Impactbepaling van een hoge rechten account in de SAP omgeving Handvatten voor de impactbepaling van een hoge rechten account in de SAP omgeving in het kader van de jaarrekeningcontrole.
Impactbepaling van een hoge rechten account in de SAP omgeving Handvatten voor de impactbepaling van een hoge rechten account in de SAP omgeving in het kader van de jaarrekeningcontrole. Scriptienummer: 2050 Versienummer: 1.0 Vrije Universiteit Amsterdam Faculteit der Economische Wetenschappen en Bedrijfskunde (FEWEB) Postgraduate opleiding IT Audit Compliance & Advisory De Boelelaan 1105 1081 HV Amsterdam Auteur: W.M. van der Niet (2546712) Begeleider Vrije Universiteit: P. Harmzen RA RE Begeleider Deloitte Risk Services B.V.: R. Hoekman RE CISSP
VOORWOORD Voor u ligt het rapport Impactbepaling van een hoge rechten account in de SAP omgeving. Dit rapport is tot stand gekomen in het kader van de Postgraduate opleiding IT Audit Compliance & Advisory aan de Vrije Universiteit, te Amsterdam. Vanuit mijn werkzaamheden als IT auditor zag ik de noodzaak voor het ontwikkelen van een normenkader om de impact van een hoge rechten account op de jaarrekeningcontrole vast te kunnen stellen. Dit omdat de impact van een hoge rechten account op de geautomatiseerde gegevensverwerking in minimale mate vastgesteld wordt. Dit onderzoeksrapport levert handvatten om de impact van een hoge rechten account op de jaarrekeningcontrole te bepalen. Deze handvatten worden aangeleverd in de vorm van een normenkader en is toegespitst op de SAP omgeving. Als resultaat hiervan zal de IT auditor meer werkzaamheden moeten verrichten om de impact op de geautomatiseerde gegevensverwerking vast te stellen. Tevens kan het testen van de impact door de IT auditor leiden tot minder werkzaamheden voor de accountants. Graag maak ik van de gelegenheid gebruik om mijn begeleiders, Dhr. Harmzen namens de Vrije Universiteit en Dhr. Hoekman als bedrijfsbegeleider vanuit Deloitte Risk Services B.V., te bedanken voor hun begeleiding en inhoudelijke ondersteuning. Tevens bedank ik graag de collega s binnen Deloitte Risk Services welke een inhoudelijke bijdrage geleverd hebben aan dit rapport en het uiteindelijke normenkader. W.M van der Niet 1
MANAGEMENT SAMENVATTING De AFM (Autoriteit Financiële Markten) constateerde in een rapport (gepubliceerd op 25 september 2014 i ) dat de kwaliteit van wettelijke controles, de kwaliteitsbeheersing en bewaking onvoldoende was voor de Big Four (Deloitte, EY, KPMG en PWC). De AFM heeft bij elk van de vier bovengenoemde tien wettelijke controles uit de periode 2012-2013 beoordeeld en heeft de uitvoering van de wettelijke controle als onvoldoende beoordeeld. De geconstateerde tekortkomingen komen deels voort uit de IT kwaliteit van de wettelijke controles. Om invulling te geven aan de door AFM geconstateerde tekortkomingen met betrekking tot een omgeving die in de eigen praktijk veelvuldig voorkomt wordt in dit onderzoek verder toegespitst op de volgende hoofdvraag: Welke maatregelen dienen IT auditors in het kader van de jaarrekening te testen om de impact van een hoge rechten account in SAP inzichtelijk te maken voor de accountant? Het uiteindelijke resultaat van dit onderzoek zal in de toekomst een bijdrage leveren aan het verbeteren van de kwaliteit van de jaarrekeningcontroles. Dit door een normenkader aan te leveren welke inzicht biedt in de impact van hoge rechten accounts op de jaarrekeningcontrole. Dit normenkader bevat risico s, maatregelen en gedetailleerde teststappen om deze impact te bepalen. In deze versie van het rapport zal het normenkader beperkt worden tot de risico s en maatregelen. De maatregelen die IT auditors in het kader van de jaarrekeningcontrole dienen te testen om de impact van een hoge rechten account inzichtelijk te maken voor de accountant zijn opgedeeld in IT en business risico s. IT risico s om de impact van een hoge rechten account op de geautomatiseerde gegevensverwerking vast te stellen en daarnaast de business risico s om te bepalen of het hoge rechten account ook impact heeft gehad op de business processen. Wanneer de accountant op de geautomatiseerde gegevensverwerking wil steunen, dienen de geïdentificeerde IT risico s te allen tijden door de IT auditor getest te worden om vast te stellen of het hoge rechten account impact gehad heeft op de geautomatiseerde gegevensverwerking. Wanneer de accountant niet op de geautomatiseerde gegevensverwerking wil steunen is de SAP_ALL analyse voor de IT risico s geen vereiste, wel kan dit een wens zijn van de accountant. Het is belangrijk dat er niet alleen IT risico s of business risico s getest worden wanneer een hoge rechten account aanwezig is en de accountant op de geautomatiseerde gegevensverwerking wil steunen. Beide risico s dienen te allen tijden getest te worden. Welke en hoe de business risico s getest zullen worden is afhankelijk van het audit plan van de accountant. Het is mogelijk dat het audit plan van de accountant toereikend is om de impact van de hoge rechten accounts op de business risico s te mitigeren. In dat geval is het afhankelijk van de accountant of hij een additionele analyse op de hoge rechten accounts wil uitvoeren of dat hij zijn huidige audit plan aanhoudt. Wanneer de IT auditor business risico s in scope neemt, zullen deze altijd in afstemming met de accountant geïdentificeerd dienen te worden omdat deze voor ieder bedrijf verschillend zijn. Tevens komt uit dit onderzoek naar voren dat de IT auditor de geïdentificeerde business maatregelen integraal kan analyseren en daarmee een hogere zekerheid levert dan een analyse op steekproefbasis. Echter, blijft de scope van de IT audit altijd de verantwoordelijkheid van de accountant, wel kan de IT auditor hier een adviserende rol in spelen. Wanneer de IT en business risico s beide in scope zijn zullen er voldoende werkzaamheden verricht zijn om de impact van het hoge rechten account op de jaarrekening vast te stellen. 2
