Identity Management. Risico s en kansen binnen het kader van de jaarrekeningcontrole. Drs. J. Visser Drs. M.P. Hof

Maat: px
Weergave met pagina beginnen:

Download "Identity Management. Risico s en kansen binnen het kader van de jaarrekeningcontrole. Drs. J. Visser 1667521 Drs. M.P. Hof 1662058"

Transcriptie

1 Identity Management Risico s en kansen binnen het kader van de jaarrekeningcontrole Drs. J. Visser Drs. M.P. Hof Amsterdam 31 maart 2008 Versie 1.0 [definitief] Afstudeerbegeleiders: Rudi Selhorst - PricewaterhouseCoopers Paul Harmzen - Fortis

2 Inhoud Managementsamenvatting 3 1 Inleiding Aanleiding en doelstelling Onderzoeksvraag Onderzoeksaanpak 6 2 Identity Management Definitie Identity Management Business drivers voor Identity Management Onderdelen Identity Management Verschijningsvormen Identity Management Samenvatting 12 3 Identity management en de jaarrekeningcontrole Doelstelling van de jaarrekeningcontrole Gegevensgerichte en systeemgerichte controleaanpak Beoordeling van geautomatiseerde beheersmaatregelen IDM, IT General Controls en application controls Samenvatting 17 4 Kansen voor de jaarrekeningcontrole Beperking van het aantal te controleren relaties Betrouwbare beheersing autorisatieproces Automatische confrontatie van SOLL en IST Samenvatting 22 5 Risico s voor de jaarrekeningcontrole Betrouwbaarheid van interfaces Centraal beheer autorisaties Samenvatting 24 6 Conclusie Conclusie en aanbevelingen Persoonlijke reflectie 26 Bijlage 1: Literatuurlijst 28 2

3 Managementsamenvatting Teneinde een efficiënter beheer van identiteiten en autorisaties binnen een steeds complexer wordende automatiseringsomgeving te realiseren implementeren veel organisaties een Identity Management systeem. Onder Identity management wordt in dit onderzoek het geheel aan beleid, verantwoordelijkheden, processen en hulpmiddelen verstaan dat organisaties in staat stelt om de toegang tot en het gebruik van systemen en informatie te faciliteren, beheren en controleren. Aangezien in de huidige literatuur niet of nauwelijks is beschreven wat Identity Management betekent voor de jaarrekeningcontrole en het op dit moment bij ons en de accountants onvoldoende bekend is welke risico s en kansen Identity Management met zich meebrengt, staat in deze scriptie de volgende onderzoeksvraag centraal: Welke risico s en kansen zijn op identity management van toepassing binnen het kader van de jaarrekeningcontrole? Op basis van een literatuurstudie en diverse interviews is gebleken dat Identity Management een drietal kansen en een tweetal risico s met zich meeneemt voor de jaarrekeningcontrole. De mate waarin deze kansen en risico s aanwezig zijn is afhankelijk van de verschijningsvorm. In dit onderzoeksrapport zijn een drietal verschijningsvormen van Identity Management gedefinieerd: 1. De doelsystemen hebben een eigen authenticatie- en autorisatieadministratie. User management en provisioning kunnen worden toegepast om nieuwe, gewijzigde en verwijderde identiteitsgegevens naar de doelsystemen door te zetten; 2. De doelsystemen beschikken over een eigen autorisatieadministratie en voor de authenticatie wordt gesteund op de centraal opgeslagen wachtwoordgegevens in het IDM-systeem; 3. De doelsystemen steunen voor zowel de toewijzing van autorisatie en de authenticatie volledig op de IDM-oplossing. De geïdentificeerde kansen en risico s zijn in onderstaande tabellen opgenomen. Kansen Verschijningsvorm 1 Verschijningsvorm 2 Verschijningsvorm 3 Beperking van het aantal te controleren relaties met behulp van RBAC Betrouwbare beheersing autorisatieproces door user-provisioning Geautomatiseerde confrontatie ist- en sollpositie 3

4 Risico s Verschijningsvorm 1 Verschijningsvorm 2 Verschijningsvorm 3 Ten gevolgen van een onbetrouwbare interface worden: - identiteiten niet verwijderd - autorisaties te ruim ingesteld Beheerder kent zichzelf rechten toe ten gevolge van gecentraliseerd autorisatiebeheer Doordat de gedefinieerde kansen bijdragen aan de juistheid van de inrichting van de autorisaties en de betrouwbaarheid van het autorisatieproces kan, in plaats van een gegevensgerichte controleaanpak, een systeemgerichte aanpak worden gehanteerd. Dit hangt tevens samen met de inrichting van de IT General Controls en het samenspel tussen application controls en de handmatige beheersmaatregelen. De mate waarin voor de jaarrekening toegevoegde waarde kan worden geleverd is afhankelijk van de mate waarin de betrouwbare werking van de geautomatiseerde beheersmaatregelen kan worden vastgesteld gedurende het controlejaar. Om de werking te kunnen vaststellen is het een voorwaarde dat logging aanwezig en betrouwbaar is. 4

5 1 Inleiding 1.1 Aanleiding en doelstelling Vanuit ons perspectief als IT auditors zien wij dat organisaties moeite hebben met het beheersen van autorisaties binnen systemen. Taken, verantwoordelijkheden en bevoegdheden om de digitale identiteiten en de bijbehorende autorisaties te beheersen zijn vaak op meerdere plekken belegd. Procedures om autorisaties aan te vragen, te muteren, te verwijderen en te beheren zijn vaak niet (formeel) aanwezig of werken niet. Het risico is dat autorisaties en bevoegdheden actief blijven terwijl deze verwijderd hadden moeten worden. Dit kan tot gevolg hebben dat ongeautoriseerde personen gebruik maken van deze accounts en daarbij toegang tot kritische systemen kunnen verkrijgen. Een ander risico is dat gebruikers teveel rechten hebben en hierdoor ongeautoriseerde wijzigingen kunnen doorvoeren. Om deze problematiek aan te pakken worden met name bij grotere bedrijven Identity Management systemen geïmplementeerd. IDM (hierna: IDM) kan op verschillende manieren worden beschreven, in onze optiek geeft Emmens (2007) de beste definitie van IDM: Identity management is het geheel aan beleid, verantwoordelijkheden, processen en hulpmiddelen dat organisaties in staat stelt om de toegang tot en het gebruik van systemen en informatie te faciliteren, beheren en controleren 1 De doelstelling die organisaties voor ogen hebben met de implementatie van een IDMsysteem is hetzelfde, namelijk een efficiënter beheer van identiteiten en autorisaties binnen een steeds complexer wordende automatiseringsomgeving. De driver om de problematiek van autorisatiebeheer op te pakken verschilt per organisatie. Veelgenoemde redenen zijn het reduceren van kosten en het voldoen aan relevante wet- en regelgeving, zoals de Sarbanes-Oxley (SOx)-wetgeving. De controle van de jaarrekening door de accountant wordt niet als driver genoemd. Dit is echter wel het perspectief van waaruit wij met deze ontwikkeling worden geconfronteerd. In deze scriptie zullen wij de relatie leggen tussen deze ontwikkeling en de wijze waarop deze de controle van de jaarrekening zou kunnen beïnvloeden. In het kader van de jaarrekeningcontrole is op dit moment bij ons en bij de accountant in onvoldoende mate bekend welke risico s IDM met zich meebrengt en welke kansen IDM kan bieden voor het realiseren van een efficiëntere controleaanpak. Deze scriptie heeft als doelstelling om de risico s en kansen van Identity management in het kader van de jaarrekeningcontrole in kaart te brengen. 1 Emmens,

6 1.2 Onderzoeksvraag De hoofdvraag van deze scriptie is als volgt: Welke risico s en kansen zijn op identity management van toepassing binnen het kader van de jaarrekeningcontrole? Deze hoofdvraag wordt uiteengesplitst in verschillende deelvragen: Wat is Identity Management? Identity management is een veelomvattend begrip. In de literatuur worden diverse definities gehanteerd voor IDM. Het is daarom van belang een omschrijving te geven van wat wij in het kader van het onderzoek verstaan onder IDM. Wij zullen hiertoe de eerder aangegeven definitie verder uitwerken en aangeven wat de business drivers zijn om IDM in te voeren. Daarnaast worden de verschillende onderdelen van IDM nader toegelicht en worden de drie verschijningsvormen van IDM behandeld. Wat is de relatie tussen Identity Management en de jaarrekeningcontrole? Om een conclusie te kunnen trekken over de risico s en kansen van IDM voor de jaarrekeningcontrole is het van belang inzicht te krijgen in de wijze waarop een jaarrekening gecontroleerd kan worden. Tevens zal worden aangegeven welke rol automatisering en specifiek de inrichting en beheer van autorisaties hierbij kunnen spelen. Tenslotte zal de relatie van de jaarrekeningcontrole met IDM worden uitgewerkt. Welke kansen biedt een identity management oplossing voor de auditaanpak? In dit onderdeel zullen wij nader ingaan op de kansen die IDM biedt om een betere controleaanpak tot stand te brengen onder andere aan de hand van een cijfermatig model. Wij zullen de kansen tevens in relatie brengen met de verschillende gedefinieerde verschijningsvormen. Wat zijn de belangrijkste risico s van een Identity Management oplossing voor de jaarrekeningcontrole? In een eerder stadium van ons onderzoek hebben wij aangegeven wat de meest voorkomende verschijningsvormen zijn van IDM. Wij zullen aangeven wat de mogelijke risico s zijn die bij elke inrichtingsvorm van toepassing zijn en op welke wijze deze risico s beheerst kunnen worden. 1.3 Onderzoeksaanpak Onze onderzoeksresultaten zijn gebaseerd op de volgende onderzoeksmethodieken: a) Literatuurstudie teneinde een beeld te krijgen van het concept identity management, de jaarrekeningcontrole en de gerelateerde problematiek. b) Interviews met verschillende personen die kennis hebben van de praktische invulling van Identity Management. De volgende personen zijn in het kader van het onderzoek geïnterviewd: 6

7 Wim Hutten Partner Systems & Process Assurance Middle Market bij PricewaterhouseCoopers Otto Vermeulen Director Security & Technology group bij PricewaterhouseCoopers Maarten Stultjens Directeur BHOLD-company, leverancier van rolgebaseerde autorisatiemanagementsoftware Ron Bregman en Jurriaan Rijnbeek IT auditors bij Fortis Nederland Frans van Buul Zelfstandig ondernemer, consultant computer and network security 7

