Impactbepaling van een hoge rechten account in de SAP omgeving

Save this PDF as:
 WORD  PNG  TXT  JPG

Maat: px
Weergave met pagina beginnen:

Download "Impactbepaling van een hoge rechten account in de SAP omgeving"

Transcriptie

1 Impactbepaling van een hoge rechten account in de SAP omgeving Handvatten voor de impactbepaling van een hoge rechten account in de SAP omgeving in het kader van de jaarrekeningcontrole.

2 Impactbepaling van een hoge rechten account in de SAP omgeving Handvatten voor de impactbepaling van een hoge rechten account in de SAP omgeving in het kader van de jaarrekeningcontrole. Scriptienummer: 2050 Versienummer: 1.0 Vrije Universiteit Amsterdam Faculteit der Economische Wetenschappen en Bedrijfskunde (FEWEB) Postgraduate opleiding IT Audit Compliance & Advisory De Boelelaan HV Amsterdam Auteur: W.M. van der Niet ( ) Begeleider Vrije Universiteit: P. Harmzen RA RE Begeleider Deloitte Risk Services B.V.: R. Hoekman RE CISSP

3 VOORWOORD Voor u ligt het rapport Impactbepaling van een hoge rechten account in de SAP omgeving. Dit rapport is tot stand gekomen in het kader van de Postgraduate opleiding IT Audit Compliance & Advisory aan de Vrije Universiteit, te Amsterdam. Vanuit mijn werkzaamheden als IT auditor zag ik de noodzaak voor het ontwikkelen van een normenkader om de impact van een hoge rechten account op de jaarrekeningcontrole vast te kunnen stellen. Dit omdat de impact van een hoge rechten account op de geautomatiseerde gegevensverwerking in minimale mate vastgesteld wordt. Dit onderzoeksrapport levert handvatten om de impact van een hoge rechten account op de jaarrekeningcontrole te bepalen. Deze handvatten worden aangeleverd in de vorm van een normenkader en is toegespitst op de SAP omgeving. Als resultaat hiervan zal de IT auditor meer werkzaamheden moeten verrichten om de impact op de geautomatiseerde gegevensverwerking vast te stellen. Tevens kan het testen van de impact door de IT auditor leiden tot minder werkzaamheden voor de accountants. Graag maak ik van de gelegenheid gebruik om mijn begeleiders, Dhr. Harmzen namens de Vrije Universiteit en Dhr. Hoekman als bedrijfsbegeleider vanuit Deloitte Risk Services B.V., te bedanken voor hun begeleiding en inhoudelijke ondersteuning. Tevens bedank ik graag de collega s binnen Deloitte Risk Services welke een inhoudelijke bijdrage geleverd hebben aan dit rapport en het uiteindelijke normenkader. W.M van der Niet 1

4 MANAGEMENT SAMENVATTING De AFM (Autoriteit Financiële Markten) constateerde in een rapport (gepubliceerd op 25 september 2014 i ) dat de kwaliteit van wettelijke controles, de kwaliteitsbeheersing en bewaking onvoldoende was voor de Big Four (Deloitte, EY, KPMG en PWC). De AFM heeft bij elk van de vier bovengenoemde tien wettelijke controles uit de periode beoordeeld en heeft de uitvoering van de wettelijke controle als onvoldoende beoordeeld. De geconstateerde tekortkomingen komen deels voort uit de IT kwaliteit van de wettelijke controles. Om invulling te geven aan de door AFM geconstateerde tekortkomingen met betrekking tot een omgeving die in de eigen praktijk veelvuldig voorkomt wordt in dit onderzoek verder toegespitst op de volgende hoofdvraag: Welke maatregelen dienen IT auditors in het kader van de jaarrekening te testen om de impact van een hoge rechten account in SAP inzichtelijk te maken voor de accountant? Het uiteindelijke resultaat van dit onderzoek zal in de toekomst een bijdrage leveren aan het verbeteren van de kwaliteit van de jaarrekeningcontroles. Dit door een normenkader aan te leveren welke inzicht biedt in de impact van hoge rechten accounts op de jaarrekeningcontrole. Dit normenkader bevat risico s, maatregelen en gedetailleerde teststappen om deze impact te bepalen. In deze versie van het rapport zal het normenkader beperkt worden tot de risico s en maatregelen. De maatregelen die IT auditors in het kader van de jaarrekeningcontrole dienen te testen om de impact van een hoge rechten account inzichtelijk te maken voor de accountant zijn opgedeeld in IT en business risico s. IT risico s om de impact van een hoge rechten account op de geautomatiseerde gegevensverwerking vast te stellen en daarnaast de business risico s om te bepalen of het hoge rechten account ook impact heeft gehad op de business processen. Wanneer de accountant op de geautomatiseerde gegevensverwerking wil steunen, dienen de geïdentificeerde IT risico s te allen tijden door de IT auditor getest te worden om vast te stellen of het hoge rechten account impact gehad heeft op de geautomatiseerde gegevensverwerking. Wanneer de accountant niet op de geautomatiseerde gegevensverwerking wil steunen is de SAP_ALL analyse voor de IT risico s geen vereiste, wel kan dit een wens zijn van de accountant. Het is belangrijk dat er niet alleen IT risico s of business risico s getest worden wanneer een hoge rechten account aanwezig is en de accountant op de geautomatiseerde gegevensverwerking wil steunen. Beide risico s dienen te allen tijden getest te worden. Welke en hoe de business risico s getest zullen worden is afhankelijk van het audit plan van de accountant. Het is mogelijk dat het audit plan van de accountant toereikend is om de impact van de hoge rechten accounts op de business risico s te mitigeren. In dat geval is het afhankelijk van de accountant of hij een additionele analyse op de hoge rechten accounts wil uitvoeren of dat hij zijn huidige audit plan aanhoudt. Wanneer de IT auditor business risico s in scope neemt, zullen deze altijd in afstemming met de accountant geïdentificeerd dienen te worden omdat deze voor ieder bedrijf verschillend zijn. Tevens komt uit dit onderzoek naar voren dat de IT auditor de geïdentificeerde business maatregelen integraal kan analyseren en daarmee een hogere zekerheid levert dan een analyse op steekproefbasis. Echter, blijft de scope van de IT audit altijd de verantwoordelijkheid van de accountant, wel kan de IT auditor hier een adviserende rol in spelen. Wanneer de IT en business risico s beide in scope zijn zullen er voldoende werkzaamheden verricht zijn om de impact van het hoge rechten account op de jaarrekening vast te stellen. 2

5 INHOUDSOPGAVE Voorwoord... 1 Management samenvatting... 2 Inhoudsopgave... 3 Hoofdstuk 1. AANLEIDING & PROBLEEMANALYSE Aanleiding Probleemanalyse... 5 Tekortkomingen Systeem- en gegevensgerichte werkzaamheden... 6 Focus onderzoek... 6 Problematiek vanuit de praktijk... 7 Hoofdvraag onderzoek... 8 Afbakening onderzoek... 8 Doelstelling Deelvragen onderzoek, onderzoeksmethode & leeswijzer Hoofdstuk 2. Risico analyse Jaarrekeningcontrole Impact hoge rechten account op de jaarrekeningcontrole Impact van een hoge rechten account binnen De it risico s: Impact van een hoge rechten account binnen de business risico s: Hoofdtuk 3. SAP_ALL normenkader Uitgangspunten in de definitie van risico s Het risico bestaat Het risico kan leiden tot fraude en kan de integriteit van de data aantasten Uitgangspunten in de definitie van maatregelen Uitgangspunten in de definitie van teststappen Manier en Diepgang testen maatregelen Scope SAP_ALL analyse Accounts in scope SAP_ALL analyse Aanvullende analyse op scope SAP_ALL analyse IT risico s GEDEFINIEERD IN SAP_ALL NORMENKADER Business risico s gedefinieerd in SAP_ALL normenkader Hoofdstuk 4. randvoorwaarden Logging Moment van testen Restricties auditor Hoofdstuk 5. Praktijkonderzoek Conclusie

6 Literatuurlijst Bijlage 1. Probleemanalyse Bijlage 2. Deelvragen & onderzoeksmethodologie Bijlage 3. SAP GITC normenkader

7 HOOFDSTUK 1. AANLEIDING & PROBLEEMANALYSE In dit hoofdstuk wordt de aanleiding van dit onderzoek besproken. Tevens is een probleemanalyse uitgevoerd om de achterliggende problemen van de geïdentificeerde structurele tekortkomingen die de AFM signaleerde te achterhalen. Op basis van deze probleemanalyse is de focus van dit onderzoek bepaald. 1.1 AANLEIDING De aanleiding van dit onderzoek zijn de structurele tekortkomingen die de AFM signaleerde in een rapport, gepubliceerd op 25 september Dit rapport is het resultaat van een onderzoek naar de kwaliteit van wettelijke controles, de kwaliteitsbeheersing en -bewaking door de vier grootste accountantsorganisaties, de zogenoemde Big Four (Deloitte, EY, KPMG en PWC). De AFM heeft bij elk van de vier bovengenoemde tien wettelijke controles uit de periode beoordeeld. Het aantal 'onvoldoende controles bedraagt: Deloitte: 40%, EY: 30%, KPMG: 70% PWC: 40% Om de eerlijkheid en transparantie binnen de financiële markten te bevorderen is de onafhankelijke gedragstoezichthouder AFM (Autoriteit Financiële Markten) in het leven geroepen. De AFM concludeerde dat de accountancysector zo snel mogelijk maatregelen moet nemen om de kwaliteit te waarborgen en het publiek belang meer centraal te stellen. Voorafgaand aan het rapport, gepubliceerd op 25 september 2014, heeft de AFM in september 2010 ook een rapport gepubliceerd. Het rapport uit 2010 betreft de eerste reguliere onderzoeken die zij had uitgevoerd bij de Big Four in de periode De reguliere onderzoeken in betreffen een zogenoemde éénmeting. De AFM doet hierin opnieuw onderzoek naar de kwaliteit van wettelijke controles om vast te stellen in hoeverre de verbetermaatregelen die zijn genomen in de tussenliggende periode het beoogde effect hebben gehad. Tijdens de éénmeting heeft de AFM de kwaliteit van achttien van de veertig (45%) beoordeelde wettelijke controles als onvoldoende aangemerkt. In 2010 was dit nog 52%. De meest voorkomende tekortkomingen hebben betrekking op de systeemgerichte werkzaamheden, de gegevensgerichte werkzaamheden en de kritische evaluatie door de externe accountant van verkregen controle-informatie. Het betreft in de meeste gevallen een combinatie van verschillende tekortkomingen. 1.2 PROBLEEMANALYSE Om de achterliggende problemen te achterhalen van het door de AFM geconstateerde initiële probleem is een probleemanalyse uitgevoerd. Hiermee zijn de achterliggende problemen achterhaald met als doel meer inzicht te krijgen in de veroorzakers van het initiële probleem. Het AFM rapport is als uitgangspunt genomen voor deze probleemanalyse. In het AFM rapport worden de tekortkomingen uiteengezet op het gebied van systeemgerichte en gegevensgerichte werkzaamheden. In deze paragraaf worden deze tekortkomingen van zowel de systeemgerichte als gegevensgerichte werkzaamheden besproken. Details van deze structurele tekortkomingen worden in bijlage 1. Probleemanalyse uiteengezet. 5

