IT-beheer: wat heeft een accountant daarmee te maken?

Transcriptie

1 Besturen van IT-dienstverleners door de klant IT-beheer, wat heeft een accountant daarmee te maken? 3.7 IT-beheer: wat heeft een accountant daarmee te maken? Het is maandagmorgen, half tien. Ik heb net de wekelijkse vergadering gehad met de afdeling IT, waar ik manager van ben: we hebben de planning van de projecten doorgesproken en hebben ook het incident van afgelopen weekend geëvalueerd. Op zaterdagmiddag werd ik gebeld door Jeanette van der Meer over een grote verstoring in de wekelijkse batchjobs. Het bleek dat de dagelijkse betaalrun niet volledig had gedraaid. Toen vervolgens de overige jobs werden gestart was er onvoldoende informatie aanwezig om deze af te ronden, en zo had ik een belangrijk deel van mijn vrije zaterdag op kantoor doorgebracht om de weekendbezetting te helpen. Na zo n vergadering gaat een kop koffie er altijd goed in: ik zit ook nog na te denken over een telefoongesprek dat ik net met de concerncontroller had. Hij vertelde mij dat het weer naar het eind van het jaar liep, wat inhield dat de boeken weer zouden worden gesloten. Daarna zouden, zoals elk jaar, de accountants komen om onze cijfers te controleren. Het nieuwe was, dat volgens de controller iemand van het accountantskantoor graag met mij wilde praten over hoe de processen op mijn afdeling liepen. Waar zou hij het toch met mij over willen hebben? Auteurs: drs. K.L. (Klaas Leendert) Leijendekker RE RA, partner Ernst & Young EDP Audit en ing. J.W.J. (Johan) Sturm RE, senior edp-auditor, Ernst & Young EDP Audit WETTELIJKE ACCOUNTANTSCON- TROLE De vraag naar een accountant begint ruim een eeuw geleden, rond het einde van de 19de eeuw. Tot die tijd waren bedrijfjes altijd opgezet met eigen geld of gefinancierd door rijkelieden die dicht genoeg op de dagelijkse gang van (financiële) zaken zaten om te weten hoe het met het bedrijf ging. Zo rond de eeuwwisseling van de 19de naar de 20ste eeuw kwam hier verandering in. De afstand tussen degenen die het geld leverden ( aandeelhouders ) en degenen die hiermee aan de slag gingen ( ondernemers ) werd groter. De ondernemers kregen meer vrijheid, onder andere doordat de groep aandeelhouders steeds groter werd, waardoor de individuele rechten van een aandeelhouder steeds minder duidelijk werden. Toch wilde de aandeelhouder/geldschieter weten wat er in zijn bedrijf gebeurde; het was zijn geld, en hij wilde weten of dit er ooit nog weer uit zou komen, liefst met rente. Doordat er steeds meer aandeelhouders kwamen en de afstand groter werd, ontstond de behoefte aan een onafhankelijke derde die namens de aandeelhouders de beweringen, verantwoordingen, et cetera, van de ondernemers kon toetsen; deze persoon is later bekend geworden onder de naam accountant. IT Service Management, best practices

2 206 De accountantscontrole is inmiddels wettelijk geregeld waarbij is aangegeven voor welke organisaties accountantscontrole verplicht is. Verder is wettelijk geregeld aan welke eisen een accountantscontrole moet voldoen. Het uitgangspunt voor de accountant is dat hij onderzoek uitvoert ten behoeve van het maatschappelijk verkeer. Dit is een breed begrip, maar over het algemeen wordt daaronder iedereen gerekend die (direct of indirect) een belang bij de organisatie heeft, bijvoorbeeld aandeelhouders, maar ook crediteuren, banken, werknemers, vakbonden, milieubewegingen, et cetera. Hoewel een accountant dus wordt betaald door het bedrijf dat hij controleert, is zijn onafhankelijkheid essentieel om een mening te vormen voor de rest van de wereld. Het principe van de accountant is dus dat hij onafhankelijk is van degene die hij controleert (i.c. de ondernemer). Hij moet namelijk de beweringen van deze ondernemer controleren en hier een eigen oordeel over vormen. De accountant kan voor deze controle onmogelijk alles in het hele bedrijf nalopen. Voor het vormen van een goed oordeel heeft hij ondermeer de beschikking over de volgende drie belangrijke instrumenten : Eigen waarneming Deskundigheid Administratieve Organisatie en Interne Controle (AO/IC). Hierna worden deze drie instrumenten toegelicht. Eigen waarneming De verklaring van de accountant heeft betrekking op wat er in een heel jaar bij een organisatie is gebeurd. Nu kan hij natuurlijk niet alles zien wat er in een jaar bij een bedrijf gebeurt. Hij zal een deelwaarneming moeten doen en gericht moeten bepalen wat hij wel en niet wil zien. Hiervoor zal de accountant vaktechnisch bepalen wat hij van de activiteiten in een jaar wil zien om iets te kunnen zeggen over het hele jaar. Een