8 2 Identity Management In dit hoofdstuk wordt antwoord gegeven op de eerste onderzoeksvraag: Wat is Identity Management? Ten eerste wordt de in dit onderzoek toegepaste definitie nader toegelicht. Daarnaast wordt aangegeven wat de business drivers zijn om Identity Management in te voeren binnen een organisatie. Vervolgens worden de verschillende onderdelen van IDM nader toegelicht en tot slot worden een drietal veelgebruikte verschijningsvormen van IDM geïdentificeerd en uitgewerkt. 2.1 Definitie Identity Management Uit literatuuronderzoek is gebleken dat een eenduidige definitie van Identity management niet aanwezig is. Zoals in de inleiding is toegelicht wordt in dit onderzoeksrapport de volgende definitie van Identity management gehanteerd: Identity management is het geheel aan beleid, verantwoordelijkheden, processen en hulpmiddelen dat organisaties in staat stelt om de toegang tot en het gebruik van systemen en informatie te faciliteren, beheren en controleren 2 Wij hebben gekozen voor deze definitie omdat het naar onze mening een aantal essentiële elementen omvat, waaronder het onderscheid tussen identificatie, authenticatie (toegang tot systemen) en autorisatie (gebruik van systemen). Deze drie elementen zijn toepassing op elke vorm van toegangsbeveiliging van applicaties. Daarnaast wordt logging gebruikt om toegang tot systemen te controleren. De definities van deze begrippen zijn als volgt 3 : Identificatie: het systeem van toegangsbeveiliging moet kunnen vaststellen wie de gebruiker is (bijvoorbeeld met behulp van een gebruikersnaam) Authenticatie: de gebruiker moet kunnen aantonen dat hij ook degene is die de gebruiker via zijn identificatie beweert te zijn (bijvoorbeeld met gebruik van een wachtwoord of een ander middel). Autorisatie: het systeem moet over de mogelijkheid beschikken de gebruiker die bevoegdheden te geven die hij op grond van zijn functie nodig heeft. Rapportering: het systeem moet over faciliteiten beschikken om het gebruik van het systeem te kunnen controleren. Het proces van het opslaan van deze gegevens wordt logging genoemd. Wij zullen in het onderzoeksrapport de term logging hanteren. In de literatuur wordt voor deze definitie ook de aanduiding Identity and Access management gebruikt. In deze scriptie zal het begrip Identity Management worden gehanteerd. 2 Emmens (2007) 3 Van Praat/Suerink (2005), pp

9 2.2 Business drivers voor Identity Management Volgens Hermans 4 is het belang van IDM voor organisaties toegenomen doordat in vergelijking met het verleden: - het aantal resources met elk een eigen authenticatie- en autorisatiemodule is toegenomen; - zowel medewerkers als partners, klanten en leveranciers toegang moeten krijgen tot resources; - het aantal autorisaties per gebruiker toeneemt; - het aantal administratoren toeneemt, veelal georganiseerd per platform en/of toepassing; - de invloed van wet- en regelgeving is toegenomen. Hierdoor is de bewustwording voor interne beheersing alsmede informatiebeveiliging toegenomen; - de noodzaak van kostenbeheersing is toegenomen. In verschillende artikelen worden de volgende redenen geïdentificeerd om IDM in te voeren 5. Reduceren risico s Gartner 6 stelt dat gemiddeld 30 60% van de gebruikersaccounts zijn toegewezen aan medewerkers die niet meer in dienst zijn. Het risico hiervan is dat de medewerkers nog steeds toegang hebben tot gevoelige informatie en mogelijkheid hebben om ongeautoriseerde mutaties door te voeren. Andere risico s zijn dat gebruikers toegang hebben tot functies en/of informatie die zij in hun functie niet nodig hebben, medewerkers bij uitdiensttreding informatie meenemen naar de concurrent en gebruikers wachtwoorden opschrijven omdat ze voor elk systeem een andere gebruikersnaam en wachtwoord moeten gebruiken. Volgens de literatuur draagt IDM bij aan het reduceren van deze risico s. Operationele efficiency Met name voor de kleinere ondernemingen is operationele efficiency de primaire reden voor het invoeren van IDM. Hierbij spelen drie factoren een rol, namelijk het realiseren van kostenbesparingen, het verbeteren van de beheeromgeving en de verbetering in gebruikersgemak: Door de ontwikkeling van onder andere web-based applicaties en toegang tot applicaties door externe partijen (bijvoorbeeld klanten en leveranciers) is de complexiteit van het beheer van identiteiten en de bijbehorende rechten toegenomen. In de praktijk maken personen van meerdere applicaties gebruik waarvoor verschillende identiteiten benodigd zijn. Het beheer van de rechten van een bepaalde persoon wordt hierdoor tevens bemoeilijkt. Uit onderzoek is gebleken dat de helpdesk 50% van de tijd bezig is met het beheren van gebruikerstoegang. De beheeromgeving kan worden ontlast door het automatiseren van arbeidsintensieve taken (aanmaken, wijzigen en verwijderen accounts en autorisaties). Deze taken kunnen vanuit één centrale IDM-omgeving worden uitgevoerd. Indien een gebruiker bijvoorbeeld uit dienst treedt wordt door middel van het IDM-systeem zorggedragen dat de gebruiker in de gekoppelde applicaties 4 Hermans (2005) 5 Hermans (2007), van der Staaij (2008), Emmens (2007) en Jurg (2004) 6 Emmens (2007) 9

10 geen toegang meer heeft. Daarnaast is gebleken dat gebruikers voorzichtiger omgaan met de authenticatiemiddelen naarmate daarmee toegang tot meer toepassingen kan worden verkregen. IDM vergroot het gebruikersgemak aangezien gebruikers na de invoering meestal nog maar één inlogmoment en één authenticatiemiddel hebben waarna ze toegang verkrijgen tot een groot aantal applicaties. Voldoen aan interne en externe wet- en regelgeving Het voldoen aan wet- en regelgeving is met name voor de beursgenoteerde ondernemingen een belangrijke motivatie om een IDM-oplossing in te voeren. Met de komst van SOx, Basel II en Code Tabaksblat is transparantie en het aantoonbaar in control zijn voor veel organisaties een eis geworden. Deze eisen zijn terug te voeren op richtlijnen voor de opzet van autorisatiemodellen binnen de organisaties evenals het proces van beheer van toegang tot data. Met de steeds complexer wordende IT-omgeving en eisen van de gebruikers ten aanzien van IT is het voor organisaties een continue uitdaging om autorisaties op orde te krijgen en te houden. Uit onderzoek 7 is gebleken dat de meeste organisaties een handmatige aanpak hanteren voor het verifiëren van controls ten aanzien van autorisaties. Volgens de literatuur wordt het met de inzet van IDM-tooling mogelijk om de in control status op een effectieve en efficiënte manier te bereiken. 2.3 Onderdelen Identity Management Bij IDM staat de identiteit van een individu binnen een digitale omgeving centraal. IDM omvat een aantal onderdelen welke hieronder worden toegelicht 8. Een aantal van deze onderdelen werden al binnen systemen toegepast voordat het begrip IDM bekendheid kreeg. Wij zullen binnen het kader van dit onderzoek deze begrippen onder de noemer IDM scharen. User provisioning Dit betreffen de activiteiten die gericht zijn op het beheer van de gehele levenscyclus van een identiteit binnen de digitale omgeving. De levenscyclus start bij indiensttreding waarbij een nieuwe digitale identiteit met bijbehorende autorisaties wordt aangemaakt. Gedurende de diensttijd wijzigt de persoon van functie dat tot gevolg heeft dat de autorisaties die aan de identiteit zijn toegewezen aangepast moeten worden. De levenscyclus eindigt met uitdiensttreding en zijn identiteit zal uit alle systemen verwijderd dienen te worden. In de praktijk krijgt user provisioning invulling doordat een medewerker wordt ingevoerd in het HR-systeem van een organisatie. Via een interface wordt een nieuwe medewerker automatisch doorgestuurd naar een centraal IDM systeem waar zijn autorisaties verder worden ingericht en worden gedistribueerd naar de doelsystemen. Wanneer de uitdiensttreding in het HR-systeem wordt gemeld, wordt de identiteit via dezelfde weg binnen het IDM-systeem op non-actief gesteld of verwijderd. Authenticatiemanagement Authenticatie van een gebruiker kan met verschillende mate van betrouwbaarheid worden vastgesteld. Normale authenticatie omvat uitsluitend de invoer van een persoonsgebonden wachtwoord ter controle. Sterke authenticatie is het op minimaal tweevoudige wijze 7 Ponemom Institute (2007) 8 Hermans (2005) en van der Staaij (2008) 10

11 vaststellen van de authenticiteit van een gebruiker die zich aanmeldt bij een applicatie. Het controleren van een identiteit kan op basis van wat iemand weet (bijvoorbeeld een wachtwoord of pincode), wat iemand in zijn bezit heeft (bijvoorbeeld een token) en/of wat van de persoon zelf is (bijvoorbeeld een vingerafdruk of iris). Autorisatiemanagement Hieronder worden de activiteiten verstaan die zijn gericht op de inrichting en het beheer van autorisaties van gebruikers. Autorisaties zijn de handelingen die een medewerkers binnen één of meerdere systemen kan uitvoeren. Autorisatiemanagement kan worden omschreven als: Het geheel van technische, procedurele en organisatorische maatregelen die de organisatie toepast ten einde de logische toegangsverlening tot de objecten van de informatievoorziening te beheersen, zodanig dat deze overeenkomen met het daartoe gedefinieerde beleid 9. Beheer van autorisaties wordt arbeidsintensief en foutgevoelig wanneer medewerkers rechtstreeks aan autorisaties binnen elke applicatie worden gekoppeld. Een medewerker bezit voor elke applicatie een identiteit, waar autorisaties aan zijn gekoppeld. De juistheid van autorisaties moet per medewerker worden gecontroleerd om de belangrijkste doelstelling van beheer (risico van teveel rechten) vast te kunnen stellen. Om de inrichting en controle van toegangsrechten te structureren en te vereenvoudigen, wordt in toenemende mate Role-based access control (RBAC) toegepast. Hierbij worden toegang tot en binnen applicaties op basis van rollen verleend. Een medewerker is aan een rol gekoppeld. Deze rol bevat vervolgens de autorisaties. Een rechtstreekse koppeling tussen medewerker en autorisatie wordt op deze manier vermeden. Een RBAC-rol is een verzameling van activiteiten die is gebaseerd op de organisatiestructuur, bedrijfsprocessen, een bepaald beleid of een combinatie hiervan. Aan deze activiteiten worden vervolgens de juiste rollen binnen de automatisering gekoppeld. Om te komen van een bestaand autorisatiemodel naar een op rollen gebaseerd autorisatiemodel zijn twee aanpakken mogelijk, te weten: een top-down benadering waarbij vanuit de administratieve organisatie wordt bepaald welke privileges bij welke rollen zouden moeten horen (soll-positie). Deze conceptuele rollen worden vervolgens vertaald naar de automatiseringsomgeving. een bottom-up benadering waarbij gebruik wordt gemaakt van role-mining. Met gebruikmaking van software wordt getracht patronen in de bestaande autorisaties binnen de automatiseringsomgeving te onderkennen, afwijkingen te identificeren en op basis hiervan rollen te definiëren. In hoofdstuk 4 zullen wij ingaan op wat voor praktische consequenties de traditionele inrichting en RBAC hebben voor de controle van de jaarrekening. Single Sign On 9 Tellegen (2005) 11