8 TEKORTKOMINGEN SYSTEEM- EN GEGEVENSGERICHTE WERKZAAMHEDEN In het AFM rapport worden de volgende tekortkomingen uiteengezet op het gebied van systeemgerichte werkzaamheden: Controle werkzaamheden aangemerkt als systeemgericht maar zijn in feite gegevensgericht. Onvoldoende werkzaamheden verricht om de betrouwbaarheid van de geautomatiseerde gegevens verwerking vast te stellen. Onvoldoende vaststelling of automatische functiescheiding toereikend is. In het AFM rapport worden de volgende tekortkomingen uiteengezet op het gebied van gegevensgerichte werkzaamheden: Tekortkomingen geïdentificeerd bij de toepassing op verbandcontroles. Onvoldoende evaluatie of overzichten, lijsten en databases betrouwbare informatie bevatten. Onvoldoende opvolging aan verschillen die blijken uit detailcontroles, cijferanalyses of toetsing van interne beheersmaatregelen. Onvoldoende kritisch management informatie beoordeeld. Onvoldoende evaluatie van werkzaamheden verricht door een ander, waaronder geen opvolging geven aan de bevindingen van de IT-specialist. Onvoldoende invulling geven aan de rol als groepsaccountant. FOCUS ONDERZOEK De door de AFM gesignaleerde problemen in combinatie met mijn huidige werkzaamheden als IT auditor geven aanleiding om te focussen op het volgende probleem (zie figuur 1): Onvoldoende werkzaamheden verricht om de betrouwbaarheid van de geautomatiseerde gegevens verwerking vast te kunnen stellen. Figuur 1. Focus van dit onderzoek 6

9 In de volgende paragrafen zal de onderzoekfocus verder toegelicht worden. Het uiteindelijke doel van het onderzoek zal een bijdrage leveren aan het verbeteren van de kwaliteit van de jaarrekeningcontroles in de toekomst. De focus zal hierbij liggen op een beperkt maar specifiek onderdeel binnen het bovengenoemde probleem. PROBLEMATIEK VANUIT DE PRAKTIJK Vanuit de praktijk krijg ik veel met de volgende problematiek te maken, dit is tevens aanleiding voor de focus van dit onderzoek. Mijn dagelijkse werkzaamheden bestaan uit IT audits in het kader van de jaarrekening en advies opdrachten. Voor de IT audits in het kader van de jaarrekening bestaat mijn opdrachtportefeuille voornamelijk uit IT audits rondom de SAP applicatie. Daarmee geven we onder andere zekerheid over de automatische gegevensverwerking van SAP systemen aan de accountant. Door de jaren heen heb ik veel expertise ontwikkeld op SAP gebied en ben ik sinds januari 2015 SAP SD (Sales & Distribution) gecertificeerd. Wanneer de IT auditor constateert dat er één of meerdere hoge rechten account(s) aanwezig zijn op de SAP applicatie, wordt dit gerapporteerd naar de accountant als onderdeel van het IT audit rapport. De IT auditor rapporteert het totaal aantal hoge rechten accounts op de SAP applicatie naar de accountant toe, dit in combinatie met de functie van de persoon achter het hoge rechten account. Tevens geeft de IT auditor aan of het risico van een hoge rechten account gemitigeerd is door andere maatregelen in het SAP GITC normenkader. Het SAP GITC normenkader is het standaard SAP normenkader dat binnen Deloitte getest wordt wanneer er zekerheid over de geautomatiseerde gegevensverwerking van SAP gevraagd wordt. De huidige werkwijze waarop de IT auditor een impactbepaling doet, is onvoldoende. Wanneer een hoge rechten account geconstateerd is betekent dit dat er een hoog risico is voor alle maatregelen binnen het SAP GITC normenkader. Dit houdt in dat het hoge rechten account impact gehad kan hebben op de maatregelen, ondanks dat deze maatregelen als effectief getest zijn. Dit is tevens de reden dat effectief geteste maatregelen niet als mitigerend gebruikt kunnen worden. De steekproefgrootte is namelijk niet gebaseerd op een hoog risico, maar op een normaal risico. De volgende keuze zou gemaakt worden om dit hoge risico af te dekken voor alle maatregelen binnen het SAP GITC normenkader. 1. Het verhogen van de steekproefaantallen voor iedere control binnen het GITC normenkader waar dit hoge rechten account een directe impact op uitgeoefend kan hebben. 2. Het onderzoeken van de impact van het hoge rechten account voor iedere control binnen het GITC normenkader waar dit hoge rechten account een directe impact op uitgeoefend kan hebben. Wanneer er geen uitzonderingen geconstateerd worden bij bovenstaande opties, impliceert dit dat de hoge rechten accounts geen impact hebben gehad op de geautomatiseerde gegevensverwerking van het SAP landschap. In de praktijk is optie 2 een veel efficiëntere oplossing dan optie 1. Dit komt doordat bij optie 1 het aantal willekeurige steekproeven verhoogt wordt tot 60 steekproeven per maatregel. Dit kost erg veel tijd per maatregel, er vanuit gaande dat dit normaliter maximaal 25 steekproeven per maatregel zijn. Bij optie 2 wordt door middel van een integrale analyse van de acties van het hoge rechten account specifiek toegespitst op dit account en worden overige accounts buiten scope gelaten. Wanneer blijkt dat het hoge rechten account niet voorkomt in de 7

10 maatregel, is er geen risico aanwezig en daarmee ook geen impact. Bij het lezen van beide opties wordt duidelijk dat optie 2 het meest efficiënt en effectief is doordat de acties van het hoge rechten account per maatregel integraal inzichtelijk gemaakt worden. Wanneer de accountant op de automatische gegevensverwerking van het SAP landschap wil steunen voor zijn jaarrekeningcontrole, is het bepalen van de impact op de maatregelen binnen het SAP GITC normenkader te allen tijde benodigd om de impact van het hoge rechten account op de geautomatiseerde gegevensverwerking te bepalen. Business maatregelen Daarnaast kan het hoge rechten account ook invloed hebben op business processen. De accountant heeft hiermee de keuze om de impact van het hoge rechten account inzichtelijk te maken door zelf grotere steekproefaantallen te nemen of de IT auditor de directe invloed van het hoge rechten account op de business maatregelen inzichtelijk te laten maken. Dit kan de IT auditor inzichtelijk maken door te testen of het hoge rechten account binnen de geselecteerde business processen ongeautoriseerde acties heeft uitgevoerd. Welk team de impactbepaling voor zijn rekening neemt binnen de jaarrekeningcontrole en welke business maatregelen daarmee aanvullend getest dienen te worden door de IT auditor ligt in de handen van de accountant. Dit is mede afhankelijk van een aantal generieke elementen zoals het soort bedrijf, de risico analyse uitgevoerd door de accountant en het risicoprofiel van de accountant. Wel kan de IT auditor hier een adviserende rol in spelen. Bepaling impact hoge rechten accounts door de accountant of IT auditor? In de voorgaande paragrafen is uiteengezet welke acties verricht dienen te worden door accountants of IT auditors om de impact van hoge rechten accounts te bepalen. De conclusie hieruit is dat de IT auditor de geïdentificeerde business maatregelen integraal kan analyseren en daarmee een hogere zekerheid levert dan een analyse op steekproefbasis uitgevoerd door de accountant. Echter, blijft de scope van de IT audit altijd de verantwoordelijkheid van de accountant, wel kan de IT auditor hier een adviserende rol in spelen. HOOFDVRAAG ONDERZOEK Om een bijdrage te leveren aan de noodzakelijk uit te voeren testwerkzaamheden om de impact van de hoge rechten accounts op de jaarrekeningcontrole vast te stellen, zal dit onderzoek verder toegespitst worden op de volgende hoofdvraag: Welke maatregelen dienen IT auditors in het kader van de jaarrekening te testen om de impact van een hoge rechten account in SAP inzichtelijk te maken voor de accountant? Deze hoofdvraag draagt bij aan het inzichtelijk maken van de uit te voeren teststappen om vast te stellen wat de werkelijke impact van het hoge rechten account geweest is op de jaarrekeningcontrole, voor zowel de business maatregelen als SAP GITC maatregelen. Hiermee wordt voor de SAP GITC maatregelen toegespitst op optie 2 uit deze paragraaf. AFBAKENING ONDERZOEK Voor dit onderzoek zijn de volgende afbakeningen gedaan: Afbakening SAP ECC systeem. Afbakening SAP applicatie. Afbakening hoge rechten account tot SAP_ALL 8

11 SAP ECC systeem Het onderzoek is afgebakend tot het SAP ECC systeem (hier na te noemen SAP landschap) omdat in de IT audit praktijk het SAP ECC systeem het meest voorkomt. Dit wordt veroorzaakt doordat een SAP ECC systeem de basis is van een SAP landschap. Waar mogelijk kunnen klanten extra SAP systemen toevoegen aan het SAP landschap. Deze SAP systemen zullen op het SAP ECC systeem geplaatst worden ter uitbreiding van de huidige faciliteiten. Of een bedrijf alleen een SAP ECC systeem bezit of ook meerdere SAP systemen is vaak afhankelijk van het soort bedrijf, de grootte van het bedrijf en waar de interne organisatie meerwaarde aan hecht. Sommige corporate klanten hebben zelfs meerdere SAP ECC systemen. Tijdens het uitvoeren van de IT audit in het kader van de jaarrekening wordt voornamelijk toegespitst op de SAP ECC systemen. Dit omdat zich hier de belangrijkste financiële gegevens bevinden. Het komt tevens voor dat de accountant een aanvullende maatregel wil testen voor een specifieke module. Binnen de IT audit in het kader van de jaarrekening noemen IT auditors dit een application control. Houdt daarmee wel het volgende in gedachten: De IT auditor komt tot de conclusie of de accountant wel of niet kan steunen op de geautomatiseerde gegevensverwerking van het SAP landschap. Dit is het resultaat van de uitzonderingen die de IT auditor binnen het SAP GITC normenkader geconstateerd heeft. Wanneer de IT auditor aangeeft dat de accountant niet kan steunen op de geautomatiseerde gegevensverwerking van het SAP landschap, dan zal de application control ook automatisch niet effectief zijn. Dit houdt tevens in dat accountant ook niet op de application control kan steunen. SAP applicatie Het onderzoek is tevens afgebakend tot logische toegang via de SAP applicatie. Tijdens de Deloitte IT audit in het kader van de jaarrekening wordt logische toegang tot de SAP applicatie als een groter risico gezien dan logische toegang tot de database omdat meer gebruikers toegang hebben tot de applicatie dan directe toegang tot de database. Om dit onderzoek goed aan te laten sluiten op de IT audit in het kader van de jaarrekening is daarom de keuze gemaakt om het onderzoek af te bakenen tot de SAP applicatie. Hoge rechten account met profielen SAP_ALL en SAP_NEW Ook is het onderzoek afgebakend tot de hoge rechten accounts met profielen SAP_ALL en SAP_NEW. In de SAP applicatie worden rechten toegekend door middel van autorisaties op transactiecode niveau. Deze autorisaties zijn weer geclusterd in rollen en profielen. Nu zijn er door SAP twee profielen samengesteld met de machtigste rechten binnen de SAP applicatie, namelijk het profiel SAP_ALL en SAP_NEW (hierna te noemen: SAP_ALL ). Dit onderzoek is afgebakend op de hoogste rechten binnen de SAP applicatie. Dit enerzijds omdat dit de machtigste rechten zijn binnen de SAP applicatie, maar tevens ook omdat de IT audit in het kader van de jaarrekening zich ook focust op deze twee profielen. Zoals in de deze paragraaf al genoemd is, is dit de maatregel waar vaak uitzonderingen op geconstateerd worden en accountants vaak problemen hebben met de impactbepaling op de jaarrekeningcontrole. 9

