht is voor alle ondernemingen en dat het ‘principle based’ (naar de geest) is en niet ‘rule based’ (naar de letter)[Principle based wil zeggen dat de verslaggevingsregels gebaseerd zijn op beginselen (doelstellingen) in plaats van op gedetailleerde regels. Rule based verslaggevingsregels zijn erop gericht zoveel mogelijk situaties met specifieke voorschriften af te dekken.]. Dat is zeker zo, maar de invoering van IFRS heeft de weg naar volledige harmonisatie versneld. IFRS heeft aangetoond dat harmonisatie duidelijk voordelen heeft voor zowel de ondernemingen als de auditors.

De weg naar een IT controls wereldtaal

Om de in dit artikel geschetste problematiek het hoofd te bieden heeft een aantal grote organisaties in Nederland gezamenlijk een ITGC-raamwerk ontwikkeld. Daarnaast hebben Platform Informatiebeveiliging[Het Platform Informatiebeveiliging, kortweg PI genoemd, is een vereniging die zich beijvert voor de beveiliging van informatie en informatiesystemen. De belangrijkste pijler voor PI is het ontwikkelen en onderhouden van richtlijnen voor de praktische inrichting van informatiebeveiliging.] en NOREA (de beroepsorganisatie van IT-auditors) een werkgroep in het leven geroepen, met ruime vertegenwoordiging uit de grote accountantskantoren, overheid en ICT-dienstverleners, om een algemeen aanvaarde standaard voor de ITGC te ontwikkelen. Dit alleen is echter niet genoeg. Analoog met IFRS zou een onafhankelijke en door alle belanghebbenden geaccepteerde organisatie een dergelijke standaard moeten vaststellen. Via wet- en regelgeving kan dan vervolgens het gebruik van deze standaard worden afgedwongen.

Conclusie

Binnen het IT domein neemt naar aanleiding van de ontwikkelingen in de financiële verslaggeving de aandacht voor het vraagstuk van interne beheersing in een snel tempo toe. Het nut en de noodzaak om te komen tot een geharmoniseerde normenset voor de beheersing en de beoordeling van de IT controls is in dit artikel nader toegelicht.

Als we kijken naar de application controls dan heeft hier nog geen standaardisatie dan wel harmonisatie plaatsgevonden. Nu is dit ook lastig doordat bedrijfsprocessen en dus ook de applications control per bedrijf nogal verschillen. Toch zijn er mogelijkheden voor harmonisatie en standaardisatie, bijvoorbeeld als het gaat om de wijze waarop de application controls worden bepaald. Maar daarnaast zijn er ook mogelijkheden om (analoog aan Starreveld) per typologie van organisaties voor de hand liggende application controls te definiëren.

Kijken we naar de ITGC, dan zien we dat er verschillende standaarden, richtlijnen en ‘best practices’ zijn. Echter, een algemene standaard (een wereldtaal), die voor de meest voorkomende praktijksituaties concreet toepasbaar is, ontbreekt. Om te komen tot een wereldtaal is het, net als bij IFRS, van belang dat een onafhankelijke instantie die door bedrijven, overheid en auditors wordt geaccepteerd, een dergelijke standaard vaststelt.

Literatuur

[Eijk03] S. van der Eijk-Van Eck en K.H.G.J.M. Ho RE RA, Third-partymededelingen: de ervaringen van de gebruikersorganisaties, Compact 2003/3.

[Fijn05] R. Fijneman, E. Roos Lindgreen en P. Veltman, Grondslagen IT-auditing, Sdu Uitgevers, 2005.

[Fijn06] R. Fijneman, E. Roos Lindgreen en K. Hang Ho, IT-auditing en de praktijk, Sdu Uitgevers, 2006.

[ITGI04] IT Governance Institute, IT Control Objectives for Sarbanes-Oxley, 2004.

[NORE03] NOREA, Handreiking Oordelen van gekwalificeerde IT-auditors, 2003.

[NORE04] NOREA, IT-Governance, Een verkenning, NOREA, 2004.

[NORE06] NOREA, Het profiel van de audit. Update on ICT en controle, NOREA / Uitgeverij de kleine Uil, 2006.

[PI06] Platform Informatiebeveiliging, Trends in IT-beveiliging 2006, onder redactie van Cees Coumou, Hans Kroeze en Kees van der Zwan, 2006.

[Roos02] E. Roos Lindgreen, Over informatiebeveiliging, accountancy, informatiebeveiliging, Rede uitgesproken bij de aanvaarding van het ambt van hoogleraar IT en Auditing aan de Universiteit van Amsterdam op woensdag 16 oktober 2002.

[Rutk06] E.P. Rutkens en B. Derksen, Trends in IT en IT-auditing, Compact 2006/1.

SOX IT eerste praktijkervaringen en toekomstige ontwikkelingen

In dit artikel wordt stilgestaan bij de SOX-ervaringen en -ontwikkelingen die beide auteurs waarnemen op het IT-vlak bij de grotere SOX-plichtige bedrijven, de zogenaamde ‘domestic’ en ‘foreign private issuers’. We zien dat er diverse regelgeving over de afgelopen jaren is opgesteld en bedrijven bijna voortdurend zijn geconfronteerd met veranderende interpretaties van de PCAOB-auditingstandaard nr. 2 ([PCAO04]). Dit heeft in de praktijk geleid tot een grote hoeveelheid beheersingsmaatregelen die de bedrijven hebben geïmplementeerd en die veelal niet efficiënt op elkaar zijn afgestemd. We constateren dat er een duidelijke tendens waarneembaar is om de kosten terug te brengen door slimmere scoping, combineren en vereenvoudigen van beheersingsmaatregelen, betere ondersteuning door tools en het integreren van controleraamwerken. Hier wordt nader op ingegaan in dit artikel. Ten slotte wordt kort stilgestaan bij de mogelijke impact van de concept-auditingstandaard van de PCAOB ([PCAO06]). Deze nieuwe standaard (AS-5) is aangepast naar aanleiding van de ervaringen uit de praktijk en zal de huidige (AS-2) vervangen.

Inleiding

Dit artikel bestaat grofweg uit drie onderdelen. In de eerste plaats wordt stilgestaan bij de SOX-ervaringen en -ontwikkelingen op het gebied van IT vanuit de wet- en regelgeving en gezaghebbende instanties. Hierbij wordt aangegeven welke IT in dit verband relevant is en hoe met specifieke vraagstukken moest worden omgegaan. Vervolgens worden de ontwikkelingen vanuit de praktijk, met name gericht op de kosten van compliance, besproken. Ook komen hierbij aan de orde de mogelijkheden om beter inzicht te krijgen in de kosten en het integreren van frameworks. In de derde plaats wordt richting de toekomst stilgestaan bij recente ontwikkelingen, zoals de impact van de recente voorstellen van de PCAOB en de SEC, gericht op de IT-aspecten. De indeling is als volgt:

Ervaringen IT en SOX vanuit wet- en regelgeving
- Applicatie- en IT general controls
- Guidance vanuit Cobit (2004-2006)
- Evaluatie van tekortkomingen (framework 2004)
- PCAOB 16 mei 2005 guidance.
Ervaringen vanuit de organisaties
- Centrale versus decentrale benadering
- Compliancekosten en control transformation
- Framework integration
- Ondersteunende SOX-tools.
Toekomstige ontwikkelingen
- Recente guidance PCAOB en SEC.

Ervaringen IT en SOX vanuit de wet- en regelgeving

Applicatie- en IT general controls

Bij een terugblik op de SOX-ontwikkelingen is het van belang om de relevante IT hierbinnen vast te stellen. Binnen SOX staat de beheersing van de bedrijfsprocessen ten behoeve van de financiële verantwoording centraal. De IT ondersteunt deze processen en zal daarmee ook voldoende moeten worden beheerst. Voor de gehele beheersing van een organisatie wordt meestal het COSO-model[Dit model zal in dit artikel niet verder worden uitgewerkt, maar wordt als bekend verondersteld.] als beheersingsraamwerk gehanteerd; zie daarvoor ook gerelateerde artikelen in eerdere Compacts. Binnen IT zijn de relevante IT controls in een organisatie in drie categorieën te onderscheiden:

organisatiebrede controls (COSO-component Control Environment);
applicatiecontrols (input-outputcontrols, validation rules, toleranties, autorisaties, interfacecontrols, IT dependent controls …);
algemene IT controls (Change Management, Security Management, …).

