Identity Management Risico s en kansen binnen het kader van de jaarrekeningcontrole Drs. J. Visser 1667521 Drs. M.P. Hof 1662058 Amsterdam 31 maart 2008 Versie 1.0 [definitief] Afstudeerbegeleiders: Rudi Selhorst - PricewaterhouseCoopers Paul Harmzen - Fortis
Inhoud Managementsamenvatting 3 1 Inleiding 5 1.1 Aanleiding en doelstelling 5 1.2 Onderzoeksvraag 6 1.3 Onderzoeksaanpak 6 2 Identity Management 8 2.1 Definitie Identity Management 8 2.2 Business drivers voor Identity Management 9 2.3 Onderdelen Identity Management 10 2.4 Verschijningsvormen Identity Management 12 2.5 Samenvatting 12 3 Identity management en de jaarrekeningcontrole 13 3.1 Doelstelling van de jaarrekeningcontrole 13 3.2 Gegevensgerichte en systeemgerichte controleaanpak 14 3.3 Beoordeling van geautomatiseerde beheersmaatregelen 14 3.4 IDM, IT General Controls en application controls 17 3.5 Samenvatting 17 4 Kansen voor de jaarrekeningcontrole 18 4.1 Beperking van het aantal te controleren relaties 18 4.2 Betrouwbare beheersing autorisatieproces 20 4.3 Automatische confrontatie van SOLL en IST 22 4.4 Samenvatting 22 5 Risico s voor de jaarrekeningcontrole 23 5.1 Betrouwbaarheid van interfaces 23 5.2 Centraal beheer autorisaties 24 5.3 Samenvatting 24 6 Conclusie 25 6.1 Conclusie en aanbevelingen 25 6.2 Persoonlijke reflectie 26 Bijlage 1: Literatuurlijst 28 2
Managementsamenvatting Teneinde een efficiënter beheer van identiteiten en autorisaties binnen een steeds complexer wordende automatiseringsomgeving te realiseren implementeren veel organisaties een Identity Management systeem. Onder Identity management wordt in dit onderzoek het geheel aan beleid, verantwoordelijkheden, processen en hulpmiddelen verstaan dat organisaties in staat stelt om de toegang tot en het gebruik van systemen en informatie te faciliteren, beheren en controleren. Aangezien in de huidige literatuur niet of nauwelijks is beschreven wat Identity Management betekent voor de jaarrekeningcontrole en het op dit moment bij ons en de accountants onvoldoende bekend is welke risico s en kansen Identity Management met zich meebrengt, staat in deze scriptie de volgende onderzoeksvraag centraal: Welke risico s en kansen zijn op identity management van toepassing binnen het kader van de jaarrekeningcontrole? Op basis van een literatuurstudie en diverse interviews is gebleken dat Identity Management een drietal kansen en een tweetal risico s met zich meeneemt voor de jaarrekeningcontrole. De mate waarin deze kansen en risico s aanwezig zijn is afhankelijk van de verschijningsvorm. In dit onderzoeksrapport zijn een drietal verschijningsvormen van Identity Management gedefinieerd: 1. De doelsystemen hebben een eigen authenticatie- en autorisatieadministratie. User management en provisioning kunnen worden toegepast om nieuwe, gewijzigde en verwijderde identiteitsgegevens naar de doelsystemen door te zetten; 2. De doelsystemen beschikken over een eigen autorisatieadministratie en voor de authenticatie wordt gesteund op de centraal opgeslagen wachtwoordgegevens in het IDM-systeem; 3. De doelsystemen steunen voor zowel de toewijzing van autorisatie en de authenticatie volledig op de IDM-oplossing. De geïdentificeerde kansen en risico s zijn in onderstaande tabellen opgenomen. Kansen Verschijningsvorm 1 Verschijningsvorm 2 Verschijningsvorm 3 Beperking van het aantal te controleren relaties met behulp van RBAC Betrouwbare beheersing autorisatieproces door user-provisioning Geautomatiseerde confrontatie ist- en sollpositie 3
Risico s Verschijningsvorm 1 Verschijningsvorm 2 Verschijningsvorm 3 Ten gevolgen van een onbetrouwbare interface worden: - identiteiten niet verwijderd - autorisaties te ruim ingesteld Beheerder kent zichzelf rechten toe ten gevolge van gecentraliseerd autorisatiebeheer Doordat de gedefinieerde kansen bijdragen aan de juistheid van de inrichting van de autorisaties en de betrouwbaarheid van het autorisatieproces kan, in plaats van een gegevensgerichte controleaanpak, een systeemgerichte aanpak worden gehanteerd. Dit hangt tevens samen met de inrichting van de IT General Controls en het samenspel tussen application controls en de handmatige beheersmaatregelen. De mate waarin voor de jaarrekening toegevoegde waarde kan worden geleverd is afhankelijk van de mate waarin de betrouwbare werking van de geautomatiseerde beheersmaatregelen kan worden vastgesteld gedurende het controlejaar. Om de werking te kunnen vaststellen is het een voorwaarde dat logging aanwezig en betrouwbaar is. 4
1 Inleiding 1.1 Aanleiding en doelstelling Vanuit ons perspectief als IT auditors zien wij dat organisaties moeite hebben met het beheersen van autorisaties binnen systemen. Taken, verantwoordelijkheden en bevoegdheden om de digitale identiteiten en de bijbehorende autorisaties te beheersen zijn vaak op meerdere plekken belegd. Procedures om autorisaties aan te vragen, te muteren, te verwijderen en te beheren zijn vaak niet (formeel) aanwezig of werken niet. Het risico is dat autorisaties en bevoegdheden actief blijven terwijl deze verwijderd hadden moeten worden. Dit kan tot gevolg hebben dat ongeautoriseerde personen gebruik maken van deze accounts en daarbij toegang tot kritische systemen kunnen verkrijgen. Een ander risico is dat gebruikers teveel rechten hebben en hierdoor ongeautoriseerde wijzigingen kunnen doorvoeren. Om deze problematiek aan te pakken worden met name bij grotere bedrijven Identity Management systemen geïmplementeerd. IDM (hierna: IDM) kan op verschillende manieren worden beschreven, in onze optiek geeft Emmens (2007) de beste definitie van IDM: Identity management is het geheel aan beleid, verantwoordelijkheden, processen en hulpmiddelen dat organisaties in staat stelt om de toegang tot