12 Een gebruiker wordt in het geval van Single Sign On in staat gesteld om na eenmalige invoer van gebruikersnaam en wachtwoord toegang te verkrijgen tot meerdere systemen en applicaties. Monitoring In de context van IDM dient, om goede controle mogelijk te maken, vastgesteld te worden dat geen ongeautoriseerde wijzigingen in rollen worden doorgevoerd. Daarnaast dient te worden vastgesteld dat het proces van toevoegen en verwijderen van identiteiten en autorisaties betrouwbaar verloopt. Logging en rapportages zijn van belang om een goed inzicht in en oordeel over betreffende activiteiten en gebruikers te kunnen krijgen. 2.4 Verschijningsvormen Identity Management In de IDM-systematiek wordt onderscheid gemaakt tussen bronsystemen waarin de primaire registratie van de identiteit plaatsvindt (bijvoorbeeld het HR-systeem of een CRMsysteem), het IDM-systeem waar de rollen zijn gedefinieerd en de doelsystemen waar de geregistreerde identiteiten via provisioning procesmatig en geautomatiseerd naar worden doorgezet. Een IDM-systeem faciliteert de mogelijkheid biedt identiteiten en de bijbehorende rollen en rechten centraal te beheren. De functionaliteiten die IDM-systemen bieden, verschillen onderling. De literatuur identificeert de volgende drie verschijningsvormen van Identity Management 10 : 1. De doelsystemen hebben een eigen authenticatie- en autorisatieadministratie. Deze systemen authenticeren en autoriseren gebruikers op basis van data die in de applicatie zelf zijn opgeslagen. User management en provisioning kunnen worden toegepast om nieuwe, gewijzigde en verwijderde identiteitsgegevens naar de doelsystemen door te zetten en een efficiënt en consistent gebruikersbeheer te bewerkstelligen. 2. De doelsystemen beschikken over een eigen autorisatieadministratie en autoriseren gebruikers op basis van data die in de applicatie zelf zijn opgeslagen. Voor de authenticatie wordt echter gesteund op de centraal opgeslagen wachtwoordgegevens in het IDM-systeem. Het voordeel hiervan is dat authenticatiedata centraal beheerd kan worden. 3. De doelsystemen steunen voor zowel de toewijzing van autorisatie en de authenticatie volledig op de IDM-oplossing. De applicatie kent een elektronisch ticket toe aan de gebruiker waarmee deze kan inloggen op het doelsysteem. Het verschil tussen deze drie IDM-oplossingen heeft betrekking op de plaats (decentraal in het doelsysteem c.q. centraal in het IDM-systeem) waar de beslissing genomen wordt om de authenticatie goed te keuren en autorisatie toe te kennen. 2.5 Samenvatting In dit hoofdstuk is een toelichting gegeven op wat in dit onderzoeksrapport onder IDM wordt verstaan. Hierbij wij het begrip gedefinieerd en aangegeven welke onderdelen IDM omvat en in welke verschijningsvormen IDM voorkomt. Deze onderwerpen zullen wij in de volgende hoofdstukken nader uitwerken. In het volgende hoofdstuk wordt de relatie van IDM met de jaarrekeningcontrole toegelicht. 10 Hermans (2005) 12

13 3 Identity management en de jaarrekeningcontrole In dit hoofdstuk wordt dieper ingegaan op de wijze waarop een jaarrekening tot stand komt, en de rol die administratieve systemen bij de totstandkoming van de benodigde financiële gegevens spelen. Daarnaast zullen wij onderzoeken hoe de accountant gebruik kan maken van geautomatiseerde beheersmaatregelen binnen deze administratieve systemen, met doel een efficiëntere en effectievere controleaanpak tot stand te brengen. Wij zullen hier tevens de relatie leggen tussen de controleaanpak waarin geautomatiseerde beheersmaatregelen een belangrijke rol spelen, en Identity Management. 3.1 Doelstelling van de jaarrekeningcontrole Doelstelling van de jaarrekeningcontrole door de externe accountant is vast te stellen, dat de financiële verantwoording zoals vastgelegd in de jaarrekening, een getrouw beeld geeft van de werkelijkheid. Vanuit het perspectief van de accountant kan de wijze waarop een jaarrekening wordt gecontroleerd, variëren. De accountant zal zijn aanpak bepalen door uit te gaan van de posten die op de jaarrekening staan. Deze posten zijn uiteindelijk gebaseerd op de transacties die binnen de onderliggende financiële processen worden uitgevoerd. Eén van de mogelijkheden om de betrouwbaarheid van de post te beoordelen is het beoordelen van de betrouwbaarheid van het onderliggende financiële proces. Wij zullen deze werkwijze als uitgangspunt gebruiken. In de meeste organisaties vindt de administratie van transacties plaats binnen administratieve systemen zoals het financiële systeem, de personeels- en salarisadministratie. Als onderdeel van het onderzoek zal de accountant bepalen welke systemen gebruikt worden voor het verzamelen, bewerken, communiceren en rapporteren van transacties, en welke risico s van toepassing zijn op de betrouwbaarheid van de transacties, en daarmee de jaarrekeningpost. Om risico s te beheersen, implementeren organisaties beheersmaatregelen. Deze beheersmaatregelen kunnen door personen worden uitgevoerd ( handmatige beheersmaatregelen ) of door systemen ( geautomatiseerde beheersmaatregelen ). Om voor de jaarrekening van nut te kunnen zijn, dient te kunnen worden vastgesteld dat deze beheersmaatregelen gedurende het controlejaar aanwezig zijn geweest. Hierbij komen de begrippen opzet, bestaan en werking aan de orde. Onder de opzet verstaan wij de wijze waarop beheersmaatregelen zijn voorzien in plannen en documenten. Onder bestaan verstaan wij de wijze waarop de voorziene beheersmaatregelen ook zijn geïmplementeerd. Bestaan wordt vastgesteld met behulp van een eenmalige waarneming op één punt in de tijd. Onder werking verstaan wij of de beheersmaatregelen hebben gewerkt over de vastgestelde periode (het controlejaar). Werking wordt vastgesteld met behulp van een steekproef. De accountant zal in overleg met de IT auditor zich op de hoogte moeten stellen welke beheersmaatregelen aanwezig zijn, waar zij zich bevinden (in de AO/IC c.q. binnen de 13

14 automatisering), welke risico s deze afdekken en welke bedreigingen van toepassing zijn op het betrouwbaar functioneren van de beheersmaatregel. De accountant en de IT auditor zullen gezamenlijk een oordeel moeten vormen of het samenspel van de handmatige en geautomatiseerde beheersmaatregelen voor het verwerken van transacties voldoende is om tot betrouwbare financiële informatie te kunnen leiden. Dit oordeel is bepalend voor de controleaanpak die wordt gekozen om een specifiek financieel proces te controleren. De hierbij voorkomende aanpakken zijn een systeemgerichte aanpak of een gegevensgerichte aanpak, of combinaties van beide. Deze begrippen zullen in de volgende paragraaf nader worden toegelicht. 3.2 Gegevensgerichte en systeemgerichte controleaanpak Onder gegevensgerichte en systeemgerichte aanpak wordt verstaan: Gegevensgerichte aanpak Hierbij wordt de betrouwbaarheid van data gecontroleerd door steekproefsgewijs de transacties binnen een financieel proces te controleren. Hierbij wordt gecontroleerd of de transacties in overeenstemming zijn met het daarvoor geldend interne beleid en externe regelgeving. In deze aanpak wordt niet gesteund op de betrouwbare werking van beheersmaatregelen binnen een applicatie. Systeemgerichte aanpak De systeemgerichte aanpak wordt gehanteerd wanneer de accountant zich een positief oordeel heeft gevormd over de betrouwbaarheid van beheersmaatregelen binnen een financieel proces. Dit oordeel houdt in, dat de beheersmaatregelen aanwezig zijn, dat deze de risico s ten aanzien van de betrouwbaarheid van informatie voldoende afdekken en dat de risico s om de betrouwbaarheid van deze beheersmaatregelen te beïnvloeden beperkt zijn. Hij zal zich tijdens de accountantscontrole met name richten op de vraag of de meest essentiële beheersmaatregelen gedurende het controlejaar betrouwbaar hebben gewerkt. Is dit het geval, dan verkrijgt hij een redelijke mate van zekerheid over de betrouwbaarheid van het proces en de informatie die door het proces wordt gegenereerd. Aanvullend wordt nog een steekproef op de transacties uitgevoerd, maar de omvang van deze steekproef is kleiner dan in het geval van een volledig gegevensgerichte controle. In de praktijk wordt voor een jaarrekeningcontrole veelal een combinatie van bovenstaande methoden gebruikt, waarbij de aanpak per financieel proces verschilt. Een systeemgerichte controle wordt als efficiënter beschouwd, met name wanneer de complexiteit van processen toeneemt. In ons onderzoek hebben wij als startpunt vastgesteld dat een systeemgerichte controle wenselijk is, en dat daarom een onderzoek naar de (geautomatiseerde) beheersmaatregelen een vereiste is voor elke jaarrekeningcontrole. In de volgende paragraaf zullen wij dieper ingaan op de wijze waarop geautomatiseerde beheersmaatregelen vanuit het perspectief van de jaarrekeningcontrole worden bezien en welke rol Identity management speelt binnen dit onderzoek. 3.3 Beoordeling van geautomatiseerde beheersmaatregelen Wanneer een systeemgerichte aanpak wordt gehanteerd, wordt in de meeste gevallen de betrokkenheid van de IT auditor gezocht. Een auditor kijkt naar beheersmaatregelen op verschillende lagen: 14