De laatste twee soorten controls hebben een (in)directe relatie met de bedrijfsprocessen en worden vanuit de geïdentificeerde risico’s in de processen geselecteerd. Hierbij worden de applicatiecontrols direct in de processen geïdentificeerd en zijn de algemene IT controls gericht op de IT-componenten (zoals databases, operating systems, netwerk, …) die de werking van deze applicatiecontrols waarborgen.

Applicatiecontrols (hierna AC) zijn op diverse plaatsen in en rondom de applicaties aanwezig, soms geheel geautomatiseerd en soms gedeeltelijk. Dit maakt het identificeren van de AC niet altijd eenvoudig. Binnen de SOX-wetgeving zijn niet alle AC relevant. Om te komen tot een juiste set van AC dienen vanuit de beweringen in de financiële verantwoording, de bedrijfsprocessen te worden geïdentificeerd die een belangrijke (significante) bijdrage leveren aan de standen en stromen in deze verantwoording. Vervolgens zal het management de risicopunten in de bedrijfsprocessen bepalen, gebaseerd op mogelijke significante onjuistheden in de verantwoording. Deze risicopunten worden beheerst door middel van zogenaamde key controls, dit kunnen AC zijn. De goede werking van de AC moet door het management worden aangetoond. Indien een AC niet goed werkt, is het risicopunt niet voldoende beheerst en volgt een proces van het identificeren/testen van compenserende controls of het herstellen van controls en/of het bepalen van de mogelijke fout in de financiële verantwoording.

C-2007-1-Francken-01

Figuur 1. Scoping van kritieke financiële rapportageapplicaties.

Het is in dit verband van belang dat de diverse onderdelen in de organisatie (business-IT-kant) nauw samenwerken. Dit geldt uiteraard ook voor de samenwerking tussen de IT-auditor en de financial auditor. Indien de samenwerking ontbreekt, is er een risico dat er te weinig relevante AC worden geïdentificeerd, maar het omgekeerde is ook mogelijk. Indien systemen geïsoleerd worden beschouwd, kan het goed zijn dat er daadwerkelijk, op het eerste gezicht belangrijke, AC aanwezig zijn in de betreffende systemen. Maar op andere plekken en in andere systemen kunnen vergelijkbare beheersingsmaatregelen aanwezig zijn, waardoor de gevonden AC niet getest hoeven te worden. Zo kan de feitelijke voorraad in depotsysteem A worden geregistreerd in hoeveelheden en wordt de financiële waarde in ERP-systeem B vastgelegd. Periodiek vindt er een inventarisatie van het depot plaats en wordt de waarde in B vastgelegd en via dit systeem verwerkt in de depotsystemen A. Met behulp van de inventarisatie en de registratie in systeem B zijn er mogelijk geen relevante AC in A. Dit systeem zit dan niet in de SOX-scope. Hetzelfde geldt voor systemen die weliswaar financiële data registreren, maar geen materieel financieel effect kunnen hebben op de financiële verantwoording.

Vervolgens zijn de aanwezige risicoanalyse en de applicatiecontrols het startpunt voor het bepalen van de IT general controls (hierna ITGC). Deze relatie is figuur 2 weergegeven.

C-2007-1-Francken-02

Figuur 2. Scoping van kritieke applicatiecontrols en IT general controls.

De ITGC in scope hebben betrekking op de betreffende applicaties en de onderliggende IT-infrastructuur, zoals de betreffende database, het operatingsysteem en het netwerk. Het is in dit verband goed te beseffen dat niet de IT-processen, veelal op ITIL gebaseerd, het vertrekpunt zijn voor de SOX-scope, maar de IT-componenten binnen de genoemde IT-infrastructuur. Deze IT-componenten ondersteunen de goede werking van de AC, die vanuit de bedrijfsprocessen zijn geselecteerd. In de praktijk zien we vaak dat organisaties starten met de implementatie van alle ITIL-processen, voor zover nog niet aanwezig, om aan SOX te kunnen voldoen. Deze aanpak heeft tot gevolg dat relatief veel procedures en standaarden worden opgesteld. Hierbij bestaat het risico dat deze onvoldoende zijn uitgewerkt in ITGC, gericht op de betreffende IT-componenten. De geïmplementeerde set van procedures is weliswaar een belangrijke randvoorwaarde voor goede beheersing, maar de procedures zijn niet of moeilijk testbaar voor het management / de auditors indien de directe relatie met de IT-componenten ontbreekt ([Korn05]).

Guidance vanuit Cobit (2004-2006)

In de praktijk is er veel discussie geweest met betrekking tot de ITGC die in scope zouden moeten zijn voor SOX. De PCAOB heeft de IT-gebieden aangegeven en vanuit de AC kunnen de IT-componenten binnen de IT-infrastructuur worden onderscheiden, zoals databases, etc., maar welke ITGC zijn hierbinnen relevant? Zijn dit alle domeinen binnen Cobit of de meest gangbare ITIL-processen? Het IT Governance Institute (ITGI) heeft hier ondersteuning aan gegeven door vanuit Cobit de specifieke controledoelstellingen voor de ITGC te identificeren ([ITGI04] en [ITGI06]), zie figuur 3.

C-2007-1-Francken-03

Figuur 3. Identificeren van controledoelstellingen en IT general controls.

Vanuit de IT-infrastructuur in scope worden de relevante ITGC geïdentificeerd binnen de relevante IT-beheerprocessen, mogelijk gebaseerd op ITIL, vanuit de twaalf aangegeven controledoelstellingen binnen de vier IT-gebieden van de PCAOB. Afhankelijk van de feitelijke omstandigheden zullen deze ITGC verschillen per organisatie. Binnen de ICOFR wordt de nadruk gelegd op de aanwezige ITGC en niet zozeer op de aanwezige IT-beheerprocessen, hoewel deze wel een randvoorwaarde kunnen zijn om de ITGC in te kunnen richten. Zonder duidelijke IT-beheerprocessen zullen de ITGC vaak niet effectief zijn. Het ‘brede’ IT-beheer kan in dit verband ook worden gezien als een onderdeel van de ‘entity level controls’. Indien IT-beheerprocessen onduidelijk zijn, is er een organisatiebrede tekortkoming.

Evaluatie van tekortkomingen (framework 2004)

Nadat de totale IT-scope langzaam helder werd vanuit de PCAOB- en Cobit-richtlijnen, kwam het vraagstuk inzake het evalueren van tekortkomingen naar voren. Hoe belangrijk is een IT-deficiency? Als specifieke ITGC niet werken, is het lastig om de impact hiervan te bepalen, indien er geen duidelijke relatie is gelegd met de businessprocessen en de daarin opgenomen AC. In overleg met de SEC hebben de grotere accountantskantoren een raamwerk opgesteld om onder andere tekortkomingen in de IT controls te kunnen evalueren ([Fram04]). De applicatiecontrols worden gelijk als de andere ‘process level controls’ beoordeeld, voor de ITGC is een specifiek model ontwikkeld. Samengevat komt dit erop neer dat indien een AC wordt aangemerkt als een ‘significant deficiency’, dit nooit kan leiden tot een ‘material weakness’ in de (algemene) IT control en daarmee tot een afkeurende ‘SOX-verklaring’. Dit onderstreept het belang van het identificeren van de relatie tussen de IT controls ten opzichte van de AC, aan de hand van de IT-componenten. Zoals eerder aangegeven zijn deze IT-componenten onderdelen uit database, netwerk en operatingsysteem die de goede werking van de AC ondersteunen. Binnen de aanwezige IT-infrastructuur zullen de relaties tussen deze IT-componenten moeten worden uitgewerkt, zodat hierop specifiek kan worden getest en tekortkomingen via bovenstaand model kunnen worden geëvalueerd. Met name in grotere IT-omgevingen zal dit een nadere inventarisatie van servers, tabellen, interfaces, etc. tot gevolg hebben. Door deze relaties vooraf gedetailleerd in kaart te brengen kan de totale SOX (en test)-scope aanzienlijk worden beperkt. Daarnaast kan weloverwogen worden besloten enkele ineffectieve IT controls niet op te lossen, bijvoorbeeld indien de betreffende applicatiecontrols wel effectief zijn of slechts een ‘deficiency’.