INHOUDSOPGAVE Voorwoord... 1 Management samenvatting... 2 Inhoudsopgave... 3 Hoofdstuk 1. AANLEIDING & PROBLEEMANALYSE... 5 1.1 Aanleiding... 5 1.2 Probleemanalyse... 5 Tekortkomingen Systeem- en gegevensgerichte werkzaamheden... 6 Focus onderzoek... 6 Problematiek vanuit de praktijk... 7 Hoofdvraag onderzoek... 8 Afbakening onderzoek... 8 Doelstelling... 10 Deelvragen onderzoek, onderzoeksmethode & leeswijzer... 10 Hoofdstuk 2. Risico analyse Jaarrekeningcontrole... 12 2.1 Impact hoge rechten account op de jaarrekeningcontrole... 12 Impact van een hoge rechten account binnen De it risico s:... 12 Impact van een hoge rechten account binnen de business risico s:... 15 Hoofdtuk 3. SAP_ALL normenkader.... 18 3.1 Uitgangspunten in de definitie van risico s... 18 Het risico bestaat... 18 Het risico kan leiden tot fraude en kan de integriteit van de data aantasten.... 18 3.2 Uitgangspunten in de definitie van maatregelen... 18 3.3 Uitgangspunten in de definitie van teststappen... 19 3.4 Manier en Diepgang testen maatregelen... 19 3.5 Scope SAP_ALL analyse... 19 Accounts in scope SAP_ALL analyse... 20 Aanvullende analyse op scope SAP_ALL analyse... 20 3.6 IT risico s GEDEFINIEERD IN SAP_ALL NORMENKADER... 21 3.7 Business risico s gedefinieerd in SAP_ALL normenkader... 23 Hoofdstuk 4. randvoorwaarden... 26 4.1 Logging... 26 4.2 Moment van testen... 26 4.3 Restricties auditor... 27 Hoofdstuk 5. Praktijkonderzoek... 28 Conclusie... 29 3
Literatuurlijst.... 31 Bijlage 1. Probleemanalyse... 32 Bijlage 2. Deelvragen & onderzoeksmethodologie... 35 Bijlage 3. SAP GITC normenkader... 38 4
HOOFDSTUK 1. AANLEIDING & PROBLEEMANALYSE In dit hoofdstuk wordt de aanleiding van dit onderzoek besproken. Tevens is een probleemanalyse uitgevoerd om de achterliggende problemen van de geïdentificeerde structurele tekortkomingen die de AFM signaleerde te achterhalen. Op basis van deze probleemanalyse is de focus van dit onderzoek bepaald. 1.1 AANLEIDING De aanleiding van dit onderzoek zijn de structurele tekortkomingen die de AFM signaleerde in een rapport, gepubliceerd op 25 september 2014. Dit rapport is het resultaat van een onderzoek naar de kwaliteit van wettelijke controles, de kwaliteitsbeheersing en -bewaking door de vier grootste accountantsorganisaties, de zogenoemde Big Four (Deloitte, EY, KPMG en PWC). De AFM heeft bij elk van de vier bovengenoemde tien wettelijke controles uit de periode 2012-2013 beoordeeld. Het aantal 'onvoldoende controles bedraagt: Deloitte: 40%, EY: 30%, KPMG: 70% PWC: 40% Om de eerlijkheid en transparantie binnen de financiële markten te bevorderen is de onafhankelijke gedragstoezichthouder AFM (Autoriteit Financiële Markten) in het leven geroepen. De AFM concludeerde dat de accountancysector zo snel mogelijk maatregelen moet nemen om de kwaliteit te waarborgen en het publiek belang meer centraal te stellen. Voorafgaand aan het rapport, gepubliceerd op 25 september 2014, heeft de AFM in september 2010 ook een rapport gepubliceerd. Het rapport uit 2010 betreft de eerste reguliere onderzoeken die zij had uitgevoerd bij de Big Four in de periode 2009-2010. De reguliere onderzoeken in 2013-2014 betreffen een zogenoemde éénmeting. De AFM doet hierin opnieuw onderzoek naar de kwaliteit van wettelijke controles om vast te stellen in hoeverre de verbetermaatregelen die zijn genomen in de tussenliggende periode het beoogde effect hebben gehad. Tijdens de éénmeting heeft de AFM de kwaliteit van achttien van de veertig (45%) beoordeelde wettelijke controles als onvoldoende aangemerkt. In 2010 was dit nog 52%. De meest voorkomende tekortkomingen hebben betrekking op de systeemgerichte werkzaamheden, de gegevensgerichte werkzaamheden en de kritische evaluatie door de externe accountant van verkregen controle-informatie. Het betreft in de meeste gevallen een combinatie van verschillende tekortkomingen. 1.2 PROBLEEMANALYSE Om de achterliggende problemen te achterhalen van het door de AFM geconstateerde initiële probleem is een probleemanalyse uitgevoerd. Hiermee zijn de achterliggende problemen achterhaald met als doel meer inzicht te krijgen in de veroorzakers van het initiële probleem. Het AFM rapport is als uitgangspunt genomen voor deze probleemanalyse. In het AFM rapport worden de tekortkomingen uiteengezet op het gebied van systeemgerichte en gegevensgerichte werkzaamheden. In deze paragraaf worden deze tekortkomingen van zowel de systeemgerichte als gegevensgerichte werkzaamheden besproken. Details van deze structurele tekortkomingen worden in bijlage 1. Probleemanalyse uiteengezet. 5
TEKORTKOMINGEN SYSTEEM- EN GEGEVENSGERICHTE WERKZAAMHEDEN In het AFM rapport worden de volgende tekortkomingen uiteengezet op het gebied van systeemgerichte werkzaamheden: Controle werkzaamheden aangemerkt als systeemgericht maar zijn in feite gegevensgericht. Onvoldoende werkzaamheden verricht om de betrouwbaarheid van de geautomatiseerde gegevens verwerking vast te stellen. Onvoldoende vaststelling of automatische functiescheiding toereikend is. In het AFM rapport worden de volgende tekortkomingen uiteengezet op het gebied van gegevensgerichte werkzaamheden: Tekortkomingen geïdentificeerd bij de toepassing op verbandcontroles. Onvoldoende evaluatie of overzichten, lijsten en databases betrouwbare informatie bevatten. Onvoldoende opvolging aan verschillen die blijken uit detailcontroles, cijferanalyses of toetsing van interne beheersmaatregelen. Onvoldoende kritisch management informatie beoordeeld. Onvoldoende evaluatie van werkzaamheden verricht door een ander, waaronder geen opvolging geven aan de bevindingen van de IT-specialist. Onvoldoende invulling geven aan de rol als groepsaccountant. FOCUS ONDERZOEK De door de AFM gesignaleerde problemen in combinatie met mijn huidige werkzaamheden als IT auditor geven aanleiding om te focussen op het volgende probleem (zie figuur 1): Onvoldoende werkzaamheden verricht om de betrouwbaarheid van de geautomatiseerde gegevens verwerking vast te kunnen stellen. Figuur 1. Focus van dit onderzoek 6
In de volgende paragrafen zal de onderzoekfocus verder toegelicht worden. Het uiteindelijke doel van het onderzoek zal een bijdrage leveren aan het verbeteren van de kwaliteit van de jaarrekeningcontroles in de toekomst. De focus zal hierbij liggen op een beperkt maar specifiek onderdeel binnen het bovengenoemde probleem. PROBLEMATIEK VANUIT DE PRAKTIJK Vanuit de praktijk krijg ik veel met de volgende problematiek te maken, dit is tevens aanleiding voor de focus van dit onderzoek. Mijn dagelijkse werkzaamheden bestaan uit IT audits in het kader van de jaarrekening en advies opdrachten. Voor de IT audits in het kader van de jaarrekening bestaat mijn opdrachtportefeuille voornamelijk uit IT audits rondom de SAP applicatie. Daarmee geven we onder andere zekerheid over de automatische gegevensverwerking van SAP systemen aan de accountant. Door de jaren heen heb ik veel expertise ontwikkeld op SAP gebied en ben ik sinds januari 2015 SAP SD (Sales & Distribution) gecertificeerd. Wanneer