12 DOELSTELLING Met het beantwoorden van de hoofdvraag wordt uiteindelijk een normenkader opgeleverd welke als leidraad dient om de impact van een hoge rechten account op een SAP landschap vast te stellen voor de accountant. Dit normenkader zal in het onderzoek het SAP_ALL normenkader genoemd worden, welke getest wordt als onderdeel van de SAP_ALL analyse. De volgende doelen worden getracht te behalen met het SAP_ALL normenkader en het uitvoeren van de SAP_ALL analyse: Het bepalen van de impact van een hoge rechten account op de jaarrekening voor zowel business als IT risico s voor de accountant. Het bewust maken van de IT en business risico s bij het engagement team (zowel IT auditors als accountants), welke dient als discussiepunt om te bepalen welke aanvullende zaken getest gaan worden wanneer een hoge rechten account geconstateerd is. Doelstelling 1 is al in de voorgaande paragrafen uitgebreid besproken en zal hier niet verder toegelicht worden. Doelstelling 2 draagt bij aan het bewust worden van de risico s die zich mogelijk voordoen na het constateren van een hoge rechten account. Dit is tevens essentieel omdat alle leden van een engagement team niet altijd gespecialiseerd zijn in SAP. Dit SAP_ALL normenkader geeft inzicht in alle business en IT risico s waarop vervolgacties ondernomen kunnen worden. Dit betekent tevens dat het engagement team alle risico s en maatregelen goed in kaart heeft en op basis daarvan beslissingen genomen kunnen worden. Wanneer het SAP_ALL normenkader als uitgangspunt genomen wordt, zorgt dit ervoor dat er een volledige analyse op het hoge rechten account wordt uitgevoerd voor zowel de business als IT risico s. Of het gehele SAP_ALL normenkader getest zal worden ligt deels in de handen van de accountant, namelijk voor de business risico s. De IT auditor is verantwoordelijk voor het testen van de IT risico s wanneer de accountant steunt op de geautomatiseerde gegevensverwerking. DEELVRAGEN ONDERZOEK, ONDERZOEKSMETHODE & LEESWIJZER Onderliggend aan de hoofdvraag is dit onderzoek opgebouwd uit de volgende deelvragen: Welke IT risico s worden geïdentificeerd met betrekking tot hoge rechten accounts in het kader van de jaarrekeningcontrole? Welke business risico s worden geïdentificeerd met betrekking tot hoge rechten accounts in het kader van de jaarrekeningcontrole? Welke maatregelen kunnen geïdentificeerd worden om de risico s van hoge rechten accounts op de jaarrekening te beheersen? Welke teststappen dient de IT auditor uit te voeren voor het testen van de geïdentificeerde maatregelen? Wat zijn de randvoorwaarden voor het uitvoeren van de SAP_ALL analyse? Vindt de accountant de risico s en maatregelen gedefinieerd in het SAP_ALL normenkader voldoende om te integreren in de IT audit in het kader van de jaarrekeningcontrole? De deelvragen worden op chronologische volgorde onderzocht en beantwoord. In dit onderzoek wordt gebruik gemaakt van field- en deskresearch. Tevens wordt er aandacht besteed aan de toetsing van het normenkader. In bijlage 2, deelvragen & onderzoeksmethodologie, is per deelvraag een verantwoording opgenomen. Hierin wordt besproken welke onderzoeksmethodologie per deelvraag gehanteerd is. 10

13 Voor het opstellen en formuleren van de risico s, maatregelen en teststappen is het SAP GITC normenkader als uitgangspunt genomen om de normenkaders in de basis op elkaar te laten aansluiten. Dit is tevens ook de reden waarom het SAP_ALL normenkader in het Engels is opgesteld. Op deze manier is het SAP_ALL normenkader voor iedereen binnen Deloitte toegankelijk. Om de hoofdvraag van dit onderzoek te beantwoorden is eerst een verdere probleemanalyse op de aanleiding uitgevoerd, deze is te lezen in hoofdstuk 1. Hoofdstuk 2 wordt gewijd aan een risico analyse. Hierbij wordt inzichtelijk gemaakt welke risico s er voor de jaarrekening bestaan wanneer er een hoge rechten account geconstateerd is door de IT auditor. In hoofdstuk 3 wordt het SAP_ALL normenkader besproken met de geïdentificeerde risico s, maatregelen en teststappen. Hoofstuk 4 wordt gewijd aan de randvoorwaarden voor het succesvol uitvoeren van de SAP_ALL analyse en in hoofdstuk 5 worden de praktijkresultaten besproken. Dit hoofdstuk geeft inzicht in de toegevoegde waarde van de SAP_ALL analyse voor de accountant. 11

14 HOOFDSTUK 2. RISICO ANALYSE JAARREKENINGCONTROLE In dit hoofdstuk is een risico analyse uitgevoerd met als doel om inzicht te verkrijgen welke risico s bestaan voor de jaarrekeningcontrole wanneer een hoge rechten account aanwezig is op het SAP landschap. 2.1 IMPACT HOGE RECHTEN ACCOUNT OP DE JAARREKENINGCONTROLE De hoge rechten accounts binnen het SAP landschap worden tijdens de IT audit in het kader van de jaarrekening geconstateerd. Hoge rechten accounts binnen het SAP landschap kunnen op verschillende manieren een impact hebben op de jaarrekeningcontrole. Er zijn twee mogelijkheden om te ontdekken of de data integriteit, volledigheid of tijdigheid is aangetast binnen de jaarrekeningcontrole door een account met hoge rechten. Dit zijn de volgende risicogebieden: Risico s voor de geautomatiseerde gegevensverwerking, hierna te noemen IT risico s. Risico s voor de bedrijfsvoering, hierna te noemen business risico s. In de onderstaande paragrafen is een risico analyse uitgevoerd om vast te stellen welke risico s meegenomen moeten worden in deze aanvullende SAP_ALL analyse voor IT en business risico s. IMPACT VAN EEN HOGE RECHTEN ACCOUNT BINNEN DE IT RISICO S: Met het oog op juistheid, volledigheid en tijdigheid van de geautomatiseerde gegevensverwerking zal, zoals in de aanleiding al uiteengezet is, de impact van een hoge rechten account voor de andere maatregelen in het GITC normenkader onderzocht moeten worden. Refereer naar bijlage 3 voor het SAP GITC normenkader. Door het analyseren van het huidige SAP GITC normenkader wat gebruikt wordt bij een IT audit in het kader van een SAP landschap zijn 10 van de 24 maatregelen geselecteerd als risico waar een hoge rechten account impact op zou kunnen hebben. Op de resterende 14 maatregelen kan geen directe invloed uitgeoefend worden door een hoge rechten account en zijn daarmee geen risico voor de geautomatiseerde gegevensverwerking wanneer zich een hoge rechten account voordoet op de SAP omgeving. Deze 14 maatregen zijn daarom buiten scope gelaten. De volgende 10 maatregelen zijn wel in scope voor het SAP_ALL werkprogramma en zullen hieronder kort toegelicht worden. SAP.01: The ability to change the SAP schedule and batch schedules is restricted. SAP.03: Users with the ability to create, modify or delete roles, profiles and users are limited. SAP.05: SAP Table update access is restricted based on specific business need. SAP.06: SAP users are authorized to execute programs based on their job responsibilities. SAP.09: User access is controlled through authentication mechanism with appropriate parameters enforced. SAP.16: IDOCS are monitored and access is granted based on job responsibilities. SAP.18: The ability to maintain the global system change option and client maintenance settings is restricted. SAP.20: Development access is not granted in the production environment. SAP.22: Application systems changes are appropriately documented, tested and approved before migration to production. SAP.23: Access to change the data structure through the data dictionary is not granted in production. 12

15 Access to Batch Jobs Deze maatregel betreft SAP.01 in het SAP GITC normenkader. Het is relevant om te achterhalen of een hoge rechten account batch jobs heeft aangemaakt, gewijzigd of verwijderd. Dit kan er bijvoorbeeld voor zorgen dat batch jobs met een financieel karakter niet uitgevoerd zijn. Access to User Administration Deze maatregel betreft SAP.03 in het SAP GITC normenkader. Het is relevant om te achterhalen of een hoge rechten account nieuwe accounts heeft aangemaakt of accounts verwijderd heeft. Tevens is het relevant of het hoge rechten account bestaande rollen of profielen heeft aangepast of gecreëerd. Dit kan erop duiden dat een nieuw account gecreëerd is om acties van het hoge rechten account te verbergen. Tevens zou een rol of profiel toegevoegd of gewijzigd kunnen worden in de benodigde rechten voor de persoon achter het hoge rechten account. Dit heeft tevens als doel om acties van de persoon te verbergen. Een andere mogelijkheid is dat de persoon achter het hoge rechten account dit nieuwe account al heeft verwijderd. Access to Table Update Deze maatregel betreft maatregel SAP.05 in het SAP GITC normenkader. Het is relevant om te achterhalen of een hoge rechten account direct wijzigingen in tabellen heeft doorgevoerd via standaard transactiecodes SM30 of SM31. Dit kan erop duiden dat er wijzigingen direct in de database uitgevoerd kunnen zijn. Er zijn twee soorten tabellen, customizing tabellen en SAP transactionele tabellen. Customizing tabellen is data dat aangemaakt wordt wanneer klanten hun systeem op een klant-specifieke manier configureren. SAP transactionele tabellen bevat configuratie data waar het SAP systeem op gebaseerd is. Belangrijk is dat wanneer de client change option niet open staat, er geen wijzigingen in de Customizing tabellen doorgevoerd kunnen worden. Vanuit het perspectief van de IT audit bevatten deze Customizing tabellen het meeste risico. Dit houdt tevens in, wanneer de client change option niet geopend is in het fiscale jaar, het grootste deel van het risico gemitigeerd is. Echter is het geen gemeen goed voor bedrijven om de client change option niet te openen omdat dit vaak vereist is voor het doorvoeren van bepaalde transporten voor change management. Access to Execute Programs Deze maatregel betreft SAP.06 in het SAP GITC normenkader. Het is relevant om te achterhalen of een hoge rechten account directe programma wijzigingen in productie heeft doorgevoerd via standaard transactiecode SE38, SA38 en SE80. Dit kan erop duiden dat SAP standaard programma s en zelf ontwikkelde programma s ontwikkeld, gewijzigd en uitgevoerd kunnen zijn. Er zijn twee soorten programma s, SAP standaard programma s en zelf ontwikkelde programma s. Vanuit een IT audit in het kader van de jaarrekening perspectief bevatten deze zelf ontwikkelde programma s het meeste risico. Belangrijk is dat wanneer de system change options niet open staat, er geen programma s aangemaakt of gewijzigd kunnen worden. Wel kunnen er programma s uitgevoerd worden wanneer de system change option dicht staat. Daarmee is het ook zaak om naast het vaststellen of de system change option open is geweest, vast te stellen of de transactiecodes gebruikt zijn. Password Parameters Deze maatregel betreft SAP.09 in het SAP GITC normenkader. Het is relevant om te achterhalen of een hoge rechten account aanpassingen in de configuratie van de logging heeft doorgevoerd. De 13