Bovenstaande betekent niet dat IT controls die geen directe invloed hebben op de goede werking van de applicatiecontrols, niet relevant zouden zijn, omdat zij niet direct kunnen leiden tot een ‘material weakness’. Een veelheid van eventueel kleine tekortkomingen (deficiencies) op één of meer ITGC-gebieden (bijvoorbeeld Access to Programs and Data of Program Changes) duidt op een minder goed beheerste control environment, wat op zich een ‘significant deficiency’ of ‘material weakness’ kan zijn. Deze aggregatie-evaluatie dient ook te worden meegenomen in de totale ‘deficiency evaluation’.

PCAOB 16 mei 2005 guidance

Naar aanleiding van de ervaringen bij de SOX-plichtige ondernemingen in de Verenigde Staten hebben de SEC en de PCAOB additionele richtlijnen uitgevaardigd in ‘Frequently Asked Questions’ en ‘Staff-Policy Statements’, waarvan met name die van 16 mei 2005 een relatief grote impact hadden. In het algemeen was men niet tevreden over de wijze en diepgang hoe de ondernemingen met SOX (en IT) zijn omgegaan. Dit kwam onder meer naar voren in de volgende opmerkingen ([PCAO05]):

‘… for purposes of the Section 404 assessment, the staff would not expect testing of general IT controls that do not pertain to financial reporting …’
‘… in establishing the scope of its IT assessment, management should apply reasonable judgment and consider how the IT systems impact internal control over financial reporting …’

In dit verband heeft de SEC specifiek aangegeven dat een top-down risicobenadering gevolgd dient te worden, waarbij uitsluitend applicaties relevant zijn waarin significante applicatiecontroles zijn opgenomen in relatie tot de financiële verantwoording.

Daarnaast heeft de PCAOB het concept van ‘Baselining – Benchmarking’ van AC verder uitgewerkt. Indien een AC eenmaal is getest op werking en de ITGC zijn solide, zoals change management en system access, dan behoeft de AC niet ieder jaar te worden getest. De PCAOB geeft in dit verband aan: ‘Entirely automated application controls, therefore, are generally not subject to breakdowns due to human failure and this feature allows the auditor to ‘benchmark,’ or ‘baseline’, these controls.’ Dit houdt in dat ‘… the auditor may conclude that the automated application control continues to be effective without repeating the prior year’s specific tests of the operation of the automated application control …’. Het moge duidelijk zijn dat er op voorhand efficiencyvoordelen zijn te behalen indien dergelijke AC niet jaarlijks behoeven te worden getest. De PCAOB heeft hierbij wel een aantal randvoorwaarden gesteld. Afhankelijk van de feitelijke omstandigheden zal de betreffende benchmark periodiek kunnen worden uitgevoerd.

Ervaringen vanuit de organisaties

Centrale versus decentrale benadering in de praktijk

Afgezien van het feit dat in de PCAOB-publicatie van mei 2005 specifiek de nadruk is gelegd op een risk based top-down benadering, is de praktische uitvoering van SOX in het eerste jaar toch vaak decentraal geweest. Een belangrijke oorzaak hiervan is het niet specifiek inzichtelijk hebben van de lokale IT-omgeving op centraal niveau. Dit kwam bij een belangrijk proces voor SOX, het scopen van de IT-applicaties en -infrastructuren, vaak al tot uitdrukking. Dit proces is door veel organisaties en externe auditfirma’s in het eerste SOX-jaar onderschat en onvoldoende concreet gedefinieerd. Niet alleen de onduidelijkheid van de SOX-regelgeving met betrekking tot IT, zoals genoemd in de vorige paragraaf, is hier debet aan, maar ook de onbekendheid met het IT-landschap in het algemeen en al helemaal die delen daarvan die impact kunnen hebben op de financiële rapportageprocessen.

Concreet zijn er twee manieren om het IT-landschap te definiëren voor SOX, namelijk de top-down en bottom-up benadering. Bij de top-down benadering is er inzicht in de key IT-applicaties en -infrastructuren en wordt de IT-scoping gecentraliseerd uitgevoerd. Aangezien op centraal niveau niet altijd bekend is hoe het exacte decentrale IT-landschap eruitziet, hebben veel organisaties het scopen van de IT overgelaten aan de lokale units. Door deze veelal decentrale benadering zijn in eerste instantie ook veel applicaties geïdentificeerd waarbij geen of slechts weinig applicatiecontrols zijn geïdentificeerd of die financieel gezien niet materieel zijn; in beide gevallen zijn deze applicaties dus niet significant. Gedurende het jaar hebben dan vaak ook herscopingen plaatsgevonden om het hoge aantal niet-significante applicaties te beperken binnen de SOX-scope. Hierbij is een aantal (compenserende) manuele controles geïdentificeerd om deze applicaties buiten de SOX-scope te houden. Deze reparatieactie neemt naast de nodige tijd ook de focus op de daadwerkelijk significante IT-applicaties en -infrastructuren weg.

Deze decentrale benadering is ook veelal tot uitdrukking gekomen in de identificatie van de applicatiecontrols. Onbekendheid met verschillende applicaties en het ontbreken van gestandaardiseerde proces-, risico- en controletemplates inclusief duidelijke IT application controls heeft ertoe geleid dat er veel verschillende AC of juist geen AC zijn geïdentificeerd binnen de bedrijfsprocessen. Hierdoor was het op het eerste gezicht ook lastiger om een geheel efficiënte en gecentraliseerde testaanpak te hanteren voor de AC. Ondanks dat de decentraal geïdentificeerde AC verschillend werden beschreven, konden ze vaak herleid worden naar een aantal key application controls per bedrijfsproces. De aanpak voor 2007 zal daardoor ook vanuit deze key application controls per bedrijfsproces ingestoken gaan worden. Niet alleen kan hierdoor meer duidelijkheid worden verschaft over wat de AC nu exact inhouden, maar ook kan een efficiëntere centrale testaanpak worden gedefinieerd en gehanteerd.

Nu na het eerste jaar het IT-landschap, de AC en de testaanpak daadwerkelijk inzichtelijk zijn gemaakt, zullen in 2007 veel organisaties in het kader van SOX een meer gecentraliseerde en top-down benadering implementeren en zo nodig intern en bij hun externe accountants afdwingen.

Compliancekosten verlagen

De meeste organisaties hebben het eerste SOX-jaar een hoge prijs moeten betalen om ‘compliant te geraken. Naast het feit dat de auditfees gestegen zijn en vaak ook een externe adviseur is gevraagd te ondersteunen, hebben de organisaties ook veel interne kosten gemaakt. Het tweede jaar staat bij de meeste organisaties dan ook in het teken om deze total cost of compliance te verlagen door zaken te optimaliseren en te verbeteren. Het probleem is echter, dat de total cost of compliance vaak niet bekend is bij organisaties, doordat het merendeel van de kosten (de interne kosten) niet wordt bijgehouden. In figuur 4 is een illustratie gegeven van de kostenstructuur van een dagelijkse controle. Naast de test- en auditkosten brengt een dergelijke control ook de kosten van de dagelijkse uitvoering met zich mee.

C-2007-1-Francken-04

Figuur 4. Overzicht total costs of compliance van een handmatige control.

De meeste organisaties hebben vaak het eerste jaar initieel de toevlucht gezocht tot manuele controls, waardoor de kosten van SOX onacceptabel hoog kunnen oplopen. Zoals al aangegeven in het artikel ‘Tool-based monitoring en auditing van ERP-systemen’ ([Brou06]) zullen organisaties de komende jaren manuele detective controls vervangen door preventieve controls (applicatiecontrols). Deze preventieve controls hoeven namelijk slechts eenmaal op het bestaan te worden getoetst. Daarnaast behoeft een preventieve controle geen correctieve acties die bij detective controls vaak wel aan de orde kunnen zijn. Verder heeft een AC een belangrijk voordeel: vele daarvan kunnen automatisch worden getest. Wijzigingen aanbrengen in de controls portfolio wordt ook wel ‘control transformation’ genoemd en zal de komende jaren bij veel SOX-organisaties in het teken van optimalisatie staan.