de IT auditor constateert dat er één of meerdere hoge rechten account(s) aanwezig zijn op de SAP applicatie, wordt dit gerapporteerd naar de accountant als onderdeel van het IT audit rapport. De IT auditor rapporteert het totaal aantal hoge rechten accounts op de SAP applicatie naar de accountant toe, dit in combinatie met de functie van de persoon achter het hoge rechten account. Tevens geeft de IT auditor aan of het risico van een hoge rechten account gemitigeerd is door andere maatregelen in het SAP GITC normenkader. Het SAP GITC normenkader is het standaard SAP normenkader dat binnen Deloitte getest wordt wanneer er zekerheid over de geautomatiseerde gegevensverwerking van SAP gevraagd wordt. De huidige werkwijze waarop de IT auditor een impactbepaling doet, is onvoldoende. Wanneer een hoge rechten account geconstateerd is betekent dit dat er een hoog risico is voor alle maatregelen binnen het SAP GITC normenkader. Dit houdt in dat het hoge rechten account impact gehad kan hebben op de maatregelen, ondanks dat deze maatregelen als effectief getest zijn. Dit is tevens de reden dat effectief geteste maatregelen niet als mitigerend gebruikt kunnen worden. De steekproefgrootte is namelijk niet gebaseerd op een hoog risico, maar op een normaal risico. De volgende keuze zou gemaakt worden om dit hoge risico af te dekken voor alle maatregelen binnen het SAP GITC normenkader. 1. Het verhogen van de steekproefaantallen voor iedere control binnen het GITC normenkader waar dit hoge rechten account een directe impact op uitgeoefend kan hebben. 2. Het onderzoeken van de impact van het hoge rechten account voor iedere control binnen het GITC normenkader waar dit hoge rechten account een directe impact op uitgeoefend kan hebben. Wanneer er geen uitzonderingen geconstateerd worden bij bovenstaande opties, impliceert dit dat de hoge rechten accounts geen impact hebben gehad op de geautomatiseerde gegevensverwerking van het SAP landschap. In de praktijk is optie 2 een veel efficiëntere oplossing dan optie 1. Dit komt doordat bij optie 1 het aantal willekeurige steekproeven verhoogt wordt tot 60 steekproeven per maatregel. Dit kost erg veel tijd per maatregel, er vanuit gaande dat dit normaliter maximaal 25 steekproeven per maatregel zijn. Bij optie 2 wordt door middel van een integrale analyse van de acties van het hoge rechten account specifiek toegespitst op dit account en worden overige accounts buiten scope gelaten. Wanneer blijkt dat het hoge rechten account niet voorkomt in de 7
maatregel, is er geen risico aanwezig en daarmee ook geen impact. Bij het lezen van beide opties wordt duidelijk dat optie 2 het meest efficiënt en effectief is doordat de acties van het hoge rechten account per maatregel integraal inzichtelijk gemaakt worden. Wanneer de accountant op de automatische gegevensverwerking van het SAP landschap wil steunen voor zijn jaarrekeningcontrole, is het bepalen van de impact op de maatregelen binnen het SAP GITC normenkader te allen tijde benodigd om de impact van het hoge rechten account op de geautomatiseerde gegevensverwerking te bepalen. Business maatregelen Daarnaast kan het hoge rechten account ook invloed hebben op business processen. De accountant heeft hiermee de keuze om de impact van het hoge rechten account inzichtelijk te maken door zelf grotere steekproefaantallen te nemen of de IT auditor de directe invloed van het hoge rechten account op de business maatregelen inzichtelijk te laten maken. Dit kan de IT auditor inzichtelijk maken door te testen of het hoge rechten account binnen de geselecteerde business processen ongeautoriseerde acties heeft uitgevoerd. Welk team de impactbepaling voor zijn rekening neemt binnen de jaarrekeningcontrole en welke business maatregelen daarmee aanvullend getest dienen te worden door de IT auditor ligt in de handen van de accountant. Dit is mede afhankelijk van een aantal generieke elementen zoals het soort bedrijf, de risico analyse uitgevoerd door de accountant en het risicoprofiel van de accountant. Wel kan de IT auditor hier een adviserende rol in spelen. Bepaling impact hoge rechten accounts door de accountant of IT auditor? In de voorgaande paragrafen is uiteengezet welke acties verricht dienen te worden door accountants of IT auditors om de impact van hoge rechten accounts te bepalen. De conclusie hieruit is dat de IT auditor de geïdentificeerde business maatregelen integraal kan analyseren en daarmee een hogere zekerheid levert dan een analyse op steekproefbasis uitgevoerd door de accountant. Echter, blijft de scope van de IT audit altijd de verantwoordelijkheid van de accountant, wel kan de IT auditor hier een adviserende rol in spelen. HOOFDVRAAG ONDERZOEK Om een bijdrage te leveren aan de noodzakelijk uit te voeren testwerkzaamheden om de impact van de hoge rechten accounts op de jaarrekeningcontrole vast te stellen, zal dit onderzoek verder toegespitst worden op de volgende hoofdvraag: Welke maatregelen dienen IT auditors in het kader van de jaarrekening te testen om de impact van een hoge rechten account in SAP inzichtelijk te maken voor de accountant? Deze hoofdvraag draagt bij aan het inzichtelijk maken van de uit te voeren teststappen om vast te stellen wat de werkelijke impact van het hoge rechten account geweest is op de jaarrekeningcontrole, voor zowel de business maatregelen als SAP GITC maatregelen. Hiermee wordt voor de SAP GITC maatregelen toegespitst op optie 2 uit deze paragraaf. AFBAKENING ONDERZOEK Voor dit onderzoek zijn de volgende afbakeningen gedaan: Afbakening SAP ECC systeem. Afbakening SAP applicatie. Afbakening hoge rechten account tot SAP_ALL 8