16 logging configuratie en wachtwoord configuratie zou gewijzigd kunnen worden door het uitvoeren van de SAP standaard transactiecodes SM18, SM19, RZ10, RZ11. Wanneer dit gebeurd is, zou dit erop kunnen duiden dat het hoge rechten account onvoldoende gelogd werd, waardoor een deel van de acties uitgevoerd door het hoge rechten account niet meer te traceren zijn. Of, wanneer de wachtwoord configuratie gewijzigd wordt zou dit erop kunnen duiden dat de wachtwoordeisen teruggebracht zijn. Access to IDOC and Monitoring Deze maatregel betreft SAP.16 in het SAP GITC normenkader. Het is relevant om te achterhalen of een hoge rechten account IDOCS (interne berichten binnen het SAP landschap) heeft tegengehouden. Dit kan erop duiden dat het verwerken van IDOCS niet juist is uitgevoerd. Wat mogelijk kan leiden tot een niet juist verwerkte IDOC met een financieel karakter. Access to System and Client Change Options Deze maatregel betreft SAP.18 in het SAP GITC normenkader. Het is relevant om te achterhalen of een hoge rechten account de client of system change option heeft geopend. Dit kan duiden op het doorvoeren van bijvoorbeeld bepaalde transporten of het wijzigen van tabellen direct in de database. Access To Development Activities Deze maatregel betreft SAP.20 in het SAP GITC normenkader. Het is relevant om te achterhalen of een hoge rechten account debugging functionaliteiten heeft gebruikt. Dit kan erop duiden dat er ontwikkeling heeft plaatsgevonden in een productieomgeving. Daarmee wordt de functiescheiding tussen ontwikkeling en het doorvoeren naar productie omzeild. Approval and Testing of Changes Deze maatregel betreft SAP.22 in het SAP GITC normenkader. Het is relevant om te achterhalen of een hoge rechten account transport heeft doorgezet in de productie omgeving om vast te stellen of hier een risico aanwezig is voor de jaarrekening. Wanneer er geen transporten doorgezet zijn door de hoge rechten accounts is er geen risico voor de jaarrekening. Wanneer een hoge rechten account wel transporten doorgezet heeft in productie, kan nagegaan worden of dit transport geautoriseerd was en wat de mogelijke impact van dit of meerdere transporten is. Access to Change Data Structure Deze maatregel betreft SAP.23 in het SAP GITC normenkader. Het is relevant om te achterhalen of een hoge rechten account wijzigingen in de data dictionary heeft doorgevoerd. Data dictionary is het centrale punt in het data management systeem. Deze functie ondersteunt het aanmaken en beheersen van data definities. Tevens bevat de data dictionary de data die aangeboden wordt aan alle systeemcomponenten. Dit zorgt ervoor dat de data integer en consistent blijft. Het risico bestaat dat toegang kan leiden tot directe wijzigingen van de data dictionary in de SAP database. Dit kan daarmee de integriteit en consistentie van de data aantasten in alle systeemcomponenten. Belangrijk is dat wanneer de system change option niet open staat, er geen wijzigingen in de data dictionary plaats kunnen vinden. Dit houdt tevens in, wanneer de system change option niet geopend is in het fiscale jaar, het risico gemitigeerd is. Echter is het geen gemeen goed voor bedrijven om de system change option niet te openen omdat dit vaak vereist is voor het doorvoeren van bepaalde transporten voor change management. 14

17 IMPACT VAN EEN HOGE RECHTEN ACCOUNT BINNEN DE BUSINESS RISICO S: Naast de geïdentificeerde risico s voor de geautomatiseerde gegevensverwerking zijn er met het oog op de jaarrekeningcontrole tevens verschillende business risico s te identificeren. In de onderliggende paragrafen zullen de hierna te noemen business risico s in scope voor het SAP_ALL normenkader in detail besproken worden. De volgende business risico s worden geïdentificeerd voor de jaarrekeningcontrole: Leverancier master data Inkooporders Materiaal verkoopprijzen Klant master data Kortingen Betalingen Manuele boekingen Creditnota s Werknemer master data Daarnaast wordt het relevant geacht of deze hoge rechten accounts bepaalde documenten hebben doorgevoerd binnen het SAP landschap. De volgende documenten worden als relevant geacht: Inkoop documenten Materiaal documenten Uitlever documenten Facturering documenten Sales documenten Leverancier master data Leverancier master data kan ongeautoriseerd aangemaakt of gewijzigd zijn. Het risico bestaat dat door het ongeautoriseerd aanmaken of wijzigen van leverancier master data geld ongeautoriseerd de organisatie is uitgestroomd, bijvoorbeeld door het wijzigen van een bankrekening of het aanmaken van een foutieve leverancier. Het aantal gecreëerde en wijzigingen van leverancier master data is bepalend voor het risico en de impact op de jaarrekeningcontrole. Daarmee rijzen de volgende vragen: Hebben deze hoge rechten accounts daadwerkelijk leverancier master data aangemaakt of gewijzigd? Wanneer er leverancier master data gewijzigd is, welke velden omvat dit precies? Inkooporders Inkooporders kunnen ongeautoriseerd aangemaakt, gewijzigd en goedgekeurd zijn. Het risico bestaat dat er door een ongeautoriseerde inkooporder geld de organisatie is uitgestroomd. De hoogte van deze inkooporder is bepalend voor het risico en de impact op de jaarrekeningcontrole. Daarmee rijzen de volgende vragen: Hebben deze hoge rechten accounts daadwerkelijk inkooporders aangemaakt, gewijzigd of goedgekeurd? Indien ja, hoe groot was dit bedrag per hoge rechten account? 15

18 Materiaal verkoopprijzen Verkoopprijzen van materialen kunnen ongeautoriseerd aangemaakt of gewijzigd zijn. Het risico bestaat dat het ongeautoriseerd aanmaken of wijzigen van materiaal verkoopprijzen heeft geleid tot minder inkomsten voor de organisatie. Net als bij kortingen zijn materiaal verkoopprijzen ook vaak opgesteld door het management. Dit zijn daarmee ook de prijzen die gebruikt mogen worden tijdens de verkoop van materialen aan klanten. De mate van aanpassing van de materiaal verkoopprijzen is bepalend voor het risico en de impact op de jaarrekeningcontrole. Daarmee rijzen de volgende vragen: Hebben deze hoge rechten accounts daadwerkelijk materiaal verkoopprijzen aangepast? Indien ja, hoe groot was dit bedrag per hoge rechten account? Klant master data Klant master data kan ongeautoriseerd aangemaakt, gewijzigd of verwijderd zijn. Het risico bestaat dat door het aanmaken, wijzigen of verwijderen van klant master data geld ongeautoriseerd de organisatie verlaten heeft, bijvoorbeeld door het ontvangen van persoonlijke bonussen door een medewerker. De mate van aanpassing van de klant master data is bepalend voor het risico en de impact op de jaarrekeningcontrole. Daarmee rijzen de volgende vragen: Hebben deze hoge rechten accounts daadwerkelijk klant master data aangemaakt, gewijzigd of verwijderd? Wanneer er klant master data gewijzigd is, welke velden omvat dit precies? Kortingen Kortingen kunnen gegeven worden aan zowel de inkoop en de verkoop kant in een SAP landschap. Voor de jaarrekeningcontrole zijn voornamelijk de kortingen aan de verkoopkant een geïdentificeerd risico. Dit omdat op deze manier minder geldstroom als beoogd de organisatie ingestroomd kan zijn. Nu worden binnen bijna elke organisatie kortingen verstrekt aan klanten, normaliter zijn deze grenzen opgesteld door het management. Echter wanneer het om het verstrekken van ongeautoriseerde kortingen aan klanten gaat, zou dit een negatieve invloed kunnen hebben op de inkomsten van het bedrijf. De hoogte van deze kortingen is bepalend voor het risico en de impact op de jaarrekeningcontrole. Daarmee rijzen de volgende vragen: Hebben deze hoge rechten accounts daadwerkelijk kortingen gegeven. Indien ja, hoe groot was dit bedrag per hoge rechten account? Betalingen Inkooporders kunnen ongeautoriseerd betaald zijn. Het risico bestaat dat door het ongeautoriseerd doorvoeren van een betaling geld ongeautoriseerd de organisatie uitgestroomd is, bijvoorbeeld door het betalen van een inkooporder. Het totale bedrag aan betalingen is bepalend voor het risico en de impact op de jaarrekeningcontrole. Daarmee rijzen de volgende vragen: Hebben deze hoge rechten accounts daadwerkelijk betalingen doorgevoerd? Indien ja, hoe groot was dit bedrag per hoge rechten account? 16

19 Manuele boekingen Manuele boekingen kunnen ongeautoriseerd opgevoerd zijn. Het risico bestaat dat door het opvoeren van een ongeautoriseerde manuele boeking op een grootboekrekening geld ongeautoriseerde de organisatie uitgestroomd is. Dit kan bijvoorbeeld een manuele boeking naar een klant of leverancier zijn. Het totale bedrag aan manuele boekingen is bepalend voor het risico en de impact op de jaarrekeningcontrole. Daarmee rijzen de volgende vragen: Hebben deze hoge rechten accounts daadwerkelijk manuele boekingen gedaan? Indien ja, hoe groot was dit bedrag per hoge rechten account? Creditnota s Creditnota s kunnen ongeautoriseerd aangemaakt of gewijzigd worden. Een creditnota kan zowel voor een klant als voor een leverancier aangemaakt zijn. Het risico bestaat dat door het ongeautoriseerd aanmaken of wijzigen van creditnota s de post crediteuren tijdelijk fictief omhoog gebracht is. Daarmee bestaat het risico dat de post crediteuren onjuist geïnterpreteerd wordt. De mate van aangemaakte of gewijzigde creditnota s is bepalend voor het risico en de impact op de jaarrekeningcontrole. Daarmee rijzen de volgende vragen: Hebben deze hoge rechten accounts daadwerkelijk creditnota s aangemaakt of gewijzigd? Indien ja, hoe groot was dit bedrag per hoge rechten account? Werknemer master data Werknemer master data kan ongeautoriseerd aangemaakt, gewijzigd of verwijderd zijn. Het risico bestaat dat door het aanmaken, wijzigen of verwijderen van werknemer master data geld ongeautoriseerd de organisatie verlaten heeft, bijvoorbeeld door het opvoeren van een salaris en/of een bonus; voor de desbetreffende foutieve werknemer. De mate van aangemaakte, gewijzigde of verwijderde werknemer master data is bepalend voor het risico en de impact op de jaarrekeningcontrole. Daarmee rijzen de volgende vragen: Hebben deze hoge rechten accounts daadwerkelijk werknemer master data aangemaakt, gewijzigd of verwijderd? Indien ja, hoe groot was dit bedrag per hoge rechten account? Documenten Inkoop, materiaal, uitlever, facturering en sales documenten kunnen ongeautoriseerd aangemaakt of gewijzigd zijn. Het risico bestaat daarmee dat door het aanmaken of wijzigingen van deze documenten geld ongeautoriseerd de organisatie verlaten heeft, bijvoorbeeld door het opvoeren van een foutief materiaal of het doorvoeren van een foutieve inkooporder. Het totale bedrag wat gemoeid gaat met de bovengenoemde documenten is bepalend voor het risico en de impact op de jaarrekeningcontrole. Daarmee rijzen de volgende vragen: Hebben deze hoge rechten accounts daadwerkelijk documenten aangemaakt of gewijzigd? Indien ja, hoe groot was dit bedrag per hoge rechten account en om welke soort document gaat het? 17

20 HOOFDTUK 3. SAP_ALL NORMENKADER. In dit hoofdstuk worden de risico s en maatregelen van het SAP_ALL normenkader uiteengezet. In dit hoofdstuk wordt antwoord gegeven op de volgende deelvragen: Welke business risico s worden geïdentificeerd met betrekking tot hoge rechten accounts in het kader van de jaarrekeningcontrole. Welke IT risico s worden geïdentificeerd met betrekking tot hoge rechten accounts in het kader van de jaarrekeningcontrole. Welke maatregelen kunnen geïdentificeerd worden om de risico s van hoge rechten accounts op de jaarrekening te beheersen? Onderliggende teststappen worden kort belicht. Dit rapport betreft een voor iedereen toegankelijke versie. Met deze reden zijn de geformuleerde teststappen niet opgenomen in de bijlagen. 3.1 UITGANGSPUNTEN IN DE DEFINITIE VAN RISICO S Tijdens het definiëren van de business en IT risico s zijn de volgende uitgangspunten gebruikt: Het risico bestaat. Het risico kan leiden tot fraude en kan de integriteit van de data aantasten. HET RISICO BESTAAT Het risico bestaat tot dat het tegendeel bewezen wordt tijdens het testen van de gedefinieerde maatregelen. Wanneer uit de maatregelen, gekoppeld aan het specifieke risico, blijkt dat er geen uitzonderingen geconstateerd zijn tijdens het volgen van de teststappen kan de conclusie getrokken worden dat het risico zich niet heeft voorgedaan in het fiscale jaar. Echter, tot die tijd bestaat het risico. Dit is tevens meegenomen in de beschrijving van de risico s. HET RISICO KAN LEIDEN TOT FRAUDE EN KAN DE INTEGRITEIT VAN DE DATA AANTASTEN. Hetgeen dat in de bovenstaande paragraaf beschreven is, geldt voor het risico. Dit kan leiden tot fraude en kan de integriteit van de data aantasten. Wanneer uit de maatregelen, gekoppeld aan het specifieke risico, blijkt dat er geen uitzonderingen geconstateerd zijn tijdens het volgen van de teststappen kan de conclusie getrokken worden dat het risico zich niet heeft voorgedaan in het fiscale jaar. Dit betekent dus dat zich geen fraude heeft voorgedaan en de integriteit van de data gehandhaafd is. 3.2 UITGANGSPUNTEN IN DE DEFINITIE VAN MAATREGELEN Tijdens het definiëren van de maatregelen om de scope, business en IT risico s te beheersen is het volgende uitgangspunt gebruikt: Maatregelen zijn alleen toegewezen aan personeel dat geautoriseerd is om deze rechten te gebruiken als onderdeel van hun functie. Maatregelen zijn alleen uitgevoerd door personeel dat geautoriseerd is om deze acties uit te voeren als onderdeel van hun functie. Voor beide van de bovenstaande punten geldt dat de gebruiker van een hoge rechten account hoogst waarschijnlijk voor geen van de bovenstaande punten geautoriseerd is. Daarmee zal in de meeste gevallen de maatregel een uitzondering bevatten wanneer geconstateerd wordt dat een hoge rechten account een bepaalde actie heeft uitgevoerd in het kader van de desbetreffende maatregel. 18