gecontroleerd bedrijf ziet de accountant over het algemeen twee keer per jaar: één keer tijdens de interimcontrole in de tweede helft van het jaar om vast te stellen in hoeverre het bedrijf zijn processen beheerst (komen de gegevens er wel juist uit); één keer tijdens de eindejaarscontrole vlak na jaareinde om de cijfers te beoordelen (komen er wel juiste cijfers uit). De beoordeling van de automatiseringsomgeving vindt meestal tijdens de interimcontrole plaats (in hoeverre worden de IT-processen beheerst). De eigen waarneming houdt ook in dat de accountant tijdens de controle bewijs wil zien van activiteiten die gedurende het jaar hebben plaatsgevonden. Dit zorgt voor het verhaal dat een organisatie van alles moet bewaren voor de accountant. De accountant wil testverslagen zien, conversieplannen, documentatie van aanpassingen in besturingssystemen, et cetera. Deze documentatie wordt door de accountant gebruikt om achteraf vast te kunnen stellen wat er gedurende het jaar is gebeurd. Aan de andere kant is de accountant van mening dat het vastleggen en vasthouden van dergelijke informatie het beheersen van automatisering binnen een organisatie ook ten goede komt. Zo kan in het geval van fouten bij een implementatie bijvoorbeeld worden teruggevallen op testverslagen. Deskundigheid Een ander belangrijk punt betreft de deskundigheid van de accountant. Kort gezegd, een accountant moet weten wat hij aan het controleren is; een bank is geen productiebedrijf is geen verzekeringsmaatschappij is geen groothandel is geen makelaardij is geen gemeente. Van al deze typen bedrijven zal een accountant verstand moeten hebben om daadwerkelijk een goede controleaanpak te kunnen opzetten; wat zijn de belangrijkste primaire processen, wie is het maatschappelijk verkeer voor deze specifieke organisatie, et cetera. Hier komt ook voorzichtig de verplichting voor de accountant om de hoek kijken dat - in bedrijven met veel automatisering - de accountant weet wat er op automa-

3 Besturen van IT-dienstverleners door de klant IT-beheer, wat heeft een accountant daarmee te maken? tiseringsgebied speelt en wat de invloed hiervan is op de bedrijfsvoering en zijn controle. resse in IT of zoals het wettelijk zo mooi heet: de geautomatiseerde gegevensverwerking? Administratieve Organisatie en Interne Controle (AO/IC) Het is in Nederland al jaren de gewoonte dat de accountant voor zijn jaarlijkse controle aansluit bij de manier waarop de ondernemer zelf zijn bedrijf in de greep heeft. Voor het in de greep houden van een bedrijf wordt een stelsel van maatregelen getroffen onder de noemer Administratieve Organisatie en Interne Controle (AO/IC). Dit AO/IC-stelsel omvat maatregelen met betrekking tot een aantal fundamentele vragen, zoals: Wie moet waarvoor opdracht geven? Wie voert wat uit? Wie controleert dit? Welke functiescheiding wordt gehanteerd? Hoe wordt de administratie bijgehouden? Dit betreft beheersingsmaatregelen in de primaire processen van een bedrijf waar de accountant voor zijn controle gebruik van wil maken: hij zal hij dus voldoende kennis moeten hebben van de organisatie en haar (primaire) processen. Tegenwoordig worden deze processen meer en meer ondersteund door geautomatiseerde systemen, variërend van meer of minder eenvoudige maatwerktoepassingen tot zeer uitgebreide en complexe ERP-pakketten (bijvoorbeeld SAP, Navision, et cetera). Om deze processen te begrijpen zal de accountant daarom ook kennis moeten nemen van de automatiseringsomgeving van een bedrijf. Hier is een belangrijk deel van de primaire processen op gebaseerd of op z n minst van afhankelijk. Belang interne beheersing en -controles Een afdelingsmanager, hoofd Productie, Verkoop of IT, wil de werkzaamheden die op zijn afdeling plaatsvinden beheersen. Op deze manier kan hij voorkomen dat hij voortdurend bij de werkplek van zijn mensen moet staan om te kijken wat ze doen en of ze het goed doen. Een goede manager vertrouwt z n mensen, maar zorgt daarbij wel voor controle op de punten waar het mis kan gaan. Hij bepaalt hiervoor de risico s voor zijn afdeling: wat kan er fout gaan? Als duidelijk is wat er fout kan gaan, zal hij bedenken welke maatregelen hiervoor genomen kunnen worden. Het liefst natuurlijk beheersingsmaatregelen om fouten te voorkomen (preventief), maar anders toch in elk geval beheersingsmaatregelen om fouten te signaleren (detectief). Een manager kan kiezen uit verschillende beheersingsmaatregelen, die globaal in een aantal categorieën uiteenvallen (zie figuur 1). Gebruikersdomein IT-domein General IT-controls Functiescheiding Gebruikerscontroles