De rol van data-analyse bij het beoordelen van informatie-integriteit

Transcriptie

1 De rol van data-analyse bij het beoordelen van informatie-integriteit Benaderd vanuit het perspectief van de IT-auditor bij de ondersteuning van de financiële audit Teamnummer: 926 Studenten: drs. F.J. Boerkamp ( ) IT-auditor Ernst & Young ir. S. P. Soerjoesing ( ) IT-auditor Ernst & Young shyam.soerjoesing@nl.ey.com Begeleider vanuit opleiding Begeleider vanuit Ernst & Young Expertpanel dr. J. Hulstijn Docent Vrije Universiteit Amsterdam drs. M.M.J.M. Welters RE RA Partner Ernst & Young Accountants LLP drs. A.T.J. Buffing RE RA Director Ernst & Young Accountants LLP drs. S.J. Hartjes RE RA Partner Ernst & Young Accountants LLP drs. R.M.J. Christiaanse RA Docent VU Amsterdam en NIVRA-Nyenrode Aantal pagina s 74

2 INHOUDSOPGAVE 1 Inleiding Relevantie Doelstelling Onderzoeksvragen Centrale onderzoeksvraag Deelvragen Aanpak en reikwijdte van het onderzoek Leeswijzer 9 2 Informatie-integriteit Definities Informatiearchitectuur ITGI model Data-integriteit Relationele model Integriteitsmodellen Sandhu & Jajodia en Ammann & Jajodia Clark & Wilson en Integrity research study group Beschouwing theorie Beschouwing literatuur Witte vlakken analyse IT General Controls Bepalen van informatie-integriteit met behulp van data-analyse 24 3 Toepassingen van data-analyse voor het beoordelen van informatie-integriteit 27 4 Conclusies Conclusie Stappenplan voor informatieanalyse met data-analyse tools Risicofactoren voor informatie-integriteit Terugkoppeling experts Toekomst van data-analyse bij de financiële audit 42 Bijlage 1: Literatuurverwijzingen 44 Bijlage 2: Beschrijving IT General controls 47 Bijlage 3: Informatie controle 51 Bijlage 4: Beschrijvingen casussen 54 Definitief, 27 november

3 1 Inleiding Binnen de jaarcontrole stelt de IT auditor met behulp van IT General Controls en application controls vast of informatie uit systemen juist, volledig en tijdig is. In strikte zin kan men dit beschouwen als de interne betrouwbaarheid van informatie. De externe betrouwbaarheid van informatie wordt hier niet door de IT auditor expliciet vastgesteld. Men zou kunnen stellen dat de accountant veelal de externe betrouwbaarheid van informatie bepaalt. Maar in welke mate is een accountant in staat om de externe betrouwbaarheid van informatie vast te stellen in een complexe omgeving met ketens van verschillende informatie systemen? Prof. Dr. Theo Bemelmans [Bemelmans, 2004] constateert in zijn afscheidsrede aan de TU Eindhoven een gebrek aan kennis en kunde bij het beheer van een grote hoeveelheid aan informatiesystemen. Hiermee onderschrijft hij het belang van een goede architectuur en beheer van informatiesystemen. Wij gaan er vanuit dat een goede architectuur en adequaat stelsel beheersprocessen bijdragen aan de externe betrouwbaarheid van informatie. De externe betrouwbaarheid van informatie kan vanuit het oogpunt van de IT auditor worden samengebracht tot het concept van informatie-integriteit. Het IT Governance Institute (gelieerd aan ISACA) definieert het concept van informatie-integriteit als volgt: Information integrity is synonymous with its representational faithfulness. Representational faithfulness is exhibited when information is: Complete (within limits established by agreement, policy or regulation) Current/timely (within limits established by agreement, policy or regulation) Accurate/correct (within limits established by agreement, policy or regulation) Valid/authorized (in accordance with policies, standards and business rules established by top management and the board, and applicable laws and regulations established by regulatory agencies or legislative bodies) [ITGI, 2004, Managing Enterprise Information Integrity, pag. 3] Voor ons onderzoek onderkennen wij twee typen gebruikers van informatie, te weten: (1) de externe gebruikers van informatie en (2) de interne gebruikers van informatie. Externe gebruikers van informatie Het maatschappelijke verkeer is een voorbeeld van een externe gebruiker. Voordat interne informatie van een organisatie naar buiten kan zal zij door een derde partij gevalideerd moeten worden. Dit betreffen veelal de zogenaamde financiële auditors en IT auditors. De IT auditor is in staat om data-integriteit van een set gegevens vast te stellen. Bij het vaststellen van data-integriteit wordt er voornamelijk gekeken naar de preventieve maatregelen die de mogelijkheden tot het ingrijpen in (productie)gegevens beperken zoals IT General Controls en application controls. Het omvat echter veelal een momentopname, over een bepaalde periode, die een uitspraak doen over de beheersing van data. Definitief, 27 november