15 Processen Application Controls IT General Controls. Deze begrippen worden in het volgende nader toegelicht. Processen In eerste instantie zal de IT auditor in overleg met de accountant bepalen wat de controledoelstellingen zijn voor een financieel proces of primair proces met financiële consequenties voor de jaarrekening. Een doelstelling kan zijn om een of meerdere kwaliteitsaspecten (juistheid, volledigheid, tijdigheid) van de invoer, verwerking, communicatie of rapportage van transacties vast te stellen. In overleg met de accountant zal de IT auditor onderzoeken, welke beheersmaatregelen deze juistheid, volledigheid en tijdigheid afdwingen. Een van de meest krachtige beheersmaatregelen die binnen een proces kan worden teruggevonden, is controletechnische functiescheiding. Het doel van functiescheiding is het creëren van tegengestelde belangen tussen personen. Functiescheiding betreft een zodanige scheiding van taken en bevoegdheden dat geen van de functionarissen binnen een proces alle schakels van het proces kan beïnvloeden. Bij kleinere organisaties is het soms lastig om functiescheiding te realiseren. In deze scriptie wordt als uitgangspunt gehanteerd dat de organisatie van voldoende omvang is. Aangezien processen met financiële consequenties in de huidige maatschappij voornamelijk binnen systemen worden uitgevoerd, heeft de IT auditor onder meer tot taak de aanwezigheid van deze functiescheidingen binnen de geautomatiseerde systemen vast te stellen. Zijn deze functiescheidingen niet aanwezig, dan heeft dit gevolgen voor de mate waarin de accountant systeemgericht kan controleren. Application Controls Application controls kunnen worden gedefinieerd als alle in applicaties opgenomen geprogrammeerde beheersmaatregelen 11. Deze hebben tot doelstelling om voldoende functiescheiding binnen de applicatie te creëren en betrouwbare verwerking van gegevens door de applicatie te waarborgen. Application controls hebben directe invloed op de betrouwbaarheid van de transacties binnen een proces. De functiescheidingen die in het proces zijn gedefinieerd, dienen vertaald te worden naar de applicatie. Deze scheiding van functies binnen de applicatie gebeurt door alleen functionarissen die de applicatie voor hun werkzaamheden benodigd zijn, toegang te verschaffen. De handelingen die een persoon binnen de applicatie kan uitvoeren, dienen te worden beperkt tot wat hij voor de uitvoering van zijn werkzaamheden benodigd is, en vanuit het oogpunt van functiescheiding wenselijk is. Alle handelingen die binnen een applicatie door een persoon kunnen worden uitgevoerd zijn vastgelegd in autorisaties. Naast autorisaties kennen applicaties nog vele andere application controls die onder meer tot doel hebben de juiste en volledige invoer, verwerking, communicatie en rapportage van gegevens te waarborgen. Binnen het kader van deze scriptie zijn autorisaties echter het meest relevant. 11 Groen, P. Application controls in een breed perspectief, Informatiebeveiliging, november

16 IT General Controls IT General Controls kunnen worden omschreven als de beheersing van de IT omgeving, waarin de applicaties en de bijbehorende application controls functioneren. Een goede beheersing van de IT General Controls is een voorwaarde voor het betrouwbaar functioneren van de application controls. Binnen de IT General Controls wordt onderscheid gemaakt tussen een aantal beheerprocessen 12 : Change Management. Dit proces heeft tot doel te borgen dat alleen goedgekeurde programmatuur in productie wordt gebracht. Dit houdt onder meer in dat de aanwezigheid en betrouwbare werking van application controls wordt vastgesteld voordat deze in productie worden gebracht. Computer Operations. Dit proces heeft tot doel de integriteit en beschikbaarheid van programmatuur en gegevens in de productieomgeving te borgen, door bijvoorbeeld de mogelijkheid te bieden om verloren gegevens te herstellen en operationele problemen te voorkomen of op te lossen. System Development. Dit proces heeft tot doel te borgen dat in nieuw te ontwikkelen applicaties voldoende application controls worden ingebouwd. Access to programs and data. Dit proces heeft tot doel de scheiding tussen de gebruikers-, IT beheer- en ontwikkelingsorganisatie te borgen, voor wat betreft de logische en fysieke toegang tot programmatuur, gegevens en fysieke middelen. Om de relatie tussen Identity Management en de jaarrekening te kunnen leggen, is Access to programs and data het meeste van belang, omdat het proces autorisatiebeheer als onderdeel van dit beheerproces wordt onderzocht. Het proces autorisatiebeheer heeft als doelstelling de functiescheidingen, zoals deze vanuit de AO/IC naar autorisaties zijn vertaald, in stand te houden door wijzigingen op gecontroleerde wijze door te voeren en periodiek te controleren, dat de autorisaties binnen het systeem de werkelijke situatie weergeven. Het proces autorisatiebeheer omvat in de meeste gevallen tevens het beheer van digitale identiteiten. Het proces autorisatiebeheer heeft niet alleen betrekking op de autorisaties binnen applicaties, maar ook op fysieke toegang tot een gebouw, toegang tot het netwerk en eventueel servers en databases die de applicatie ondersteunen. Eisen die aan een adequaat proces autorisatiebeheer worden gesteld: Aanvraag en formele goedkeuring van de autorisatieaanvraag door een geautoriseerd persoon (bijvoorbeeld een afdelingshoofd, die voor zijn medewerker een autorisatie aanvraagt) of systeem. Mutatie van autorisaties bij wijziging van functie en verwijdering bij uitdiensttreding leiden ook tot aanpassing van autorisaties. Vastlegging van autorisatieaanvragen in een SOLL -positie. Dit is een normpositie die weergeeft hoe de autorisaties binnen een systeem ingericht zouden moeten zijn. Scheiding van beheer van autorisaties binnen een systeem en de normale verwerkingsorganisatie. Dit is een gevolg van de constatering dat de autorisatiebeheerder de rechten heeft om autorisaties in te richten en er voor de 12 Groen, P. Application controls in een breed perspectief, Informatiebeveiliging, november

17 beheerder binnen de applicatie nauwelijks functiescheidingen worden afgedwongen, omdat hij deze beheert. Periodieke controle van de juistheid van de autorisaties binnen het systeem (de IST -positie) met de SOLL -positie. Deze controles worden bij voorkeur door een persoon onafhankelijk van de beheerder uitgevoerd. De controleerbare vastlegging van goedkeuring, verwerking en controle binnen het autorisatiebeheerproces. Dit kan betekenen dat aanvraagformulieren worden gearchiveerd, maar ook dat de handelingen van de functioneel applicatiebeheerder in de vorm van logging wordt vastgelegd. Deze logging kan niet worden gemuteerd door de persoon wiens handelingen met behulp van deze logging gecontroleerd wordt. Indien dit proces niet betrouwbaar wordt toegepast heeft dit als risico dat autorisaties door ongeautoriseerde personen in productie kunnen worden gebracht, met als gevolg dat autorisaties te ruim worden ingesteld. Daarnaast bestaat het risico dat autorisaties na uitdiensttreding niet worden gedeactiveerd wat kan resulteren in misbruik door andere gebruikers. 3.4 IDM, IT General Controls en application controls In hoofdstuk 2 is de toepassing van Identity Management uitgewerkt door de verschillende onderdelen (waaronder autorisatiemanagement) te introduceren. In hoofdstuk 3 is gebleken dat vanuit het perspectief van de jaarrekeningcontrole het beheer van autorisaties (opgenomen in de IT General Controls) en de inrichting van autorisaties (opgenomen in de application controls en afgeleid van de AO/IC) in grote mate overlappen met de onderdelen van Identity Management voor de inrichting en beheer van autorisaties. Wanneer een organisatie IDM heeft ingevoerd, en deze van toepassing is op de systemen die in het kader van de jaarrekeningcontrole van belang zijn, dient een IT auditor deze in zijn onderzoek mee te nemen. De IT auditor dient in zijn onderzoek zowel de kansen (door de mogelijkheid van een meer systeemgerichte aanpak te onderzoeken) en de risico s (doordat er in hogere mate gebruik wordt gemaakt van automatisering) te beoordelen. 3.5 Samenvatting In dit hoofdstuk worden de onderdelen van Identity Management en de relatie met de jaarrekeningcontrole samengebracht. Samengevat kan worden gesteld dat Identity Management de beheersing en inrichting van autorisaties omvat, en dat deze elementen van belang zijn voor de jaarrekeningcontrole, indien deze steunt op de beoordeling van financiële processen. Het belang van autorisaties komt tot uitdrukking omdat deze functiescheidingen op de meest effectieve wijze afdwingen. In hoeverre IDM kansen biedt of risico s vormt voor de controleaanpak, zal in hoofdstuk 4 worden toegelicht. 17

18 4 Kansen voor de jaarrekeningcontrole Zoals in hoofdstuk twee is beschreven biedt IDM volgens de literatuur diverse voordelen voor bedrijven. Zoals uit hoofdstuk drie is gebleken, zijn in het kader van de jaarrekeningcontrole de aspecten beheersing en inrichting van autorisaties de belangrijkste aandachtspunten. Geschetst is tevens dat de IT auditor in zijn onderzoek de risico s voor de jaarrekeningcontrole dient te beoordelen. In dit hoofdstuk zullen de kansen van IDM voor de jaarrekeningcontrole worden beschreven. In dit hoofdstuk zullen wij tevens de verschijningsvormen van Identity Management (zie hoofdstuk twee) in relatie brengen tot de mate waarin de kansen van Identity Management van toepassing zijn. 4.1 Beperking van het aantal te controleren relaties In hoofdstuk twee hebben we RBAC geïntroduceerd als één van de onderdelen van IDM. In hoofdstuk drie is vastgesteld dat de IT auditor binnen het kader van de jaarrekeningcontrole zich met name zal richten op het vaststellen van de betrouwbare vertaling van de AO/IC (en hierbinnen functiescheidingen) naar autorisaties binnen de doelsystemen die voor de jaarrekening van belang zijn. In deze paragraaf zullen we aantonen dat, om de juistheid van de autorisaties voor medewerkers vast te stellen, het aantal te controleren relaties ten gevolge van RBAC afneemt Beschrijving kans Om de toegevoegde waarde van RBAC voor de jaarrekeningcontrole te illustreren maken wij gebruik van een rekenmodel, waarin de traditionele situatie, waarin medewerkers rechtstreeks aan rechten worden gekoppeld wordt vergeleken met een situatie waarin gebruikers aan rollen en rollen aan systeemrechten worden gekoppeld. In figuur 4.1 zijn de twee situaties naast elkaar gezet. Aan de rechterzijde wordt de traditionele situatie weergegeven waarbij een medewerker over verschillende identiteiten beschikt en waarbij aan iedere identiteit vervolgens systeemrechten zijn gekoppeld. Aan de linkerzijde wordt de situatie geschetst waarbij een medewerker over één identiteit beschikt waar verschillende rollen en rechten aan zijn gekoppeld. 18

19 RBAC 1000 Traditioneel User Business Role Business Task User Systeemrollen Systeemrollen Permissies Permissies Figuur 4.1 Traditionele versus RBAC inrichting De wijze waarop een identiteit aan rechten zijn gekoppeld heeft direct impact op het door de IT-auditor te controleren aantal relaties. We hebben hier aangenomen dat de rechten op detailniveau alle van belang zijn voor de jaarrekeningcontrole. Dit is een hypothetische situatie die niet is gebaseerd op een organisatie die we in de praktijk zijn tegengekomen. Traditionele situatie Uit het rekenmodel blijkt, dat in de traditionele situatie, de rechten van alle gebruikers moeten worden gecontroleerd. Het betreffen hier 1000 personen, die in totaal in het bezit zijn van 4000 digitale identiteiten, aangezien medewerkers in de praktijk elk toegang hebben tot meerdere applicaties. In totaal zijn er 2000 systeemrollen van belang voor de jaarrekening. Het totaal aantal te controleren relaties is afhankelijk van een aantal dingen: Ten eerste dient voor elke persoon vastgesteld te worden welke digitale identiteiten hij gebruikt. Hiervoor dient voor 4000 identiteiten te worden vastgesteld welke medewerker bij de identiteit hoort. Wanneer een identiteit aan een medewerker is gekoppeld hoeft niet verder te worden gezocht naar andere combinaties dus er zijn 4000 te controleren relaties. Daarnaast dient per digitale identiteit vastgesteld te worden welke rechten deze bezit. Daarnaast is het vanuit het oogpunt van functiescheiding van belang te weten dat een identiteit rechten niet bezit. Dit maakt een controle van alle autorisaties noodzakelijk. Dit zijn in totaal 4000 (users) x 2000 (systeemrollen) = combinaties. In totaal dienen er in de traditionele situatie dus = relaties gecontroleerd te worden. 19