C-2007-1-Francken-05

Figuur 5. De trend: control transformation.

Voor het aanbrengen van wijzigingen in de controlportfolio is behalve overleg tussen het SOX-projectteam, de control owner en de IT-afdeling ook een duidelijke business case nodig. Een dergelijke business case wordt samengesteld op basis van een zogeheten controlportfolio-analyse. De uiteindelijke processen die in aanmerking komen om als eerste aangepakt te worden hebben naast een hoge bijdrage tot kostenreductie ook duidelijke procesoptimalisatiemogelijkheden.

Voordelen controlportfolio-analyse:

standaardiseert de classificering van controls;
standaardiseert de gekwantificeerde cost of compliance-analyse;
ondersteunt het identificeren en prioritiseren van opportunities voor procesoptimalisatie en kostenreductie.

In de markt zijn er nog niet veel generieke tools aanwezig om een dergelijke controlportfolio-analyse uit te voeren. Daarom grijpen veel organisaties naar Excel-georiënteerde tools. De ondersteunende tools die op de markt beschikbaar zijn, onderscheiden vaak een kwantitatieve scan (bottom-up) om de cost of compliance te berekenen op basis van de geïmplementeerde control frameworks in de organisatie en een kwalitatieve scan (top-down) op basis van enquêtes en interviews om de mogelijke procesoptimalisaties te bepalen. De beide aanpakken vormen de basis voor het identificeren van de mogelijke opportunities. In figuur 6 is een voorbeeld van een projectaanpak toegelicht.

C-2007-1-Francken-06

Figuur 6. Voorbeeld aanpak analyse van de controlportfolio. [Klik hier voor grotere afbeelding]

Het uiteindelijke resultaat: de controlportfolio, een onderbouwd impactanalyserapport en de implementatieroadmap.

Framework integration

Bij de organisaties die op een adequate wijze het ICOFR-raamwerk hebben ingericht, zien we dat zij duidelijke stappen zetten richting een transformatie naar een Business Control-raamwerk. Hierdoor kunnen zij de beheersing van de bedrijfsprocessen verbeteren en daarmee daadwerkelijk de vruchten plukken van hun inspanningen. Dit begint bij het uitvoeren van een analyse naar bedrijfsrisico’s, zowel op strategisch als op procesniveau. Centraal daarbij staan alle ‘businessrisico’s’ (van strategische tot operationele risico’s), aangezien de financiële risico’s al in kaart zijn gebracht. Op basis van deze risico’s worden vervolgens Business Controls geïdentificeerd en gedocumenteerd, die daarna kunnen worden ingebed en geoptimaliseerd. Het is raadzaam om na de implementatie van het ICOFR-raamwerk direct door te pakken door niet alleen de financiële beheersingsmaatregelen, maar ook de Business Controls gestructureerd in te richten. SOX heeft immers binnen de organisatie een schat aan kennis, ervaring, tools en draagvlak opgeleverd. Het zou zonde zijn om dat momentum verloren te laten gaan. Deze fase noemen we ook wel Framework integration, waarbij de verschillende control frameworks, gebaseerd op verschillende wet- en regelgeving, worden geïntegreerd en gezocht wordt naar controledoelstellingen en beheersingsmaatregelen die meerdere frameworks afdekken.

C-2007-1-Francken-07

Figuur 7. Control framework integration.

De volgende overwegingen kunnen hierbij een rol spelen:

hergebruik van al het verzameld controlebewijs, efficiënter testen van controls;
verlaging van de kosten van separate audits;
geïntegreerd overzicht van controls en analyse, en efficiëntere monitoring;
onderhoudbare (sustainable) compliance.

Ondersteunende SOX-tools

Het eerste SOX-jaar hebben veel organisaties en auditfirma’s nog hun toevlucht genomen tot de ‘flexibele’ wereld van Excel voor de ondersteuning van de SOX-opdracht. Indien echter de organisatie een omvang heeft van meerdere landen en organisatieonderdelen voldoet Excel niet meer. Beperkingen zoals het slechts ten dele kunnen afdwingen van versiebeheer, het werken in een template, het niet met één druk op de knop kunnen monitoren van de voortgang, etc. hebben geleid tot nadenken over ondersteunende SOX-tooling. Maar wat houdt ondersteunende SOX-tooling nu precies in?

Bij de term ondersteunende SOX-tools wordt in eerste instantie gedacht aan de ondersteuning bij de SOX-opdrachtmanaging zelf, namelijk ondersteuning bij SOX-scoping; vastlegging van de procesbeschrijvingen, risico’s en key controls; vastlegging en monitoren van de voortgang van het testwerk; en vastlegging en evaluatie van de deficiencies.

Er zijn echter meerdere typen tooling op verschillende niveaus mogelijk die de organisatie kunnen ondersteunen ([Brou06]). Voor SOX hebben de Operational Risk Management Tools de meeste directe toegevoegde waarde. Binnen dit niveau worden twee typen tools onderscheiden. Op de eerste plaats het monitoren van de key controls (al dan niet IT controls) door de ‘control executors’ binnen de lokale organisaties in een centrale database. Hierdoor is in één oogopslag duidelijk welke controls in scope zijn, welke getest zijn en wat de resultaten hiervan zijn vanuit alle mogelijke invalshoeken. Het tweede type tool faciliteert het automatisch verkrijgen van fact-findings van de werking van applicatie-, autorisatie- en reporting controls uit de systemen. Dit laatste type tools zal mede door de control transformation (de transitie van manuele controls naar applicatiecontrols) en framework integration de komende jaren een grote vlucht gaan nemen. Vooral het op elk moment efficiënt en automatisch met behulp van deze tools kunnen monitoren van de bedrijfsprocessen en hierover kunnen rapporteren zal veel organisaties aanspreken. Indien deze fact-finding tool is dan wel wordt geïntegreerd met de hiervoor genoemde tool ten behoeve van de monitoring van key controls, ontstaat een krachtig en effectief instrument voor de organisatie om enerzijds de financiële reportingprocessen maar anderzijds ook de bedrijfsprocessen te beheersen.

Toekomstige ontwikkelingen

Recente guidance PCAOB en SEC

Op 19 december 2006 heeft de PCAOB een voorstel gepubliceerd om de huidige auditstandaard (AS2) te vervangen ([PCAO06]). De SEC heeft een dag later een ‘guidance paper’ voor het management voorgesteld ([SEC06]). De belangrijkste wijzigingen die van invloed kunnen zijn op de aard en omvang van de IT controls en de hoeveelheid testwerk zijn[Het voorstel van de PCAOB en het guidance paper van de SEC zijn nog in concept en zijn aan review en eventuele aanpassingen onderhevig. De in dit artikel beschreven interpretaties van deze conceptvoorstellen zijn een mening van de schrijvers op persoonlijke titel.]:

Er zal een duidelijke focus moeten worden aangebracht op een risico- en top-down gerichte aanpak:
- Focus op materiële risico’s en het testwerk hierop afstemmen. De audit moet niet gericht zijn op het identificeren van mogelijke ‘significant deficiencies’, maar op de mogelijke ‘material weaknesses’.
- In dit verband is het begrip susceptibiliteit geïntroduceerd. Er zal meer focus moeten zijn op de relatief zwakke plekken van jaarrekeningposten, transacties en onderbouwingen. Deze plekken kennen een grotere subjectiviteit, complexiteit en fraudegevoeligheid.
De auditor hoeft geen verklaring meer te geven bij het ‘management process’. Veelal ontbrak het bij de organisatie aan IT-technische deskundigen om alle IT controls goed te kunnen beoordelen. Hierover hoeft de auditor niet te rapporteren, indien de IT controls effectief zijn.
Er kan meer worden gesteund op verricht werk en ervaringen uit het verleden, waardoor het testwerk kan worden verminderd. Maar het roteren van tests, met andere woorden het spreiden van de testwerkzaamheden over meerdere jaren (bijvoorbeeld elk jaar eenderde van de totale hoeveelheid), blijft niet toegestaan (met uitzondering van benchmarking van entire automated controls). Ieder jaar moet nog steeds op zichzelf worden beoordeeld. Afhankelijk van de risico-inschatting kan wel minder worden getest.
Er kan meer gebruik worden gemaakt van het testwerk van ‘anderen’ (bijvoorbeeld een IAD), mits zij competent en objectief zijn. In dit verband kan worden samengewerkt bij het uitvoeren van walkthroughs. Daarnaast behoeft de auditor geen ‘principal evidence’ meer te verzamelen, maar ‘sufficient competent evidence’. Dit is vager, maar maakt een duidelijke inschatting van de verrichte werkzaamheden door die ‘anderen’ noodzakelijk.
Significant deficiencies, die voor IT veelvuldig voorkwamen, kunnen blijven bestaan. Zij hoeven niet binnen een redelijke termijn te zijn opgelost, mits er een goede onderbouwing en afweging van risico’s aanwezig is. Deze afweging is dan een onderdeel van de control environment.