Geprogrammeerde controles WAAROM IS EEN ACCOUNTANT GEÏNTERESSEERD IN IT? Figuur 1 Stelsel van beheersingsmaatregelen Er is nu vastgesteld, dat een accountant veel van het bedrijf wil weten en gebruik wil maken van de bestaande administratieve organisatie en interne controle, maar hij richt zich toch vooral op iets met cijfers? Hoe verhoudt zich deze focus op de betrouwbaarheid van financiële cijfers nu met de inte- Figuur 1 laat de relatie zien tussen gebruikerscontroles aan de ene kant en geprogrammeerde controles aan de andere kant. De gebruikerscontroles zijn die activiteiten die door de gebruikers worden uitgevoerd en die in procedurebeschrijvingen/werkinstructies worden vastgelegd (bijvoorbeeld het IT Service Management, best practices

4 208 controleren van een factuur of het ondertekenen van een betaallijst). De geprogrammeerde controles daarentegen worden door de computer uitgevoerd. Hierbij valt te denken aan het verplicht laten invullen van kritische velden, het toewijzen van autorisaties, het geautomatiseerd uitvoeren van berekeningen, et cetera. Deze controles zullen bij het programmeren (of inrichten) van een systeem mee moeten zijn genomen. Om de gebruikerscontroles te laten werken is functiescheiding nodig, zodat medewerkers elkaar (binnen hun functie) controleren. Deze functiescheiding zal ook in het systeem moeten worden doorgetrokken (autorisatiematrix). De relatie tussen geprogrammeerde controles en General IT Controls wordt hierna besproken Een accountant wil in het kader van zijn jaarrekeningcontrole ook gebruik maken van de beheersingsmaatregelen die door de manager van een afdeling al zijn geïmplementeerd. De accountant zal dus op zoek gaan naar de mix van maatregelen, die waarborgen dat de aan hem aangeleverde (jaar)gegevens betrouwbaar zijn. In die zin hebben de accountant en de manager hetzelfde belang bij beheersingsmaatregelen. Ze willen alleen nog wel eens verschillen in de mate van diepgang die ze wensen om alle risico s te beheersen. Relatie interne beheersing en de automatiseringsomgeving (General IT Controls) Een accountant moet een uitspraak doen over wat er gedurende een geheel jaar is gebeurd bij een bedrijf. Dit houdt voor de handmatige controles in, dat hij moet vaststellen of bijvoorbeeld de factuurcontrole gedurende het gehele jaar gewerkt heeft. Dit is van belang omdat gebruikers niet altijd op dezelfde manier werken, er zou een verschil kunnen zitten tussen maandagmorgen om half negen en vrijdagmiddag om tien voor vijf. Om vast te stellen of handmatige controles zijn uitgevoerd gaat de accountant willekeurig uit het hele jaar transacties selecteren. Van deze transacties beoordeelt hij of de factuurcontrole daadwerkelijk heeft plaatsgevonden (bijvoorbeeld aan de hand van een paraaf) en of deze factuurcontrole op de juiste wijze is uitgevoerd (door de factuur na te rekenen). Voor geprogrammeerde controles werkt dit anders; voor een geprogrammeerde controle geldt dat als een computer één keer is verteld hoe hij transacties moet verwerken dan zal hij dat altijd op dezelfde manier doen. Een computer heeft geen last van weekendblues of een kater na een gezellige kantoorborrel. Dit betekent dat de accountant dus maar één keer hoeft vast te stellen dat een geprogrammeerde controle aanwezig is om hier vervolgens op te kunnen steunen. De belangrijke randvoorwaarde bij deze redenering is, dat de computer altijd op dezelfde manier werkt of in ieder geval op de manier die de gebruiker uiteindelijk heeft gewild (zie figuur 2). Want, weliswaar ongevoelig voor katers, als een computer is verteld iets fout te doen, dan zal hij dit ook altijd fout doen. Om te voorkomen dat een geprogrammeerde controle foutief werkt zijn voor de accountant twee IT-beheerconcepten heel belangrijk, te weten: wijzigingenbeheer logische toegangsbeveiliging. Het belang van wijzigingenbeheer is te waarborgen dat de wijzigingen die in de productieomgeving worden doorgevoerd altijd worden goedgekeurd door de eigenaar/gebruiker. Het doel hiervan is, dat de eigenaar/- gebruiker kan vaststellen of de nieuwe geprogrammeerde controles (als onderdeel van de gewenste functionaliteit) juist zijn geïmplementeerd en of de reeds bestaande controles, die voor hem van belang zijn, nog steeds aanwezig zijn. De logische toegangsbeveiliging zorgt ervoor dat gebruikers die toegang tot een systeem hebben alleen díe toegang hebben die overeenstemt met hun organisatorische functie. Zouden zij ruimere bevoegdheden hebben, dan kunnen geprogrammeerde controles eventueel worden omzeild waardoor de beheersing van een proces in gevaar komt.