4 Dit geeft echter geen uitsluitsel over het al dan niet kunnen bouwen op de informatie die de informatiesystemen bevatten. Hiervoor verricht de financiële auditor gegevensgerichte en procesgerichte controles om de externe betrouwbaarheid van informatie te bepalen. De IT auditor kan op zijn beurt de gegevensgerichte controle van de accountant ondersteunen met data-analyse met behulp van analytische tools, zoals ACL of IDEA [Bensink, 2006]. Al kan de vraag hier gesteld worden of data-analyse enkel het domein is van de IT auditor. Hier zullen wij later op terugkomen. Vanuit onze praktijk nemen wij echter waar dat het gebruik van data-analyse bij de financiële audit veelal beperkt is. Het domein van data-analyse lijkt zich voornamelijk te richten op de zogenaamde bijzondere opdrachten, waarbij data-analyse wordt ingezet als zelfstandig onderzoek, zoals het toetsen van rekenregels bij bijvoorbeeld conversies of implementaties van nieuwe applicaties, en niet om de controle van de jaarrekening te ondersteunen. In enkele gevallen wordt data-analyse wel (pro-)actief gebruikt, zoals bij Continuous Control Monitoring. [ITGI, 2006] Met de komst van de International Standard on Auditing 240 [IFAC, 2007] is het gebruik van data-analyse binnen de financiële audit toegenomen. Het doel van deze analyse is om eventueel management fraude te detecteren door ondermeer het analyseren van grootboekregels ( journal entries ). Dit betreft analyses waarbij vooraf, door middel van een risicoanalyse, verwachtingen worden opgesteld van de opbouw van het grootboek, welke vervolgens worden getoetst. Interne gebruikers van informatie Prof. Dr. Jan Dietz [Dietz, 2004] schetst in zijn artikel de oberstrategie hoe lang nog? het beeld van de manager als die van een knoppendraaier, die geen uitgebreide kennis heeft van de interne werking van het systeem, maar wel stuurt op verwachtingen en werkelijke uitkomsten van de output van een proces. Informatiesystemen worden dus door de beleidsmakers in dit beeld benaderd als een black-box. Echter, als processen ingrijpend veranderd moeten worden omdat de complexiteit van de organisatie en haar omgeving toeneemt, verdiend een white-box benadering, waarbij management ook stuurt op kennis van de interne werking van het proces, de voorkeur. Ons uitgangspunt is dat het gebrek aan kennis op management en / of het functionele niveau (in de lijnorganisatie) directe gevolgen kan hebben voor het waarborgen van informatie-integriteit op basis waarvan beslissingen worden genomen met directe effecten hebben op de financiële resultaten van een onderneming of de operationele verantwoordelijken die voortvloeien vanuit de doelstelling van de organisatie. Om de kloof tussen gebruikers van gegevens en de beheerder van gegevens te overbruggen ziet men vaak de rol van de informatiemanager binnen een organisatie terugkomen. Het doel van informatie management is om waarde te kunnen ontlenen aan informatie. Dit staat gelijk aan relevant, bruikbaar en betrouwbaar. Informatie management dient tevens zowel reactief als proactief te zijn. De informatiemanager zou verantwoordelijk moeten zijn voor het detecteren en Definitief, 27 november

5 remediëren van inbreuken op informatie-integriteit. Het ITGI signaleert echter dat dit laatste te weinig gedaan wordt [ITGI, 2004]. Hoewel managers veelal het white-box model niet gebruiken, is het tot op heden op grote schaal niet tot problemen gekomen. De verklaring die Prof. Dr. Jan Dietz hiervoor geeft is dat het uitvoerende personeel tot op heden flexibel genoeg is gebleken de black-box directieven van management om te zetten naar white-box aanpassingen. Maar in de gevallen dat de flexibiliteit niet toereikend is, is juist de communicatie met het management een belangrijke randvoorwaarde bij de ontwikkeling van informatiesystemen [Smildiger, 2005]. Prof. Dr. Jan Dietz [Dietz, 2004] stelt tevens dat dit vermogen van uitvoerend personeel om flexibel om te gaan met de black-box directieven van management de afgelopen jaren kleiner is geworden. De oorzaak hiervan is de toenemende complexiteit van informatie(systemen), gezien vanuit afhankelijkheid, kwetsbaarheid en gebrek aan transparantie. Maar het management wil ook in dit scenario voldoende zekerheid hebben over de (externe) betrouwbaarheid van informatie. In onze ervaring zijn dit bijvoorbeeld opdrachten waarbij wij als externe IT auditor een data-analyse uitvoeren binnen conversie / migratie trajecten om zekerheid te verschaffen aan het management. Wat voor gevolgen zal dit hebben voor het vermogen van management om (financiële) verantwoording af te leggen? Eigenlijk is het de vraag hoe de communicatie en samenwerking tussen de wereld van de gebruiker en de wereld van de techniek verbeterd kan worden om de kwaliteit van financiële en operationele verantwoording te waarborgen. Externe gebruikers van informatie Controle op de externe betrouwbaarheid van informatie Informatie management Interne gebruikers van informatie Kwaliteit architectuur en beheersprocessen Financial audit Financial auditor Financiële kennis Gegevensgerichte audit versus proces audit en dataanalyse Beheerders van data IT audit IT auditor IT kennis Concept van Informatie integriteit Figuur 1: Speelveld van het concept informatie-integriteit Onze veronderstelling is dat data-analyse in complexe omgevingen of met complexe data het domein is van de IT auditor. Het vereist kennis van IT systemen en IT processen om deze complexiteit goed te kunnen doorzien en beheersen. Een randvoorwaarde is dat de IT auditor en Definitief, 27 november

6 de financiële auditor goed communiceren over de vraagstukken die spelen die aan de dataanalyse ten grondslag liggen. Deze verstandhouding komt tot uiting in figuur 1. Om effectief te communiceren moet men dezelfde uitgangspunten en hetzelfde begrippenkader hanteren rondom een aantal centrale concepten. Een van basis concepten die een rol speelt tussen de financiële audit en de IT audit is informatie-integriteit. 1.1 Relevantie Binnen grote bedrijven zien wij vaak een keten van informatiesystemen waarmee data verwerkt wordt tot informatie. Aan het einde van de keten wordt veelal de informatie vanuit verschillende bronnen opgenomen in een financieel jaarverslag. Een vraag die hier gesteld kan worden is hoe de informatie-integriteit gewaarborgd en gecontroleerd wordt over de systemen heen. Want uiteindelijk dient het jaarverslag gebaseerd te zijn op voldoende integere en volledige gegevens. Niet alleen het vakgebied van financiële accounting is gebaat bij de betrouwbaarheid van informatie. Ook het vakgebied van managementaccounting heeft hier baat bij. Op basis van informatie neemt management besluiten die een invloed hebben op de financiële toestand van de organisatie. De relaties tussen de AO en de verschillende vakgebieden is weergegeven in figuur 2. Uit de voorafgaande paragraaf stellen wij dat data analyse de IT auditor kan helpen om op basis van gegevens van (meerdere) informatiesystemen de mate van informatie-integriteit te analyseren. Met data analyse kan geautomatiseerd grote hoeveelheden data verwerkt worden met behulp van vooraf ontwikkelde gedefinieerde verwerkingsslagen (scripts). De accountant controleert, vanuit zijn attestfunctie, de kwaliteitsaspecten van juistheid, volledigheid en tijdigheid van een financieel jaarverslag. Zijn doel is om de externe betrouwbaarheid van het jaarverslag vast te stellen. Hiermee is de relatie naar het begrip informatie-integriteit dan ook gelegd. Het concept informatie-integriteit heeft ook als doel de betrouwbaarheid van informatie te meten, of de mate waarin kan worden gesteund op de informatie om besluiten te nemen en verantwoording af te leggen. Definitief, 27 november