Verder zijn de belangrijkste uitgangspunten van de ’16 mei guidance’ duidelijk herhaald.

Daarnaast geeft de PCAOB voor kleinere en minder complexe omgevingen aan dat ‘… in the areas in which off-the-shelf software is used, the auditor’s testing of information technology controls should focus on the application controls built into the pre-packaged software that management relies on to achieve its control objectives and the IT general controls that are important to the effective operation of those application controls …’.

Conclusie

Het moge duidelijk zijn dat er de afgelopen jaren veel is gebeurd op het gebied van de SOX-regelgeving in relatie tot de scoping en testing van de IT controls binnen de grote US-beursgenoteerde ondernemingen. Dit heeft geleid tot aanzienlijke inefficiënties waar ondernemingen op hebben gereageerd met slimmere scoping, combineren en vereenvoudigen van beheersingsmaatregelen, betere ondersteuning door tools en het integreren van controleraamwerken. Vervolgens zien we dat zij, in hun efficiencypogingen, worden gesteund door de voorgestelde aanpassingen in de auditingstandaard: meer gebaseerd op risico’s, geen afzonderlijke beoordeling van management assessment, meer gebruikmaken van IAD’s, etc. Hopelijk zijn er nu voldoende bouwstenen aanwezig voor een ‘sustainable and efficient compliance’ in de toekomst en kan er worden gedacht aan ‘return on compliance’, ofwel de toegevoegde waarde van een beter beheersbare omgeving.

Literatuur

[Brou06] Drs. P.P.M.G.G. Brouwers RE RA, drs. M.A.P. op het Veld RE en drs. A. Lissone, Tool based monitoring en auditing van ERP-systemen, van hebbeding naar noodzaak, Compact 2006/2.

[Fram04] A Framework for Evaluating Control Exceptions and Deficiencies, Version 3, December 20, 2004. The framework was developed by representatives of the following nine firms: BDO Seidman LLP, Crowe Chizek and Company LLC, Deloitte & Touche LLP, Ernst & Young LLP, Grant Thornton LLP, Harbinger PLC, KPMG LLP, McGladrey & Pullen LLP, PricewaterhouseCoopers LLP, In addition, William F. Messier, Jr., Professor, Georgia State University, also contributed to the development of the framework.

[ITGI04] ITGI, IT Control Objectives for Sarbanes-Oxley, April 2004.

[ITGI06] ITGI, IT Control Objectives for Sarbanes-Oxley, second edition, September 2006.

[John05] Everett C. Johnson, CPA, IT Governance: new players, challenges and opportunities, Information Systems Control Journal, Volume 2, 2005.

[Korn05] Ir. P. Kornelisse RE CISA, R.J.P. van den Berg RA en A.A. van Dijke, SOX – Scoping van de relevante ICT, Compact 2005/3.

[PCAO04] An Audit Of Internal Control Over Financial Reporting Performed In Conjunction With An Audit Of Financial Statements, PCAOB Release No. 2004-001, March 9, 2004.

[PCAO05] Policy statement regarding implementation of auditing standard no. 2, An Audit Of Internal Control Over Financial Reporting Performed In Conjunction With An Audit Of Financial Statements, PCAOB Release No. 2005-009, May 16, 2005.

[PCAO06] An Audit Of Internal Control Over Financial Reporting Performed In Conjunction With An Audit Of Financial Statements, PCAOB Release No. 2007-001, December 19, 2006.

[SEC06] Securities And Exchange Commission, Release Nos. 33-8762; 34-54976, Management’s Report On Internal Control Over Financial Reporting, December 20, 2006.

Internationalisatie van leasemaatschappijen: groeien én snoeien

De leasemarkt heeft een onmiskenbaar internationaal karakter. Grote West-Europese en Amerikaanse leasemaatschappijen hebben hun vleugels al geruime tijd over heel Europa uitgeslagen. Tegelijkertijd is er de drang tot centralisatie en efficiency. Dit artikel gaat in op de gevolgen hiervan voor de IT-omgeving en IT-strategie van leasemaatschappijen.[De auteur dankt drs. E. Schavemaker en zijn collega drs. E.M. Peeters RE voor hun input en suggesties.]

Inleiding

De leasemarkt kan al geruime tijd worden gekarakteriseerd als een markt van toenemende internationalisering. Gedreven vanuit marktvolwassenheid – of zelfs verzadigdheid – van lokale markten hebben grote leasemaatschappijen zoals LeasePlan, ALD, Arval en GE hun vleugels over heel Europa uitgeslagen. Op zoek naar autonome groei hebben deze ondernemingen hetzij door overnames hetzij door nieuw uit de grond gestampte bedrijven vast voet verkregen in Spanje, Portugal en Italië. Halverwege de jaren negentig volgden landen als Polen, Tsjechië en Slowakije. Momenteel staan Rusland, Turkije en Roemenië bij hen volop in de belangstelling.

Naast internationalisatie is er tegelijkertijd sprake van een toenemende mate van consolidatie en centralisatie. Dit uit zich niet alleen in de voortdurende golf van fusies en overnames in de leasemarkt, maar ook in de centralisatie van diensten en afdelingen van de leasemaatschappijen zelf. Steeds vaker worden bijvoorbeeld treasury, verzekeringsdiensten, inkoopafdelingen of de IT-functie voor de gehele internationale leaseorganisatie gecentraliseerd. Afgezien van beoogde verbeterde efficiency of schaalvoordelen wordt de gecentraliseerde afdeling of dienst veelal gevestigd in een land met een fiscaal vriendelijk regime, bijvoorbeeld Zwitserland of de Ierse Republiek.

De expansie naar ’emerging countries’ enerzijds en de centralisatie van diensten of afdelingen anderzijds vindt haar neerslag in de IT-strategie en IT-organisatie van leasemaatschappijen. Daarnaast kan zij gevolgen hebben voor de IT-audit in het kader van de jaarrekeningcontrole. In dit artikel komen de belangrijkste gevolgen van internationalisatie voor de IT-organisatie en de IT-audit aan de orde.

Strategie

Het Verenigd Koninkrijk, Nederland en Frankrijk hebben alle een volwassen leasemarkt. Autonome groei is niet of nauwelijks meer mogelijk; in bijvoorbeeld Nederland steeg het totale leasepark in 2005 met ongeveer 0,5% ([FiDa06]). Leasetarieven zijn transparant en de prijsconcurrentie is hoog. Kleinere nichespelers proberen de resterende gaatjes in de markt op te vullen met specifieke dienstverlening zoals leasing via internet of juist high-end leasing met veel flexibiliteit en persoonlijke aandacht voor de berijder.

Voor het structureel verhogen van de resultaten resteren leasemaatschappijen vier alternatieven: fusies en overnames op de thuismarkt, efficiencyverbetering, productinnovatie en expansie naar het buitenland. De meeste leasemaatschappijen combineren deze vier alternatieven, die elk eigen, soms tegenstrijdige, eisen aan de IT-organisatie en de geautomatiseerde gegevensverwerking stellen. In tabel 1 wordt een aantal gevolgen van de vier business-strategieën voor de IT-strategie samengevat.