20 Rolgebaseerd autoriseren Rolgebaseerd autoriseren gebaseerd op het gebruik van rollen heeft als gevolg dat het aantal te controleren relaties kan worden beperkt. Binnen het concept Identity Management is het van belang dat een medewerker slechts één digitale identiteit heeft. Concreet betekent dit dat 1000 personen in het bezit zijn van in totaal 1000 digitale identiteiten. Hiervan dient de 1-op-1 relatie vastgesteld te worden. Daarnaast moet voor elke digitale identiteit worden vastgesteld, aan welke business role deze is gekoppeld, bijvoorbeeld medewerker financiële administratie A. Vastgesteld dient te worden dat een medewerker ten eerste is gekoppeld aan de business roles die bij de functie behoren en ten tweede dat de medewerker niet is gekoppeld aan business roles die niet bij de functie behoren. Het aantal te controleren combinaties betreft 1000 (identiteiten) x 100 (business roles) = Daarnaast moet voor elke business role worden vastgesteld, welke business tasks hier aan zijn gekoppeld, bijvoorbeeld muteren crediteuren stamgegevens en tevens dat de business role niet is gekoppeld aan business tasks die in conflict zijn met de al gekoppelde business tasks. De relaties tussen de identiteiten en de business tasks hoeft niet voor alle identiteiten te worden vastgesteld aangezien de relatie tussen business role en business tasks gelijk blijft ongeacht het aantal identiteiten. Er zijn 100 (business roles) x 1000 (business tasks) = combinaties mogelijk. Tot slot worden de business tasks vertaald naar systeemrollen binnen de automatiseringsomgeving. Hier zijn 1000 (business tasks) x 2000 (systeemrollen) = combinaties mogelijk. De onderlinge relatie tussen business tasks en systeemrollen is relatief statisch, ongeacht of er meer of minder identiteiten of business roles worden gedefinieerd. Binnen dit rekeningmodel zijn er met gebruikmaking van RBAC = relaties die van belang zijn voor de jaarrekening. Uit dit rekenmodel blijkt dat het gebruik van RBAC het aantal door de IT auditor te controleren combinaties wordt beperkt. De oorzaak moet worden gezocht in het beperken van het aantal digitale identiteiten per persoon, en de groepering van business roles, business tasks en system roles Relatie met verschijningsvormen In het onderzoek hebben wij geen aanwijzingen gevonden dat de verschijningsvorm van invloed is op het aantal te controleren combinaties. Het onderscheid tussen de verschijningsvormen heeft met name betrekking op de plaats waar de beslissing wordt genomen om een bepaalde rol toe te wijzen aan een identiteit, in het IDM-systeem of in het doelsysteem. RBAC kan in alle drie situaties in dezelfde mate worden doorgevoerd. 4.2 Betrouwbare beheersing autorisatieproces In hoofdstuk 3 is vastgesteld dat een betrouwbaar beheer van autorisaties een voorwaarde is voor de juistheid van de autorisaties. In deze paragraaf wordt toegelicht dat userprovisioning dit proces automatiseert en daarmee de risico s van een handmatig proces vermindert. 20

Op naar een excellente controle

Op naar een excellente controle Op naar een excellente controle Welke controlewerkzaamheden kunnen verder geoptimaliseerd worden om kosten te besparen of om meer toegevoegde waarde te kunnen bieden aan cliënten? Hoe kunnen deze werkzaamheden

Nadere informatie

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard Pagina 1 van 6 Inhoudsopgave 1. Aanleiding 3 2. Structureel / incidenteel 3 3. Opdrachtgever 3 4. Opdrachtnemer 3 5. Relevante wet- en regelgeving 3 6.

Nadere informatie

Identity & Access Management. operational excellence of in control?

Identity & Access Management. operational excellence of in control? Compact 2005/3 Identity & Access Management: operational excellence of in control? Ing. J.A.M. Hermans RE en drs. J. ter Hart Identity & Access Management staat binnen de meeste organisaties volop in de

Nadere informatie

DATA-ANALYSES IN PRAKTIJK

DATA-ANALYSES IN PRAKTIJK DATA-ANALYSES IN PRAKTIJK 11 mrt 15 Anco Bruins Mazars Management Consultants 1 EVEN VOORSTELLEN Drs. Anco Bruins RA EMITA Manager IT Audit Mazars Management Consultants 14 jaar ervaring in de MKBaccountantscontrole

Nadere informatie

Identity Management Gebruikers en Rechten in Beheer (GRiB)

Identity Management Gebruikers en Rechten in Beheer (GRiB) Identity Management Gebruikers en Rechten in Beheer (GRiB) Meer grip op hoe we regelen wie wat mag P.J.M. Poos (Piet) Programma manager SNS REAAL organisatie Raad van Bestuur Groepsstaven SNS Bank REAAL

Nadere informatie

Secure Application Roles

Secure Application Roles Secure Application Roles Beheer de toegang tot de database 1. Inleiding Het realiseren van geautoriseerde toegang tot een database lijkt eenvoudig. Echter, vaak blijkt dat dezelfde combinatie van gebruikersnaam

Nadere informatie

De toekomst van een IT-auditor in een integrated / financial audit. Robert Johan Tom Koning

De toekomst van een IT-auditor in een integrated / financial audit. Robert Johan Tom Koning De toekomst van een IT-auditor in een integrated / financial audit Robert Johan Tom Koning Probleemanalyse Gebrek aan kennis accountant Niet doorvragen bij termen smijten Moeite toegevoegde waarde te tonen

Nadere informatie

Auditaspecten binnen autorisaties in SAP R/3

Auditaspecten binnen autorisaties in SAP R/3 Auditaspecten binnen autorisaties in SAP R/3 Vrije Universiteit Amsterdam Postgraduate IT Audit Opleiding Eindscriptie, mei 2007 Ewald Franse Voorwoord Deze scriptie is de afsluiting van de Postgraduate

Nadere informatie

IAM en Cloud Computing

IAM en Cloud Computing IAM en Cloud Computing Cloud café 14 Februari 2013 W: http://www.identitynext.eu T: @identitynext www.everett.nl www.everett.nl Agenda 1. Introductie 2. IAM 3. Cloud 4. IAM en Cloud 5. Uitdagingen 6. Tips

Nadere informatie

Single sign on kan dé oplossing zijn

Single sign on kan dé oplossing zijn Whitepaper Single sign on kan dé oplossing zijn door Martijn Bellaard Martijn Bellaard is lead architect bij TriOpSys en expert op het gebied van security. De doorsnee ICT-omgeving is langzaam gegroeid

Nadere informatie

Continuous auditing and continuous monitoring: continuous solutions? J. Jacobs en M. Hoetjes

Continuous auditing and continuous monitoring: continuous solutions? J. Jacobs en M. Hoetjes Continuous auditing and continuous monitoring: continuous solutions? J. Jacobs en M. Hoetjes Introductie Jacco Jacobs E-mail: jacco.jacobs@nl.ey.com Internet: www.ey.com Meta Hoetjes E-mail: meta.hoetjes@csi4grc.com

Nadere informatie

HANDLEIDING DOMEINREGISTRATIE EN DNS- BEHEER

HANDLEIDING DOMEINREGISTRATIE EN DNS- BEHEER HANDLEIDING DOMEINREGISTRATIE EN DNS- BEHEER versie 2.0, 11 december 2009 SURFNET BV, RADBOUDKWARTIER 273, POSTBUS 19035, 3501 DA UTRECHT T +31 302 305 305, F +31 302 305 329, WWW.SURFNET. NL INHOUD 1.

Nadere informatie

Single Sign On. voor. Residentie.net en Denhaag.nl

Single Sign On. voor. Residentie.net en Denhaag.nl Single Sign On voor Residentie.net en Denhaag.nl Omschrijving : -- Opgesteld door : Leon Kuunders Referentie : -- Datum : 30 augustus 2003 Versie : 0.31 (draft) Versiebeheer Versie Datum Auteur Wijziging

Nadere informatie

Handleiding uitvoering ICT-beveiligingsassessment

Handleiding uitvoering ICT-beveiligingsassessment Handleiding uitvoering ICT-beveiligingsassessment Versie 2.1 Datum : 1 januari 2013 Status : Definitief Colofon Projectnaam : DigiD Versienummer : 2.0 Contactpersoon : Servicecentrum Logius Postbus 96810

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

Actieplan naar aanleiding van BDO-onderzoek. Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012

Actieplan naar aanleiding van BDO-onderzoek. Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012 Actieplan naar aanleiding van BDO-onderzoek Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012 Inhoudsopgave - Actieplan GVB Raad van Commissarissen GVB Holding N.V. n.a.v. BDO-rapportage 13

Nadere informatie

Compliance Program. Voor pensioenfondsen die pensioenadministratie en/of vermogensbeheer geheel of gedeeltelijk hebben uitbesteed

Compliance Program. Voor pensioenfondsen die pensioenadministratie en/of vermogensbeheer geheel of gedeeltelijk hebben uitbesteed Compliance Program Voor pensioenfondsen die pensioenadministratie en/of vermogensbeheer geheel of gedeeltelijk hebben uitbesteed September 2008 Inhoudsopgave 1 Inleiding 1 1.1 Voorwoord 1 1.2 Definitie

Nadere informatie

Controleprotocol subsidies gemeente Alkmaar voor verantwoording subsidies > 250.000

Controleprotocol subsidies gemeente Alkmaar voor verantwoording subsidies > 250.000 Controleprotocol subsidies gemeente Alkmaar voor verantwoording subsidies > 250.000 1 Algemeen Op grond van de Kaderverordening Subsidieverstrekking van de gemeente Alkmaar kunnen subsidies worden verstrekt.