SAP ECC systeem Het onderzoek is afgebakend tot het SAP ECC systeem (hier na te noemen SAP landschap) omdat in de IT audit praktijk het SAP ECC systeem het meest voorkomt. Dit wordt veroorzaakt doordat een SAP ECC systeem de basis is van een SAP landschap. Waar mogelijk kunnen klanten extra SAP systemen toevoegen aan het SAP landschap. Deze SAP systemen zullen op het SAP ECC systeem geplaatst worden ter uitbreiding van de huidige faciliteiten. Of een bedrijf alleen een SAP ECC systeem bezit of ook meerdere SAP systemen is vaak afhankelijk van het soort bedrijf, de grootte van het bedrijf en waar de interne organisatie meerwaarde aan hecht. Sommige corporate klanten hebben zelfs meerdere SAP ECC systemen. Tijdens het uitvoeren van de IT audit in het kader van de jaarrekening wordt voornamelijk toegespitst op de SAP ECC systemen. Dit omdat zich hier de belangrijkste financiële gegevens bevinden. Het komt tevens voor dat de accountant een aanvullende maatregel wil testen voor een specifieke module. Binnen de IT audit in het kader van de jaarrekening noemen IT auditors dit een application control. Houdt daarmee wel het volgende in gedachten: De IT auditor komt tot de conclusie of de accountant wel of niet kan steunen op de geautomatiseerde gegevensverwerking van het SAP landschap. Dit is het resultaat van de uitzonderingen die de IT auditor binnen het SAP GITC normenkader geconstateerd heeft. Wanneer de IT auditor aangeeft dat de accountant niet kan steunen op de geautomatiseerde gegevensverwerking van het SAP landschap, dan zal de application control ook automatisch niet effectief zijn. Dit houdt tevens in dat accountant ook niet op de application control kan steunen. SAP applicatie Het onderzoek is tevens afgebakend tot logische toegang via de SAP applicatie. Tijdens de Deloitte IT audit in het kader van de jaarrekening wordt logische toegang tot de SAP applicatie als een groter risico gezien dan logische toegang tot de database omdat meer gebruikers toegang hebben tot de applicatie dan directe toegang tot de database. Om dit onderzoek goed aan te laten sluiten op de IT audit in het kader van de jaarrekening is daarom de keuze gemaakt om het onderzoek af te bakenen tot de SAP applicatie. Hoge rechten account met profielen SAP_ALL en SAP_NEW Ook is het onderzoek afgebakend tot de hoge rechten accounts met profielen SAP_ALL en SAP_NEW. In de SAP applicatie worden rechten toegekend door middel van autorisaties op transactiecode niveau. Deze autorisaties zijn weer geclusterd in rollen en profielen. Nu zijn er door SAP twee profielen samengesteld met de machtigste rechten binnen de SAP applicatie, namelijk het profiel SAP_ALL en SAP_NEW (hierna te noemen: SAP_ALL ). Dit onderzoek is afgebakend op de hoogste rechten binnen de SAP applicatie. Dit enerzijds omdat dit de machtigste rechten zijn binnen de SAP applicatie, maar tevens ook omdat de IT audit in het kader van de jaarrekening zich ook focust op deze twee profielen. Zoals in de deze paragraaf al genoemd is, is dit de maatregel waar vaak uitzonderingen op geconstateerd worden en accountants vaak problemen hebben met de impactbepaling op de jaarrekeningcontrole. 9
DOELSTELLING Met het beantwoorden van de hoofdvraag wordt uiteindelijk een normenkader opgeleverd welke als leidraad dient om de impact van een hoge rechten account op een SAP landschap vast te stellen voor de accountant. Dit normenkader zal in het onderzoek het SAP_ALL normenkader genoemd worden, welke getest wordt als onderdeel van de SAP_ALL analyse. De volgende doelen worden getracht te behalen met het SAP_ALL normenkader en het uitvoeren van de SAP_ALL analyse: Het bepalen van de impact van een hoge rechten account op de jaarrekening voor zowel business als IT risico s voor de accountant. Het bewust maken van de IT en business risico s bij het engagement team (zowel IT auditors als accountants), welke dient als discussiepunt om te bepalen welke aanvullende zaken getest gaan worden wanneer een hoge rechten account geconstateerd is. Doelstelling 1 is al in de voorgaande paragrafen uitgebreid besproken en zal hier niet verder toegelicht worden. Doelstelling 2 draagt bij aan het bewust worden van de risico s die zich mogelijk voordoen na het constateren van een hoge rechten account. Dit is tevens essentieel omdat alle leden van een engagement team niet altijd gespecialiseerd zijn in SAP. Dit SAP_ALL normenkader geeft inzicht in alle business en IT risico s waarop vervolgacties ondernomen kunnen worden. Dit betekent tevens dat het engagement team alle risico s en maatregelen goed in kaart heeft en op basis daarvan beslissingen genomen kunnen worden. Wanneer het SAP_ALL normenkader als uitgangspunt genomen wordt, zorgt dit ervoor dat er een volledige analyse op het hoge rechten account wordt uitgevoerd voor zowel de business als IT risico s. Of het gehele SAP_ALL normenkader getest zal worden ligt deels in de handen van de accountant, namelijk voor de business risico s. De IT auditor is verantwoordelijk voor het testen van de IT risico s wanneer de accountant steunt op de geautomatiseerde gegevensverwerking. DEELVRAGEN ONDERZOEK, ONDERZOEKSMETHODE & LEESWIJZER Onderliggend aan de hoofdvraag is dit onderzoek opgebouwd uit de volgende deelvragen: Welke IT risico s worden geïdentificeerd met betrekking tot hoge rechten accounts in het kader van de jaarrekeningcontrole? Welke business risico s worden geïdentificeerd met betrekking tot hoge rechten accounts in het kader van de jaarrekeningcontrole? Welke maatregelen kunnen geïdentificeerd worden om de risico s van hoge rechten accounts op de jaarrekening te beheersen? Welke teststappen dient de IT auditor uit te voeren voor het testen van de geïdentificeerde maatregelen? Wat zijn de randvoorwaarden voor het uitvoeren van de SAP_ALL analyse? Vindt de accountant de risico s en maatregelen gedefinieerd in het SAP_ALL normenkader voldoende om te integreren in de IT audit in het kader van de jaarrekeningcontrole? De deelvragen worden op chronologische volgorde onderzocht en beantwoord. In dit onderzoek wordt gebruik gemaakt van field- en deskresearch. Tevens wordt er aandacht besteed aan de toetsing van het normenkader. In bijlage 2, deelvragen & onderzoeksmethodologie, is per deelvraag een verantwoording opgenomen. Hierin wordt besproken welke onderzoeksmethodologie per deelvraag gehanteerd is. 10
Voor het opstellen en formuleren van de risico s, maatregelen en teststappen is het SAP GITC normenkader als uitgangspunt genomen om de normenkaders in de basis op elkaar te laten aansluiten. Dit is tevens ook de reden waarom het SAP_ALL normenkader in het Engels is opgesteld. Op deze manier is het SAP_ALL normenkader voor iedereen binnen Deloitte toegankelijk. Om de hoofdvraag van dit onderzoek te beantwoorden is eerst een verdere probleemanalyse op de aanleiding uitgevoerd, deze is te lezen in hoofdstuk 1. Hoofdstuk 2 wordt gewijd aan een risico analyse. Hierbij wordt inzichtelijk gemaakt welke risico s er voor de jaarrekening bestaan wanneer er een hoge rechten account geconstateerd is door de IT auditor. In hoofdstuk 3 wordt het SAP_ALL normenkader besproken met de geïdentificeerde risico s, maatregelen en teststappen. Hoofstuk 4 wordt gewijd aan de randvoorwaarden voor het succesvol uitvoeren van de SAP_ALL analyse en in hoofdstuk 5 worden de praktijkresultaten besproken. Dit hoofdstuk geeft inzicht in de toegevoegde waarde van de SAP_ALL analyse voor de accountant. 11