7 Administratieve organisatie en bedrijfsadministraties Juridisch kader Informatie Informatie Juridisch kader Management accounting Financial accounting Figuur 2: Overzicht van het gebruik van informatie binnen het brede accounting vakgebied [Epe en Koetzier, 1999, pagina 15] De bedrijfsadministratie vervult een registrerende rol binnen de administratieve organisatie (AO). [Christiaanse en Van Praat, 2005] De administratieve organisatie is het in goede banen geleiden van informatie stromen. [Epe en Koetzier, 1999] Informatie-integriteit betreft hier de wisselwerking van de bedrijfsadministratie en de AO en de mate waarin informatie betrouwbaar kan worden geacht. Het verschil tussen de getrouwe weergave van de accountant (bijvoorbeeld bij een jaarrekening) en het concept informatie-integriteit is dat de jaarcontrole van een accountant een product (het financiële jaarverslag van het management) als object van onderzoek heeft. Het object van onderzoek van informatie-integriteit is een audit naar de keten van informatie systemen en de processen om integriteit ervan te waarborgen. Informatie-integriteit is binnen dit kader wel een voorwaarde voor een getrouwe weergave. 1.2 Doelstelling Het doel van dit onderzoek is om te bepalen welke factoren een positieve en / of negatieve bijdrage leveren aan de integriteit van informatie en hoe zij door middel van data-analyse beoordeeld kunnen worden. De geïdentificeerde factoren vormen de input voor een risicoanalyse die een auditor zal uitvoeren binnen zijn of haar onderzoek. De risicoanalyse vormt de basis voor de uit te voeren werkzaamheden door de (interne of externe) auditor. Data-analyse wordt veelal verbonden met het beoordelen van de integriteit van data. Ons uitgangspunt is dat data-analyse ook een rol kan spelen bij de risicoanalyse (van de financiële audit) die de basis vormt voor het toetsen van de externe betrouwbaarheid van informatie. De doelgroep bestaat (primair) uit: IT Auditors; interne en externe financiële auditors; IT en informatie-managers; controllers, CIO s en CFO s. Definitief, 27 november

8 1.3 Onderzoeksvragen Centrale onderzoeksvraag Op basis van het bovenstaande komen wij tot de volgende centrale onderzoeksvraag: Onderzoeksvraag Op welke wijze kan, met data-analyse, integriteit van informatie binnen een informatieketen worden beoordeeld? Deelvragen Om de centrale onderzoeksvraag te beantwoorden hebben wij de volgende deelvragen geïdentificeerd: wat wordt verstaan onder informatie-integriteit?; welke theoretische principes maken deel uit van het concept informatie-integriteit?; hoe kan data-analyse een bijdrage leveren aan de verbetering van de integriteit van informatie?; welke factoren veroorzaken het ontbreken en / of het bestaan van informatie-integriteit?; hoe kan het concept van informatie-integriteit een aanvulling zijn van het instrumentarium van de IT auditor? 1.4 Aanpak en reikwijdte van het onderzoek Het onderzoek is gebaseerd op de analyse van dossiers voor het verzamelen van data. Voorafgaand aan de analyse van de casussen is een literatuuronderzoek verricht om de casusbeschrijvingen voor het onderzoek meetbaar te maken. Een theoretisch kader maakt het mogelijk casussen beter te beschrijven en te analyseren. Om de relevantie met het IT-audit vakgebied te borgen, hebben wij steeds rekening gehouden met drie facetten namelijk de inrichtingsaspecten, de kwaliteitsaspecten en de beheersingsaspecten. De kwaliteitsaspecten beschrijven de doelstelling van een onderzoek. De inrichtingsaspecten beschrijven de invulling van bedrijfsprocessen en IT-middelen voor het verwezenlijken van bedrijfsdoelstellingen en de strategie. Tot slot beschrijven de beheersingsaspecten de mate waarin beheersmaatregelen aanwezig zijn op tactisch- en operationeel niveau om de bedrijfsdoelstellingen te verwezenlijken. Oriënterende interviews en literatuur onderzoek Uit ons literatuuronderzoek blijkt dat er niet één dominante of allesomvattende theorie is van het concept informatie-integriteit. Om toch te weten te komen welke elementen van de tijdens de literatuurstudie geïdentificeerde theorieën voor de praktijk de meeste waarde hebben is gekozen voor een casusstudie methodiek met een toepassingsgericht karakter [Van Engeldorp en Definitief, 27 november