en het gebruik van systemen en informatie te faciliteren, beheren en controleren 1 De doelstelling die organisaties voor ogen hebben met de implementatie van een IDMsysteem is hetzelfde, namelijk een efficiënter beheer van identiteiten en autorisaties binnen een steeds complexer wordende automatiseringsomgeving. De driver om de problematiek van autorisatiebeheer op te pakken verschilt per organisatie. Veelgenoemde redenen zijn het reduceren van kosten en het voldoen aan relevante wet- en regelgeving, zoals de Sarbanes-Oxley (SOx)-wetgeving. De controle van de jaarrekening door de accountant wordt niet als driver genoemd. Dit is echter wel het perspectief van waaruit wij met deze ontwikkeling worden geconfronteerd. In deze scriptie zullen wij de relatie leggen tussen deze ontwikkeling en de wijze waarop deze de controle van de jaarrekening zou kunnen beïnvloeden. In het kader van de jaarrekeningcontrole is op dit moment bij ons en bij de accountant in onvoldoende mate bekend welke risico s IDM met zich meebrengt en welke kansen IDM kan bieden voor het realiseren van een efficiëntere controleaanpak. Deze scriptie heeft als doelstelling om de risico s en kansen van Identity management in het kader van de jaarrekeningcontrole in kaart te brengen. 1 Emmens, 2007 5
1.2 Onderzoeksvraag De hoofdvraag van deze scriptie is als volgt: Welke risico s en kansen zijn op identity management van toepassing binnen het kader van de jaarrekeningcontrole? Deze hoofdvraag wordt uiteengesplitst in verschillende deelvragen: Wat is Identity Management? Identity management is een veelomvattend begrip. In de literatuur worden diverse definities gehanteerd voor IDM. Het is daarom van belang een omschrijving te geven van wat wij in het kader van het onderzoek verstaan onder IDM. Wij zullen hiertoe de eerder aangegeven definitie verder uitwerken en aangeven wat de business drivers zijn om IDM in te voeren. Daarnaast worden de verschillende onderdelen van IDM nader toegelicht en worden de drie verschijningsvormen van IDM behandeld. Wat is de relatie tussen Identity Management en de jaarrekeningcontrole? Om een conclusie te kunnen trekken over de risico s en kansen van IDM voor de jaarrekeningcontrole is het van belang inzicht te krijgen in de wijze waarop een jaarrekening gecontroleerd kan worden. Tevens zal worden aangegeven welke rol automatisering en specifiek de inrichting en beheer van autorisaties hierbij kunnen spelen. Tenslotte zal de relatie van de jaarrekeningcontrole met IDM worden uitgewerkt. Welke kansen biedt een identity management oplossing voor de auditaanpak? In dit onderdeel zullen wij nader ingaan op de kansen die IDM biedt om een betere controleaanpak tot stand te brengen onder andere aan de hand van een cijfermatig model. Wij zullen de kansen tevens in relatie brengen met de verschillende gedefinieerde verschijningsvormen. Wat zijn de belangrijkste risico s van een Identity Management oplossing voor de jaarrekeningcontrole? In een eerder stadium van ons onderzoek hebben wij aangegeven wat de meest voorkomende verschijningsvormen zijn van IDM. Wij zullen aangeven wat de mogelijke risico s zijn die bij elke inrichtingsvorm van toepassing zijn en op welke wijze deze risico s beheerst kunnen worden. 1.3 Onderzoeksaanpak Onze onderzoeksresultaten zijn gebaseerd op de volgende onderzoeksmethodieken: a) Literatuurstudie teneinde een beeld te krijgen van het concept identity management, de jaarrekeningcontrole en de gerelateerde problematiek. b) Interviews met verschillende personen die kennis hebben van de praktische invulling van Identity Management. De volgende personen zijn in het kader van het onderzoek geïnterviewd: 6
Wim Hutten Partner Systems & Process Assurance Middle Market bij PricewaterhouseCoopers Otto Vermeulen Director Security & Technology group bij PricewaterhouseCoopers Maarten Stultjens Directeur BHOLD-company, leverancier van rolgebaseerde autorisatiemanagementsoftware Ron Bregman en Jurriaan Rijnbeek IT auditors bij Fortis Nederland Frans van Buul Zelfstandig ondernemer, consultant computer and network security 7
2 Identity Management In dit hoofdstuk wordt antwoord gegeven op de eerste onderzoeksvraag: Wat is Identity Management? Ten eerste wordt de in dit onderzoek toegepaste definitie nader toegelicht. Daarnaast wordt aangegeven wat de business drivers zijn om Identity Management in te voeren binnen een organisatie. Vervolgens worden de verschillende onderdelen van IDM nader toegelicht en tot slot worden een drietal veelgebruikte verschijningsvormen van IDM geïdentificeerd en uitgewerkt. 2.1 Definitie Identity Management Uit literatuuronderzoek is gebleken dat een eenduidige definitie van Identity management niet aanwezig is. Zoals in de inleiding is toegelicht wordt in dit onderzoeksrapport de volgende definitie van Identity management gehanteerd: Identity management is het geheel aan beleid, verantwoordelijkheden, processen en hulpmiddelen dat organisaties in staat stelt om de toegang tot en het gebruik van systemen en informatie te faciliteren, beheren en controleren 2 Wij hebben gekozen voor deze definitie omdat het naar onze mening een aantal essentiële elementen omvat, waaronder het onderscheid tussen identificatie, authenticatie (toegang tot systemen) en autorisatie (gebruik van systemen). Deze drie elementen zijn toepassing op elke vorm van toegangsbeveiliging van applicaties. Daarnaast wordt logging gebruikt om toegang tot systemen te controleren. De definities van deze begrippen zijn als volgt 3 : Identificatie: het systeem van toegangsbeveiliging moet kunnen vaststellen wie de gebruiker is (bijvoorbeeld met behulp van een gebruikersnaam) Authenticatie: de gebruiker moet kunnen aantonen dat hij ook degene is die de gebruiker via zijn identificatie beweert te zijn (bijvoorbeeld met gebruik van een wachtwoord of een ander middel). Autorisatie: het systeem moet over de mogelijkheid beschikken de gebruiker die bevoegdheden te geven die hij op grond van zijn functie nodig heeft. Rapportering: het systeem moet over faciliteiten beschikken om het gebruik van het systeem te kunnen controleren. Het proces van het opslaan van deze gegevens wordt logging genoemd. Wij zullen in het onderzoeksrapport de term logging hanteren. In de literatuur wordt voor deze definitie ook de aanduiding Identity and Access management gebruikt. In deze scriptie zal het begrip Identity Management worden gehanteerd. 2 Emmens (2007) 3 Van Praat/Suerink (2005), pp. 281. 8