5 Besturen van IT-dienstverleners door de klant IT-beheer, wat heeft een accountant daarmee te maken? IT-omgeving IT-omgeving Applicatie Applicatie 209 Logische Toegangsbeveiliging tijd Logische Toegangsbeveiliging Figuur 2 Introductie General IT Controls Wijzigingenbeheer en logische toegangsbeveiliging zijn dus randvoorwaardelijk voor het goed functioneren van geprogrammeerde controles, die op hun beurt een aandeel hebben in het beheersen van processen door gebruikers. Deze twee zijn dan ook de belangrijkste componenten van wat accountants de General IT Controls noemen. Zonder adequate General IT Controls kan nooit op geprogrammeerde controles worden gesteund. In de literatuur rondom de functie van de accountant wordt nog een derde General IT Control genoemd, namelijk continuïteitsmaatregelen (zie ook Nivra Studierapport 34). De accountant zal aandacht aan deze maatregelen besteden vanwege zijn natuurlijke adviesfunctie en niet zozeer vanuit een rechtstreekse relatie met de geprogrammeerde controles. IT-organisatie zelf. Er leiden meerdere wegen naar Rome. RELATIE GENERAL IT CONTROLS EN IT-BEHEER 3 Samengevat (zie figuur 3) zal de accountant, uitgaande van de noodzakelijke interne beheersing van een afdeling, vooral geïnteresseerd zijn in de volgende aspecten (General IT Controls) van de automatiseringsomgeving van een bedrijf: wijzigingenbeheer logische toegangsbeveiliging continuïteit. Beheersing primaire processen De IT-manager weet veelal prima hoe hij zijn IT-organisatie moet beheersen. De beheeren beheersingsmethodieken vliegen hem om de oren. Van best practice standaarden (zoals ITIL) tot uitgebreid doordachte procesmodellen (zoals IPW) en complete IT governance frameworks (zoals Cobit). Waarom richt hij nou echter welk proces in en wat is het belang van dat proces voor de informatievoorziening die zijn afdeling verzorgt? Om te beginnen moet de IT-manager hier- Wijzigingenbeheer ITomgeving Geprogrammeerde controles General IT Controls Hoe deze General IT Controls verder kunnen worden ingevuld wordt overgelaten aan de Figuur 3 Relatie General IT Controls en beheersing primaire processen IT Service Management, best practices

6 210 Vertrouwelijkheid Integriteit Beschikbaarheid Effectiviteit Efficiëntie Tabel 1 Gehanteerde kwaliteitsaspecten De beperking van de bevoegdheid en mogelijkheid tot muteren (wijzigen), uitlezen (raadplegen), kopiëren en/of kennisnemen van informatie of andere systeemcomponenten tot een gedefinieerde groep van gerechtigheden. Het realiteitsgehalte van de informatie en de waarborg, opdat niets ten onrechte wordt achtergehouden en/of verdwijnt. Integriteit omvat de elementen juistheid, tijdigheid (actualiteit) en volledigheid. De waarborg van een ongestoorde voortgang van de dienstverlening, ook bij calamiteiten. De mate waarin de informatie in overeenstemming is met de eisen en doelstellingen van de organisatie en de gebruikers. De verhouding tussen het prestatieniveau en de kosten van een informatieverwerkend systeem. Integriteit Waardering Managementbeslissingen Zouden incorrecte bedrijfsbeslissingen kunnen worden genomen op grond van fouten of onbevoegde wijzigingen in informatie? Direct verlies van marktaandeel Zouden orders of contracten kunnen worden verloren als gevolg van fouten of onbevoegde wijzigingen in informatie? Vertrouwen van het publiek Welke schade zou het vertrouwen van het publiek, het publieke imago of de trouw van aandeelhouders of leveranciers kunnen lijden als gevolg van fouten of onbevoegde wijzigingen in informatie? Extra kosten Zouden extra kosten opgelopen kunnen worden door fouten of onbevoegde wijzigingen in informatie, bijvoorbeeld door het moeten onderzoeken van integriteitsproblemen of de integriteit van verloren of onjuiste informatie te herstellen? Rechtsverplichtingen Zouden wettelijke, reglementaire of contractuele verplichtingen geschonden kunnen worden door fouten of onbevoegde wijzigingen in informatie? Totale score Samengevat, rekening houdend met de waarden zoals die in voorgaande vragen zijn toegekend en andere consequenties, wat is het belang van integriteit van informatie voor het bedrijfsproces? Tabel 2 Voorbeeldvragen voor het vaststellen van het belang van integriteit van informatie voor weten welke eisen het gebruikersdomein aan de informatie stelt. Hoe betrouwbaar moet de informatie zijn en hoe vertrouwelijk? In hoeverre is het bedrijf afhankelijk van de betreffende informatie en de bijbehorende informatiesystemen? Tabel 1 geeft definities van een aantal veel gebruikte kwaliteitscriteria.