9 Gastelaars, 1998]. Met een casusstudie kan naar onze mening de diversiteit aan gegevens die wij nodig hebben verwerkt worden. Op basis van de verzamelde literatuur hebben wij relevante casussen geselecteerd en uitgewerkt. De casussen zijn gebaseerd op dossiers van opdrachten waar wij aan hebben meegewerkt voor en/of tijdens dit onderzoek. Uitbreiden en aanpassen literatuur Wij hebben ons beperkt tot het analyseren van vijf casussen. Het betreft casussen waarbij wij als IT auditor onderzoek hebben gedaan naar de externe betrouwbaarheid van informatie. De gebruikte casussen zijn geselecteerd op de sector waarin het onderzoek heeft plaatsgevonden en op de doelstelling van het onderzoek. Op basis van de casussen zijn additionele relevante literatuur verwijzingen opgenomen op basis van de praktische toepassingen. Confronteren theorie en praktijk en samenstellen eindconclusie Door de waarnemingen vanuit de casussen te confronteren met de theorie hebben wij conclusies geformuleerd voor wat betreft de rol van data-analyse bij het bepalen van informatie-integriteit. De aanpak van het onderzoek heeft als doel antwoorden te formuleren voor de deelvragen. Dit is uitgevoerd door de waarnemingen die wij uit de casusstudies hebben verkregen te aggregeren en vervolgens af te zetten tegen de concepten die zijn genoemd in het literatuuronderzoek. Het is ook mogelijk dat wij concepten in de praktijk terugzien, maar niet in het literatuuronderzoek. Validatie van eindconclusie Om de eindconclusie te kunnen valideren hebben wij deze voorgelegd aan een panel van experts, geselecteerd op basis van kennis van de materie, het vakgebied en de vaktechnische achtergronden. Op basis van deze voorwaarden hebben wij bewerkstelligd dat de uiteindelijke resultaten van dit onderzoek ook als valide kunnen worden beschouwd. Voor het valideren van de conclusies hebben wij gesprekken gehouden met een drietal materiedeskundigen. De kenmerken van de materiedeskundigen zijn: ruime kennis en ervaring op het vakgebied van IT audit; ruime kennis op het vakgebied van accountancy; ervaring met data kwaliteit / data-analyse onderzoeken. 1.5 Leeswijzer Het rapport is verder als volgt opgebouwd; in hoofdstuk 2 worden de definities van informatieintegriteit en daaraan gerelateerde concepten uitgewerkt waarna relevante theorie is beschreven. Hoofdstuk 2 wordt afgesloten met een analyse van de IT General Controls ten opzichte van de (beschreven) theorie en de rol die data-analyse kan vervullen bij het afdekken van de hiaten. In hoofdstuk 3 is beschreven hoe data-analyse is toegepast in een 5-tal casussen. Deze casussen zijn afkomstig uit de praktijk van de auditors. Tenslotte is in hoofdstuk 4 concluderend antwoord gegeven op de vraag op welke wijze en wanneer met data-analyse integriteit van informatie binnen een informatieketen kan worden beoordeeld. Behandeling onderzoeksproblematiek Definitief, 27 november

10 In paragraaf 4.2 is getracht een antwoord te geven op de hoofdvraag van het onderzoek door een stappenplan weer te geven waarbij op basis van data-analyse(tools) een informatieanalyse kan worden uitgevoerd. Dit stappen plan is eerst uit de theorie geabstraheerd en beschreven in paragraaf 2.6 en vervolgens gelegd naast een aantal casussen zoals beschreven in hoofdstuk 3. Voor de deelvragen is eerst gekeken naar wat wordt verstaan onder informatie-integriteit in paragraaf 1.1 waarna dit nader is uitgewerkt op basis van verschillende theorieën in hoofdstuk 2. In paragraaf 4.3 behandelen wij een overzicht van positieve en negatieve factoren die van invloed kunnen zijn op informatie-integriteit. In paragraaf 4.4 behandelen wij een mogelijke toepassing van het concept van informatieintegriteit als aanvulling voor het instrumentarium van de IT auditor. Voor de lezer zal het soms lastig zijn om de verschillende concepten en theorieën een plaats te geven en relaties daartussen te leggen. Figuur 3 geeft de hiërarchie weer zoals wij deze impliciet gehanteerd én uitgewerkt hebben in dit onderzoek. Kennis Interpretatie van informatie Informatie-integriteit Betrouwbaarheid Relevantie Bruikbaarheid Systeemintegriteit Logical Access Change Management Data-integriteit Referentiële integriteit Attribuut integriteit Entiteit integriteit Figuur 3: Grafische weergave van de conceptuele kapstok van het onderzoek Definitief, 27 november

11 2 Informatie-integriteit Dit hoofdstuk vormt de basis van ons onderzoek waarin de integriteitmodellen zijn geïnventariseerd om te komen tot een verzameling van randvoorwaarden waaraan dient te worden voldaan voor het borgen van de informatie-integriteit. Hoewel de technische mogelijkheden tot het verwerken van gegevens in informatiesystemen steeds verder toenemen en daarmee ook de hoeveelheden data, is er steeds meer behoefte om op een hoger niveau deze data te aggregeren en te structureren. Voor bedrijfsmatige toepassing van informatiesystemen is het van belang om de data zodanig te structureren dat het informatie wordt. Hierbij is informatie data die kan worden gebruikt om een beslissing te nemen. Mensen zijn inherent niet efficiënt om grote hoeveelheden data te analyseren. Data kan het beste in gestructureerde vorm worden aangeboden zodat zij door mensen in kennis en eventueel wijsheid kan worden omgezet [Ackoff, 1989]. Hierbij gaan wij impliciet vanuit dat, op basis van kennis en wijsheid, acties en correcties worden ondernomen door verschillende partijen. Naarmate er meer sturing en verantwoording wordt gegeven aan de bedrijfsprocessen met behulp van deze informatie zal ook de behoefte naar de integriteit van deze gegevens toenemen. Voor de financiële audit kan de betrouwbaarheid van informatie beoordeeld te worden vanuit het concept informatiecontrole [Starreveld et al., 2002]. Het concept informatiecontrole is verder in detail beschreven in bijlage 3. Om de informatie-integriteit te waarborgen dienen beheersmaatregelen te worden ingebed in het informatiesysteem vanuit de bedrijfsbehoefte. Om deze beheersmaatregelen te kunnen toetsen zal op een 3-tal niveaus toetsing dienen plaats te vinden: (1) kwaliteitsvlak, (2) architectuurvlak en (3) beheersingsvlak. [Van Praat, 2008] Voor een adequate informatie-integriteit is het van belang om invulling te geven aan de architectuur, de kwaliteitsaspecten en de beheersing van de realisatie. 2.1 Definities Binnen het vakgebied van IT auditing wordt de term integriteit vaak op verschillende manieren gebruikt, Voor het onderzoek is gebruik gemaakt van de volgende definities: Definitie integriteit Integriteit. De mate waarin het object (d.w.z. in deze situatie: ICT-dienst of ICTmiddel) in overeenstemming is met de afgebeelde werkelijkheid. [NOREA, 2007] Definitief, 27 november