2.2 Business drivers voor Identity Management Volgens Hermans 4 is het belang van IDM voor organisaties toegenomen doordat in vergelijking met het verleden: - het aantal resources met elk een eigen authenticatie- en autorisatiemodule is toegenomen; - zowel medewerkers als partners, klanten en leveranciers toegang moeten krijgen tot resources; - het aantal autorisaties per gebruiker toeneemt; - het aantal administratoren toeneemt, veelal georganiseerd per platform en/of toepassing; - de invloed van wet- en regelgeving is toegenomen. Hierdoor is de bewustwording voor interne beheersing alsmede informatiebeveiliging toegenomen; - de noodzaak van kostenbeheersing is toegenomen. In verschillende artikelen worden de volgende redenen geïdentificeerd om IDM in te voeren 5. Reduceren risico s Gartner 6 stelt dat gemiddeld 30 60% van de gebruikersaccounts zijn toegewezen aan medewerkers die niet meer in dienst zijn. Het risico hiervan is dat de medewerkers nog steeds toegang hebben tot gevoelige informatie en mogelijkheid hebben om ongeautoriseerde mutaties door te voeren. Andere risico s zijn dat gebruikers toegang hebben tot functies en/of informatie die zij in hun functie niet nodig hebben, medewerkers bij uitdiensttreding informatie meenemen naar de concurrent en gebruikers wachtwoorden opschrijven omdat ze voor elk systeem een andere gebruikersnaam en wachtwoord moeten gebruiken. Volgens de literatuur draagt IDM bij aan het reduceren van deze risico s. Operationele efficiency Met name voor de kleinere ondernemingen is operationele efficiency de primaire reden voor het invoeren van IDM. Hierbij spelen drie factoren een rol, namelijk het realiseren van kostenbesparingen, het verbeteren van de beheeromgeving en de verbetering in gebruikersgemak: Door de ontwikkeling van onder andere web-based applicaties en toegang tot applicaties door externe partijen (bijvoorbeeld klanten en leveranciers) is de complexiteit van het beheer van identiteiten en de bijbehorende rechten toegenomen. In de praktijk maken personen van meerdere applicaties gebruik waarvoor verschillende identiteiten benodigd zijn. Het beheer van de rechten van een bepaalde persoon wordt hierdoor tevens bemoeilijkt. Uit onderzoek is gebleken dat de helpdesk 50% van de tijd bezig is met het beheren van gebruikerstoegang. De beheeromgeving kan worden ontlast door het automatiseren van arbeidsintensieve taken (aanmaken, wijzigen en verwijderen accounts en autorisaties). Deze taken kunnen vanuit één centrale IDM-omgeving worden uitgevoerd. Indien een gebruiker bijvoorbeeld uit dienst treedt wordt door middel van het IDM-systeem zorggedragen dat de gebruiker in de gekoppelde applicaties 4 Hermans (2005) 5 Hermans (2007), van der Staaij (2008), Emmens (2007) en Jurg (2004) 6 Emmens (2007) 9
geen toegang meer heeft. Daarnaast is gebleken dat gebruikers voorzichtiger omgaan met de authenticatiemiddelen naarmate daarmee toegang tot meer toepassingen kan worden verkregen. IDM vergroot het gebruikersgemak aangezien gebruikers na de invoering meestal nog maar één inlogmoment en één authenticatiemiddel hebben waarna ze toegang verkrijgen tot een groot aantal applicaties. Voldoen aan interne en externe wet- en regelgeving Het voldoen aan wet- en regelgeving is met name voor de beursgenoteerde ondernemingen een belangrijke motivatie om een IDM-oplossing in te voeren. Met de komst van SOx, Basel II en Code Tabaksblat is transparantie en het aantoonbaar in control zijn voor veel organisaties een eis geworden. Deze eisen zijn terug te voeren op richtlijnen voor de opzet van autorisatiemodellen binnen de organisaties evenals het proces van beheer van toegang tot data. Met de steeds complexer wordende IT-omgeving en eisen van de gebruikers ten aanzien van IT is het voor organisaties een continue uitdaging om autorisaties op orde te krijgen en te houden. Uit onderzoek 7 is gebleken dat de meeste organisaties een handmatige aanpak hanteren voor het verifiëren van controls ten aanzien van autorisaties. Volgens de literatuur wordt het met de inzet van IDM-tooling mogelijk om de in control status op een effectieve en efficiënte manier te bereiken. 