21 3.3 UITGANGSPUNTEN IN DE DEFINITIE VAN TESTSTAPPEN Tijdens het definiëren van de teststappen om de scope, business en IT risico s te beheersen is het volgende uitgangspunt gebruikt: In de teststappen worden gedetailleerde stappen weergegeven, zoals transactiecodes en benodigde tabelnamen. Door de mate van detail is het reproduceren van de teststappen eenvoudig. In de teststappen worden mitigerende maatregelen meegenomen binnen het SAP_ALL normenkader. Een van de doelstellingen tijdens het opstellen van de teststappen van het SAP_ALL normenkader is dat een willekeurige IT auditor de teststappen kan uitvoeren zonder een SAP specialist te zijn. Tevens zijn in de teststappen mitigerende maatregelen meegenomen, zoals bijvoorbeeld het bekijken of de client of system change option niet is opengezet in het fiscale jaar. Dit kan er voor zorgen dat het risico al gemitigeerd is voor bepaalde maatregelen. 3.4 MANIER EN DIEPGANG TESTEN MAATREGELEN De manier van het testen van deze maatregelen komt vrijwel een op een overeen met de manier van testen van maatregelen gedefinieerd in het SAP GITC normenkader. De overeenkomsten met de manier van testen van maatregelen gedefinieerd in het SAP GITC normenkader zijn de volgende: De maatregelen worden qua opzet, bestaan en werking getest. De IT auditor geeft per maatregel aan of er een uitzondering geconstateerd is. De afwijkingen in de manier van testen van maatregelen gedefinieerd in het SAP GITC normenkader zijn de volgende: Het SAP_ALL normenkader heeft een beperktere scope qua relevante accounts. De teststappen onderliggend aan de maatregelen integraal bekeken dienen te worden. 3.5 SCOPE SAP_ALL ANALYSE Voordat overgegaan wordt naar het definiëren van de IT en business risico s, zal eerst de scope van de SAP_ALL analyse behandeld worden. De scope van de SAP_ALL analyse is namelijk één van de belangrijkste onderwerpen voor het bepalen van de testwerkzaamheden. De scope zal in kaart brengen voor welke accounts deze risico s en de bijbehorende maatregelen getest dienen te worden. Door het in- en uitscopen van relevante user ID s wordt namelijk bepaald of deze gedefinieerde business en IT risico s ontdekt worden voor de relevante accounts. Dit is ook tevens waar geïdentificeerd IT risicogebied SAP.03 Access to User Administration om de hoek komt kijken. Om de scope van de SAP_ALL analyse te bepalen is het volgende risico als uitgangspunt genomen, deze geldt voor zowel de business en IT risico s: An increased risk exists that unauthorized use of user ID's took place by the selected scope of users for this analysis which could lead to fraud and compromise the integrity of the data. 19

22 ACCOUNTS IN SCOPE SAP_ALL ANALYSE Het uitgangspunt van de SAP_ALL analyse betreft alle accounts welke de hoge rechten hebben toegewezen gekregen in het fiscale jaar. Al is het maar twee minuten, de accounts zullen in scope genomen moeten worden. De volgende uitzonderingen dienen in acht genomen te worden: Accounts welke geen dialog (user type A) of service (user type S) zijn, zoals system (user type B), communication (user type C) en reference (user type L), zijn minder relevant voor de SAP_ALL analyse. Dit omdat deze drie user types niet interactief kunnen aanloggen en daarmee geen direct risico vormen voor de data binnen SAP. Accounts welke niet aangelogd zijn in het fiscale jaar. Dit betekent dat deze accounts niet actief zijn geweest op de systemen en daarmee geen risico vormen voor de data binnen SAP en de jaarrekeningcontrole. Wanneer er tijdens het testen van maatregel SAP.15 (emergency access) tijdens de IT audit in het kader van de jaarrekening geen uitzonderingen geconstateerd zijn, zouden deze accounts uit de scope voor de SAP_ALL analyse kunnen blijven. Belangrijk is wel dat de volgende teststappen gevolgd zijn: o Er wordt een aanvraag gedaan door de medewerker die gebruik wil maken van hoge rechten. In deze aanvraag geeft hij of zij de reden van gebruik aan en welke transactiecodes benodigd zijn. o Alle aanvragen worden beoordeeld en af- of goedgekeurd door een geautoriseerd persoon o Logging is geactiveerd en kan niet worden gemanipuleerd door de werknemer welke gebruikt maakt van de hoge rechten. o Logging wordt integraal bekeken, tevens wordt er een aanvullende test gedaan of alleen de transactiecodes in de aanvraag gebruikt zijn. o De voorgaande stappen zijn vastgelegd en in te zien door de IT auditor. AANVULLENDE ANALYSE OP SCOPE SAP_ALL ANALYSE Hoge rechten accounts hebben genoeg autorisaties in het SAP landschap om acties moeilijk herleidbaar te maken. Dit kan bijvoorbeeld door de volgende acties uit te voeren: Het aanmaken van een nieuw account met hoge rechten. Het wijzigen van autorisaties voor bestaande users Het wijzigen van autorisatieprofielen en autorisatierollen. Het activeren van geblokkeerde accounts. Het resetten van wachtwoorden van accounts. Deze bovengenoemde zaken leiden er toe dat je gebruik kan maken van andere accounts en andere autorisaties om ongeautoriseerde acties te verdoezelen. Dit is precies de reden waarom onderzocht dient te worden of de hoge rechten accounts in scope van de SAP_ALL analyse ook andere accounts gebruikt kunnen hebben. Wanneer dit het geval is, dienen deze accounts ook meegenomen te worden in de scope van de SAP_ALL analyse. Naar aanleiding van deze analyse is gekomen tot de volgende drie maatregelen om het bovengenoemde risico te beheersen: Maatregel: SAP_ALL authorizations are only assigned to appropriate personnel who need access as part of their responsibility. 20

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard Pagina 1 van 6 Inhoudsopgave 1. Aanleiding 3 2. Structureel / incidenteel 3 3. Opdrachtgever 3 4. Opdrachtnemer 3 5. Relevante wet- en regelgeving 3 6.

Nadere informatie

Data-analyse in de praktijk D E T O E PA S S I N G B I J V I S S E R & V I S S E R A C C O U N TA N T S - B E L A S T I N G A D V I S E U R S

Data-analyse in de praktijk D E T O E PA S S I N G B I J V I S S E R & V I S S E R A C C O U N TA N T S - B E L A S T I N G A D V I S E U R S Data-analyse in de praktijk D E T O E PA S S I N G B I J V I S S E R & V I S S E R A C C O U N TA N T S - B E L A S T I N G A D V I S E U R S Agenda Plaats in de praktijk Toepassing in audit De werkvloer

Nadere informatie

Secure Application Roles

Secure Application Roles Secure Application Roles Beheer de toegang tot de database 1. Inleiding Het realiseren van geautoriseerde toegang tot een database lijkt eenvoudig. Echter, vaak blijkt dat dezelfde combinatie van gebruikersnaam

Nadere informatie

DATA-ANALYSES IN PRAKTIJK

DATA-ANALYSES IN PRAKTIJK DATA-ANALYSES IN PRAKTIJK 11 mrt 15 Anco Bruins Mazars Management Consultants 1 EVEN VOORSTELLEN Drs. Anco Bruins RA EMITA Manager IT Audit Mazars Management Consultants 14 jaar ervaring in de MKBaccountantscontrole

Nadere informatie

From business transactions to process insights. BPM Round Table, TU/e 26 mei 2014

From business transactions to process insights. BPM Round Table, TU/e 26 mei 2014 From business transactions to process insights BPM Round Table, TU/e 26 mei 2014 Agenda 1 2 3 4 Korte introductie Process mining in de audit Enkele voorbeelden Uitdagingen & de toekomst 1 Korte introductie

Nadere informatie

Grip op fiscale risico s

Grip op fiscale risico s Grip op fiscale risico s Wat is een Tax Control Framework? Een Tax Control Framework (TCF) is een instrument van interne beheersing, specifiek gericht op de fiscale functie binnen een organisatie. Een

Nadere informatie

Deloitte. Openbaar Lichaam Afvalstoffenverwijdering Zeeland. Rapport van bevindingen voor het boekjaar eindigend op 31 december 2014.

Deloitte. Openbaar Lichaam Afvalstoffenverwijdering Zeeland. Rapport van bevindingen voor het boekjaar eindigend op 31 december 2014. Deloitte Accountants B.V. Park Veidzigt 25 4336 DR Middelburg Postbus 7056 4330 GB Middelburg Nederland Tel: 088 288 2888 Fax 088 288 9895 www.deloitte.n1 Openbaar Lichaam Afvalstoffenverwijdering Zeeland

Nadere informatie

Bevindingen interimcontrole 2015 Metropoolregio Eindhoven. Eindhoven, 11 Januari 2016

Bevindingen interimcontrole 2015 Metropoolregio Eindhoven. Eindhoven, 11 Januari 2016 Bevindingen interimcontrole 2015 Metropoolregio Eindhoven Eindhoven, 11 Januari 2016 Ontwikkelingen in het accountantsberoep en impact op de controle Op 25 september 2014 zijn de plannen van de NBA bekend

Nadere informatie

CobiT. Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1

CobiT. Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1 CobiT Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1 Control objectives for information and related Technology Lezenswaardig: 1. CobiT, Opkomst, ondergang en opleving

Nadere informatie

ALL-CRM Handleiding AC-DataMover

ALL-CRM Handleiding AC-DataMover ALL-CRM Handleiding AC-DataMover Author: Ger van Boxtel Date: 22-10-2012 Version: v1.0 Reference: 2012, All-CRM 1 Inhoudsopgave 1 Inhoudsopgave 2 2 Inleiding. 3 3 Gebruikers handleiding 4 3.1 Stap 1, Database

Nadere informatie

NBC Audit Services BV NBC Van Roemburg & Partners BV Data analyse. Drs. Ing. Niels Bond RE 11 maart 2015

NBC Audit Services BV NBC Van Roemburg & Partners BV Data analyse. Drs. Ing. Niels Bond RE 11 maart 2015 NBC Audit Services BV NBC Van Roemburg & Partners BV Data analyse Drs. Ing. Niels Bond RE 11 maart 2015 Agenda NBC Voordelen en gebruik data analyse Gebruik auditfile Data analyse tool (ACL) vs Excel Stappenplan

Nadere informatie

De spreadsheet van het strafbankje

De spreadsheet van het strafbankje Artikel De spreadsheet van het strafbankje Een pragmatische aanpak voor End User Computing Trudy Onland Sinds de introductie van Sarbanes Oxley wet (SOx) ontbreken duidelijke en eenduidige richtlijnen

Nadere informatie

Continuous auditing and continuous monitoring: continuous solutions? J. Jacobs en M. Hoetjes

Continuous auditing and continuous monitoring: continuous solutions? J. Jacobs en M. Hoetjes Continuous auditing and continuous monitoring: continuous solutions? J. Jacobs en M. Hoetjes Introductie Jacco Jacobs E-mail: jacco.jacobs@nl.ey.com Internet: www.ey.com Meta Hoetjes E-mail: meta.hoetjes@csi4grc.com

Nadere informatie

Controleverklaring van de onafhankelijke accountant

Controleverklaring van de onafhankelijke accountant Controleverklaring van de onafhankelijke accountant Aan: de algemene vergadering van Nederlandse Waterschapsbank N.V. Verklaring over de jaarrekening 2014 Ons oordeel Wij hebben de jaarrekening 2014 van

Nadere informatie

Dit document beschrijft hoe notificaties werken binnen Apployed en hoe deze kunnen worden ingesteld aan de behoefte van de eigen organisatie.