12 Definitie data-integriteit De mate waarin het object (gegevens en informatie-, technische- en processystemen) in overeenstemming is met de afgebeelde werkelijkheid. Wederom onderverdeeld in drie deelaspecten: 'volledigheid' (de mate van zekerheid dat het object volledig aanwezig is), 'nauwkeurigheid' (overeenstemming van het aggregatieniveau van de presentatie met de werkelijkheid) en 'waarborging' (de vraag of de correcte werking van de IT-processen is gewaarborgd). [Prof. M.E. van Biene-Hershey, 1997] In het kader van dit onderzoek omvat informatie-integriteit de geïnterpreteerde betekenis, zoals afgebeeld in alle deelobjecten, welke wordt afgeleid van de data. Integriteit is dan te definiëren als het waarborgen dat gegevens niet ongecontroleerd worden gewijzigd of verloren gaan. Voor het waarborgen van de integriteit worden in een controle de IT General Controls getoetst. Op basis van ons onderzoek trachten wij aan te geven dat het waarborgen op basis van de IT General Controls niet toereikend is om informatie-integriteit te waarborgen zoals gedefinieerd in hoofdstuk 1. Data-analyse Data-analyse zoals toegepast in het kader van een onderzoek is het gericht vergelijken van gegevens gebaseerd op toetsingsregels die zijn afgeleid vanuit de betekenis en beslissingsprocessen die worden toegepast op de brongegevens van de systemen. Indien data-analyse binnen een (financiële) audit wordt gebruikt, dient er aan een aantal vereisten te voldaan. In onze praktijk worden een aantal uitgangspunten gebruikt. Ten eerste zal onafhankelijk van de gebruikersorganisatie analyses dienen te worden verricht. De (IT) auditor zal idealiter de gegevens zelf verwerken om de analyses uit te voeren. Bij het verwerken van deze gegevens is het van belang dat de aangeleverde brongegevens niet bewerkbaar zijn. Daarbij moeten vaak grote hoeveelheden aan gegevens verwerkt worden. Tevens dienen de handelingen en bewerkingen van de auditor die ten grondslag liggen aan het uiteindelijke oordeel vastgelegd te worden. Met behulp van applicaties als ACL en IDEA kan de auditor aan bovenstaande eisen voldoen, doordat deze applicaties de auditor de mogelijkheden beiden om definities van berekeningen op te stellen, waarna gegevens zonder aanpassingen kunnen worden geanalyseerd. De applicaties zijn met het specifieke doel van het uitvoeren van de data-analyse in gedachten ontwikkeld. Andere end-user applicaties, zoals Access of Excel, kunnen de auditor met gestelde randvoorwaarden niet of in mindere mate ondersteunen. 2.2 Informatiearchitectuur Om de informatie-integriteitsmodellen doelmatig te kunnen inzetten kan een (informatie)architectuur worden vastgelegd. Een architectuur bezit 5 algemene kenmerken. Ruud Smildiger heeft in zijn artikel Een audit op informatiearchitectuur: waar te beginnen [Smildiger, 2005] deze kenmerken uitgewerkt voor de informatiearchitectuur. De uitwerking van de kenmerken van een informatiearchitectuur zijn opgenomen in tabel 1. Definitief, 27 november

13 Tabel 1: Kenmerken van een (informatie)architectuur [Smildiger, 2005] Kenmerk Beschrijving Structuur Een informatiearchitectuur betreft het ontwerp van een informatiehuishouding. Deze beschrijft ondermeer: de componenten van de informatiehuishouding; functie van de verschillende componenten; hoe componenten bijdragen aan de bedrijfsdoelstellingen; de samenhang van de verschillende componenten. Kwaliteit Visie Resultaat Richting Een informatiearchitectuur is een instrument voor het beheersen van de kwaliteit van een informatiehuishouden door de beheersing af te stemmen op bedrijfsdoelstellingen. Het management dient een visie te hebben op de rol van de informatievoorziening en hoe deze haar bijdrage levert aan operationele activiteiten en de bedrijfsresultaten. Concreet kan dit worden gevangen in een informatiebeleid. Bij het ontwerpen van een informatiearchitectuur dienen alle betrokkenen tijdig te worden betrokken om draagvlak te creëren en het eindresultaat te borgen. Een informatiearchitectuur is een instrument tussen de strategische wensen en de technische uitvoerbaarheid ervan. 2.3 ITGI model Beheersing van informatie-integriteit dient op verschillende vlakken te worden uitgevoerd. In 2004 heeft het IT Governance Institute (ITGI, verbonden aan ISACA) een onderzoeksrapport gepubliceerd getiteld Managing Enterprise Information Integrity. [ITGI, 2004] Hierin wordt een raamwerk voorgesteld voor informatie-integriteit welke de volgende doeleinden kan faciliteren: richtlijnen verschaffen voor management risicoanalyses; implementaties van beheersingsmaatregelen; het verschaffen van zekerheid van informatie-integriteit aspecten. Definitie analyse Om het concept van informatie-integriteit goed af te bakenen heeft men naast een definitieanalyse ook concepten die dicht tegen informatie-integriteit liggen hier tegen afgezet. Informatie-integriteit versus informatiekwaliteit Informatie-integriteit is een kleiner begrip dan informatiekwaliteit. Informatie-integriteit stelt echter wel de randvoorwaarden voor de mate van informatiekwaliteit. Het rapport geeft verder geen duidelijke uitleg over het verschil tussen de twee begrippen. Impliciet geeft het onderzoeksrapport aan dat de relatieve kosten en meeropbrengsten tussen verschillende informatie bronnen niet wordt meegenomen in de definitie van informatie-integriteit, maar wel in die van informatiekwaliteit. Voor de integriteit zijn betrouwbaarheid, relevantie en bruikbaarheid een wegingsfactor, bij informatiekwaliteit spelen de baten/lasten en de kosten/opbrengsten overwegingen een rol. Definitief, 27 november