2.3 Onderdelen Identity Management Bij IDM staat de identiteit van een individu binnen een digitale omgeving centraal. IDM omvat een aantal onderdelen welke hieronder worden toegelicht 8. Een aantal van deze onderdelen werden al binnen systemen toegepast voordat het begrip IDM bekendheid kreeg. Wij zullen binnen het kader van dit onderzoek deze begrippen onder de noemer IDM scharen. User provisioning Dit betreffen de activiteiten die gericht zijn op het beheer van de gehele levenscyclus van een identiteit binnen de digitale omgeving. De levenscyclus start bij indiensttreding waarbij een nieuwe digitale identiteit met bijbehorende autorisaties wordt aangemaakt. Gedurende de diensttijd wijzigt de persoon van functie dat tot gevolg heeft dat de autorisaties die aan de identiteit zijn toegewezen aangepast moeten worden. De levenscyclus eindigt met uitdiensttreding en zijn identiteit zal uit alle systemen verwijderd dienen te worden. In de praktijk krijgt user provisioning invulling doordat een medewerker wordt ingevoerd in het HR-systeem van een organisatie. Via een interface wordt een nieuwe medewerker automatisch doorgestuurd naar een centraal IDM systeem waar zijn autorisaties verder worden ingericht en worden gedistribueerd naar de doelsystemen. Wanneer de uitdiensttreding in het HR-systeem wordt gemeld, wordt de identiteit via dezelfde weg binnen het IDM-systeem op non-actief gesteld of verwijderd. Authenticatiemanagement Authenticatie van een gebruiker kan met verschillende mate van betrouwbaarheid worden vastgesteld. Normale authenticatie omvat uitsluitend de invoer van een persoonsgebonden wachtwoord ter controle. Sterke authenticatie is het op minimaal tweevoudige wijze 7 Ponemom Institute (2007) 8 Hermans (2005) en van der Staaij (2008) 10
vaststellen van de authenticiteit van een gebruiker die zich aanmeldt bij een applicatie. Het controleren van een identiteit kan op basis van wat iemand weet (bijvoorbeeld een wachtwoord of pincode), wat iemand in zijn bezit heeft (bijvoorbeeld een token) en/of wat van de persoon zelf is (bijvoorbeeld een vingerafdruk of iris). Autorisatiemanagement Hieronder worden de activiteiten verstaan die zijn gericht op de inrichting en het beheer van autorisaties van gebruikers. Autorisaties zijn de handelingen die een medewerkers binnen één of meerdere systemen kan uitvoeren. Autorisatiemanagement kan worden omschreven als: Het geheel van technische, procedurele en organisatorische maatregelen die de organisatie toepast ten einde de logische toegangsverlening tot de objecten van de informatievoorziening te beheersen, zodanig dat deze overeenkomen met het daartoe gedefinieerde beleid 9. Beheer van autorisaties wordt arbeidsintensief en foutgevoelig wanneer medewerkers rechtstreeks aan autorisaties binnen elke applicatie worden gekoppeld. Een medewerker bezit voor elke applicatie een identiteit, waar autorisaties aan zijn gekoppeld. De juistheid van autorisaties moet per medewerker worden gecontroleerd om de belangrijkste doelstelling van beheer (risico van teveel rechten) vast te kunnen stellen. Om de inrichting en controle van toegangsrechten te structureren en te vereenvoudigen, wordt in toenemende mate Role-based access control (RBAC) toegepast. Hierbij worden toegang tot en binnen applicaties op basis van rollen verleend. Een medewerker is aan een rol gekoppeld. Deze rol bevat vervolgens de autorisaties. Een rechtstreekse koppeling tussen medewerker en autorisatie wordt op deze manier vermeden. Een RBAC-rol is een verzameling van activiteiten die is gebaseerd op de organisatiestructuur, bedrijfsprocessen, een bepaald beleid of een combinatie hiervan. Aan deze activiteiten worden vervolgens de juiste rollen binnen de automatisering gekoppeld. Om te komen van een bestaand autorisatiemodel naar een op rollen gebaseerd autorisatiemodel zijn twee aanpakken mogelijk, te weten: een top-down benadering waarbij vanuit de administratieve organisatie wordt bepaald welke privileges bij welke rollen zouden moeten horen (soll-positie). Deze conceptuele rollen worden vervolgens vertaald naar de automatiseringsomgeving. een bottom-up benadering waarbij gebruik wordt gemaakt van role-mining. Met gebruikmaking van software wordt getracht patronen in de bestaande autorisaties binnen de automatiseringsomgeving te onderkennen, afwijkingen te identificeren en op basis hiervan rollen te definiëren. In hoofdstuk 4 zullen wij ingaan op wat voor praktische consequenties de traditionele inrichting en RBAC hebben voor de controle van de jaarrekening. Single Sign On 9 Tellegen (2005) 11
Een gebruiker wordt in het geval van Single Sign On in staat gesteld om na eenmalige invoer van gebruikersnaam en wachtwoord toegang te verkrijgen tot meerdere systemen en applicaties. Monitoring In de context van IDM dient, om goede controle mogelijk te maken, vastgesteld te worden dat geen ongeautoriseerde wijzigingen in rollen worden doorgevoerd. Daarnaast dient te worden vastgesteld dat het proces van toevoegen en verwijderen van identiteiten en autorisaties betrouwbaar verloopt. Logging en rapportages zijn van belang om een goed inzicht in en oordeel over betreffende activiteiten en gebruikers te kunnen krijgen. 2.4 Verschijningsvormen Identity Management In de IDM-systematiek wordt onderscheid gemaakt tussen bronsystemen waarin de primaire registratie van de identiteit plaatsvindt (bijvoorbeeld het HR-systeem of een CRMsysteem), het IDM-systeem waar de rollen zijn gedefinieerd en de doelsystemen waar de geregistreerde identiteiten via provisioning procesmatig en geautomatiseerd naar worden doorgezet. Een IDM-systeem faciliteert de mogelijkheid biedt identiteiten en de bijbehorende rollen en rechten centraal te beheren. De functionaliteiten die IDM-systemen bieden, verschillen onderling. De literatuur identificeert de volgende drie verschijningsvormen van Identity Management 10 : 1. De doelsystemen hebben een eigen authenticatie- en autorisatieadministratie. Deze systemen authenticeren en autoriseren gebruikers op basis van data die in de applicatie zelf zijn opgeslagen. User management en provisioning kunnen worden toegepast om nieuwe, gewijzigde en verwijderde identiteitsgegevens naar de doelsystemen door te zetten en een efficiënt en consistent gebruikersbeheer te bewerkstelligen. 2. De doelsystemen beschikken over een eigen autorisatieadministratie en autoriseren gebruikers op basis van data die in de applicatie zelf zijn opgeslagen. Voor de authenticatie wordt echter gesteund op de centraal opgeslagen wachtwoordgegevens in het IDM-systeem. Het voordeel hiervan is dat authenticatiedata centraal beheerd kan worden. 