C-2006-3-Wolters-t01

Tabel 1. Gevolgen business-strategieën voor IT-strategie.

Acquisities

Aan de consolidatiegolf in de Nederlandse leasemarkt lijkt geen einde te komen. Recentelijk werd bekend dat De Lage Landen – hoofdzakelijk een equipment lessor – Athlon Car Lease overneemt. De strategie van overnemen is primair gericht op het behalen van directe voordelen. Niet alleen wordt een directe concurrent uitgeschakeld, ook kan toegenomen schaalgrootte tot meer inkoopkracht leiden. Hierbij moet echter worden opgemerkt dat zeker de niet-merkgebonden kleine en middelgrote Nederlandse leasemaatschappijen te klein zijn om autofabrikanten met hun volumes te imponeren. Ten opzichte van auto-importeurs hebben leasemaatschappijen wel de benodigde volumes, echter importeursmarges staan al jaren onder druk. Importeurs kunnen zich eenvoudigweg geen substantiële additionele volumekortingen veroorloven.

De potentiële voordelen van acquisities liggen dan ook voor een groot deel op het gebied van efficiencyverbeteringen door het harmoniseren en standaardiseren van businessprocessen enerzijds en het opheffen van doublures in de ondersteunende en managementfuncties anderzijds. Om de efficiencyverbeteringen te realiseren zijn echter aanzienlijke investeringen in de organisatie, de processen en de geautomatiseerde gegevensverwerking noodzakelijk. Vaak zijn leasemaatschappijen na een overname geruime tijd bezig om de beide organisaties met elkaar te integreren. Dit houdt onder meer in dat backoffice- en eventueel frontofficesystemen moeten worden samengevoegd. De harmonisatie van het datamodel en systeemparameters en het uitvoeren van de datamigratie brengen grote functionele en technische uitdagingen met zich mee.

Allereerst is er het harmonisatieproces dat tot verhitte en verrassende metadata-discussies kan leiden. Wat wordt nu precies verstaan onder een actief contract? Uit welke componenten bestaat de leasetermijn en op welke wijze worden eventuele kortingen vastgelegd? Hoe wordt het remarketingresultaat berekend? Nadat overeenstemming is bereikt over de te hanteren productstelling, businessprocessen en werkprocedures moeten deze worden vertaald in een uniforme set aan systeemparameters. Een goed voorbeeld hiervan zijn contractstatussen. Ook calculatieparameters zullen gelijkgetrokken moeten worden.

In de datamigratie wachten andere uitdagingen. De gegevens uit het bronsysteem zullen moeten worden geschoond en verrijkt om ze voor het doelsysteem lees- en interpreteerbaar te maken. In veel gevallen kan worden volstaan met een vertaaltabel waarin bijvoorbeeld oude contractstatussen vóór de datamigratie worden omgezet in nieuwe. Een juiste en volledige conversie van historische opbrengsten en kosteninformatie van lopende contracten is eveneens van groot belang. In geval van hercalculaties maakt het geautomatiseerde systeem gebruik van deze informatie en indien deze onvolledig of onjuist is geclassificeerd, is geautomatiseerd hercalculeren niet mogelijk. Ten slotte vraagt ook de juiste conversie van relationele data de nodige aandacht. Het identificeren en verwijderen van technische en functionele duplicaten in klant- en met name leveranciersbestanden vergt veelal de nodige inspanning.

Productinnovatie en diversificatie

Naast het streven naar schaalgrootte proberen leasemaatschappijen ook aanvullende inkomensstromen te genereren. Dit door het aanbieden van nieuwe producttypen of additionele services. Zo richten bepaalde equipment lessors die van oudsher uitsluitend financiële producten aanboden, zich nu ook op de fullservice leaseproducten. Captive lessors hebben hun financieringsactiviteiten richting dealer uitgebreid tot het financieren van bijvoorbeeld showrooms.

‘A lease is a lease is a lease’. Op conceptueel niveau een juiste observatie: het overgrote deel van de aangeboden leaseproducten is vergelijkbaar. Echter, tussen de verschillende producten en productcomponenten bestaan nuanceverschillen die significante gevolgen kunnen hebben voor de ondersteunende IT-systemen. Leasepakketten die oorspronkelijk zijn ontwikkeld voor financiële leaseproducten hebben veelal beperkte functionaliteit voor het registreren en managen van diensten zoals reparatie en onderhoud. Anderzijds kan fullservice leasesoftware meestal moeilijk overweg met verschillende financieringsvormen (zoals ballonfinanciering of variabele interestpercentages). Daarnaast zijn fullservice leasepakketten in de regel ontwikkeld voor autoleasing en kunnen zij specifieke kenmerken van bijvoorbeeld vliegtuigen, containers, grafische apparatuur of agrarische machines niet adequaat vastleggen. Er is dan ook maar een zeer beperkt aanbod van leasingsoftware die zowel financial-lease- als fullservice operating-leaseproducten volledig ondersteunt ([Wolt04a]). Leasemaatschappijen die zowel financial-lease- als fullservice operating-leaseproducten aanbieden, zullen moeten overwegen om twee gescheiden backoffice-applicaties aan te schaffen – of aanzienlijke maatwerkinvesteringen moeten plegen.

Ook voor de frontoffice-applicaties zijn er mogelijkerwijs consequenties voor het aanbieden van verschillende leaseproducten. Dit geldt zeker wanneer naast leaseproducten ook andersoortige dienstverlening of producten worden aangeboden. Een goed voorbeeld hiervan zijn captive lessors wier leaseproducten primair worden geïdentificeerd met een automerk. In dat geval ontstaat er behoefte aan één internetportal waarin de verschillende producten allemaal binnen handbereik zijn. Ook voor ondernemingen die naast leasing allerlei andere financierings- of bancaire producten aanbieden kan één uniforme klantinteractielaag van belang zijn. Deze productonafhankelijke frontoffice-applicatie zal dan met één of meer productgeoriënteerde backoffices moeten worden geïntegreerd (zie figuur 1).

C-2006-3-Wolters-01

Figuur 1. Klantinteractielaag.

Expansie naar het buitenland

Gedreven door de verzadigdheid van de lokale markt en gelokt door het potentieel van de ’emerging markets’ zijn leasemaatschappijen al ruim een decennium geleden begonnen met internationale expansie. Nederlands marktleider LeasePlan is inmiddels actief in zesentwintig landen. ING Car Lease wil zijn aantal Europese vestigingen – momenteel acht – gaan uitbreiden ([FiDa06]).

Naast de lokroep van autonome groei is de drang tot internationalisatie versterkt door de internationalisatie van grote klanten van leasemaatschappijen. Multinationals hebben behoefte aan een leasemaatschappij die wereldwijd aan hun vraag kan voldoen. Zij vragen om internationale dienstverlening onder pan-Europese contractvoorwaarden en zijn vaak de eerste klanten van leasemaatschappijen in ’emerging countries’.

Tot onverdeelde successen heeft de internationalisatie niet geleid. Leasemaatschappijen moesten pionierswerk verrichten in markten waar met name het operationele leaseproduct volledig onbekend was. Ook was in dit soort landen vaak het lokale bedrijfsleven onderontwikkeld. Een auto van de zaak geldt er nog niet altijd als een algemene verworvenheid. Daarbij waren de pionierende leasemaatschappijen veelal niet lang alleen: ook de concurrentie volgde snel en allemaal visten ze uit dezelfde vijver van multinationale ondernemingen. Daarnaast is het implementeren van leasingsoftware in emerging countries een kostbare en moeilijke opgave gebleken – een noodzakelijke randvoorwaarde om concurrerend te kunnen blijven. Vooral het in het leasesysteem verankeren van landspecifieke eisen – bestaande uit wet- en regelgeving evenals lokale usances – bleek een grote valkuil ([Wolt04b]).