14 De kwaliteit van de informatie is een determinant voor de kwaliteit van de besluitvorming. De kwaliteit van de informatie-integriteit is een determinant voor de kwaliteit van de informatie. Met andere woorden, de mate van informatie-integriteit is beter meetbaar dan informatiekwaliteit. Informatie-integriteit versus data-integriteit Data vormt de bouwsteen voor informatie. Data-integriteit is relatief goed af te dwingen door o.a. de referentiële integriteit van data te beoordelen (zoals een relation violation rapport) of de bandbreedte waaraan waarden van informatie elementen dienen te voldoen (zoals een constraint violation rapport). Het concept van data-integriteit behelst niet de subjectieve interpretatie van een gebruiker en de resulterende besluitvorming. Informatie-integriteit versus systeemintegriteit Informatie-integriteit is afhankelijk van de integriteit van de systemen waar de data is opgeslagen. De mate van systeemintegriteit de maximale mate van informatie-integriteit. Systeemintegriteit is relatief goed meetbaar. Dit betreft het testen van zogenaamde relation & constraint violations binnen het data model van een informatiesysteem. Beschrijving van ITGI model Het ITGI model onderkent drie dimensies waarmee de mate van informatie-integriteit gemeten kan worden, te weten: relevantie; bruikbaarheid; betrouwbaarheid. Met deze driedeling kan worden verondersteld dat informatie-integriteit (in zekere mate, omdat er sprake kan zijn voor subjectiviteit) meetbaar is. Deze definitie geeft een leidraad naar het wat beoordeeld moet worden om de mate van informatie-integriteit te kunnen beoordelen. Een interessante stelling in het rapport is dat de betrouwbaarheid van informatie beter meetbaar is dan de andere twee concepten. Dit zou de voorkeur van financiële auditors verklaren om enkel een uitspraak te doen over de betrouwbaarheid van informatie en niet over de mate van informatieintegriteit. Centraal in het raamwerk is de definitie van informatie-integriteit, te weten waarheidsgetrouwe weergave van de werkelijkheid ( representational faithfullness ). Om de vraag te beantwoorden hoe informatie-integriteit beoordeeld kan worden maakt het ITGI raamwerk onderscheid in (1) de kern attributen van informatie-integriteit en (2) de randvoorwaarden van de kern attributen. In de tabellen 2 en 3 zijn de kernattributen en randvoorwaarden verder toegelicht. Tabel 2: Kern attributen van informatie-integriteit Kern attribuut Omschrijving Juistheid Informatie dient juiste weergave te zijn van het gebeurde. Volledigheid Informatie dient een volledig beeld te geven van de processen en activiteiten van het bedrijf. Tijdigheid Informatie dient op het juiste tijdstip beschikbaar te zijn. Validiteit Informatie dient te voldoen aan business rules, geautoriseerd, onweerlegbaar en uniek (niet dubbel). Definitief, 27 november

15 Tabel 3: Randvoorwaarden van informatie-integriteit Randvoorwaarde Omschrijving Beveiliging Fysieke en logische toegangsbeveiliging om bewust of onbewust, ongeautoriseerde mutaties aan gegevens te voorkomen. Beschikbaarheid Informatie dient beschikbaar te zijn voor gebruikers en dient zodanig Toegankelijkheid toegankelijk te zijn dat zij die informatie kunnen gebruiken. Begrijpelijkheid Informatie dient begrijpelijk te zijn. Resolutie Informatie dient op het juiste niveau geaggregeerd of gespecificeerd Aggregatie te zijn. Consistentie Meetstabiliteit van gegevens waarborgt dat de presentatie van de Vergelijkbaarheid gegevens overeenkomt met de daadwerkelijke inhoud van gegevens. Afhankelijkheid De afhankelijkheden van informatie dient voor de gebruiker bekend Voorspelbaarheid te zijn. Hiermee zal de voorspelbaarheid van informatie toenemen. Controleerbaarheid De informatie dient door gebruikers en derden controleerbaar te zijn en de output reproduceerbaar. Geloofwaardigheid Van informatie behoort bekend te zijn welke karakteristieken zij Zekerheid vertoont. Hiermee kunnen gebruikers de mate van informatieintegriteit schatten en deze meenemen in het besluitvormingsproces. Bruikbaarheid De gebruiker dient de geleverde informatie als bruikbaar te ervaren. Stuurbaarheid De mate waarin processen gestuurd kunnen worden door het terugkoppelen van informatie. Voorspelbaarheid Volledigheid / Tijdigheid Controleerbaarheid Stuurbaarheid Resolutie / Aggregatie Relevantie Geloofwaardigheid / Zekerheid Juistheid Betrouwbaarheid Beveiliging Validiteit Bruikbaarheid Bruikbaarheid Begrijpelijkheid Afhankelijkheid Consistentie / Vergelijkbaarheid Toegankelijkheid / Beschikbaarheid Figuur 4: Relaties tussen de randvoorwaarden en de drie kernconcepten van informatieintegriteit [ITGI, 2004, Managing Enterprise Information Integrity ] Definitief, 27 november