3. De doelsystemen steunen voor zowel de toewijzing van autorisatie en de authenticatie volledig op de IDM-oplossing. De applicatie kent een elektronisch ticket toe aan de gebruiker waarmee deze kan inloggen op het doelsysteem. Het verschil tussen deze drie IDM-oplossingen heeft betrekking op de plaats (decentraal in het doelsysteem c.q. centraal in het IDM-systeem) waar de beslissing genomen wordt om de authenticatie goed te keuren en autorisatie toe te kennen. 2.5 Samenvatting In dit hoofdstuk is een toelichting gegeven op wat in dit onderzoeksrapport onder IDM wordt verstaan. Hierbij wij het begrip gedefinieerd en aangegeven welke onderdelen IDM omvat en in welke verschijningsvormen IDM voorkomt. Deze onderwerpen zullen wij in de volgende hoofdstukken nader uitwerken. In het volgende hoofdstuk wordt de relatie van IDM met de jaarrekeningcontrole toegelicht. 10 Hermans (2005) 12
3 Identity management en de jaarrekeningcontrole In dit hoofdstuk wordt dieper ingegaan op de wijze waarop een jaarrekening tot stand komt, en de rol die administratieve systemen bij de totstandkoming van de benodigde financiële gegevens spelen. Daarnaast zullen wij onderzoeken hoe de accountant gebruik kan maken van geautomatiseerde beheersmaatregelen binnen deze administratieve systemen, met doel een efficiëntere en effectievere controleaanpak tot stand te brengen. Wij zullen hier tevens de relatie leggen tussen de controleaanpak waarin geautomatiseerde beheersmaatregelen een belangrijke rol spelen, en Identity Management. 3.1 Doelstelling van de jaarrekeningcontrole Doelstelling van de jaarrekeningcontrole door de externe accountant is vast te stellen, dat de financiële verantwoording zoals vastgelegd in de jaarrekening, een getrouw beeld geeft van de werkelijkheid. Vanuit het perspectief van de accountant kan de wijze waarop een jaarrekening wordt gecontroleerd, variëren. De accountant zal zijn aanpak bepalen door uit te gaan van de posten die op de jaarrekening staan. Deze posten zijn uiteindelijk gebaseerd op de transacties die binnen de onderliggende financiële processen worden uitgevoerd. Eén van de mogelijkheden om de betrouwbaarheid van de post te beoordelen is het beoordelen van de betrouwbaarheid van het onderliggende financiële proces. Wij zullen deze werkwijze als uitgangspunt gebruiken. In de meeste organisaties vindt de administratie van transacties plaats binnen administratieve systemen zoals het financiële systeem, de personeels- en salarisadministratie. Als onderdeel van het onderzoek zal de accountant bepalen welke systemen gebruikt worden voor het verzamelen, bewerken, communiceren en rapporteren van transacties, en welke risico s van toepassing zijn op de betrouwbaarheid van de transacties, en daarmee de jaarrekeningpost. Om risico s te beheersen, implementeren organisaties beheersmaatregelen. Deze beheersmaatregelen kunnen door personen worden uitgevoerd ( handmatige beheersmaatregelen ) of door systemen ( geautomatiseerde beheersmaatregelen ). Om voor de jaarrekening van nut te kunnen zijn, dient te kunnen worden vastgesteld dat deze beheersmaatregelen gedurende het controlejaar aanwezig zijn geweest. Hierbij komen de begrippen opzet, bestaan en werking aan de orde. Onder de opzet verstaan wij de wijze waarop beheersmaatregelen zijn voorzien in plannen en documenten. Onder bestaan verstaan wij de wijze waarop de voorziene beheersmaatregelen ook zijn geïmplementeerd. Bestaan wordt vastgesteld met behulp van een eenmalige waarneming op één punt in de tijd. Onder werking verstaan wij of de beheersmaatregelen hebben gewerkt over de vastgestelde periode (het controlejaar). Werking wordt vastgesteld met behulp van een steekproef. De accountant zal in overleg met de IT auditor zich op de hoogte moeten stellen welke beheersmaatregelen aanwezig zijn, waar zij zich bevinden (in de AO/IC c.q. binnen de 13
automatisering), welke risico s deze afdekken en welke bedreigingen van toepassing zijn op het betrouwbaar functioneren van de beheersmaatregel. De accountant en de IT auditor zullen gezamenlijk een oordeel moeten vormen of het samenspel van de handmatige en geautomatiseerde beheersmaatregelen voor het verwerken van transacties voldoende is om tot betrouwbare financiële informatie te kunnen leiden. Dit oordeel is bepalend voor de controleaanpak die wordt gekozen om een specifiek financieel proces te controleren. De hierbij voorkomende aanpakken zijn een systeemgerichte aanpak of een gegevensgerichte aanpak, of combinaties van beide. Deze begrippen zullen in de volgende paragraaf nader worden toegelicht. 3.2 Gegevensgerichte en systeemgerichte controleaanpak Onder gegevensgerichte en systeemgerichte aanpak wordt verstaan: Gegevensgerichte aanpak Hierbij wordt de betrouwbaarheid van data gecontroleerd door steekproefsgewijs de transacties binnen een financieel proces te controleren. Hierbij wordt gecontroleerd of de transacties in overeenstemming zijn met het daarvoor geldend interne beleid en externe regelgeving. In deze aanpak wordt niet gesteund op de betrouwbare werking van beheersmaatregelen binnen een applicatie. Systeemgerichte aanpak De systeemgerichte aanpak wordt gehanteerd wanneer de accountant zich een positief oordeel heeft gevormd over de betrouwbaarheid van beheersmaatregelen binnen een financieel proces. Dit oordeel houdt in, dat de beheersmaatregelen aanwezig zijn, dat deze de risico s ten aanzien van de betrouwbaarheid van informatie voldoende afdekken en dat de risico s om de betrouwbaarheid van deze beheersmaatregelen te beïnvloeden beperkt zijn. Hij zal zich tijdens de accountantscontrole met name richten op de vraag of de meest essentiële beheersmaatregelen gedurende het