HOOFDSTUK 2. RISICO ANALYSE JAARREKENINGCONTROLE In dit hoofdstuk is een risico analyse uitgevoerd met als doel om inzicht te verkrijgen welke risico s bestaan voor de jaarrekeningcontrole wanneer een hoge rechten account aanwezig is op het SAP landschap. 2.1 IMPACT HOGE RECHTEN ACCOUNT OP DE JAARREKENINGCONTROLE De hoge rechten accounts binnen het SAP landschap worden tijdens de IT audit in het kader van de jaarrekening geconstateerd. Hoge rechten accounts binnen het SAP landschap kunnen op verschillende manieren een impact hebben op de jaarrekeningcontrole. Er zijn twee mogelijkheden om te ontdekken of de data integriteit, volledigheid of tijdigheid is aangetast binnen de jaarrekeningcontrole door een account met hoge rechten. Dit zijn de volgende risicogebieden: Risico s voor de geautomatiseerde gegevensverwerking, hierna te noemen IT risico s. Risico s voor de bedrijfsvoering, hierna te noemen business risico s. In de onderstaande paragrafen is een risico analyse uitgevoerd om vast te stellen welke risico s meegenomen moeten worden in deze aanvullende SAP_ALL analyse voor IT en business risico s. IMPACT VAN EEN HOGE RECHTEN ACCOUNT BINNEN DE IT RISICO S: Met het oog op juistheid, volledigheid en tijdigheid van de geautomatiseerde gegevensverwerking zal, zoals in de aanleiding al uiteengezet is, de impact van een hoge rechten account voor de andere maatregelen in het GITC normenkader onderzocht moeten worden. Refereer naar bijlage 3 voor het SAP GITC normenkader. Door het analyseren van het huidige SAP GITC normenkader wat gebruikt wordt bij een IT audit in het kader van een SAP landschap zijn 10 van de 24 maatregelen geselecteerd als risico waar een hoge rechten account impact op zou kunnen hebben. Op de resterende 14 maatregelen kan geen directe invloed uitgeoefend worden door een hoge rechten account en zijn daarmee geen risico voor de geautomatiseerde gegevensverwerking wanneer zich een hoge rechten account voordoet op de SAP omgeving. Deze 14 maatregen zijn daarom buiten scope gelaten. De volgende 10 maatregelen zijn wel in scope voor het SAP_ALL werkprogramma en zullen hieronder kort toegelicht worden. SAP.01: The ability to change the SAP schedule and batch schedules is restricted. SAP.03: Users with the ability to create, modify or delete roles, profiles and users are limited. SAP.05: SAP Table update access is restricted based on specific business need. SAP.06: SAP users are authorized to execute programs based on their job responsibilities. SAP.09: User access is controlled through authentication mechanism with appropriate parameters enforced. SAP.16: IDOCS are monitored and access is granted based on job responsibilities. SAP.18: The ability to maintain the global system change option and client maintenance settings is restricted. SAP.20: Development access is not granted in the production environment. SAP.22: Application systems changes are appropriately documented, tested and approved before migration to production. SAP.23: Access to change the data structure through the data dictionary is not granted in production. 12
Access to Batch Jobs Deze maatregel betreft SAP.01 in het SAP GITC normenkader. Het is relevant om te achterhalen of een hoge rechten account batch jobs heeft aangemaakt, gewijzigd of verwijderd. Dit kan er bijvoorbeeld voor zorgen dat batch jobs met een financieel karakter niet uitgevoerd zijn. Access to User Administration Deze maatregel betreft SAP.03 in het SAP GITC normenkader. Het is relevant om te achterhalen of een hoge rechten account nieuwe accounts heeft aangemaakt of accounts verwijderd heeft. Tevens is het relevant of het hoge rechten account bestaande rollen of profielen heeft aangepast of gecreëerd. Dit kan erop duiden dat een nieuw account gecreëerd is om acties van het hoge rechten account te verbergen. Tevens zou een rol of profiel toegevoegd of gewijzigd kunnen worden in de benodigde rechten voor de persoon achter het hoge rechten account. Dit heeft tevens als doel om acties van de persoon te verbergen. Een andere mogelijkheid is dat de persoon achter het hoge rechten account dit nieuwe account al heeft verwijderd. Access to Table Update Deze maatregel betreft maatregel SAP.05 in het SAP GITC normenkader. Het is relevant om te achterhalen of een hoge rechten account direct wijzigingen in tabellen heeft doorgevoerd via standaard transactiecodes SM30 of SM31. Dit kan erop duiden dat er wijzigingen direct in de database uitgevoerd kunnen zijn. Er zijn twee soorten tabellen, customizing tabellen en SAP transactionele tabellen. Customizing tabellen is data dat aangemaakt wordt wanneer klanten hun systeem op een klant-specifieke manier configureren. SAP transactionele tabellen bevat configuratie data waar het SAP systeem op gebaseerd is. Belangrijk is dat wanneer de client change option niet open staat, er geen wijzigingen in de Customizing tabellen doorgevoerd kunnen worden. Vanuit het perspectief van de IT audit bevatten deze Customizing tabellen het meeste risico. Dit houdt tevens in, wanneer de client change option niet geopend is in het fiscale jaar, het grootste deel van het risico gemitigeerd is. Echter is het geen gemeen goed voor bedrijven om de client change option niet te openen omdat dit vaak vereist is voor het doorvoeren van bepaalde transporten voor change management. Access to Execute Programs Deze maatregel betreft SAP.06 in het SAP GITC normenkader. Het is relevant om te achterhalen of een hoge rechten account directe programma wijzigingen in productie heeft doorgevoerd via standaard transactiecode SE38, SA38 en SE80. Dit kan erop duiden dat SAP standaard programma s en zelf ontwikkelde programma s ontwikkeld, gewijzigd en uitgevoerd kunnen zijn. Er zijn twee soorten programma s, SAP standaard programma s en zelf ontwikkelde programma s. Vanuit een IT audit in het kader van de jaarrekening perspectief bevatten deze zelf ontwikkelde programma s het meeste risico. Belangrijk is dat wanneer de system change options niet open staat, er geen programma s aangemaakt of gewijzigd kunnen worden. Wel kunnen er programma s uitgevoerd worden wanneer de system change option dicht staat. Daarmee is het ook zaak om naast het vaststellen of de system change option open is geweest, vast te stellen of de transactiecodes gebruikt zijn. Password Parameters Deze maatregel betreft SAP.09 in het SAP GITC normenkader. Het is relevant om te achterhalen of een hoge rechten account aanpassingen in de configuratie van de logging heeft doorgevoerd. De 13