Inmiddels groeien de leasevloten langzaam maar gestaag en leasemaatschappijen rapporteren na een aantal jaren van verliezen steeds vaker zwarte cijfers. Ondanks deze hoopvolle resultaten is er voor leasemaatschappijen nog veel werk te verrichten. Er zijn nog maar weinig leasemaatschappijen in geslaagd om de relatief kleine start-ups in de emerging countries daadwerkelijk met de grote en volwassen leaseorganisatie in het thuisland te integreren. Ook voor de strategie van expansie naar het buitenland geldt dat de indirecte voordelen voortvloeiend uit het harmoniseren van businessprocessen en geautomatiseerde systemen nog beperkt zijn gerealiseerd.

Efficiencyverbetering

Efficiencyverbetering is doorgaans geen op zichzelf staande strategie in de leasebranche. Door de marktverzadiging en de prijstransparantie zijn in beginsel alle leasemaatschappijen gehouden om te streven naar cost competitiveness. Optimalisatie van efficiency is vaak een noodzakelijke voorwaarde om de indirecte voordelen van acquisities, productinnovatie en internationale expansie te kunnen realiseren (zie figuur 2).

C-2006-3-Wolters-02

Figuur 2. Business-strategie en efficiencyverbetering.

De titel van dit artikel is daarom wellicht enigszins misleidend: substantiële efficiencyverbetering is bij leasemaatschappijen niet eenvoudig door middel van de kaasschaafmethode te realiseren. Gezien de grote hoeveelheid routinematige transacties en de afhankelijkheid van IT zijn substantiële investeringen in (de organisatie van) de geautomatiseerde gegevensverwerking voor werkelijke efficiencyverbetering onontbeerlijk.

IT-strategie

De internationale expansie en consolidatie in de leasemarkt vindt duidelijk haar neerslag in de IT-strategieën van leasemaatschappijen. In hun streven een internationale organisatie met efficiënte bedrijfsprocessen te worden zijn de meeste leasemaatschappijen bezig hun IT-organisatie te centraliseren. Hierbij kunnen verschillende dimensies worden onderscheiden:

architectuur: het centraliseren en beheren van de hard- en software in een computercentrum;
IT-management: het centraal aansturen van de IT-strategie, het informatiebeleid en het programmamanagement;
applicaties: het centraliseren van frontoffice-, backoffice- en/of datawarehouse-applicaties voor de gehele internationale organisatie.

Architectuur en beheer

Gecentraliseerd computercentrum

Verschillende leasemaatschappijen hebben hun IT-infrastructuur op één locatie in een computercentrum bijeengebracht. Hierdoor worden IT general controls zoals incident, problem en business continuity management gecentraliseerd. De noodzaak van dergelijke maatregelen op de diverse internationale locaties wordt hierdoor beperkt. Dit levert niet alleen besparingen op; de IT general controls kunnen ook worden geprofessionaliseerd, wat deze niet alleen efficiënter maakt, maar ook de kwaliteit van deze maatregelen verhoogt.

Dit laatste is uit het oogpunt van corporate governance van groot belang. De meeste leasemaatschappijen zijn in handen van banken die aan regelgeving van toezichthouders moeten voldoen. Ook accountants en IT-auditors stellen hogere eisen aan de IT general controls. Met de introductie van de Sarbanes-Oxley wetgeving is het tijdperk voorbij dat IT general controls op uitsluitend opzet en bestaan konden worden beoordeeld. Ook de werking moet worden onderzocht en dus kunnen worden aangetoond. Hiervoor vormen een adequate organisatie, goed gedocumenteerd beleid en procedures en ondersteunende beheersingssystemen een voorwaarde. Het is niet doelmatig of – in verband met noodzakelijke functiescheidingen – haalbaar om dergelijke maatregelen op relatief kleine locaties te implementeren. Alleen professionele computercentra kunnen aan de strikte eisen van toezichthouders en IT-auditors voldoen.

Migratie van legacysystemen

Het centraliseren van de IT-architectuur brengt een aantal uitdagingen met zich mee. Dit is a fortiori zo wanneer bestaande architecturen naar één locatie moeten worden gemigreerd. Een migratie van architectuur wordt gecompliceerd doordat ook de bestaande procedures moeten worden gemigreerd. Medewerkers van het rekencentrum moeten worden opgeleid in de computer operations van de architectuur, capaciteit en performance moeten in de nieuwe omgeving worden getest. Voor de internationale vestigingen moeten cross-border procedures voor incident, problem en mogelijkerwijs autorisatiemanagement worden geïmplementeerd. Dit alles lijkt wellicht niet meer dan open deuren, maar bedacht dient te worden dat de meeste leasemaatschappijen – mede als gevolg van fusies en overnames – complexe applicatielandschappen hebben. Ook zijn de leaseapplicaties vaak zelf ontwikkeld en technologisch verouderd. Dit alles maakt dat een migratie van de IT-architectuur inclusief de dagelijkse beheerprocedures geen eenvoudige opgave is. Om te voorkomen dat het medicijn erger is dan de kwaal moet worden overwogen het beheer van complexe legacysystemen niet te centraliseren, maar te handhaven op de locatie waar de kennis en ervaring om de systemen operationeel te houden voorhanden is.

Beheer van IT-middelen

Bij de overdracht van de IT-architectuur hoort in beginsel ook het technische beheer ervan. Het is echter onwaarschijnlijk dat alle functionele beheerprocedures aan de centrale IT-organisatie kunnen worden overgedragen – bijvoorbeeld in geval van uitsluitend lokaal gebruikte applicaties of lokale instances van centrale applicaties. Autorisatiebeheer, parameterbeheer en change management kunnen dan tot de lokale verantwoordelijkheden blijven behoren. De exacte afgrenzing van verantwoordelijkheden en het adequaat inrichten van cross-border procedures verdienen hierbij bijzondere aandacht.

IT-management

Veel leasemaatschappijen geven vanuit het hoofdkantoor vorm aan de IT-strategie en leggen richtlijnen en regels aan de internationale vestigingen op. Teneinde voor de gehele groep een consistente IT-strategie te voeren en suboptimalisatie te voorkomen ligt het centraliseren van IT-management voor de hand. Dit betekent vaak onder meer dat de IT-architectuur en het applicatielandschap door centraal IT-management worden bepaald. Binnen internationale organisaties impliceert dit een reductie van het aantal lokale applicaties en een beperkte vrijheid om lokaal software aan te schaffen en te implementeren. Dergelijke instructies gelden overigens in de regel alleen voor de kernapplicaties die de meest omvangrijke bedrijfsactiviteiten en producten ondersteunen. Captive lessors met beperkte fullservice leasingportefeuilles geven derhalve in sommige gevallen lokale IT-afdelingen de ruimte om zelf een backofficesysteem te selecteren en te implementeren.

Applicaties

Applicatielandschap

Het applicatielandschap van leasemaatschappijen bestaat in grote lijnen uit de volgende componenten (zie ook figuur 3):

frontoffice: de portal en eventueel de klantinteractielaag. De frontoffice maakt gebruik van business rules uit de backoffice of andere randapplicaties, bijvoorbeeld voor het calculeren van offertes via internet;
backoffice: contractmanagementsysteem, doorgaans voorzien van een calculatiemachine voor het berekenen van offertes. Bevat de contracthistorie en een groot aantal interfaces met externe leveranciers alsmede met de financiële administratie;
datawarehouse: hierin ligt het onderliggende datamodel vast, dat helpt bij het genereren van rapportages.

C-2006-3-Wolters-03

Figuur 3. Applicatielandschap.

Elke component van het applicatielandschap kan in meerdere of mindere mate worden gecentraliseerd. Het centraliseren van het applicatielandschap wordt uit verschillende oogpunten nagestreefd. Enerzijds kunnen door het centraliseren van applicaties bedrijfsprocessen worden geharmoniseerd. Ook het applicatiebeheer kan worden geconcentreerd, waardoor de behoefte aan lokale IT-functionarissen kan worden ingeperkt. Anderzijds wordt als argument uniforme dienstverlening aan multinationale klanten gebruikt. Dit laatste argument geeft aanleiding tot het centraliseren van frontoffice-applicaties en het datawarehouse. Centralisatie van het contractmanagementsysteem ligt dan minder voor de hand, omdat de bedrijfsprocessen naar de klant toe niet transparant hoeven te zijn. Zolang er maar op uniforme wijze aan klanten wordt geoffreerd (frontoffice) en gerapporteerd (datawarehouse), is centralisatie van de backoffice niet noodzakelijk (zie figuur 4). Dit is een belangrijke constatering, omdat centralisatie van de backoffice een aanzienlijke investering vergt. Immers, alle businessprocessen dienen – voorzover wet- en regelgeving dat toelaat – te worden geharmoniseerd.