controlejaar betrouwbaar hebben gewerkt. Is dit het geval, dan verkrijgt hij een redelijke mate van zekerheid over de betrouwbaarheid van het proces en de informatie die door het proces wordt gegenereerd. Aanvullend wordt nog een steekproef op de transacties uitgevoerd, maar de omvang van deze steekproef is kleiner dan in het geval van een volledig gegevensgerichte controle. In de praktijk wordt voor een jaarrekeningcontrole veelal een combinatie van bovenstaande methoden gebruikt, waarbij de aanpak per financieel proces verschilt. Een systeemgerichte controle wordt als efficiënter beschouwd, met name wanneer de complexiteit van processen toeneemt. In ons onderzoek hebben wij als startpunt vastgesteld dat een systeemgerichte controle wenselijk is, en dat daarom een onderzoek naar de (geautomatiseerde) beheersmaatregelen een vereiste is voor elke jaarrekeningcontrole. In de volgende paragraaf zullen wij dieper ingaan op de wijze waarop geautomatiseerde beheersmaatregelen vanuit het perspectief van de jaarrekeningcontrole worden bezien en welke rol Identity management speelt binnen dit onderzoek. 3.3 Beoordeling van geautomatiseerde beheersmaatregelen Wanneer een systeemgerichte aanpak wordt gehanteerd, wordt in de meeste gevallen de betrokkenheid van de IT auditor gezocht. Een auditor kijkt naar beheersmaatregelen op verschillende lagen: 14
Processen Application Controls IT General Controls. Deze begrippen worden in het volgende nader toegelicht. Processen In eerste instantie zal de IT auditor in overleg met de accountant bepalen wat de controledoelstellingen zijn voor een financieel proces of primair proces met financiële consequenties voor de jaarrekening. Een doelstelling kan zijn om een of meerdere kwaliteitsaspecten (juistheid, volledigheid, tijdigheid) van de invoer, verwerking, communicatie of rapportage van transacties vast te stellen. In overleg met de accountant zal de IT auditor onderzoeken, welke beheersmaatregelen deze juistheid, volledigheid en tijdigheid afdwingen. Een van de meest krachtige beheersmaatregelen die binnen een proces kan worden teruggevonden, is controletechnische functiescheiding. Het doel van functiescheiding is het creëren van tegengestelde belangen tussen personen. Functiescheiding betreft een zodanige scheiding van taken en bevoegdheden dat geen van de functionarissen binnen een proces alle schakels van het proces kan beïnvloeden. Bij kleinere organisaties is het soms lastig om functiescheiding te realiseren. In deze scriptie wordt als uitgangspunt gehanteerd dat de organisatie van voldoende omvang is. Aangezien processen met financiële consequenties in de huidige maatschappij voornamelijk binnen systemen worden uitgevoerd, heeft de IT auditor onder meer tot taak de aanwezigheid van deze functiescheidingen binnen de geautomatiseerde systemen vast te stellen. Zijn deze functiescheidingen niet aanwezig, dan heeft dit gevolgen voor de mate waarin de accountant systeemgericht kan controleren. Application Controls Application controls kunnen worden gedefinieerd als alle in applicaties opgenomen geprogrammeerde beheersmaatregelen 11. Deze hebben tot doelstelling om voldoende functiescheiding binnen de applicatie te creëren en betrouwbare verwerking van gegevens door de applicatie te waarborgen. Application controls hebben directe invloed op de betrouwbaarheid van de transacties binnen een proces. De functiescheidingen die in het proces zijn gedefinieerd, dienen vertaald te worden naar de applicatie. Deze scheiding van functies binnen de applicatie gebeurt door alleen functionarissen die de applicatie voor hun werkzaamheden benodigd zijn, toegang te verschaffen. De handelingen die een persoon binnen de applicatie kan uitvoeren, dienen te worden beperkt tot wat hij voor de uitvoering van zijn werkzaamheden benodigd is, en vanuit het oogpunt van functiescheiding wenselijk is. Alle handelingen die binnen een applicatie door een persoon kunnen worden uitgevoerd zijn vastgelegd in autorisaties. Naast autorisaties kennen applicaties nog vele andere application controls die onder meer tot doel hebben de juiste en volledige invoer, verwerking, communicatie en rapportage van gegevens te waarborgen. Binnen het kader van deze scriptie zijn autorisaties echter het meest relevant. 11 Groen, P. Application controls in een breed perspectief, Informatiebeveiliging, november 2006 15
IT General Controls IT General Controls kunnen worden omschreven als de beheersing van de IT omgeving, waarin de applicaties en de bijbehorende application controls functioneren. Een goede beheersing van de IT General Controls is een voorwaarde voor het betrouwbaar functioneren van de application controls. Binnen de IT General Controls wordt onderscheid gemaakt tussen een aantal beheerprocessen 12 : Change Management. Dit proces heeft tot doel te borgen dat alleen goedgekeurde programmatuur in productie wordt gebracht. Dit houdt onder meer in dat de aanwezigheid en betrouwbare werking van application controls wordt vastgesteld voordat deze in productie worden gebracht. Computer Operations. Dit proces heeft tot doel de integriteit en beschikbaarheid van programmatuur en gegevens in de productieomgeving te borgen, door bijvoorbeeld de mogelijkheid te bieden om verloren gegevens te herstellen en operationele problemen te voorkomen of op te lossen. System Development. Dit proces heeft tot doel te borgen dat in nieuw te ontwikkelen applicaties voldoende application controls worden ingebouwd. Access to programs and data. Dit proces heeft tot doel de scheiding tussen de gebruikers-, IT beheer- en ontwikkelingsorganisatie te borgen, voor wat betreft de logische en fysieke toegang tot programmatuur, gegevens en fysieke middelen. Om de relatie tussen