logging configuratie en wachtwoord configuratie zou gewijzigd kunnen worden door het uitvoeren van de SAP standaard transactiecodes SM18, SM19, RZ10, RZ11. Wanneer dit gebeurd is, zou dit erop kunnen duiden dat het hoge rechten account onvoldoende gelogd werd, waardoor een deel van de acties uitgevoerd door het hoge rechten account niet meer te traceren zijn. Of, wanneer de wachtwoord configuratie gewijzigd wordt zou dit erop kunnen duiden dat de wachtwoordeisen teruggebracht zijn. Access to IDOC and Monitoring Deze maatregel betreft SAP.16 in het SAP GITC normenkader. Het is relevant om te achterhalen of een hoge rechten account IDOCS (interne berichten binnen het SAP landschap) heeft tegengehouden. Dit kan erop duiden dat het verwerken van IDOCS niet juist is uitgevoerd. Wat mogelijk kan leiden tot een niet juist verwerkte IDOC met een financieel karakter. Access to System and Client Change Options Deze maatregel betreft SAP.18 in het SAP GITC normenkader. Het is relevant om te achterhalen of een hoge rechten account de client of system change option heeft geopend. Dit kan duiden op het doorvoeren van bijvoorbeeld bepaalde transporten of het wijzigen van tabellen direct in de database. Access To Development Activities Deze maatregel betreft SAP.20 in het SAP GITC normenkader. Het is relevant om te achterhalen of een hoge rechten account debugging functionaliteiten heeft gebruikt. Dit kan erop duiden dat er ontwikkeling heeft plaatsgevonden in een productieomgeving. Daarmee wordt de functiescheiding tussen ontwikkeling en het doorvoeren naar productie omzeild. Approval and Testing of Changes Deze maatregel betreft SAP.22 in het SAP GITC normenkader. Het is relevant om te achterhalen of een hoge rechten account transport heeft doorgezet in de productie omgeving om vast te stellen of hier een risico aanwezig is voor de jaarrekening. Wanneer er geen transporten doorgezet zijn door de hoge rechten accounts is er geen risico voor de jaarrekening. Wanneer een hoge rechten account wel transporten doorgezet heeft in productie, kan nagegaan worden of dit transport geautoriseerd was en wat de mogelijke impact van dit of meerdere transporten is. Access to Change Data Structure Deze maatregel betreft SAP.23 in het SAP GITC normenkader. Het is relevant om te achterhalen of een hoge rechten account wijzigingen in de data dictionary heeft doorgevoerd. Data dictionary is het centrale punt in het data management systeem. Deze functie ondersteunt het aanmaken en beheersen van data definities. Tevens bevat de data dictionary de data die aangeboden wordt aan alle systeemcomponenten. Dit zorgt ervoor dat de data integer en consistent blijft. Het risico bestaat dat toegang kan leiden tot directe wijzigingen van de data dictionary in de SAP database. Dit kan daarmee de integriteit en consistentie van de data aantasten in alle systeemcomponenten. Belangrijk is dat wanneer de system change option niet open staat, er geen wijzigingen in de data dictionary plaats kunnen vinden. Dit houdt tevens in, wanneer de system change option niet geopend is in het fiscale jaar, het risico gemitigeerd is. Echter is het geen gemeen goed voor bedrijven om de system change option niet te openen omdat dit vaak vereist is voor het doorvoeren van bepaalde transporten voor change management. 14
IMPACT VAN EEN HOGE RECHTEN ACCOUNT BINNEN DE BUSINESS RISICO S: Naast de geïdentificeerde risico s voor de geautomatiseerde gegevensverwerking zijn er met het oog op de jaarrekeningcontrole tevens verschillende business risico s te identificeren. In de onderliggende paragrafen zullen de hierna te noemen business risico s in scope voor het SAP_ALL normenkader in detail besproken worden. De volgende business risico s worden geïdentificeerd voor de jaarrekeningcontrole: Leverancier master data Inkooporders Materiaal verkoopprijzen Klant master data Kortingen Betalingen Manuele boekingen Creditnota s Werknemer master data Daarnaast wordt het relevant geacht of deze hoge rechten accounts bepaalde documenten hebben doorgevoerd binnen het SAP landschap. De volgende documenten worden als relevant geacht: Inkoop documenten Materiaal documenten Uitlever documenten Facturering documenten Sales documenten Leverancier master data Leverancier master data kan ongeautoriseerd aangemaakt of gewijzigd zijn. Het risico bestaat dat door het ongeautoriseerd aanmaken of wijzigen van leverancier master data geld ongeautoriseerd de organisatie is uitgestroomd, bijvoorbeeld door het wijzigen van een bankrekening of het aanmaken van een foutieve leverancier. Het aantal gecreëerde en wijzigingen van leverancier master data is bepalend voor het risico en de impact op de jaarrekeningcontrole. Daarmee rijzen de volgende vragen: Hebben deze hoge rechten accounts daadwerkelijk leverancier master data aangemaakt of gewijzigd? Wanneer er leverancier master data gewijzigd is, welke velden omvat dit precies? Inkooporders Inkooporders kunnen ongeautoriseerd aangemaakt, gewijzigd en goedgekeurd zijn. Het risico bestaat dat er door een ongeautoriseerde inkooporder geld de organisatie is uitgestroomd. De hoogte van deze inkooporder is bepalend voor het risico en de impact op de jaarrekeningcontrole. Daarmee rijzen de volgende vragen: Hebben deze hoge rechten accounts daadwerkelijk inkooporders aangemaakt, gewijzigd of goedgekeurd? Indien ja, hoe groot was dit bedrag per hoge rechten account? 15