C-2006-3-Wolters-04

Figuur 4. Centralisatie uit het oogpunt van multinationale dienstverlening.

Common versus local parameters

Het gemeenschappelijk gebruiken van een en dezelfde applicatie is een lichte vorm van centraliseren. Alle vestigingen moeten gebruikmaken van dezelfde centraal voorgeschreven software. Er kan echter sprake zijn van verschillende instances en lokaal gemanaged parameterbeheer. Iedere vestiging krijgt daardoor haar eigen systeeminrichting. Van echte centralisatie van applicaties is geen sprake, omdat veel functionele beheertaken nog steeds decentraal moeten worden uitgevoerd. Bovendien hebben lokale vestigingen enige vrijheid in de inrichting van het systeem en de onderliggende werkprocessen (zie figuur 5).

C-2006-3-Wolters-05

Figuur 5. Gemeenschappelijke applicatie, lokaal beheer.

Verschillende leasemaatschappijen hebben geprobeerd ook de parameterinstellingen van de applicatie daadwerkelijk voor alle internationale vestigingen te integreren. Dit door het definiëren van centrale (‘common’) parameters en decentrale (‘local’) – welke overigens beide centraal moeten worden beheerd. Binnen het huidige Europa kent deze opzet een aantal inherente beperkingen:

Tijd en doorlooptijd. Een goede analyse van ‘common’ en ‘local’ parameters vereist een grondige kennis van het geautomatiseerde systeem, de businessprocessen én de landspecifieke eisen. De doorlooptijd van het project wordt evenredig vergroot met het aantal landen of vestigingen dat bij de implementatie betrokken is. Pas nadat alle landen zijn geïnventariseerd, kunnen de ‘common’ parameters worden vastgesteld.
Verhouding common versus local. Zelfs binnen de EU zijn de verschillen in wet- en regelgeving nog groot – voornamelijk ten aanzien van de juridische status van leaseproducten, fiscale en commerciële verslaggevingsregels alsmede BTW-wetgeving. Dit alles resulteert in een onevenredig groot aantal ‘local’ parameters.

Impact op de jaarrekeningcontrole en IT-audit

Voor accountants en IT-auditors heeft de internationalisatie van leasemaatschappijen consequenties voor de controleaanpak. Toezichthouders zoals DNB evenals de Nederlandse wet- en regelgeving eisen dat in de jaarrekeningcontrole aandacht wordt besteed aan de continuïteit en betrouwbaarheid van de geautomatiseerde gegevensverwerking. Voor de controle van ondernemingen met internationale vestigingen maken accountantsorganisaties al sinds jaar en dag gebruik van hun internationale netwerk. Met behulp van controle-instructies worden lokale kantoren ingezet om de internationale vestigingen te controleren en hierover aan de groepsaccountant te rapporteren. Indien een leasemaatschappij haar IT-architectuur centraliseert wordt hier een dimensie aan toegevoegd. De IT general controls die voor de gehele internationale organisatie van toepassing zijn, dienen centraal te worden beoordeeld en getest. De groepsaccountant zal hiervoor – mede namens de lokale accountantskantoren – IT-auditors moeten instrueren die hierover vervolgens verantwoording afleggen voor de gehele groep.

Afbakening van werkzaamheden

Een juiste en heldere afbakening van werkzaamheden en verantwoordelijkheden is bij het auditen van IT general controls de grootste uitdaging. Dit omdat de IT-organisatie zelden volledig is of kan worden gecentraliseerd. Voornamelijk zaken als beheer van parameterinstellingen, autorisatiemanagement en change management rondom lokale businessapplicaties én lokale instances van centrale businessapplicaties worden in de regel nog door lokaal IT-management uitgevoerd. Dit betekent dat ze primair het onderzoeksobject van een lokale IT-auditor moeten zijn. Verder dient de lokale IT-auditor ook de inhoudelijke controle op de door middel van de autorisatie-inrichting afgedwongen functiescheidingen te beoordelen, ook al is het beheer rondom autorisaties volledig gecentraliseerd. Centraal IT-beheer ontbreekt het veelal aan de kennis van en het inzicht in verantwoordelijkheden en functies van lokale medewerkers. Dit alles impliceert niet dat de inrichting van systeemautorisaties buiten het aandachtsgebied van de centrale IT-auditor valt. Ten eerste hebben lokale medewerkers veelal systeempermissies op de aan applicaties onderliggende databases en besturingssystemen. Ten tweede kunnen zij – uit hoofde van bepaalde beheertaken – ook rechtstreeks toegang hebben tot de businessapplicaties. Deze autorisaties dienen weer het object van onderzoek van de centrale IT-auditor te zijn.

SAS 70

SAS 70-certificering voor gecentraliseerde computercentra is in opkomst, ook indien het computercentrum uitsluitend de IT-architectuur binnen een groep beheert. Hoewel het SAS 70-rapport een goede basis kan vormen voor de jaarrekeningcontrole en de ondersteunende IT-audit, is enige oplettendheid geboden.

Ten eerste moet worden vastgesteld of het een type I- dan wel type II-rapport betreft. Alleen het type II-rapport dekt ook het testen van beheersingsmaatregelen en het daarmee vaststellen van de effectieve werking ervan. De reikwijdte van een type I-verklaring is te beperkt om er in het kader van de jaarrekeningcontrole op te kunnen steunen.

Ten tweede moet goed worden gekeken of de rapportageperiode wel in voldoende mate strookt met het boekjaar waarover de accountantscontrole plaatsvindt, aangezien een SAS 70-rapportage minimaal zes maanden hoeft af te dekken.

Ten derde moet voor grote internationale organisaties met meer activiteiten dan uitsluitend leasing worden geëvalueerd of de SAS 70-rapportage wel voldoende specifiek is – zeker wanneer leasing maar een relatief klein onderdeel is van de bedrijfsactiviteiten. Of en zo ja, in hoeverre de uitgevoerde testwerkzaamheden ten aanzien van bijvoorbeeld change management ook de leasespecifieke applicaties en IT-infrastructuur afdekken is dan zeer de vraag.

Conclusie

Grote leasemaatschappijen denken en opereren internationaal. Grote multinationale klanten verwachten internationaal consistente dienstverlening onder pan-Europese voorwaarden. Daarnaast hebben de beperkte mogelijkheden voor autonome groei in de volwassen thuismarkten leasemaatschappijen over de grens doen kijken. Het internationale karakter maakt de leasebranche aantrekkelijk en dynamisch, maar brengt ook een groot aantal uitdagingen met zich mee. Er moeten keuzen worden gemaakt hoe het IT-management, de IT-architectuur en het applicatielandschap worden georganiseerd en beheerst. Hierbij zijn vele varianten met verschillende mate van centralisatie mogelijk. Centralisatie van IT-functies draagt bij aan consistente dienstverlening en kostenefficiënt werken. Een doel op zich is centralisatie echter niet; ook al lijkt het conceptueel de mooiste oplossing, het centraal aansturen en managen van gemeenschappelijke systeemparameters is voor een aantal leasemaatschappijen nog een brug te ver.

Ook accountants en IT-auditors krijgen te maken met de internationalisatie van leasemaatschappijen. Omdat volledige centralisatie van de IT-organisatie zelden te realiseren valt, is een heldere afbakening van verantwoordelijkheden en werkzaamheden van lokale en centrale IT-auditors van groot belang.

Literatuur

[FiDa06] Het Financieele Dagblad, 30 mei 2006.

[Wolt04a] Drs. E.J. Wolters RE RA en drs. E.M. Peeters RE, Softwarepakketten voor equipment en automotive leasing: een inventarisatie. Compact 2004/4.

[Wolt04b] Drs. E.J. Wolters RE RA en drs. E.M. Peeters RE, Can one size fit all?, Leasing Life, december 2004.

Older posts

Newer posts