Identity Management en de jaarrekening te kunnen leggen, is Access to programs and data het meeste van belang, omdat het proces autorisatiebeheer als onderdeel van dit beheerproces wordt onderzocht. Het proces autorisatiebeheer heeft als doelstelling de functiescheidingen, zoals deze vanuit de AO/IC naar autorisaties zijn vertaald, in stand te houden door wijzigingen op gecontroleerde wijze door te voeren en periodiek te controleren, dat de autorisaties binnen het systeem de werkelijke situatie weergeven. Het proces autorisatiebeheer omvat in de meeste gevallen tevens het beheer van digitale identiteiten. Het proces autorisatiebeheer heeft niet alleen betrekking op de autorisaties binnen applicaties, maar ook op fysieke toegang tot een gebouw, toegang tot het netwerk en eventueel servers en databases die de applicatie ondersteunen. Eisen die aan een adequaat proces autorisatiebeheer worden gesteld: Aanvraag en formele goedkeuring van de autorisatieaanvraag door een geautoriseerd persoon (bijvoorbeeld een afdelingshoofd, die voor zijn medewerker een autorisatie aanvraagt) of systeem. Mutatie van autorisaties bij wijziging van functie en verwijdering bij uitdiensttreding leiden ook tot aanpassing van autorisaties. Vastlegging van autorisatieaanvragen in een SOLL -positie. Dit is een normpositie die weergeeft hoe de autorisaties binnen een systeem ingericht zouden moeten zijn. Scheiding van beheer van autorisaties binnen een systeem en de normale verwerkingsorganisatie. Dit is een gevolg van de constatering dat de autorisatiebeheerder de rechten heeft om autorisaties in te richten en er voor de 12 Groen, P. Application controls in een breed perspectief, Informatiebeveiliging, november 2006 16
beheerder binnen de applicatie nauwelijks functiescheidingen worden afgedwongen, omdat hij deze beheert. Periodieke controle van de juistheid van de autorisaties binnen het systeem (de IST -positie) met de SOLL -positie. Deze controles worden bij voorkeur door een persoon onafhankelijk van de beheerder uitgevoerd. De controleerbare vastlegging van goedkeuring, verwerking en controle binnen het autorisatiebeheerproces. Dit kan betekenen dat aanvraagformulieren worden gearchiveerd, maar ook dat de handelingen van de functioneel applicatiebeheerder in de vorm van logging wordt vastgelegd. Deze logging kan niet worden gemuteerd door de persoon wiens handelingen met behulp van deze logging gecontroleerd wordt. Indien dit proces niet betrouwbaar wordt toegepast heeft dit als risico dat autorisaties door ongeautoriseerde personen in productie kunnen worden gebracht, met als gevolg dat autorisaties te ruim worden ingesteld. Daarnaast bestaat het risico dat autorisaties na uitdiensttreding niet worden gedeactiveerd wat kan resulteren in misbruik door andere gebruikers. 3.4 IDM, IT General Controls en application controls In hoofdstuk 2 is de toepassing van Identity Management uitgewerkt door de verschillende onderdelen (waaronder autorisatiemanagement) te introduceren. In hoofdstuk 3 is gebleken dat vanuit het perspectief van de jaarrekeningcontrole het beheer van autorisaties (opgenomen in de IT General Controls) en de inrichting van autorisaties (opgenomen in de application controls en afgeleid van de AO/IC) in grote mate overlappen met de onderdelen van Identity Management voor de inrichting en beheer van autorisaties. Wanneer een organisatie IDM heeft ingevoerd, en deze van toepassing is op de systemen die in het kader van de jaarrekeningcontrole van belang zijn, dient een IT auditor deze in zijn onderzoek mee te nemen. De IT auditor dient in zijn onderzoek zowel de kansen (door de mogelijkheid van een meer systeemgerichte aanpak te onderzoeken) en de risico s (doordat er in hogere mate gebruik wordt gemaakt van automatisering) te beoordelen. 3.5 Samenvatting In dit hoofdstuk worden de onderdelen van Identity Management en de relatie met de jaarrekeningcontrole samengebracht. Samengevat kan worden gesteld dat Identity Management de beheersing en inrichting van autorisaties omvat, en dat deze elementen van belang zijn voor de jaarrekeningcontrole, indien deze steunt op de beoordeling van financiële processen. Het belang van autorisaties komt tot uitdrukking omdat deze functiescheidingen op de meest effectieve wijze afdwingen. In hoeverre IDM kansen biedt of risico s vormt voor de controleaanpak, zal in hoofdstuk 4 worden toegelicht. 17
4 Kansen voor de jaarrekeningcontrole Zoals in hoofdstuk twee is beschreven biedt IDM volgens de literatuur diverse voordelen voor bedrijven. Zoals uit hoofdstuk drie is gebleken, zijn in het kader van de jaarrekeningcontrole de aspecten beheersing en inrichting van autorisaties de belangrijkste aandachtspunten. Geschetst is tevens dat de IT auditor in zijn onderzoek de risico s voor de jaarrekeningcontrole dient te beoordelen. In dit hoofdstuk zullen de kansen van IDM voor de jaarrekeningcontrole worden beschreven. In dit hoofdstuk zullen wij tevens de verschijningsvormen van Identity Management (zie hoofdstuk twee) in relatie brengen tot de mate waarin de kansen van Identity Management van toepassing zijn. 4.1 Beperking van het aantal te controleren relaties In hoofdstuk twee hebben we RBAC geïntroduceerd als één van de onderdelen van IDM. In hoofdstuk drie is vastgesteld dat de IT auditor binnen het kader van de jaarrekeningcontrole zich met name zal richten op het vaststellen van de betrouwbare vertaling van de AO/IC (en hierbinnen functiescheidingen) naar autorisaties binnen de doelsystemen die voor de jaarrekening van belang zijn. In deze paragraaf zullen we aantonen dat, om de juistheid van de autorisaties voor medewerkers vast te stellen, het aantal te controleren relaties ten gevolge van RBAC afneemt. 4.1.1 Beschrijving kans Om de toegevoegde waarde van RBAC voor de jaarrekeningcontrole te illustreren maken wij gebruik van een rekenmodel, waarin de traditionele situatie, waarin medewerkers rechtstreeks aan rechten worden gekoppeld wordt vergeleken met een situatie waarin gebruikers aan rollen en rollen aan systeemrechten worden gekoppeld. In figuur 4.1 zijn de twee situaties naast elkaar gezet. Aan de rechterzijde wordt de traditionele situatie weergegeven waarbij een medewerker over verschillende identiteiten beschikt en waarbij aan iedere identiteit vervolgens systeemrechten zijn gekoppeld. Aan de linkerzijde wordt de situatie geschetst waarbij een medewerker over één identiteit beschikt waar verschillende rollen en rechten aan zijn gekoppeld. 18