Nadere informatie

Doxis Informatiemanagers

Doxis Informatiemanagers Substitutie Doxis Informatiemanagers Grootste adviesburo op het gebied van informatiemanagement in Nederland Zelfstandig bedrijfsonderdeel van Ernst & Young Jarenlange ervaring bij NL Overheid Gedegen

Nadere informatie

Rijkspas: veiligheid en flexibiliteit. ID-ware, C. Borgmann, MSc Heerhugowaard 24 november 2011

Rijkspas: veiligheid en flexibiliteit. ID-ware, C. Borgmann, MSc Heerhugowaard 24 november 2011 Rijkspas: veiligheid en flexibiliteit ID-ware, C. Borgmann, MSc Heerhugowaard 24 november 2011 24-11-2011 Profile Consultancy Services State of the art software solutions Project implementation Life-cycle

Nadere informatie

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden

Nadere informatie

Authenticatie wat is dat?

Authenticatie wat is dat? Authenticatie wat is dat? Authenticatie Authenticatie is het proces waarbij iemand nagaat of een gebruiker, een andere computer of applicatie daadwerkelijk is wie hij beweert te zijn. Bij de authenticatie

Nadere informatie

INTERNATIONALE CONTROLESTANDAARD 402 IN OVERWEGING TE NEMEN FACTOREN BIJ DE CONTROLE VAN ENTITEITEN DIE GEBRUIKMAKEN VAN SERVICE-ORGANISATIES

INTERNATIONALE CONTROLESTANDAARD 402 IN OVERWEGING TE NEMEN FACTOREN BIJ DE CONTROLE VAN ENTITEITEN DIE GEBRUIKMAKEN VAN SERVICE-ORGANISATIES INTERNATIONALE CONTROLESTANDAARD 402 IN OVERWEGING TE NEMEN FACTOREN BIJ DE CONTROLE VAN ENTITEITEN DIE GEBRUIKMAKEN VAN SERVICE-ORGANISATIES INHOUDSOPGAVE Paragrafen Inleiding... 1-3 Door de auditor in

Nadere informatie

Derden-mededeling Overstapservice Onderwijs

Derden-mededeling Overstapservice Onderwijs Mededeling over de betrouwbaarheid van de Overstapservice Onderwijs Onlangs heeft Infoseccon BV een rapport over het geautomatiseerde systeem van Overstapservice Onderwijs (OSO) uitgebracht. Infoseccon

Nadere informatie

Rapportage Pizzasessie Functioneel-beheer.com Specialisten Managers Adviseurs Algemeen functioneel beheer applicatiebeheer informatiemanagement

Rapportage Pizzasessie Functioneel-beheer.com Specialisten Managers Adviseurs Algemeen functioneel beheer applicatiebeheer informatiemanagement Rapportage Pizzasessie Functioneel-beheer.com Alle deelnemers hebben hun functienaam opgegeven. De volgende functienamen zijn gemeld: Specialisten o Functioneel beheerder (9x) o Functioneel applicatiebeheerder

Nadere informatie

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015 Bedrijfsvoering De gemeenteraad van Bloemendaal Datum : 19 augustus 2015 Uw kenmerk : Ons kenmerk : 2015056815 Behandeld door : J. van der Hulst Doorkiesnummer : 023-522 5592 Onderwerp : Rapportage informatiebeveiliging

Nadere informatie

Sparse columns in SQL server 2008

Sparse columns in SQL server 2008 Sparse columns in SQL server 2008 Object persistentie eenvoudig gemaakt Bert Dingemans, e-mail : info@dla-os.nl www : http:// 1 Content SPARSE COLUMNS IN SQL SERVER 2008... 1 OBJECT PERSISTENTIE EENVOUDIG

Nadere informatie

Meer Business mogelijk maken met Identity Management

Meer Business mogelijk maken met Identity Management Meer Business mogelijk maken met Identity Management De weg naar een succesvolle Identity & Access Management (IAM) implementatie David Kalff OGh 14 september 2010 't Oude Tolhuys, Utrecht Agenda Herkent

Nadere informatie

De veranderingen die SOA brengt toegespitst op IAM

De veranderingen die SOA brengt toegespitst op IAM De veranderingen die SOA brengt toegespitst op IAM Scriptie ter afsluiting van de postgraduate IT Audit Opleiding aan de Vrije Universiteit Amsterdam Auteur: Student nr.: Scriptiebegeleider VU Scriptiebegeleider

Nadere informatie

NORA werkdocument. Katern Beveiliging. In 3 klikken naar bouwstenen voor invulling van de eisen. Sessie 6. Bijgewerkt op 23 aug.

NORA werkdocument. Katern Beveiliging. In 3 klikken naar bouwstenen voor invulling van de eisen. Sessie 6. Bijgewerkt op 23 aug. NORA werkdocument Sessie 6 In 3 klikken naar bouwstenen voor invulling van de eisen Katern Beveiliging Bijgewerkt op 23 aug. 2013 katern Beveiliging Jaap van der Veen Essentie Sessie 6 1. Opzet digitaal

Nadere informatie

Welkom bij parallellijn 1 On the Move 14.20 15.10 uur

Welkom bij parallellijn 1 On the Move 14.20 15.10 uur Welkom bij parallellijn 1 On the Move 14.20 15.10 uur Stap 4 van de BIG Hoe stel ik vast of de informatiebeveiligingsmaatregelen van mijn gemeente effectief zijn en hoe rapporteer ik hierover? 1 IBD-Praktijkdag

Nadere informatie

ICT Accountancy. Praktijkdag Webwinkels en Boekhouden

ICT Accountancy. Praktijkdag Webwinkels en Boekhouden ICT Accountancy Praktijkdag Webwinkels en Boekhouden Thema Betrouwbaar Administreren Misbruik Afrekensystemen Misbruik Afrekensystemen Internationaal probleem Veel oplossingsrichtingen Overleg Belastingdienst

Nadere informatie

Studie Role Based Access Control

Studie Role Based Access Control Platform Informatiebeveiliging Studie Role Based Access Control Versie 1.0 November 2005 PI RBAC versie 1.0 doc Inhoudsopgave Managementsamenvatting 3 1. Inleiding 5 2. Autorisatiebeheer en RBAC 6 2.1

Nadere informatie

info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013

info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013 info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013 2 Boekhouden in de cloud!! 3 Aanbod te over: 4 5 Hoe betrouwbaar en veilig is online administratieve

Nadere informatie

Controletechnische functiescheiding

Controletechnische functiescheiding Controletechnische functiescheiding A3040^1. Controletechnische functiescheiding drs. A.J.A. Hassing RE RA 1 1 Inleiding A3040 ^ 3 2 Functies A3040 ^ 4 2.1 Beschikken A3040 ^ 4 2.2 Bewaren A3040 ^ 4 2.3

Nadere informatie

Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens;

Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; besluit vast te stellen de navolgende Beheerregeling

Nadere informatie

Gebruikershandleiding ZorgInfo Verstrekkingen Portaal (VP)

Gebruikershandleiding ZorgInfo Verstrekkingen Portaal (VP) Gebruikershandleiding ZorgInfo Verstrekkingen Portaal (VP) Gebruikershandleiding depothouder 2.0.docx 29-12-14 1 van 16 Inleiding Het ZorgInfo Verstrekkingen Portaal (VP) is een internetapplicatie waarmee

Nadere informatie

Controleverklaring van de onafhankelijke accountant

Controleverklaring van de onafhankelijke accountant Controleverklaring van de onafhankelijke accountant Aan: de algemene vergadering van Nederlandse Waterschapsbank N.V. Verklaring over de jaarrekening 2014 Ons oordeel Wij hebben de jaarrekening 2014 van

Nadere informatie

Afstudeerscriptie: Computer-assisted audit techniques (CAATs)

Afstudeerscriptie: Computer-assisted audit techniques (CAATs) Afstudeerscriptie: Computer-assisted audit techniques (CAATs) Afstudeerscriptie Definitieve versie 5 juni 2008 Hugo de Vries, hugo@hugodevries.eu; Studentnummer: 9981236 Teamnummer: 831 Vrije Universiteit

Nadere informatie

Zou het niet iedeaal zijn

Zou het niet iedeaal zijn Zou het niet iedeaal zijn ...als op de eerste werkdag van een nieuwe medewerker alles klaarstaat?! Er zal geen discussie over bestaan. Het zou ideaal zijn wanneer alle voorzieningen op de eerste werkdag

Nadere informatie

CONTROLEER HET GEGEVEN VERTROUWEN

CONTROLEER HET GEGEVEN VERTROUWEN Informatiemanagement Functiescheidingen EER HET GEGEVEN VERTROUWEN Functiescheiding vindt plaats in iedere organisatie waar arbeidsverdeling aanwezig is. De auteur reikt in dit artikel een methode aan

Nadere informatie

Besluit tot wijziging van de Nadere voorschriften controleen overige standaarden Vastgesteld 18 december 2008

Besluit tot wijziging van de Nadere voorschriften controleen overige standaarden Vastgesteld 18 december 2008 Besluit tot wijziging van de Nadere voorschriften controleen overige standaarden Vastgesteld 18 december 2008 1 Besluit tot wijziging van de Nadere voorschriften controle- en overige standaarden Vastgesteld

Nadere informatie

Voorstel aan dagelijks bestuur

Voorstel aan dagelijks bestuur Voorstel aan dagelijks bestuur Datum vergadering 26-08-2014 Agendapunt 8 Steller / afdeling P. Daelmans / Middelen Openbaar Ja Bestuurder R.L.M. Sleijpen Bijlage(n) 1 Programma Bedrijfsvoering Registratiecode

Nadere informatie

Kernwaarden versus principes. Johan Hobelman Nieuwegein, november 2011

Kernwaarden versus principes. Johan Hobelman Nieuwegein, november 2011 Kernwaarden versus principes Johan Hobelman Nieuwegein, november 2011 Enkele definities van architectuurprincipes: Fundamentele organisatiespecifieke keuzes Richtinggevende afspraken Regels en richtlijnen

Nadere informatie

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Zekerheid in de Cloud ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Agenda - Wat speelt zich af in de Cloud - Cases - Keurmerk Zeker-OnLine - Wat is het belang van de accountant en het administratiekantoor

Nadere informatie

Data-analyse in de praktijk D E T O E PA S S I N G B I J V I S S E R & V I S S E R A C C O U N TA N T S - B E L A S T I N G A D V I S E U R S

Data-analyse in de praktijk D E T O E PA S S I N G B I J V I S S E R & V I S S E R A C C O U N TA N T S - B E L A S T I N G A D V I S E U R S Data-analyse in de praktijk D E T O E PA S S I N G B I J V I S S E R & V I S S E R A C C O U N TA N T S - B E L A S T I N G A D V I S E U R S Agenda Plaats in de praktijk Toepassing in audit De werkvloer

Nadere informatie

HOEBERT HULSHOF & ROEST

HOEBERT HULSHOF & ROEST Inleiding Artikel 1 Deze standaard voor aan assurance verwante opdrachten heeft ten doel grondslagen en werkzaamheden vast te stellen en aanwijzingen te geven omtrent de vaktechnische verantwoordelijkheid

Nadere informatie

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com Veilig de cloud in Whitepaper over het gebruik van Cloud-diensten deel 1 www.traxion.com Introductie Deze whitepaper beschrijft de integratie aspecten van clouddiensten. Wat wij merken is dat veel organisaties

Nadere informatie

Taakcluster Operationeel support

Taakcluster Operationeel support Ideeën en plannen kunnen nog zo mooi zijn, uiteindelijk, aan het eind van de dag, telt alleen wat werkelijk is gedaan. Hoofdstuk 5 Taakcluster Operationeel support V1.1 / 01 september 2015 Hoofdstuk 5...