7 Besturen van IT-dienstverleners door de klant IT-beheer, wat heeft een accountant daarmee te maken? Een veel gebruikte methode om deze aspecten inzichtelijk te maken is de BIV-codering. Hierbij wordt een relatieve score (bijvoorbeeld op een schaal van 1 tot 5) toegekend aan de kwaliteitsaspecten beschikbaarheid (B), integriteit (I) en vertrouwelijkheid (V) per informatiesysteem. Om de score vast te stellen, kun je de vraag stellen wat er fout gaat als het betreffende aspect onvoldoende aandacht krijgt. Zie tabel 1 voor een voorbeeld van het vaststellen van het belang van integriteit voor bepaalde informatie. Uitgangspunt hierbij is dat het gebruikersdomein de scores bepaalt. Vervolgens kan de IT-manager het belang van de diverse beheerprocessen vaststellen. Hierbij is echter een tussenstap nodig: wat is het belang van een IT-beheerproces (bijvoorbeeld conform ITIL) per kwaliteitsaspect? Hoe belangrijk is bijvoorbeeld Incident Management voor de integriteit van een informatiesysteem? In tabel 3 wordt een leidraad gegeven voor het vaststellen van dit belang per ITbeheerproces. Het exacte belang van een ITbeheerproces voor een kwaliteitsaspect hangt af van de organisatie en de specifieke invulling die aan het proces wordt gegeven. Tabel 3 geeft bijvoorbeeld aan dat Continuity Management, Availability Management en Capacity Management van groot belang zijn voor de beschikbaarheid, maar van klein belang voor vertrouwelijkheid. Bij sommige processen is één specifiek aspect te noemen waar het proces grotendeels op gericht is, bijvoorbeeld integriteit bij Change Management. Aan de hand van de tabel kunnen prioriteiten worden gegeven voor het inrichten van de relevante IT-beheerprocessen. Nadat de relatie is gelegd tussen de ITbeheerprocessen en de kwaliteitsaspecten gaan we in op de relatie tussen de General IT Controls, zoals de accountant die hanteert (Wijzigingenbeheer, Logische toegangsbeveiliging en Continuïteit) en de IT-beheerprocessen. De definities uit de jaarrekeningcontrole sluiten niet één op één aan op de definities volgens bijvoorbeeld de ITIL-methodiek ten aanzien van Change Management, Security Management en Continuity Management. In jaarrekeningcontroletermen gaat het om de concepten Wijzigingenbeheer, Logische toegangsbeveiliging en Continuïteit. Hoe ver Kwaliteitsaspecten IT-beheerproces Beschik- Integriteit Vertrouwe- Effectiviteit Efficiëntie baarheid lijkheid Management & Organisation Security Management Continuity Management Availability Management Capacity Management Service Level Management Cost Management Change Management Incident Management Problem Management Release Management Configuration Management Operations Management Tabel 3 Relatie tussen IT-beheerprocessen en kwaliteitsaspecten. Het belang van een proces per kwaliteitsaspect wordt aangeduid met een aantal punten: klein middelgroot groot IT Service Management, best practices