16 In figuur 4 zijn de relaties tussen de dimensies, kern attributen, de randvoorwaarden van informatie-integriteit weergegeven. Niet alle randvoorwaarden hoeven invloed uit te oefenen op alle kernattributen. Een volledige mapping is opgenomen in het rapport van ITGI. Het belang van informatie-integriteit dient als waarde in de cultuur van de organisatie te worden opgenomen. Hiermee zal het bewustzijn van informatie-integriteit toenemen [English, 1999], er dienen echter nog wel maatregelen voor beheersing te worden genomen om het bewustzijn te kunnen beoordelen. Dit vergt naast de zachte maatregelen zoals evaluatie-enquêtes in ieder geval ook een gerichte beoordelen van de manier waarop de gegevens worden opgeslagen. Verantwoordelijkheden dienen binnen de organisatie belegd te worden. Data-eigenaren dienen te worden aangewezen, bij voorkeur door toekenning van verantwoordelijkheid voor de data van begin tot eind. Een mogelijkheid om dit te kunnen bewerkstelligen is door gebruik te maken van architectuur principes. De structuur van data dient te zijn opgenomen in een data definitie. Onder een datadefinitie wordt ondermeer verstaan formaat, inhoud, wijze van verzamelen, bronnen, flow, entiteiten, relaties, attributen, kardinaliteit en oplossingen voor het verhelpen van ambiguïteit. Dit wordt ondermeer onderschreven in het Cobit raamwerk door de noodzaak van een informatiearchitectuur in de voorbereidingsfase (Plan and Organise 2.1: Information Architecture Model) door het identificeren van een informatiearchitectuur model [ITGI, 2007]. 2.4 Data-integriteit Het fundament voor informatie-integriteit ligt in het efficiënt opslaan, verwerken en beheren van data. Voor de opslag van data wordt vooral gebruik gemaakt van databases. Om gegevens op technisch vlak te beheren kan gebruik worden gemaakt van een DBMS. Met het DBMS kan de structuur en gewenste consistentie van gegevens worden opgeslagen in datadefinities. Op het procedurele vlak kunnen de IT General Controls worden ingeregeld, om het beheer van het DBMS (de data definities) én de inhoud (en daarmee inherent de betekenis) van data te waarborgen. Er bestaan drie typen van data-integriteit, te weten: (1) relationele integriteit, (2) attribuut integriteit en (3) entiteit integriteit. [Van Praat en Suerink, 2004] Het eerste type betreft de integriteit van relaties tussen data elementen. Het tweede type betreft de integriteit van een gegeven van aan attribuut. Het derde type betreft de integriteit van verschillende data elementen binnen hetzelfde record. Het meest gebruikte database principe is gebaseerd op het relationele model [Ullman, 1980]. Het relationele model biedt mogelijkheden om op systeemniveau(database) integriteit van bedrijfskritische gegevens onafhankelijk van de applicatie, vast te leggen. In de meeste moderne DBMS systemen is het relationele model inherent verwerkt. Dat wil zeggen dat de betekenis van de data in een database (door het DBMS) al kan worden afgedwongen. Door gebruik te maken van het relationele model wordt het mogelijk om informatie-integriteit te waarborgen. Definitief, 27 november

17 2.4.1 Relationele model Een conceptueel model, ook wel datamodel, is een beschrijving van de logische structuur van een database. In het conceptueel model worden objecttypen met attributen gedefinieerd. Op grond van de wijze waarop de gegevens worden gestructureerd, kunnen datamodellen worden ingedeeld in een bepaald type. Het meest bekende datamodel is het relationele datamodel [ter Bekke, 1993]. In het relationele model worden begrippen uit de relationele algebra toepast om grote hoeveelheden gegevens gestructureerd te kunnen opslaan en op te vragen. Het relationele model is een datamodel dat is opgebouwd volgens de regels van de relationele algebra, een geheel van transformatieregels. Dit maakt het ondermeer mogelijk om de uitkomst van een bevraging te kunnen voorspellen door het gebruik van elementaire algebraïsche operaties voor verzamelingen zoals de vereniging, de doorsnede en het verschil. Het model maakt het mogelijk om deze transacties om te vormen naar voorgedefinieerde manipulaties op tabellen (merge, join, etc) waardoor de inhoud van deze tabellen altijd zal voldoen aan betekenisstructuur (in databasetermen de semantiek). Het relationele model is de vertaling van het conceptueel gegevensmodel naar een entityrelationship diagram (ook wel ERD genoemd). Voor een efficiënte vertaling maakt men gebruik van normalisatieregels. Het relationele model veronderstelt de volgende regels: entiteit integriteit: geen enkele primaire sleutel kan een NULL-waarde hebben, hierdoor wordt unieke identificatie van informatie gewaarborgd. Verwijzingen naar unieke informatie wordt gerealiseerd door middel van verwijzingen met behulp van secundaire sleutels (foreign keys). Om dit af te dwingen wordt in het DBMS automatisch een unieke primaire sleutel gegenereerd ter identificatie; referentiële integriteit in een relationele database zorgt ervoor dat de consistentie tussen de tabellen binnen die database wordt gewaarborgd. Om de consistentie mogelijk te maken, dient er altijd een primaire sleutel in een tabel te zijn, welke het gegeven in de database uniek kan identificeren als naar dit gegeven in een andere tabel wordt verwezen. Het DBMS waarborgt de consistentie, dit houdt ondermeer in dat indien na afloop van een beoogde transactie niet aan de voorwaarden voor referentiele integriteit wordt voldaan, dat de transactie door het DBMS niet wordt uitgevoerd. Data-integriteit in het relationele model heeft betrekking op gegevenstoestanden en toestandsovergangen in een database. Om de data-integriteit te waarborgen wordt naast de bestaande integriteiteisen gebruik gemaakt van beperkingsregels (constraints). Daarmee is dataintegriteit gedefinieerd als bescherming van de database tegen onjuiste handelingen van geautoriseerde gebruikers. In dit kader wordt daarom in plaats van integriteit ook wel gesproken van semantische integriteit [Ter Bekke, 1984]. In het bijzonder de beperkingsregels kunnen ervoor zorgen dat er betekenisvolle verzamelingen van gegevens tot stand komen, indien dit in lijn is met de bedrijfsregels, spreekt men ook wel van informatie. De verzameling van alle beperkingsregels worden vastgelegd in het semantische model [Grefen en Apers, 1993]. Definitief, 27 november