Nadere informatie

BPM voor Sharepoint: het beste van twee werelden

BPM voor Sharepoint: het beste van twee werelden BPM voor Sharepoint: het beste van twee werelden BPM voor Sharepoint: het beste van twee werelden Analisten als Gartner en Forrester voorzien dat Sharepoint dé standaard wordt voor document management

Nadere informatie

De spreadsheet van het strafbankje

De spreadsheet van het strafbankje Artikel De spreadsheet van het strafbankje Een pragmatische aanpak voor End User Computing Trudy Onland Sinds de introductie van Sarbanes Oxley wet (SOx) ontbreken duidelijke en eenduidige richtlijnen

Nadere informatie

Modules Online Kostenbeheer Mobiel. Dienstbeschrijving

Modules Online Kostenbeheer Mobiel. Dienstbeschrijving Modules Online Kostenbeheer Mobiel Dienstbeschrijving A ugust us 201 3 1 Overzicht 1.1 Wat is Online Kostenbeheer Mobiel? Online Kostenbeheer Mobiel is een aanvulling op mogelijkheden rondom facturen binnen

Nadere informatie

Handleiding voor beheerders SesamID

Handleiding voor beheerders SesamID Handleiding voor beheerders SesamID Versie 3.0 Mei 2013 2013 Copyright KPN Lokale Overheid Alle rechten voorbehouden. Zonder voorafgaande schriftelijke toestemming van KPN Lokale overheid mag niets uit

Nadere informatie

Governance, Risk and Compliance (GRC) tools

Governance, Risk and Compliance (GRC) tools Governance, Risk and Compliance (GRC) tools Auteurs: Peter Paul Brouwers en Maurice op het Veld Samenvatting Het voldoen aan de wet- en regelgeving met betrekking tot bijvoorbeeld de Sarbanes Oxley Act

Nadere informatie

BEVEILIGINGSARCHITECTUUR

BEVEILIGINGSARCHITECTUUR BEVEILIGINGSARCHITECTUUR Risico s onder controle Versie 1.0 Door: drs. Ir. Maikel J. Mardjan MBM - Architect 2011 cc Organisatieontwerp.nl AGENDA Is een beveiligingsarchitectuur wel nodig? Oorzaken beveiligingsincidenten

Nadere informatie

Identity as a Service: procesbeschrijvingen

Identity as a Service: procesbeschrijvingen Identity as a Service: procesbeschrijvingen Project : SURFworks Identity as a Service Projectjaar : 2009 Projectmanager : Remco Poortinga-van Wijnen, Roland van Rijswijk Auteur(s) : Arjo Duineveld (IGI)

Nadere informatie

SiSa cursus 2013. Gemeente en accountant. 21 november 2013

SiSa cursus 2013. Gemeente en accountant. 21 november 2013 SiSa cursus 2013 Gemeente en Welkom Even voorstellen EY: Stefan Tetteroo RA Page 1 Agenda Doelstelling Accountant en gemeente Onze visie inzake de betrokken actoren Coördinatie- en controlefunctie binnen

Nadere informatie

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag André Salomons Smart SharePoint Solutions BV Cloud security en de rol van de accountant ICT Accountancy praktijkdag Cloud security moet uniformer en transparanter, waarom deze stelling? Links naar de artikelen

Nadere informatie

Doel. Context VSNU UFO/INDELINGSINSTRUMENT FUNCTIEFAMILIE ICT FUNCTIONEEL (INFORMATIE) BEHEERDER VERSIE 1 MEI 2012

Doel. Context VSNU UFO/INDELINGSINSTRUMENT FUNCTIEFAMILIE ICT FUNCTIONEEL (INFORMATIE) BEHEERDER VERSIE 1 MEI 2012 Functioneel (informatie) beheerder Doel Zorgdragen voor het inrichten, aanpassen, vernieuwen en onderhouden van de informatievoorziening (processen, procedures en/of systemen), passend binnen het informatiebeleid

Nadere informatie

Verplichtingen administratie. Brochure - Verplichtingen administratie

Verplichtingen administratie. Brochure - Verplichtingen administratie Brochure - Verplichtingen administratie Ontwikkeld door: Van der Heijde Automatisering B.V. Registratie van verplichtingen van debiteuren en aan crediteuren Uitgebreide structuur voor autorisatie van verschillende

Nadere informatie

Informatie over logging gebruik Suwinet-Inkijk

Informatie over logging gebruik Suwinet-Inkijk Inhoudsopgave Inhoudsopgave... 2 1 Inleiding... 3 2 Logging als taak van het BKWI... 3 3 Informeren van gebruikers... 5 4 Rapportage over logging...6 Documenthistorie... 7 Auteur: J.E.Breeman Datum document:

Nadere informatie

A C C E S S & I D E N T I T Y m A N A G E M E N T

A C C E S S & I D E N T I T Y m A N A G E M E N T Z O R G A C C E S S & I D E N T I T Y m A N A G E M E N T Balans tussen toegankelijkheid en beveiliging "Is het mogelijk dat de medische staf overal en snel over medische gegevens kan beschikken, terwijl

Nadere informatie

Access Governance: een einde aan de worsteling rondom autorisatiemanagement?

Access Governance: een einde aan de worsteling rondom autorisatiemanagement? 22 Het beheersen van de toegang met betrekking tot applicaties en systemen en het hierover verantwoording kunnen afleggen, is voor veel organisaties een uitdaging. In dit artikel wordt een praktische aanpak

Nadere informatie

Identity & Access Management

Identity & Access Management Identity & Access Management Whitepaper Rolf Emmens Information Consultant Security Deze whitepaper laat u de Inter Access visie op en de aanpak rondom de implementatie van Identity & Access Management

Nadere informatie

Medewerker administratieve processen en systemen

Medewerker administratieve processen en systemen processen en systemen Doel Voorbereiden, analyseren, ontwerpen, ontwikkelen, beheren en evalueren van procedures en inrichting van het administratieve proces en interne controles, rekening houdend met

Nadere informatie

ISO 9000:2000 en ISO 9001:2000. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V.

ISO 9000:2000 en ISO 9001:2000. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V. ISO 9000:2000 en ISO 9001:2000 Een introductie Algemene informatie voor medewerkers van: SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 11 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2 VERSIEBEHEER...

Nadere informatie

MEMO AAN DE GEMEENTERAAD

MEMO AAN DE GEMEENTERAAD MEMO AAN DE GEMEENTERAAD Aan T.a.v. Datum Betreft Van Ons kenmerk CC De gemeenteraad - 23 maart 2012 Interim-controle 2011 Deloitte Het college 112623 Paraaf Datum Controller RP 22-3-2012 Directie Geachte

Nadere informatie

Auteur: Emanuël van der Hulst (KPMG) Bedrijfscoach: John Hermans (KPMG) Begeleidend docent: Bart Bokhorst Scriptiecoördinator: Jan Steen

Auteur: Emanuël van der Hulst (KPMG) Bedrijfscoach: John Hermans (KPMG) Begeleidend docent: Bart Bokhorst Scriptiecoördinator: Jan Steen Enterprise Identity & Access Management Hoe kan Enterprise Identity & Access Management effectief, efficiënt en conform nalevingsverplichtingen worden ingericht bij grote organisaties met verschillende

Nadere informatie

15 July 2014. Betaalopdrachten web applicatie beheerders handleiding

15 July 2014. Betaalopdrachten web applicatie beheerders handleiding Betaalopdrachten web applicatie beheerders handleiding 1 Overzicht Steeds vaker komen we de term web applicatie tegen bij software ontwikkeling. Een web applicatie is een programma dat online op een webserver

Nadere informatie

Burgemeester en Wethouders

Burgemeester en Wethouders Burgemeester en Wethouders Aan de gemeenteraad Datum 17 mei 2011 Contactpersoon V. van der Heide Ons kenmerk DIV-2011-8785 Doorkiesnummer 5165212 Onderwerp Reactie verslag van bevindingen externe accountant

Nadere informatie

Centrale label management systemen

Centrale label management systemen Centrale label management systemen Data-driven versus layout-driven label management Datum: 03-november-2010 Auteur: Jack de Hamer M.Sc. Versie: 2.1 Status: Final Pagina 1 van 7 Introductie Simpel gezegd

Nadere informatie

Uitkomsten onderzoek Controle en Vertrouwen. 7 mei 2012

Uitkomsten onderzoek Controle en Vertrouwen. 7 mei 2012 Uitkomsten onderzoek Controle en Vertrouwen 7 mei 2012 Voorwoord Onderwerp: resultaten onderzoek Controle en Vertrouwen Geachte heer, mevrouw, Hartelijk dank voor uw medewerking aan het onderzoek naar

Nadere informatie

Auditing van single client ERP

Auditing van single client ERP 14 Auditing van single client ERP Drs. Roeland van den Heuvel en drs. Dennis Hallemeesch Drs. R. van den Heuvel is manager bij KPMG IT Advisory en betrok ken bij een grote diversiteit aan audit- en adviesopdrachten

Nadere informatie

Deloitte. Openbaar Lichaam Afvalstoffenverwijdering Zeeland. Rapport van bevindingen voor het boekjaar eindigend op 31 december 2014.

Deloitte. Openbaar Lichaam Afvalstoffenverwijdering Zeeland. Rapport van bevindingen voor het boekjaar eindigend op 31 december 2014. Deloitte Accountants B.V. Park Veidzigt 25 4336 DR Middelburg Postbus 7056 4330 GB Middelburg Nederland Tel: 088 288 2888 Fax 088 288 9895 www.deloitte.n1 Openbaar Lichaam Afvalstoffenverwijdering Zeeland

Nadere informatie

DOORSTAAT UW RISICOMANAGEMENT DE APK?