Materiaal verkoopprijzen Verkoopprijzen van materialen kunnen ongeautoriseerd aangemaakt of gewijzigd zijn. Het risico bestaat dat het ongeautoriseerd aanmaken of wijzigen van materiaal verkoopprijzen heeft geleid tot minder inkomsten voor de organisatie. Net als bij kortingen zijn materiaal verkoopprijzen ook vaak opgesteld door het management. Dit zijn daarmee ook de prijzen die gebruikt mogen worden tijdens de verkoop van materialen aan klanten. De mate van aanpassing van de materiaal verkoopprijzen is bepalend voor het risico en de impact op de jaarrekeningcontrole. Daarmee rijzen de volgende vragen: Hebben deze hoge rechten accounts daadwerkelijk materiaal verkoopprijzen aangepast? Indien ja, hoe groot was dit bedrag per hoge rechten account? Klant master data Klant master data kan ongeautoriseerd aangemaakt, gewijzigd of verwijderd zijn. Het risico bestaat dat door het aanmaken, wijzigen of verwijderen van klant master data geld ongeautoriseerd de organisatie verlaten heeft, bijvoorbeeld door het ontvangen van persoonlijke bonussen door een medewerker. De mate van aanpassing van de klant master data is bepalend voor het risico en de impact op de jaarrekeningcontrole. Daarmee rijzen de volgende vragen: Hebben deze hoge rechten accounts daadwerkelijk klant master data aangemaakt, gewijzigd of verwijderd? Wanneer er klant master data gewijzigd is, welke velden omvat dit precies? Kortingen Kortingen kunnen gegeven worden aan zowel de inkoop en de verkoop kant in een SAP landschap. Voor de jaarrekeningcontrole zijn voornamelijk de kortingen aan de verkoopkant een geïdentificeerd risico. Dit omdat op deze manier minder geldstroom als beoogd de organisatie ingestroomd kan zijn. Nu worden binnen bijna elke organisatie kortingen verstrekt aan klanten, normaliter zijn deze grenzen opgesteld door het management. Echter wanneer het om het verstrekken van ongeautoriseerde kortingen aan klanten gaat, zou dit een negatieve invloed kunnen hebben op de inkomsten van het bedrijf. De hoogte van deze kortingen is bepalend voor het risico en de impact op de jaarrekeningcontrole. Daarmee rijzen de volgende vragen: Hebben deze hoge rechten accounts daadwerkelijk kortingen gegeven. Indien ja, hoe groot was dit bedrag per hoge rechten account? Betalingen Inkooporders kunnen ongeautoriseerd betaald zijn. Het risico bestaat dat door het ongeautoriseerd doorvoeren van een betaling geld ongeautoriseerd de organisatie uitgestroomd is, bijvoorbeeld door het betalen van een inkooporder. Het totale bedrag aan betalingen is bepalend voor het risico en de impact op de jaarrekeningcontrole. Daarmee rijzen de volgende vragen: Hebben deze hoge rechten accounts daadwerkelijk betalingen doorgevoerd? Indien ja, hoe groot was dit bedrag per hoge rechten account? 16
Manuele boekingen Manuele boekingen kunnen ongeautoriseerd opgevoerd zijn. Het risico bestaat dat door het opvoeren van een ongeautoriseerde manuele boeking op een grootboekrekening geld ongeautoriseerde de organisatie uitgestroomd is. Dit kan bijvoorbeeld een manuele boeking naar een klant of leverancier zijn. Het totale bedrag aan manuele boekingen is bepalend voor het risico en de impact op de jaarrekeningcontrole. Daarmee rijzen de volgende vragen: Hebben deze hoge rechten accounts daadwerkelijk manuele boekingen gedaan? Indien ja, hoe groot was dit bedrag per hoge rechten account? Creditnota s Creditnota s kunnen ongeautoriseerd aangemaakt of gewijzigd worden. Een creditnota kan zowel voor een klant als voor een leverancier aangemaakt zijn. Het risico bestaat dat door het ongeautoriseerd aanmaken of wijzigen van creditnota s de post crediteuren tijdelijk fictief omhoog gebracht is. Daarmee bestaat het risico dat de post crediteuren onjuist geïnterpreteerd wordt. De mate van aangemaakte of gewijzigde creditnota s is bepalend voor het risico en de impact op de jaarrekeningcontrole. Daarmee rijzen de volgende vragen: Hebben deze hoge rechten accounts daadwerkelijk creditnota s aangemaakt of gewijzigd? Indien ja, hoe groot was dit bedrag per hoge rechten account? Werknemer master data Werknemer master data kan ongeautoriseerd aangemaakt, gewijzigd of verwijderd zijn. Het risico bestaat dat door het aanmaken, wijzigen of verwijderen van werknemer master data geld ongeautoriseerd de organisatie verlaten heeft, bijvoorbeeld door het opvoeren van een salaris en/of een bonus; voor de desbetreffende foutieve werknemer. De mate van aangemaakte, gewijzigde of verwijderde werknemer master data is bepalend voor het risico en de impact op de jaarrekeningcontrole. Daarmee rijzen de volgende vragen: Hebben deze hoge rechten accounts daadwerkelijk werknemer master data aangemaakt, gewijzigd of verwijderd? Indien ja, hoe groot was dit bedrag per hoge rechten account? Documenten Inkoop, materiaal, uitlever, facturering en sales documenten kunnen ongeautoriseerd aangemaakt of gewijzigd zijn. Het risico bestaat daarmee dat door het aanmaken of wijzigingen van deze documenten geld ongeautoriseerd de organisatie verlaten heeft, bijvoorbeeld door het opvoeren van een foutief materiaal of het doorvoeren van een foutieve inkooporder. Het totale bedrag wat gemoeid gaat met de bovengenoemde documenten is bepalend voor het risico en de impact op de jaarrekeningcontrole. Daarmee rijzen de volgende vragen: Hebben deze hoge rechten accounts daadwerkelijk documenten aangemaakt of gewijzigd? Indien ja, hoe groot was dit bedrag per hoge rechten account en om welke soort document gaat het? 17
HOOFDTUK 3. SAP_ALL NORMENKADER. In dit hoofdstuk worden de risico s en maatregelen van het SAP_ALL normenkader uiteengezet. In dit hoofdstuk wordt antwoord gegeven op de volgende deelvragen: Welke business risico s worden geïdentificeerd met betrekking tot hoge rechten accounts in het kader van de jaarrekeningcontrole. Welke IT risico s worden geïdentificeerd met betrekking tot hoge rechten accounts in het kader van de jaarrekeningcontrole. Welke maatregelen kunnen geïdentificeerd worden om de risico s van hoge rechten accounts op de jaarrekening te beheersen? Onderliggende teststappen worden kort belicht. Dit rapport betreft een voor iedereen toegankelijke versie. Met deze reden zijn de geformuleerde teststappen niet opgenomen in de bijlagen. 3.1 UITGANGSPUNTEN IN DE DEFINITIE VAN RISICO S Tijdens het definiëren van de business en IT risico s zijn de volgende uitgangspunten gebruikt: Het risico bestaat. Het risico kan leiden tot fraude en kan de integriteit van de data aantasten. HET RISICO BESTAAT Het risico bestaat tot dat het tegendeel bewezen wordt tijdens het testen van de gedefinieerde maatregelen. Wanneer uit de maatregelen, gekoppeld aan het specifieke risico, blijkt dat er geen uitzonderingen geconstateerd zijn tijdens het volgen van de teststappen kan de conclusie getrokken worden dat het risico zich niet heeft voorgedaan in het fiscale jaar. Echter, tot die tijd bestaat het risico. Dit is tevens meegenomen in de beschrijving van de risico s. HET RISICO KAN LEIDEN TOT FRAUDE EN KAN DE INTEGRITEIT VAN DE DATA AANTASTEN. Hetgeen dat in de bovenstaande paragraaf beschreven is, geldt voor het risico. Dit kan leiden tot fraude en kan de integriteit van de data aantasten. Wanneer uit de maatregelen, gekoppeld aan het specifieke risico, blijkt dat er geen uitzonderingen geconstateerd zijn tijdens het volgen van de teststappen kan de conclusie getrokken worden dat het risico zich niet heeft voorgedaan in het fiscale jaar. Dit betekent dus dat zich geen fraude heeft voorgedaan en de integriteit van de data gehandhaafd is. 3.2 UITGANGSPUNTEN IN DE DEFINITIE VAN MAATREGELEN Tijdens het definiëren van de maatregelen om de scope, business en IT risico s te beheersen is het volgende uitgangspunt gebruikt: Maatregelen zijn alleen toegewezen aan personeel dat geautoriseerd is om deze rechten te gebruiken als onderdeel van hun functie. Maatregelen zijn alleen uitgevoerd door personeel dat geautoriseerd is om deze acties uit te voeren als onderdeel van hun functie. Voor beide van de bovenstaande punten geldt dat de gebruiker van een hoge rechten account hoogst waarschijnlijk voor geen van de bovenstaande punten geautoriseerd is. Daarmee zal in de meeste gevallen de maatregel een uitzondering bevatten wanneer geconstateerd wordt dat een hoge rechten account een bepaalde actie heeft uitgevoerd in het kader van de desbetreffende maatregel. 18