RBAC 1000 Traditioneel 1000 1.000 4.000 1000 4000 100.000 100.000 User Business Role Business Task 100 1000 User 8.000.000 2.000.000 Systeemrollen Systeemrollen 2000 2000 Permissies Permissies 2.201.000 8.004.000 Figuur 4.1 Traditionele versus RBAC inrichting De wijze waarop een identiteit aan rechten zijn gekoppeld heeft direct impact op het door de IT-auditor te controleren aantal relaties. We hebben hier aangenomen dat de rechten op detailniveau alle van belang zijn voor de jaarrekeningcontrole. Dit is een hypothetische situatie die niet is gebaseerd op een organisatie die we in de praktijk zijn tegengekomen. Traditionele situatie Uit het rekenmodel blijkt, dat in de traditionele situatie, de rechten van alle gebruikers moeten worden gecontroleerd. Het betreffen hier 1000 personen, die in totaal in het bezit zijn van 4000 digitale identiteiten, aangezien medewerkers in de praktijk elk toegang hebben tot meerdere applicaties. In totaal zijn er 2000 systeemrollen van belang voor de jaarrekening. Het totaal aantal te controleren relaties is afhankelijk van een aantal dingen: Ten eerste dient voor elke persoon vastgesteld te worden welke digitale identiteiten hij gebruikt. Hiervoor dient voor 4000 identiteiten te worden vastgesteld welke medewerker bij de identiteit hoort. Wanneer een identiteit aan een medewerker is gekoppeld hoeft niet verder te worden gezocht naar andere combinaties dus er zijn 4000 te controleren relaties. Daarnaast dient per digitale identiteit vastgesteld te worden welke rechten deze bezit. Daarnaast is het vanuit het oogpunt van functiescheiding van belang te weten dat een identiteit rechten niet bezit. Dit maakt een controle van alle autorisaties noodzakelijk. Dit zijn in totaal 4000 (users) x 2000 (systeemrollen) = 8.000.000 combinaties. In totaal dienen er in de traditionele situatie dus 4.000 + 8.000.000 = 8.004.000 relaties gecontroleerd te worden. 19
Rolgebaseerd autoriseren Rolgebaseerd autoriseren gebaseerd op het gebruik van rollen heeft als gevolg dat het aantal te controleren relaties kan worden beperkt. Binnen het concept Identity Management is het van belang dat een medewerker slechts één digitale identiteit heeft. Concreet betekent dit dat 1000 personen in het bezit zijn van in totaal 1000 digitale identiteiten. Hiervan dient de 1-op-1 relatie vastgesteld te worden. Daarnaast moet voor elke digitale identiteit worden vastgesteld, aan welke business role deze is gekoppeld, bijvoorbeeld medewerker financiële administratie A. Vastgesteld dient te worden dat een medewerker ten eerste is gekoppeld aan de business roles die bij de functie behoren en ten tweede dat de medewerker niet is gekoppeld aan business roles die niet bij de functie behoren. Het aantal te controleren combinaties betreft 1000 (identiteiten) x 100 (business roles) = 100.000. Daarnaast moet voor elke business role worden vastgesteld, welke business tasks hier aan zijn gekoppeld, bijvoorbeeld muteren crediteuren stamgegevens en tevens dat de business role niet is gekoppeld aan business tasks die in conflict zijn met de al gekoppelde business tasks. De relaties tussen de identiteiten en de business tasks hoeft niet voor alle identiteiten te worden vastgesteld aangezien de relatie tussen business role en business tasks gelijk blijft ongeacht het aantal identiteiten. Er zijn 100 (business roles) x 1000 (business tasks) = 100.000 combinaties mogelijk. Tot slot worden de business tasks vertaald naar systeemrollen binnen de automatiseringsomgeving. Hier zijn 1000 (business tasks) x 2000 (systeemrollen) = 2.000.000 combinaties mogelijk. De onderlinge relatie tussen business tasks en systeemrollen is relatief statisch, ongeacht of er meer of minder identiteiten of business roles worden gedefinieerd. Binnen dit rekeningmodel zijn er met gebruikmaking van RBAC 1.000 + 100.000 + 100.000 + 2.000.000 = 2.201.000 relaties die van belang zijn voor de jaarrekening. Uit dit rekenmodel blijkt dat het gebruik van RBAC het aantal door de IT auditor te controleren combinaties wordt beperkt. De oorzaak moet worden gezocht in het beperken van het aantal digitale identiteiten per persoon, en de groepering van business roles, business tasks en system roles. 4.1.2 Relatie met verschijningsvormen In het onderzoek hebben wij geen aanwijzingen gevonden dat de verschijningsvorm van invloed is op het aantal te controleren combinaties. Het onderscheid tussen de verschijningsvormen heeft met name betrekking op de plaats waar de beslissing wordt genomen om een bepaalde rol toe te wijzen aan een identiteit, in het IDM-systeem of in het doelsysteem. RBAC kan in alle drie situaties in dezelfde mate worden doorgevoerd. 4.2 Betrouwbare beheersing autorisatieproces In hoofdstuk 3 is vastgesteld dat een betrouwbaar beheer van autorisaties een voorwaarde is voor de juistheid van de autorisaties. In deze paragraaf wordt toegelicht dat userprovisioning dit proces automatiseert en daarmee de risico s van een handmatig proces vermindert. 20