DOORSTAAT UW RISICOMANAGEMENT DE APK? WHITEPAPER DOORSTAAT UW RISICOMANAGEMENT DE APK? DOOR M. HOOGERWERF, SENIOR BUSINESS CONS ULTANT Risicomanagement is tegenwoordig een belangrijk onderdeel van uw bedrijfsvoering. Dagelijks wordt er aandacht

Nadere informatie

Om Access Online veilig te houden, gelden er vanaf 2013 aanpassingen. Deze aanpassingen maken onderdeel

Om Access Online veilig te houden, gelden er vanaf 2013 aanpassingen. Deze aanpassingen maken onderdeel Aanpassen van Access Online Beheermodule eiligheidsaanpassingen in Access Online Handleiding Access Online Aanpassen van de beheermodule November 2012 Om Access Online veilig te houden, gelden er vanaf

Nadere informatie

ICT Beheermodel informatiesystemen Drechtsteden Baseline inrichting ICT beheermodel Drechtsteden

ICT Beheermodel informatiesystemen Drechtsteden Baseline inrichting ICT beheermodel Drechtsteden Drechtsteden Technische Architectuur (DTA) ICT Beheermodel informatiesystemen Drechtsteden Baseline inrichting ICT beheermodel Drechtsteden Status : Definitief 1.0 Redactie : DTA Datum : 29-08-2007 1 Versiebeheer

Nadere informatie

Factsheet Penetratietest Infrastructuur

Factsheet Penetratietest Infrastructuur Factsheet Penetratietest Infrastructuur Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Privacy Verklaring versie 01-10-2015

Privacy Verklaring versie 01-10-2015 Privacy Verklaring versie 01-10-2015 1. Algemene bepalingen inzake gegevensverwerking 1.1. Met gegevensverwerking wordt het verzamelen, vastleggen, arrangeren, bewaren, wijzigen, openbaar maken, overleggen,

Nadere informatie

Identity & Access Management (IAM) Verleden, heden en toekomst 24 maart 2009. Trudie Seegers

Identity & Access Management (IAM) Verleden, heden en toekomst 24 maart 2009. Trudie Seegers Identity & Access Management (IAM) Verleden, heden en toekomst 24 maart 2009 Trudie Seegers Stand van zaken IAM Verleden: tot 1-3-2008 Heden: van 1-3-2008 tot 1-3-2009 Toekomst: na 1-3-2009 Vragen en discussie

Nadere informatie

Gebruikershandleiding Autorisatiemodule

Gebruikershandleiding Autorisatiemodule Gebruikershandleiding Autorisatiemodule Versie 1.1 juli 2014 Inhoudsopgave 1. Uitleg over het gebruik van digicodes... 3 1.1. Wat kan ik met een digicode?... 3 1.2. Hoe ziet een digicode eruit?... 4 1.3.

Nadere informatie

Controleprotocol Jaarrekening Gemeente De Bilt 2014

Controleprotocol Jaarrekening Gemeente De Bilt 2014 Behoort bij raadsbesluit d.d. 29 januari 2015 tot vaststelling van het 'Controleprotocol 2014'. Controleprotocol Jaarrekening 2014 Inhoudsopgave 1. Samenvatting... 3 2. Inleiding... 3 2.1 Doelstelling...

Nadere informatie

Red Spider Next Generation: Identity Management voor gevorderden. Bert van Daalen René Visser Ronald Zierikzee

Red Spider Next Generation: Identity Management voor gevorderden. Bert van Daalen René Visser Ronald Zierikzee Red Spider Next Generation: Identity Management voor gevorderden Bert van Daalen René Visser Ronald Zierikzee Constateringen rijp en groen Hoge ontwikkelkosten en lange doorlooptijd nieuwe functionaliteit

Nadere informatie

Een OVER-gemeentelijke samenwerking tussen Oostzaan en Wormerland

Een OVER-gemeentelijke samenwerking tussen Oostzaan en Wormerland OVER OOSTZAAN Een OVER-gemeentelijke samenwerking tussen Oostzaan en Wormerland WORMERLAND. GESCAND OP 13 SEP. 2013 Gemeente Oostzaan Datum : Aan: Raadsleden gemeente Oostzaan Uw BSN : - Uw brief van :

Nadere informatie

Praktijkinstructie Oriëntatie op de informatie-analyse 4 (CIN08.4/CREBO:50131)

Praktijkinstructie Oriëntatie op de informatie-analyse 4 (CIN08.4/CREBO:50131) instructie Oriëntatie op de informatie-analyse 4 (CIN08.4/CREBO:50131) pi.cin08.4.v2 ECABO, 1 september 2003 Alle rechten voorbehouden. Niets uit deze uitgave mag worden vermenigvuldigd, overgenomen, opgeslagen

Nadere informatie

Secretariaat: ECP Postbus 262 2260 AG Leidschendam 070-4190309 INHOUD

Secretariaat: ECP Postbus 262 2260 AG Leidschendam 070-4190309  INHOUD Secretariaat: ECP Postbus 262 2260 AG Leidschendam 070-4190309 jelle.attema@ecp.nl http://www.keurmerkafrekensystemen.nl/ INHOUD INHOUD... 1 INLEIDING... 2 DOEL... 2 BEGRIPPEN... 2 AANDACHTSGEBIED EN BEGRENZING...

Nadere informatie

Gemeente Doetinchem. Clientserviceplan voor het boekjaar 2013

Gemeente Doetinchem. Clientserviceplan voor het boekjaar 2013 Clientserviceplan voor het boekjaar 2013 oktober 2013 Inhoud 1. Inleiding 4 2. Controleopdracht 4 2.1 Opdracht 4 2.2 Materialiteit en tolerantie 5 2.3 Fraude 6 3. Planning 6 3.1 Inleiding 6 3.2 Algemene

Nadere informatie

BluefieldFinance Samenvatting Quickscan Administratieve Processen Light Version

BluefieldFinance Samenvatting Quickscan Administratieve Processen Light Version BluefieldFinance Samenvatting Quickscan Administratieve Processen Light Version Introductie Quickscan De financiële organisatie moet, net zo als alle andere ondersteunende diensten, volledig gericht zijn

Nadere informatie

Hoofdlijnen Corporate Governance Structuur

Hoofdlijnen Corporate Governance Structuur Hoofdlijnen Corporate Governance Structuur 1. Algemeen Deugdelijk ondernemingsbestuur is waar corporate governance over gaat. Binnen de bedrijfskunde wordt de term gebruikt voor het aanduiden van hoe een

Nadere informatie

Administrateur. Context. Doel. Rapporteert aan/ontvangt hiërarchische richtlijnen van: Directeur dienst Afdelingshoofd

Administrateur. Context. Doel. Rapporteert aan/ontvangt hiërarchische richtlijnen van: Directeur dienst Afdelingshoofd Administrateur Doel Realiseren van beheersmatige, adviserende en managementondersteunende administratieve werkzaamheden ten behoeve van de instelling, dan wel onderdelen daarvan, binnen vastgestelde procedures

Nadere informatie

ACCESS GOVERNANCE PIZZASESSIE. Arnout van der Vorst & Tjeerd Seinen

ACCESS GOVERNANCE PIZZASESSIE. Arnout van der Vorst & Tjeerd Seinen ACCESS GOVERNANCE PIZZASESSIE Arnout van der Vorst & Tjeerd Seinen AGENDA PIZZASESSIE ACCESS GOVERNANCE 17:30 Conceptuele schets Access Governance 18:30 Pizza 19:15 Product demo 20:15 Borrel ACCESS GOVERNANCE

Nadere informatie

nemen van een e-depot

nemen van een e-depot Stappenplan bij het in gebruik nemen van een e-depot CONCEPT VOOR FEEDBACK Bijlage bij Handreiking voor het in gebruik nemen van een e-depot door decentrale overheden 23 juli 2015 Inleiding Dit stappenplan

Nadere informatie

Voldoende audit evidence?

Voldoende audit evidence? 51 Voldoende audit evidence? Drs. H.G.Th. van Gils RE RA In versterkte mate komt de laatste tijd weer de discussie opzetten over de diepgang van de controlewerkzaamheden van de accountant en IT-auditor.

Nadere informatie

Logische Toegangsbeveiliging

Logische Toegangsbeveiliging Logische Toegangsbeveiliging Project risico s bij RBAC implementaties Afstudeerscriptie I. Bierman W. van der Valk Begeleiders B. Bokhorst E. van Essen Datum April, 2007 Plaats Amsterdam Voorwoord Deze

Nadere informatie

Cliënten handleiding PwC Client Portal

Cliënten handleiding PwC Client Portal Cliënten handleiding PwC Client Portal Mei 2011 (1) 1. Portal van de cliënt Deze beschrijving gaat ervan uit dat u beschikt over inloggegevens voor de portal en over de url van de portal website. Als u

Nadere informatie

Voor de geriatrische revalidatiezorg (GRZ) stelt de Nederlandse Zorgautoriteit (NZa) tarieven vast van DBC-zorgproducten.

Voor de geriatrische revalidatiezorg (GRZ) stelt de Nederlandse Zorgautoriteit (NZa) tarieven vast van DBC-zorgproducten. Bijlage 1 Onderzoeksprotocol aanlevering kostprijzen GRZ op basis van kostprijsmodel 1. Uitgangspunten 1.1 Doelstelling Voor de geriatrische revalidatiezorg (GRZ) stelt de Nederlandse Zorgautoriteit (NZa)

Nadere informatie

Handleiding voor aansluiten op Digilevering

Handleiding voor aansluiten op Digilevering Handleiding voor aansluiten op Digilevering Versie 1.0 Datum 1 augustus 2013 Status definitief Colofon Projectnaam Digilevering Versienummer 1.0 Contactpersoon Servicecentrum Logius Organisatie Logius

Nadere informatie

Efficiënter inkopen en meer controle over uw uitgaven en kasstromen. Purchase-to-Pay Canon Business Solutions

Efficiënter inkopen en meer controle over uw uitgaven en kasstromen. Purchase-to-Pay Canon Business Solutions Efficiënter inkopen en meer controle over uw uitgaven en kasstromen Purchase-to-Pay Canon Business Solutions Automatiseer uw Purchase-to-Payproces voor een betere afstemming tussen Inkoop en Finance Uw

Nadere informatie

Onderwerp: Risico inventarisatie project rwzi Utrecht Nummer: 604438. Dit onderwerp wordt geagendeerd ter kennisneming ter consultering ter advisering

Onderwerp: Risico inventarisatie project rwzi Utrecht Nummer: 604438. Dit onderwerp wordt geagendeerd ter kennisneming ter consultering ter advisering COLLEGE VAN DIJKGRAAF EN HOOGHEEMRADEN COMMISSIE BMZ ALGEMEEN BESTUUR Agendapunt 9A Onderwerp: Risico inventarisatie project rwzi Utrecht Nummer: 604438 In D&H: 22-01-2013 Steller: Drs. J.L.P.A. Dankaart

Nadere informatie

Inleiding 1 4 3. Begrippen en definities 5 3. Doelstellingen van een privacy-audit 6 7 4. Opdrachtaanvaarding 8 9 4

Inleiding 1 4 3. Begrippen en definities 5 3. Doelstellingen van een privacy-audit 6 7 4. Opdrachtaanvaarding 8 9 4 Inhoudsopgave Paragraaf Pagina 2 Inleiding 1 4 3 Begrippen en definities 5 3 Doelstellingen van een privacy-audit 6 7 4 Opdrachtaanvaarding 8 9 4 Deskundigheidseisen en het gebruik maken van deskundigen

Nadere informatie