3.3 UITGANGSPUNTEN IN DE DEFINITIE VAN TESTSTAPPEN Tijdens het definiëren van de teststappen om de scope, business en IT risico s te beheersen is het volgende uitgangspunt gebruikt: In de teststappen worden gedetailleerde stappen weergegeven, zoals transactiecodes en benodigde tabelnamen. Door de mate van detail is het reproduceren van de teststappen eenvoudig. In de teststappen worden mitigerende maatregelen meegenomen binnen het SAP_ALL normenkader. Een van de doelstellingen tijdens het opstellen van de teststappen van het SAP_ALL normenkader is dat een willekeurige IT auditor de teststappen kan uitvoeren zonder een SAP specialist te zijn. Tevens zijn in de teststappen mitigerende maatregelen meegenomen, zoals bijvoorbeeld het bekijken of de client of system change option niet is opengezet in het fiscale jaar. Dit kan er voor zorgen dat het risico al gemitigeerd is voor bepaalde maatregelen. 3.4 MANIER EN DIEPGANG TESTEN MAATREGELEN De manier van het testen van deze maatregelen komt vrijwel een op een overeen met de manier van testen van maatregelen gedefinieerd in het SAP GITC normenkader. De overeenkomsten met de manier van testen van maatregelen gedefinieerd in het SAP GITC normenkader zijn de volgende: De maatregelen worden qua opzet, bestaan en werking getest. De IT auditor geeft per maatregel aan of er een uitzondering geconstateerd is. De afwijkingen in de manier van testen van maatregelen gedefinieerd in het SAP GITC normenkader zijn de volgende: Het SAP_ALL normenkader heeft een beperktere scope qua relevante accounts. De teststappen onderliggend aan de maatregelen integraal bekeken dienen te worden. 3.5 SCOPE SAP_ALL ANALYSE Voordat overgegaan wordt naar het definiëren van de IT en business risico s, zal eerst de scope van de SAP_ALL analyse behandeld worden. De scope van de SAP_ALL analyse is namelijk één van de belangrijkste onderwerpen voor het bepalen van de testwerkzaamheden. De scope zal in kaart brengen voor welke accounts deze risico s en de bijbehorende maatregelen getest dienen te worden. Door het in- en uitscopen van relevante user ID s wordt namelijk bepaald of deze gedefinieerde business en IT risico s ontdekt worden voor de relevante accounts. Dit is ook tevens waar geïdentificeerd IT risicogebied SAP.03 Access to User Administration om de hoek komt kijken. Om de scope van de SAP_ALL analyse te bepalen is het volgende risico als uitgangspunt genomen, deze geldt voor zowel de business en IT risico s: An increased risk exists that unauthorized use of user ID's took place by the selected scope of users for this analysis which could lead to fraud and compromise the integrity of the data. 19
ACCOUNTS IN SCOPE SAP_ALL ANALYSE Het uitgangspunt van de SAP_ALL analyse betreft alle accounts welke de hoge rechten hebben toegewezen gekregen in het fiscale jaar. Al is het maar twee minuten, de accounts zullen in scope genomen moeten worden. De volgende uitzonderingen dienen in acht genomen te worden: Accounts welke geen dialog (user type A) of service (user type S) zijn, zoals system (user type B), communication (user type C) en reference (user type L), zijn minder relevant voor de SAP_ALL analyse. Dit omdat deze drie user types niet interactief kunnen aanloggen en daarmee geen direct risico vormen voor de data binnen SAP. Accounts welke niet aangelogd zijn in het fiscale jaar. Dit betekent dat deze accounts niet actief zijn geweest op de systemen en daarmee geen risico vormen voor de data binnen SAP en de jaarrekeningcontrole. Wanneer er tijdens het testen van maatregel SAP.15 (emergency access) tijdens de IT audit in het kader van de jaarrekening geen uitzonderingen geconstateerd zijn, zouden deze accounts uit de scope voor de SAP_ALL analyse kunnen blijven. Belangrijk is wel dat de volgende teststappen gevolgd zijn: o Er wordt een aanvraag gedaan door de medewerker die gebruik wil maken van hoge rechten. In deze aanvraag geeft hij of zij de reden van gebruik aan en welke transactiecodes benodigd zijn. o Alle aanvragen worden beoordeeld en af- of goedgekeurd door een geautoriseerd persoon o Logging is geactiveerd en kan niet worden gemanipuleerd door de werknemer welke gebruikt maakt van de hoge rechten. o Logging wordt integraal bekeken, tevens wordt er een aanvullende test gedaan of alleen de transactiecodes in de aanvraag gebruikt zijn. o De voorgaande stappen zijn vastgelegd en in te zien door de IT auditor. AANVULLENDE ANALYSE OP SCOPE SAP_ALL ANALYSE Hoge rechten accounts hebben genoeg autorisaties in het SAP landschap om acties moeilijk herleidbaar te maken. Dit kan bijvoorbeeld door de volgende acties uit te voeren: Het aanmaken van een nieuw account met hoge rechten. Het wijzigen van autorisaties voor bestaande users Het wijzigen van autorisatieprofielen en autorisatierollen. Het activeren van geblokkeerde accounts. Het resetten van wachtwoorden van accounts. Deze bovengenoemde zaken leiden er toe dat je gebruik kan maken van andere accounts en andere autorisaties om ongeautoriseerde acties te verdoezelen. Dit is precies de reden waarom onderzocht dient te worden of de hoge rechten accounts in scope van de SAP_ALL analyse ook andere accounts gebruikt kunnen hebben. Wanneer dit het geval is, dienen deze accounts ook meegenomen te worden in de scope van de SAP_ALL analyse. Naar aanleiding van deze analyse is gekomen tot de volgende drie maatregelen om het bovengenoemde risico te beheersen: Maatregel: SAP_ALL authorizations are only assigned to appropriate personnel who need access as part of their responsibility. 20