18 2.5 Integriteitsmodellen Sandhu & Jajodia en Ammann & Jajodia Sandhu en Jajodia [1997] onderkennen negen principes van data-integriteit. Deze principes hebben zij gedestilleerd vanuit eigen literatuuronderzoek. Aan deze principes hebben zij voorbeelden gekoppeld om te laten zien welke mechanismen op het DBMS niveau beschikbaar zijn om integriteit te waarborgen. Door deze mapping ontstaat er een concreet beeld van de uitwerking in het model. De principes zijn in tabel 4 opgenomen. Tabel 4: Overzicht van principes en DBMS mechanismen [Sandhu en Jajodia, 1997] Principe Omschrijving Goed gevormde transacties Geauthenticeerde gebruikers Least privilege Functiescheiding Reconstructie van gebeurtenissen Delegatie van autoriteit Controle met werkelijkheid Beschikbaarheid Bruikbaarheid Gebruikers zouden niet in staat moeten zijn om direct op de database mutaties door te voeren, in plaats daarvan zouden procedures beschikbaar moeten zijn welke een vast patroon van transacties volgen. Alleen geauthenticeerde en geautoriseerde gebruikers kunnen mutaties aan gegevens doorvoeren. Applicaties en gebruikers hebben enkel die autorisaties die noodzakelijk zijn voor het uitvoeren van een taak. Gebruikers zouden niet in staat moeten zijn om een transactie cyclus (beschikken, bewaren, controleren, registreren en uitvoeren) individueel uit te voeren. Om het verloop van de toestand van een transactie te kunnen onderzoeken dient informatie beschikbaar te zijn over het verloop van de transactie en de betrokkenen. Leidinggevenden dienen in staat te zijn om het proces en de bijbehorende autorisaties op een juiste wijze in te richten zodat de applicatie het proces effectief en efficiënt kan ondersteunen. De gegevens in de database dienen periodiek met de externe werkelijkheid te worden vergeleken. Integriteit heeft een tijdsgebonden element. Als een set van gegevens niet tijdig kan worden bijgewerkt, kan niet gesteld worden dat deze set van gegevens een betrouwbare weergave betreft van de werkelijkheid. Het gebruik en beheer van een applicatie dient de gebruiker te ondersteunen in het verbeteren van de bruikbaarheid ervan: Standaardwaarden; Intuïtieve user interfaces; Monitoring faciliteiten; Aansluiting tussen proces en applicatie. Amman & Jajodia stellen in hun artikel rethinking integrity [Amman en Jajodia, 1997] dat systeem ontwikkeling en systeem analyse rekening moeten houden met het feit dat gegevens nooit volledig integer zullen zijn`, ook niet na detectie en correctie van het niet-integere gegeven. De vraag is echter wanneer dit een probleem vormt. Met andere woorden; verschillende maten Definitief, 27 november

19 van integriteit hebben verschillende kosten en baten. Het artikel richt zich primair op het ontwikkelen van gedistribueerde databases. Met behulp van risicoanalyse kan men verschillende scenario s ontwikkelen waarin de gevolgen van verlies van integriteit kan benoemen. Ammann & Jajodia stellen dat een organisatie er voor kan kiezen dat gegevens, die niet als essentieel worden beschouwd, niet in alle gevallen integriteit hoeven te bezitten. Organisaties zullen daarom keuzes moeten maken in de doelstellingen van de beheersmaatregelen en de middelen die zij daarvoor beschikbaar stellen. De onderneming zal een trade-off maken tussen (ondermeer) de volgende doelstellingen: mate van integriteit van data; prestatie en / of snelheid; zelfstandigheid; beschikbaarheid; vertrouwelijkheid. De gebruikersorganisatie en ontwerpers van systemen dienen methoden te bedenken om nietintegere transacties te herstellen. Bij het herstellen van gegevens mag er geen informatie verloren wat betreft verantwoording of audit trail. Ook het markeren ( damage markers ) van niet integere transacties of het berekenen van de mate van integriteit kan de organisatie helpen om de mate van integriteit van de gegevens te beheersen Clark & Wilson en Integrity research study group In [Clark en Wilson, 1987] is geschreven over de uitgangspunten binnen een beleid voor informatiebeveiliging c.q. informatie-integriteit tussen verschillende beheersomgevingen. Het Clark & Wilson model gaat initieel uit van twee basis omgevingen: omgevingen waar de mate van integriteit van gegevens belangrijker is dan openbaarmaking (juistheid van de registratie) om fouten en fraude te voorkomen. Hierbij wordt gebruik gemaakt van functiescheiding en dubbele registraties (om aansluitingen mogelijk te maken, zoals dubbel boekhouden en subadministraties); omgevingen waar vertrouwelijkheid een belangrijker aspect is dan de mate van integriteit (geheimhouding van de registratie). Voor elke omgeving zijn andere beheersmaatregelen nodig; de keuze en de toepasselijkheid hiervan kunnen worden bepaald op basis van een risicoanalyse. Clark & Wilson beschrijven een eigen model voor het beheersen van integriteit. Binnen dit model definiëren zij regels waaraan een omgeving dient te voldoen. De objecten en regels zijn opgenomen in figuur 5. Het model bestaat uit certificering regels (Certification; C) en naleving regels (Enforcement; E). Definitief, 27 november

20 C1: IVP validates CDI state E3: Users are authenticated E2: Users authorized for TP C3: Suitable separation of duty C5: TP validates UDI C2: TP preserves valid state Information verification procedure System state CDI CDI LOG CDI UDI Transformation procedure System state CDI CDI LOG CDI E4: Authorization lists changed only by security officer C4: TP writes to log E1: CDIs changed only by authorized TP Figuur 5: Grafische weergave van het Clark & Wilson model [Abrams et al, 1993] In figuur 5 is een grafische weergave van de werking het model van Clark & Wilson. In de figuur zijn een aantal objecten opgenomen die de systeem stadia aangeven, te weten: Constrained Data Item (CDI): Een set van gegevens die moet voldoen aan een set van integriteiteisen. De eisen worden door de organisatie opgesteld; Unconstrained Data Item (UDI); een set van gegevens die niet aan integriteiteisen hoeft te voldoen; Information Verification Procedures (IVP); een procedure of programma om de validiteit van de toestand van een CDI te certificeren; Transformation Procedure (TP): een procedure of programma om de toestand van een CDI te wijzigen of een validatie van een UDI, zodanig dat een nieuwe gevalideerde CDI ontstaat. Ten eerste is er aan de linkerkant (met een geel kader) een set van CDI s van waar de integriteit gecontroleerd wordt door de IVP (eveneens aan de linkerkant). In het geval de inhoud van een set van CDI s gewijzigd wordt, wordt een TP aangeroepen. De TP garandeert dat de nieuwe invoer of andere wijziging voldoet aan gestelde eisen aan de CDI waarop de transformatie (zoals een UDI of een verwijdering van gegevens) betrekking heeft. Voordat de TP mag ingrijpen zal het systeem moeten afdwingen dat de gebruiker geautoriseerd is om de bewerking te starten in zowel technische (de applicatie dwingt af dat gebruikers zich identificeren en authenticeren en dat zij de beschikking krijgen over de juiste autorisaties) als in Definitief, 27 november