8 212 General IT Controls IT-beheerproces Wijzigingenbeheer Logische toegangs- Continuïteit beveiliging Management & Organisation Security Management Continuity Management Availability Management Capacity Management Service Level Management Cost Management Change Management Incident Management Problem Management Release Management Configuration Management Operations Management Tabel 4 Relatie General IT Controls met IT-beheerprocessen beperkte tot geen relatie enige relatie sterke relatie houdt dat zich nu tot concrete procesinrichtingen binnen ICT? Op hoofdlijnen kunnen de volgende relaties worden gelegd zoals weergegeven in figuur 4. Hierna worden deze relaties verder uitgewerkt. Uit tabel 4 is af te leiden dat hiervoor meerdere processen van belang zijn. Wijzigingenbeheer Voor wijzigingenbeheer zijn met name de processen Service Level Management, Change Management, Incident Management en Problem Management van belang. Deze processen moeten garanderen dat wijzigingen die in de productieomgeving worden doorgevoerd uiteindelijk altijd zijn geaccepteerd door het eigenaar/gebruikersdomein, ook als deze op basis van interne overwegingen binnen de IT-organisatie worden uitgevoerd. Hiervoor onderkent de accountant de volgende drie stappen bij het doorvoeren van een wijziging: autorisatie (A), test (T) en acceptatie (A) Dit ATA-model geeft de waarborgen dat wijzigingen alleen worden uitgevoerd na acceptatie door de verantwoordelijke eigenaar/gebruiker. Tests dienen aan te tonen dat de wijziging tot de juiste resultaten leidt en geen ongewenste neveneffecten heeft. Daarna dient de eigenaar/gebruiker de wijziging formeel te accepteren voordat deze in productie mag worden genomen. Deze afspraken dienen door Service Level Management in de Service Level Agreement (SLA) te zijn vastgelegd. Het proces Change Management levert als het goed is de beste informatie over de uitvoering van wijzigingen. Bij een inrichting conform ITIL leveren de processen Incident en Problem Management echter een belangrijke toegevoegde waarde binnen het totale stelsel van beheermaatregelen. Informatie uit deze processen geeft namelijk inzicht in de kwaliteit van Change Management: indien na implementatie van een wijziging veel incidenten optreden kan analyse hiervan door Problem Management wellicht aantonen dat de betreffende change onvoldoende is getest. Logische toegangsbeveiliging De General IT Control Logische toegangsbeveiliging sluit het meest aan op het ITILproces Security Management. Toegangsbeveiliging zal echter op alle niveaus en voor

9 Besturen van IT-dienstverleners door de klant IT-beheer, wat heeft een accountant daarmee te maken? alle onderdelen van de IT-omgeving moeten worden geregeld; vandaar dat toegangsbeveiliging een relatie met meerdere IT-beheerprocessen heeft, met name: Security Management - hier wordt het beleid vastgesteld, geïmplementeerd, gecontroleerd en zonodig bijgesteld. Change Management - met een wijziging mag geen verzwakking van de toegangsbeveiliging worden geïntroduceerd. Service Level Management - met de (externe) leverancier moeten goede afspraken worden gemaakt over het toekennen van bevoegdheden, het periodiek monitoren van de uitgedeelde bevoegdheden, het melden van beveiligingsincidenten, et cetera. Continuïteit Voor de General IT Control continuïteit is een relatie met de volgende ITIL-processen te leggen: Continuity Management Availability Management Capacity Management Incident Management. Voor continuïteit wordt bij de inrichting van een beheerorganisatie veelal onderscheid gemaakt tussen normale beschikbaarheid van de systemen en beschikbaarheid bij calamiteiten (contingency). Het proces Continuity Management richt zich op beschikbaarheid bij calamiteiten, bijvoorbeeld door het realiseren van uitwijkvoorzieningen. Voor een daadwerkelijke uitwijk zijn dan natuurlijk wel (actuele en betrouwbare) gegevens nodig van het informatiesysteem. Deze gegevens dienen periodiek te worden veiliggesteld om er bij een uitwijk over te kunnen beschikken. Voor het verkrijgen van een optimale normale beschikbaarheid worden systemen veelal redundant uitgevoerd of bijvoorbeeld voorzien van een Storage Area Network (SAN), waarbij de gegevens vrijwel continu op een externe locatie worden veiliggesteld. Voor het daadwerkelijk kunnen functioneren van deze technische voorzieningen zullen deze over voldoende capaciteit moeten beschikken om, ook bij calamiteiten, een toereikende performance te leveren. Daarnaast is snel en adequaat reageren op incidenten met (mogelijke) gevolgen voor de continuïteit van groot belang om ernstige