Dit document beschrijft hoe notificaties werken binnen Apployed en hoe deze kunnen worden ingesteld aan de behoefte van de eigen organisatie. Inleiding Dit document beschrijft hoe notificaties werken binnen Apployed en hoe deze kunnen worden ingesteld aan de behoefte van de eigen organisatie. Algemene werking notificaties Notificaties worden

Nadere informatie

SAP Risk-Control Model. Inzicht in financiële risico s vanuit uw SAP processen

SAP Risk-Control Model. Inzicht in financiële risico s vanuit uw SAP processen SAP Risk-Control Model Inzicht in financiële risico s vanuit uw SAP processen Agenda 1.Introductie in Risicomanagement 2.SAP Risk-Control Model Introductie in Risicomanagement Van risico s naar intern

Nadere informatie

Proactief en voorspellend beheer Beheer kan effi ciënter en met hogere kwaliteit

Proactief en voorspellend beheer Beheer kan effi ciënter en met hogere kwaliteit Proactief en voorspellend beheer Beheer kan effi ciënter en met hogere kwaliteit Beheer kan efficiënter en met hogere kwaliteit Leveranciers van beheertools en organisaties die IT-beheer uitvoeren prijzen

Nadere informatie

Handboek ZooEasy Online Uitslagen

Handboek ZooEasy Online Uitslagen Handboek ZooEasy Online Uitslagen Datum: Juni 2012 Versie: 1.04 Inhoudsopgave 1. ONDERHOUD UITSLAGEN... 3 1.1. INLEIDING... 3 1.1.1. KOPPELING BASISTABELLEN... 3 1.1.2. KOPPELING ROLLEN EN AUTORISATIES...

Nadere informatie

Audit Automation. Nieuwsbrief v4.4.

Audit Automation. Nieuwsbrief v4.4. Audit Automation Nieuwsbrief v4.4 www.kluwer.be/software Inhoudsopgave AANPASSINGEN V4.4... 2 NIEUWE PROGRAMMA S... 2 Final sign off... 2 Onderdrukken van de senior/manager sign off... 2 Opnemen van de

Nadere informatie

HANDLEIDING TOOLS4EVER ISUPPORT ONLINE WEBOMGEVING

HANDLEIDING TOOLS4EVER ISUPPORT ONLINE WEBOMGEVING HANDLEIDING TOOLS4EVER ISUPPORT ONLINE WEBOMGEVING Inhoudsopgave 1. Belangrijkste spelregels... 3 2. Contact met tools4ever international support... 4 isupport webomgeving... 4 Eerste maal inloggen...

Nadere informatie

Bijlage 9. UNI 120621.9 REB GD. Releasebeleid

Bijlage 9. UNI 120621.9 REB GD. Releasebeleid Releasebeleid Ondanks alle aan de samenstelling van de tekst bestede zorg, kan Newway Retail Solutions bv (Newway) géén enkele aansprakelijkheid aanvaarden voor eventuele directe en/of indirecte schade,

Nadere informatie

FEDICT IAM SERVICE LEVEL AGREEMENT

FEDICT IAM SERVICE LEVEL AGREEMENT FEDICT IAM SERVICE LEVEL AGREEMENT Table of Content 1. Inleiding Dit ( SLA or Agreement ) is geldig voor de IAM Service tussen de klant (Fedict) en de nieuwe opdrachtnemer van het M1016 contract. Dit document

Nadere informatie

FACEBOOK WI-FI RUCKUS UNLEASHED. Technote. Alcadis Vleugelboot CL Houten

FACEBOOK WI-FI RUCKUS UNLEASHED. Technote. Alcadis Vleugelboot CL Houten FACEBOOK WI-FI RUCKUS UNLEASHED Technote Versie: 1.0 Auteur: Herwin de Rijke Datum: 8 december 2016 Alcadis Vleugelboot 8 3991 CL Houten www.alcadis.nl 030 65 85 125 Inhoud 1 Inleiding... 2 1.1 1.2 1.3

Nadere informatie

Identity & Access Management & Cloud Computing

Identity & Access Management & Cloud Computing Identity & Access Management & Cloud Computing Emanuël van der Hulst Edwin Sturrus KPMG IT Advisory 11 juni 2015 Cloud Architect Alliance Introductie Emanuël van der Hulst RE CRISC KPMG IT Advisory Information

Nadere informatie

CIOT-bevragingen Proces en rechtmatigheid

CIOT-bevragingen Proces en rechtmatigheid CIOT-bevragingen Proces en rechtmatigheid 2015 Veiligheid en Justitie Samenvatting resultaten Aanleiding Op basis van artikel 8 van het Besluit Verstrekking Gegevens Telecommunicatie is opdracht gegeven

Nadere informatie

Een andere blik op fraude en integriteit: zicht op geld- en goederenstromen

Een andere blik op fraude en integriteit: zicht op geld- en goederenstromen Een andere blik op fraude en integriteit: zicht op geld- en goederenstromen Hans Schoolderman Building trust in food Food Supply and Integrity Services October 2015 VMT congres, 13 oktober Hans Schoolderman

Nadere informatie

Handleiding CustomerPortal

Handleiding CustomerPortal T +31 [0] 74 7620 200 F +31 [0] 74 7620 201 E info@alientrick.com W www.alientrick.com Rabo 13.75.68.266 KvK 08197974 VAT NL8201.96.642B01 IBAN NL54RABO0137568266 Handleiding CustomerPortal In de komende

Nadere informatie

ALL-CRM Gebruikershandleiding AC-DataCumulator

ALL-CRM Gebruikershandleiding AC-DataCumulator ALL-CRM Gebruikershandleiding AC-DataCumulator Author: Bas Dijk Date: 23-04-2013 Version: v1.2 Reference: 2013, All-CRM 1 Inhoudsopgave 1 Inhoudsopgave 2 2 Inleiding 3 3 Gebruikershandleiding Windows Forms

Nadere informatie

Korte uitleg gebruik Jira als bevindingregistratie systeem

Korte uitleg gebruik Jira als bevindingregistratie systeem MEMO Korte uitleg gebruik Jira als bevindingregistratie systeem Aan : Jira gebruikers Datum : 26 juli 2010 Van : Sogeti Jira beheer Versie : 1.1 INLEIDING Deze verkorte uitleg van het gebruik van Jira

Nadere informatie

HOEBERT HULSHOF & ROEST

HOEBERT HULSHOF & ROEST Inleiding Artikel 1 Deze standaard voor aan assurance verwante opdrachten heeft ten doel grondslagen en werkzaamheden vast te stellen en aanwijzingen te geven omtrent de vaktechnische verantwoordelijkheid

Nadere informatie

General info on using shopping carts with Ingenico epayments

General info on using shopping carts with Ingenico epayments Inhoudsopgave 1. Disclaimer 2. What is a PSPID? 3. What is an API user? How is it different from other users? 4. What is an operation code? And should I choose "Authorisation" or "Sale"? 5. What is an

Nadere informatie

Gebruikershandleiding. StUF Testplatform Versie 1.3.0

Gebruikershandleiding. StUF Testplatform Versie 1.3.0 Gebruikershandleiding StUF Testplatform Versie 1.3.0 Documentversie: 0.7 Datum 25 november 2014 Status In gebruik Inhoudsopgave 1 INLEIDING...3 2 GEBRUIK MAKEN VAN HET STUF TESTPLATFORM...4 2.1 INLOGGEN

Nadere informatie

Nadere uiteenzetting prijsaanbieding gemeente Tiel 2014

Nadere uiteenzetting prijsaanbieding gemeente Tiel 2014 Nadere uiteenzetting prijsaanbieding gemeente Tiel 2014 Aanscherping vereisten accountantscontrole: korte uitleg Aanscherping vereisten accountantscontrole: kwaliteit is het sleutelbegrip! Hoe ziet aanscherping

Nadere informatie

Governance, Risk and Compliance (GRC) tools

Governance, Risk and Compliance (GRC) tools Governance, Risk and Compliance (GRC) tools Auteurs: Peter Paul Brouwers en Maurice op het Veld Samenvatting Het voldoen aan de wet- en regelgeving met betrekking tot bijvoorbeeld de Sarbanes Oxley Act

Nadere informatie

info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013

info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013 info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013 2 Boekhouden in de cloud!! 3 Aanbod te over: 4 5 Hoe betrouwbaar en veilig is online administratieve

Nadere informatie

IT-audit in vogelvlucht. Jeanot de Boer 24 april 2012

IT-audit in vogelvlucht. Jeanot de Boer 24 april 2012 IT-audit in vogelvlucht Jeanot de Boer 24 april 2012 Agenda Introductie Wat is IT-audit Hoe is IT-audit in Nederland geregeld? Het IT-audit proces Wat is de toegevoegde waarde van IT-audit Enkele praktijkvoorbeelden

Nadere informatie

Algemene toelichting Intern controleplan 2012

Algemene toelichting Intern controleplan 2012 Algemene toelichting Intern controleplan 2012 Inhoudsopgave: 1. Algemeen 3 2. Uitgangspunten interne controleplan 2012 3 2.1 Waarom een intern controleplan? 3 2.2 Controleaanpak 3 2.3 Uitvoering van de

Nadere informatie

Het beheren van mijn Tungsten Network Portal account NL 1 Manage my Tungsten Network Portal account EN 14

Het beheren van mijn Tungsten Network Portal account NL 1 Manage my Tungsten Network Portal account EN 14 QUICK GUIDE C Het beheren van mijn Tungsten Network Portal account NL 1 Manage my Tungsten Network Portal account EN 14 Version 0.9 (June 2014) Per May 2014 OB10 has changed its name to Tungsten Network

Nadere informatie

Drs L. (Bert) F.G. Tuinsma RA, voorzitter 22 mei NOREA

Drs L. (Bert) F.G. Tuinsma RA, voorzitter 22 mei NOREA info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 22 mei 2014 - NOREA info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 22 mei 2014 - NOREA

Nadere informatie

(Big) Data in het sociaal domein

(Big) Data in het sociaal domein (Big) Data in het sociaal domein Congres Sociaal: sturen op gemeentelijke ambities 03-11-2016 Even voorstellen Laudy Konings Lkonings@deloitte.nl 06 1100 3917 Romain Dohmen rdohmen@deloitte.nl 06 2078

Nadere informatie

Martiris 2011. Secure Private Data. Gegevensbescherming in Oracle Databases

Martiris 2011. Secure Private Data. Gegevensbescherming in Oracle Databases Martiris 2011 Secure Private Data Gegevensbescherming in Oracle Databases Inhoudsopgave INTRODUCTIE... 3 HISTORIE... 4 SECURE PRIVATE DATA: FUNCTIONEEL... 4 A) ROW LEVEL SECURITY... 4 B) COLUMN MASKING...

Nadere informatie

Handleiding helpdesk. Datum: 08-10-2014 Versie: 1.0 Auteur: Inge van Sark

Handleiding helpdesk. Datum: 08-10-2014 Versie: 1.0 Auteur: Inge van Sark Datum: 08-10-2014 Versie: 1.0 Auteur: Inge van Sark Inhoudsopgave Inhoudsopgave... 2 1. Beheer helpdesk... 3 1.1. Settings... 3 1.2. Applicaties... 4 1.3. Prioriteiten... 5 1.4. Gebruik mailtemplates...

Nadere informatie

Installatie ArcGIS Desktop Basis, ArcGIS Engine en Download ArcGIS Server

Installatie ArcGIS Desktop Basis, ArcGIS Engine en Download ArcGIS Server Handleiding Installatie ArcGIS Desktop Basis, ArcGIS Engine en Download ArcGIS Server Cevi NV Bisdomplein 3 9000 GENT Tel 09 264 07 01 contactcenter@cevi.be http://www.cevi.be 1 INHOUDSOPGAVE 1 INHOUDSOPGAVE...

Nadere informatie

Na bestudering van dit hoofdstuk moet je tot het onderstaande in staat zijn:

Na bestudering van dit hoofdstuk moet je tot het onderstaande in staat zijn: 15. Toegangsbeheer Tot nu toe heb je gewerkt met DML en DDL statements. Echter de DCL statements zijn nog niet aan bod geweest. DCL commando s gebruik je voor de beveiliging van je database. Wie mag wat

Nadere informatie

Installatie Avalanche Windows

Installatie Avalanche Windows Installatie Avalanche Windows Deze handleiding beschrijft de stappen om software voor Avalanche Windows op een huidige omgeving te updaten en te installeren. Tijdens deze installatie, kunnen anders gebruikers

Nadere informatie

Delo itte. 1183 AS Amstelveen Postbus 175 1180 AD Amstelveen Nederland

Delo itte. 1183 AS Amstelveen Postbus 175 1180 AD Amstelveen Nederland Delo itte. 1183 AS Amstelveen Postbus 175 1180 AD Amstelveen Nederland Tel: 088 288 2888 Fax: 088288 9711 www.deloitte.nl Assurance rapport van de onafhankelijke accountant Rapportage aan: Achmea Divisie

Nadere informatie

De logica achter de ISA s en het interne controlesysteem

De logica achter de ISA s en het interne controlesysteem De logica achter de ISA s en het interne controlesysteem In dit artikel wordt de logica van de ISA s besproken in relatie met het interne controlesysteem. Hieronder worden de componenten van het interne

Nadere informatie

5. Beschrijving van het onderzoek

5. Beschrijving van het onderzoek 5. Beschrijving van het onderzoek 5.1 Doel van het onderzoek Het toezicht van de AFM op accountantsorganisaties is erop gericht de kwaliteit van wettelijke controles te verbeteren en duurzaam te waarborgen.

Nadere informatie

Executive Academy. Permanente Educatie voor Professionals. Permanente Educatie voor Professionals

Executive Academy. Permanente Educatie voor Professionals. Permanente Educatie voor Professionals Executive Academy Permanente Educatie voor Professionals Permanente Educatie voor Professionals Wat is de Executive Academy? De Executive Academy is een samenwerking tussen de Amsterdam Business School

Nadere informatie

2014 KPMG Advisory N.V

2014 KPMG Advisory N.V 01 Uitbesteding & assurance 11 Nut en noodzaak van assurance reporting Auteurs: Rosemarie van Alst en Fons Basten Wie activiteiten uitbesteedt, wil graag zekerheid over de kwaliteit en integriteit van

Nadere informatie

Testomgevingen beheer

Testomgevingen beheer Testomgevingen beheer Testen brengt het verwachte resultaat en de huidige toestand bij elkaar. Het geeft aanknopingspunten om de planning te maken, het product te verbeteren en om zorgen bij belanghebbenden

Nadere informatie

Gebruikershandleiding ZorgInfo Verstrekkingen Portaal (VP)

Gebruikershandleiding ZorgInfo Verstrekkingen Portaal (VP) Gebruikershandleiding ZorgInfo Verstrekkingen Portaal (VP) Gebruikershandleiding depothouder 2.0.docx 29-12-14 1 van 16 Inleiding Het ZorgInfo Verstrekkingen Portaal (VP) is een internetapplicatie waarmee

Nadere informatie

De toekomst van een IT-auditor in een integrated / financial audit. Robert Johan Tom Koning

De toekomst van een IT-auditor in een integrated / financial audit. Robert Johan Tom Koning De toekomst van een IT-auditor in een integrated / financial audit Robert Johan Tom Koning Probleemanalyse Gebrek aan kennis accountant Niet doorvragen bij termen smijten Moeite toegevoegde waarde te tonen

Nadere informatie

Stichting Pensioenfonds Ecolab. Compliance Charter. Voorwoord

Stichting Pensioenfonds Ecolab. Compliance Charter. Voorwoord Stichting Pensioenfonds Ecolab Compliance Charter Voorwoord Het Compliance Charter beschrijft de definitie, doelstellingen, scope, en taken en verantwoordelijkheden van de betrokkenen in het kader van

Nadere informatie

Bescherming van (software) IP bij uitbesteding van productie

Bescherming van (software) IP bij uitbesteding van productie 12.15 12.40 Bescherming van (software) IP bij uitbesteding van productie Gerard Fianen INDES-IDS BV The choice of professionals Wie zijn wij? Tools, software components and services for the development,

Nadere informatie

Kwaliteitssysteem datamanagement. Meetbaar Beter

Kwaliteitssysteem datamanagement. Meetbaar Beter Kwaliteitssysteem datamanagement Meetbaar Beter Datum: 20 juli 2017 Versie : 0.10 Kwaliteitssysteem Meetbaar Beter versie 0.10.docx Pagina 1 van 8 Voorwoord Het aantal centra dat is aangesloten bij Meetbaar

Nadere informatie

Documentatie Handleiding Hunter-CRM Desktop v1.0

Documentatie Handleiding Hunter-CRM Desktop v1.0 Documentatie Handleiding v1.0 1 Voorwoord Hunter-Desktop is een product van Hunter-CRM. Onze CRM software is gemaakt met het oog op gemak. Deze documentatie bevat een overzicht van de meest gebruikte functionaliteiten

Nadere informatie

2 e webinar herziening ISO 14001

2 e webinar herziening ISO 14001 2 e webinar herziening ISO 14001 Webinar SCCM 25 september 2014 Frans Stuyt Doel 2 e webinar herziening ISO 14001 Planning vervolg herziening Overgangsperiode certificaten Korte samenvatting 1 e webinar

Nadere informatie

Software Processen. Ian Sommerville 2004 Software Engineering, 7th edition. Chapter 4 Slide 1. Het software proces

Software Processen. Ian Sommerville 2004 Software Engineering, 7th edition. Chapter 4 Slide 1. Het software proces Software Processen Ian Sommerville 2004 Software Engineering, 7th edition. Chapter 4 Slide 1 Het software proces Een gestructureerd set van activiteiten nodig om een software systeem te ontwikkelen Specificatie;

Nadere informatie

Discussienota Aanpakken en bestrijden van fraude

Discussienota Aanpakken en bestrijden van fraude NBA Per e-mail: consultatie@nba.nl Grant Thornton Accountants en Adviseurs B.V. Laan der Continenten 160 Postbus 2259 2400 CG Alphen aan den Rijn T 088-676 90 00 www.gt.nl Alphen aan den Rijn, 19 juli

Nadere informatie

Ariba Network Catalog

Ariba Network Catalog Ariba Network Catalog Ten behoeve van Leveranciers Datum 12 februari 2013 Documentnaam Ariba Network Catalog (Handleiding).doc 2013 N.V. Nederlandse Gasunie, Groningen Blad 1 van 13 Inhoud 1 Introductie...

Nadere informatie

Besluit tot wijziging van de Nadere voorschriften controleen overige standaarden Vastgesteld 18 december 2008

Besluit tot wijziging van de Nadere voorschriften controleen overige standaarden Vastgesteld 18 december 2008 Besluit tot wijziging van de Nadere voorschriften controleen overige standaarden Vastgesteld 18 december 2008 1 Besluit tot wijziging van de Nadere voorschriften controle- en overige standaarden Vastgesteld

Nadere informatie

Kwaliteitssysteem datamanagement. Meetbaar Beter

Kwaliteitssysteem datamanagement. Meetbaar Beter Kwaliteitssysteem datamanagement Meetbaar Beter Datum: 22 maart 2016 Versie : 0.8 Kwaliteitssysteem Meetbaar Beter versie 0.8 Pagina 1 van 8 Voorwoord Het aantal centra dat is aangesloten bij Meetbaar

Nadere informatie

REFERENTIE BIJLAGE 1 PRA-FORMULIER BIJLAGE 2 INTERACTIE MATRIX (VOORBEREIDING PRA

REFERENTIE BIJLAGE 1 PRA-FORMULIER BIJLAGE 2 INTERACTIE MATRIX (VOORBEREIDING PRA Werkinstructie : HSEW Blz. : 1 van 10 INDEX 1 SCOPE 2 DOEL 3 PROCEDURE 3.1 Inleiding: 3.2 Voorwaarden: 3.3 Organisatie: 3.4 Werkwijze 3.4.1 PRA-0 3.4.2 PRA-1 3.4.3 PRA-2 3.4.4 Toll-gate 4 UITKOMST 5 RAPPORTAGE

Nadere informatie

NetPay Desktop Reporting. Rapportage voor Xafax NetPay

NetPay Desktop Reporting. Rapportage voor Xafax NetPay NetPay Desktop Reporting Rapportage voor Xafax NetPay Inhoud 1.0.0 NetPay Desktop Reporting... 3 1.1.0 Minimumeisen... 3 1.2.0 NetPay instellingen... 3 1.2.1 Access Rights groepen... 3 1.2.2 Gebruikers

Nadere informatie

Het effect van GRC-software op de jaarrekening controle

Het effect van GRC-software op de jaarrekening controle Compact_ 2008_3 3 Het effect van GRC-software op de jaarrekening controle Faried Ibrahim MSc en drs. Dennis Hallemeesch F. Ibrahim MSc is afgestudeerd bij KPMG IT Advisory voor de Master Economics & ICT

Nadere informatie

1. Work Breakdown Structure en WBS Dictionary

1. Work Breakdown Structure en WBS Dictionary 1. Work Breakdown Structure en WBS Dictionary CUSTOMER migratie Management Technische Transitie Meetings Status Reporting Administratie Technisch Upgegrade Systemen (3-tier) Delta Analyse & Functioneel

Nadere informatie

In de module bestuur heeft de AFM vier onderwerpen beoordeeld:

In de module bestuur heeft de AFM vier onderwerpen beoordeeld: 3.1 Module 1: Bestuur Het bestuur beïnvloedt in belangrijke mate de kwaliteit van wettelijke controles, omdat het bestuur de organisatie aanstuurt op basis van haar visie en missie en daaruit voortkomende

Nadere informatie

Exact. Orbis Software. Integration Tools

Exact. Orbis Software. Integration Tools Orbis Software Exact Integration Tools Dit document bevat de Release Notes voor: - Exact Globe Integration Tool v1.1.11.405 / v1.1.11.396 - Synergy Integration Tool v1.1.4 - Synergy Enterprise Integration

Nadere informatie

HOE CREDITSAFE 3D LEDGER U HELPT MET HET MANAGEN VAN RISICO S

HOE CREDITSAFE 3D LEDGER U HELPT MET HET MANAGEN VAN RISICO S HOE CREDITSAFE 3D LEDGER U HELPT MET HET MANAGEN VAN RISICO S 1. Introductie Creditsafe 3D is een innovatieve en interactieve tool om uw debiteuren en betalingen te analyseren. Door het combineren van