niet-beschikbaarheid te voorkomen. Het belang van dit stelsel processen voor een optimale continuïteit van de informatiesystemen betekent dat een organisatie veelal méér nodig heeft dan een wekelijkse backup van de gegevens. BEOORDELEN WERKING GENERAL IT CONTROLS We hebben gezien dat de General IT Controls breder zijn dan de ITIL-processen Change Management, Security Management en Continuity Management. De vraag dient zich nu aan, hoe de edp-auditor dit allemaal even kan controleren. Het moge duidelijk zijn dat het even controleren van alle ITIL-processen, die een relatie hebben met General IT Controls, niet mogelijk is. Om vast te stellen dat de General IT Controls daadwerkelijk hebben gefunctioneerd gedurende het controlejaar, past de edp-auditor een gestructureerde aanpak toe. Allereerst maakt de edp-auditor onderscheid tussen het beoordelen van de opzet, het bestaan en de werking van de beheermaatregelen. Opzet van beheermaatregelen De opzet betreft het ontwerp van de maatregelen. Beheerorganisaties hebben dit veelal vastgelegd in proceshandleidingen (ITIL) en bijbehorende procedures en werkinstructies. Andere documenten die de opzet beschrijven zijn beleidsdocumenten, zoals het beveiligingsbeleid. Belangrijk aandachtspunt hierbij is de mate waarin de gedefinieerde maatregelen meetbaar en controleerbaar zijn. Zijn er voldoende specifieke procesindicatoren gedefinieerd, die duidelijk aangeven hoe het proces functioneert? Zijn er meetbare service levels afgesproken met de gebruikers over de te leveren kwaliteit van de dienstverlening? Daarnaast is het bij de IT Service Management, best practices

10 214 opzet van belang dat de processen onderling goed op elkaar zijn aangesloten. Bestaan van beheermaatregelen Iedere IT-manager weet echter uit ervaring dat het ontwerpen van processen niet hetzelfde is als het daadwerkelijk implementeren van die processen. Of de beheerprocessen daadwerkelijk zijn geïmplementeerd zoals in opzet beschreven, wordt door de edp-auditor onderzocht bij het controleren van het bestaan. Hierbij wordt ondermeer vastgesteld of de procesactiviteiten zijn belegd bij de juiste functionarissen en of de noodzakelijke tools zijn ingericht. Om daadwerkelijk vast te stellen dat een beheerproces is geïmplementeerd dient dit met minimaal één deelwaarneming te worden aangetoond, bijvoorbeeld aan de hand van het volgen van één wijzigingsverzoek. Hiermee beoordeelt de edp-auditor of de procedures (het ontwerp) bij de medewerkers bekend zijn en volgens voorschrift worden toegepast. Werking van beheermaatregelen De volgende stap is om voldoende zekerheid te krijgen dat een beheerproces (inclusief controles) gedurende het gehele jaar heeft gefunctioneerd (gewerkt). Hiervoor moet een aantal transacties/mutaties worden geselecteerd die gedurende het jaar hebben plaatsgevonden. Van deze transacties/mutaties moet worden gecontroleerd of ze via de beschreven procedures zijn afgehandeld. Hierbij kan niet worden volstaan met een Te gebruiken registraties: helpdesktool (incidentregistratie) change-managementregistratie notulen Change Advisory Board (CAB) wijzigingskalender operatorlogboek procesrapportages (b.v. change management) configuration management database (CMDB) verificatie-resultaten CMDB beschikbaarheidsregistraties en -rapportages et cetera. Tabel 5 Registraties voor vaststellen werking beheerprocessen beperkt aantal momentopnamen. Voor het vaststellen van de werking dient uitgebreid te kunnen worden gesteund op vastleggingen van activiteiten, waarvan een aantal in detail wordt beoordeeld/gecontroleerd, zoals bijvoorbeeld gegevens over de afhandeling van incidenten, problems en changes. In tabel 5 wordt een overzicht gegeven van mogelijk te gebruiken registraties. De registraties worden gebruikt voor het controleren of de juiste IT-beheerprocedures zijn toegepast, waarbij de betreffende gegevens inhoudelijk worden beoordeeld. Hiervoor kunnen bijvoorbeeld formele aanvragen en opdrachten worden vergeleken met uitgevoerde werkzaamheden, zoals