Nadere informatie

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag André Salomons Smart SharePoint Solutions BV Cloud security en de rol van de accountant ICT Accountancy praktijkdag Cloud security moet uniformer en transparanter, waarom deze stelling? Links naar de artikelen

Nadere informatie

Afstudeerscriptie: Computer-assisted audit techniques (CAATs)

Afstudeerscriptie: Computer-assisted audit techniques (CAATs) Afstudeerscriptie: Computer-assisted audit techniques (CAATs) Afstudeerscriptie Definitieve versie 5 juni 2008 Hugo de Vries, hugo@hugodevries.eu; Studentnummer: 9981236 Teamnummer: 831 Vrije Universiteit

Nadere informatie

Handleiding Magento - Yuki

Handleiding Magento - Yuki Handleiding Magento - Yuki www.webwinkelfacturen.nl Samenvatting Dit is de handleiding voor de koppeling van Magento naar Yuki. De koppeling zorgt dat voor facturen in Magento automatisch een factuur of

Nadere informatie

Continuous testing in DevOps met Test Automation

Continuous testing in DevOps met Test Automation Continuous ing in met Continuous testing in met Marco Jansen van Doorn Tool Consultant 1 is a software development method that emphasizes communication, collaboration, integration, automation, and measurement

Nadere informatie

Meer duidelijkheid over samenstellingsopdrachten met komst Standaard 4410

Meer duidelijkheid over samenstellingsopdrachten met komst Standaard 4410 Spotlight Meer duidelijkheid over samenstellingsopdrachten met komst Standaard 4410 Robert van der Glas - Statutaire compliance, Tax Reporting & Strategy De NBA heeft onlangs de herziene standaard uitgebracht

Nadere informatie

EFFECT NIEUWE ISO-NORMEN MANAGEMENTSYSTEEM OP ISO 19011

EFFECT NIEUWE ISO-NORMEN MANAGEMENTSYSTEEM OP ISO 19011 EFFECT NIEUWE ISO-NORMEN MANAGEMENTSYSTEEM OP ISO 19011 Wat brengt het ons om de ISO 19011 aan te sluiten op de HLS? Koninklijke NEN - Delft 7 juli 2016 - ing. Edwin Martherus MSc UW INLEIDER 20 jaar gewacht

Nadere informatie

FO Gebruikersadministratie

FO Gebruikersadministratie 2 maart 2015 FO Gebruikersadministratie Release 15.02 Created with Axure RP Pro Inhoudsopgave 1. Gebruikersadministratie... 3 2. Gebruikersadministratie - Navigatie... 4 2.1. Suwinet Inkijk Pagina... 4

Nadere informatie

Rapport algemene bevindingen kredietcrisisonderzoek 3 december 2009

Rapport algemene bevindingen kredietcrisisonderzoek 3 december 2009 3 december 2009 1. Inleiding 1.1. Achtergrond 1.2. Proces van onderzoek AFM 1.3. Reikwijdte van het onderzoek 2. Bevindingen 2.1. Bevindingen dossieronderzoeken 2.2. Bevindingen maatregelen op organisatieniveau

Nadere informatie

Prof dr Philip Wallage 2 JUNI 2010 AMSTERDAM SEMINAR EUMEDION, NIVRA EN VBA

Prof dr Philip Wallage 2 JUNI 2010 AMSTERDAM SEMINAR EUMEDION, NIVRA EN VBA Wat is de feitelijke rol van de accountant ten aanzien van het jaarverslag en elders opgenomen niet financiële informatie? In hoeverre matcht deze rol met de verwachtingen van beleggers? Prof dr Philip

Nadere informatie

Gemeenschappelijke Regeling Maasveren Limburg Noord. Accountantsverslag 2014 april 2015

Gemeenschappelijke Regeling Maasveren Limburg Noord. Accountantsverslag 2014 april 2015 Gemeenschappelijke Regeling Maasveren Limburg Noord Accountantsverslag 2014 april 2015 Inhoudsopgave 1. Inleiding 2. Aard en reikwijdte van de werkzaamheden 3. Bevindingen naar aanleiding van de eindejaarscontrole

Nadere informatie

Inleiding... 3. 1. Inloggen... 4. 2. Generieke apps... 4. App Mijn goedkeuringen... 5. App Delegatie... 8. 3. Self Service... 9

Inleiding... 3. 1. Inloggen... 4. 2. Generieke apps... 4. App Mijn goedkeuringen... 5. App Delegatie... 8. 3. Self Service... 9 INHOUDSOPGAVE Inleiding... 3 1. Inloggen... 4 2. Generieke apps... 4 App Mijn goedkeuringen... 5 App Delegatie... 8 3. Self Service... 9 Basisgegevens medewerker wijzigen... 12 Aanvragen autorisatie...

Nadere informatie

Algemene inrichting van import acties binnen Vision.

Algemene inrichting van import acties binnen Vision. Algemene inrichting van import acties binnen Vision. Deze beschrijving is bedoeld als ondersteuning van de importeer functie om externe gegevens op diverse plaatsen in Vision te importeren. Specifieke

Nadere informatie

Multi user Setup. Firebird database op een windows (server)

Multi user Setup. Firebird database op een windows (server) Multi user Setup Firebird database op een windows (server) Inhoudsopgave osfinancials multi user setup...3 Installeeren van de firebird database...3 Testing van de connectie met FlameRobin...5 Instellen

Nadere informatie

Beoordelingskader Dashboardmodule Claimafhandeling

Beoordelingskader Dashboardmodule Claimafhandeling Beoordelingskader Dashboardmodule Claimafhandeling I. Prestatie-indicatoren Een verzekeraar beschikt over verschillende middelen om de organisatie of bepaalde processen binnen de organisatie aan te sturen.

Nadere informatie

Privacy in de Audit IIA PAS conferentie 2016 November 2016 Maurice Steffin

Privacy in de Audit IIA PAS conferentie 2016 November 2016 Maurice Steffin www.pwc.nl Privacy in de Audit IIA PAS conferentie 2016 November 2016 Maurice Steffin Even voorstellen Maurice Steffin Maurice is Manager Privacy binnen het Privacy team. Hij combineert zijn privacy kennis

Nadere informatie

InfoPaper ǀ Maart Compliance-raamwerk borgt de datakwaliteit

InfoPaper ǀ Maart Compliance-raamwerk borgt de datakwaliteit InfoPaper ǀ Maart 2017 Compliance-raamwerk borgt de datakwaliteit INLEIDING Steeds meer organisaties in de verzekeringsbranche innoveren met datagestuurde-toepassingen en de mogelijkheden van Big Data.

Nadere informatie

Bedrijfscontinuïteit met behulp van een BCMS

Bedrijfscontinuïteit met behulp van een BCMS Bedrijfscontinuïteit met behulp van een BCMS 26 november 2014 Aart Bitter@ISGcom.nl www.information-security-governance.com Disaster Recovery Plan 2 The Bitter Brew Case To Brew or not to Brew, That s

Nadere informatie

Voorstel aan dagelijks bestuur

Voorstel aan dagelijks bestuur Voorstel aan dagelijks bestuur Datum vergadering 26-08-2014 Agendapunt 8 Steller / afdeling P. Daelmans / Middelen Openbaar Ja Bestuurder R.L.M. Sleijpen Bijlage(n) 1 Programma Bedrijfsvoering Registratiecode

Nadere informatie

Handleiding Afterpay België

Handleiding Afterpay België Handleiding Afterpay België Handleiding Versie 1.1 088 990 7700 support@ccvshop.nl www.ccvshop.nl Inhoudsopgave Inhoudsopgave 2 Changelog 3 1. Inleiding 4 2. Aan de slag 5 2.1 aanvragen van Afterpay 5

Nadere informatie

Identity Management. Risico s en kansen binnen het kader van de jaarrekeningcontrole. Drs. J. Visser 1667521 Drs. M.P. Hof 1662058

Identity Management. Risico s en kansen binnen het kader van de jaarrekeningcontrole. Drs. J. Visser 1667521 Drs. M.P. Hof 1662058 Identity Management Risico s en kansen binnen het kader van de jaarrekeningcontrole Drs. J. Visser 1667521 Drs. M.P. Hof 1662058 Amsterdam 31 maart 2008 Versie 1.0 [definitief] Afstudeerbegeleiders: Rudi

Nadere informatie

Slagvaardig partnerschap

Slagvaardig partnerschap Slagvaardig partnerschap Gemeente Purmerend Concept-cliënt service Plan 2010 27 September 2010 Opdracht In de overeenkomst van dienstverlening die is afgesloten tussen de gemeente Purmerend en zijn de

Nadere informatie

Factsheet Penetratietest Informatievoorziening

Factsheet Penetratietest Informatievoorziening Factsheet Penetratietest Informatievoorziening Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Single sign on kan dé oplossing zijn

Single sign on kan dé oplossing zijn Whitepaper Single sign on kan dé oplossing zijn door Martijn Bellaard Martijn Bellaard is lead architect bij TriOpSys en expert op het gebied van security. De doorsnee ICT-omgeving is langzaam gegroeid

Nadere informatie

Administrator pages ASCIMA AscimaAdmin Version 1.7 1 INHOUDSOPGAVE

Administrator pages ASCIMA AscimaAdmin Version 1.7 1 INHOUDSOPGAVE Administrator pages ASCIMA AscimaAdmin Version 1.7 1 INHOUDSOPGAVE 1 INHOUDSOPGAVE... 1 2 INLEIDING... 2 2.1 PROCEDURE STAPPEN... 2 2.2 INLOGMENU... 2 2.3 HOOFDMENU... 2 2.3.1 Klant invoer scherm... 4

Nadere informatie

ACCESS GOVERNANCE PIZZASESSIE. Arnout van der Vorst & Tjeerd Seinen

ACCESS GOVERNANCE PIZZASESSIE. Arnout van der Vorst & Tjeerd Seinen ACCESS GOVERNANCE PIZZASESSIE Arnout van der Vorst & Tjeerd Seinen AGENDA PIZZASESSIE ACCESS GOVERNANCE 17:30 Conceptuele schets Access Governance 18:30 Pizza 19:15 Product demo 20:15 Borrel ACCESS GOVERNANCE

Nadere informatie

Medewerker administratieve processen en systemen

Medewerker administratieve processen en systemen processen en systemen Doel Voorbereiden, analyseren, ontwerpen, ontwikkelen, beheren en evalueren van procedures en inrichting van het administratieve proces en interne controles, rekening houdend met

Nadere informatie

Quick start handleiding versie 1.0

Quick start handleiding versie 1.0 Quick start handleiding versie.0 Inleiding Beste gebruiker, Via dit document lopen we door de basis onderdelen van je eigen Mijn Kroost control panel. Dit control panel vormt de basis voor het gebruik

Nadere informatie

Maximo Tips and Tricks

Maximo Tips and Tricks Maximo Tips and Tricks Agenda Tips & Tricks 1. Scherm lay-out on demand 2. Koppelen Excel en Maximo 3. Foto s toevoegen aan records 4. Type ahead functie 5. Scripting voor calculaties en validaties 6.

Nadere informatie

Deloitte Ernst & Young PwC

Deloitte Ernst & Young PwC Raadsvoorstel Raadsagenda : 24 september 2009 Agenda nr. : 1 Onderwerp: Aanbesteding accountant 2009-2012 Voorgestelde beslissing: 1. Ernst & Young aan te stellen als accountant vanaf het boekjaar 2009,

Nadere informatie

Accountantsverslag 2012

Accountantsverslag 2012 pwc I Accountantsverslag 2012 Permar Energiek B.V. 24 mei 2013 pwc Permar Energiek B.V. T.a.v. de Raad van Commissarissen en de Directie Horaplantsoen 2 6717LT Ede 24 mei 2013 Referentie: 31024B74/DvB/e0291532/zm

Nadere informatie