die uit verslagen en logboeken blijken. Hoewel de volledigheid van de registratie voor een afzonderlijk proces lastig is vast te stellen, kan hiervoor bijvoorbeeld worden gesteund op de onderlinge relaties tussen de beheerprocessen. Door verschillende registraties op elkaar aan te sluiten ontstaat inzicht in de volledigheid ervan. Logboeken en dagrapportages van Operations Management kunnen bijvoorbeeld worden aangesloten op de geregistreerde incidentmeldingen. Door de incidenten aan te sluiten op de betreffende configuratie-items, ontstaat inzicht in de betrouwbaarheid van de configuration management database (CMDB). Afwijkingen van de CMDB ten opzichte van de daadwerkelijk aanwezige configuratie-items kunnen vervolgens een indicatie geven dat niet alle wijzigingen conform het Change Managementproces zijn uitgevoerd. Stelsel van beheerprocessen Het vaststellen van de werking van General IT Controls wordt hiermee een gedegen analyse van de daadwerkelijk uitvoering van de beheerprocessen. Enerzijds zijn de meeste IT-beheerorganisaties niet zodanig ingericht dat de processen één op één aansluiten op hetgeen voor het beoordelen van de General IT Controls in het kader van de jaarrekening van belang is. Anderzijds kan een edp-auditor bij zijn onderzoek echter prima gebruik maken van de veelal standaard ITIL-proces-

11 Besturen van IT-dienstverleners door de klant IT-beheer, wat heeft een accountant daarmee te maken? sen die zijn ingericht. Juist door daarbij naar het totale stelsel van ITIL-processen te kijken kan een goed onderbouwde uitspraak worden gedaan over de betrouwbaarheid en continuïteit van de informatiesystemen. Tevens zal daarbij gekeken moeten worden in hoeverre een minder goed functionerend proces wellicht gecompenseerd kan worden door een goed functionerend ander proces. Een goed functionerend Release Management voor een bepaalde applicatie kan bijvoorbeeld tekortkomingen bij het (algemene) Change Management compenseren. Daarnaast geeft de aansluiting van verschillende registraties een belangrijke indicatie voor de betrouwbaarheid van deze registraties en daarmee voor de bruikbaarheid bij het vaststellen van de effectiviteit van de beheerprocessen. ITIL-processen blijken daarbij zeer bruikbaar om de kwaliteit van de General IT Controls, die in het kader van de jaarrekeningcontrole worden onderzocht, vast te stellen. En bovendien, weliswaar niet het doel van een jaarrekeningcontrole, levert een dergelijk onderzoek en bijbehorend rapport de ITmanager nuttig inzicht in de kwaliteit van zijn IT-beheerprocessen èn of dit aansluit bij de eisen die de organisatie hieraan stelt. gens naar security baselines en beveiligingsinstellingen van onze platformen ging vragen, heb ik hem snel een afspraak met onze system administrator laten maken. Ik kijk nog eens op z n visitekaartje, die accountant blijkt een edp-auditor te zijn. Interessant, en dat allemaal naar aanleiding van de jaarrekeningcontrole: ik ben benieuwd naar z n rapport. LITERATUUR NIVRA studierapport 34. Normatieve maatregelen voor de geautomatiseerde gegevensverwerking in het kader van de jaarrekeningcontrole, NIVRA, Eigenlijk wel behoefte aan iets anders dan een kop koffie, maar dat schenkt de automaat niet. Die accountant die met me is komen praten had toch wel veel verstand van computers. Interessant gesprek gehad over de volwassenheid van m n beheerorganisatie en hoe ik praktisch gebruik maak van een mix van ITIL, IPW en Cobit. Samen met mijn change manager heb ik met hem doorgenomen hoe ons wijzigingsproces eruit ziet. Hij wilde heel specifiek weten op welke manier we de laatste nieuwe release van het boekhoudsysteem hadden ingevoerd. Veel vragen had hij daarbij. Wie had daar welke testen bij uitgevoerd en hoe waren de resultaten? Welke incidenten waren in de daarop volgende periode op dat systeem opgetreden en hoe hadden we die verholpen en geanalyseerd? Wat zouden we doen als nu onze computerruimte uitbrandde? Toen hij vervol- IT Service Management, best practices

12