Een aantal ontwikkelingen in de afgelopen jaren, zoals de SOX, Code Tabaksblat, SAS 70 en Risk Management, betekende dat er veel energie is en wordt gestoken in het aantonen van de beheersing van de bedrijfsactiviteiten. De nieuwe wet- en regelgeving was het ‘formele’ antwoord op een aantal beurschandalen in de afgelopen jaren. Het gevolg is dat het management van bedrijven meer grip moet krijgen en houden op de bedrijfsactiviteiten.
De beursschandalen die de afgelopen jaren aan het licht kwamen vormden de basis voor het – eerst in Amerika en later ook in Europa – instellen van aangescherpte wet- en regelgeving (SOX, Code Tabaksblat, SAS 70 en Risk Management). Deze was er op gericht om enerzijds de bestuurders te laten verklaren dat de financiële gegevens die worden gepresenteerd een getrouwe weergave zijn van de werkelijkheid en dat anderzijds de beheermaatregelen die binnen het bedrijf zijn ingesteld aantoonbaar effectief zijn.
Interne controlemiddelen
Een bestuurder mag dus niet meer simpelweg vertrouwen op de financiële gegevens die zijn controller hem aanreikt. Nee, hij moet vaststellen dat de wijze waarop deze gegevens tot stand komen voorzien zijn van voldoende checks en balances. Ofwel dat er afdoende interne controlemiddelen en onafhankelijke beoordelingen, kortweg ‘controls’ genoemd, in het proces zijn ingebouwd.
Deze controlemiddelen kunnen worden ingedeeld. Er zijn handmatige en geprogrammeerde proces controls, die direct van belang zijn voor de betrouwbaarheid van de informatiestromen binnen een bedrijf. Daarnaast zijn er ook randvoorwaardelijke algemene it-controls, die indirect de betrouwbaarheid van de informatiestromen binnen een bedrijf bepalen.
Een voorbeeld. De financiële rapportage, bijvoorbeeld de jaarrekening, is opgedeeld in balansposten en posten in de resultatenrekening. Deze cijfers komen tot stand doordat bedrijfsprocessen gegevens opleveren, bijvoorbeeld verkopen van producten, personeelskosten, huur van het kantoor et cetera. Deze bedrijfsprocessen worden beheerst doordat taken binnen een organisatie zijn verdeeld. Tegenwoordig worden binnen bedrijven juist veel taken uitgevoerd door it-systemen, die dit veel beter en sneller kunnen dan een mens dit zou kunnen doen.
Een gedeelte van de beheersmaatregelen is hierdoor verplaatst naar de it-systemen. Daarnaast zijn er randvoorwaardelijke beheersmaatregelen, de IT General Controls (ITGC). Deze moeten bijvoorbeeld waarborgen dat gegevens, die via een applicatie in de database zijn ingevoerd, niet buiten de programmalogica om gemanipuleerd kunnen worden. Over de beheersing van deze generieke set aan ITGC gaat dit artikel.
ITGC inrichten
De ITGC kunnen op verschillende manieren worden ingericht en beheerst. Daarvoor bestaan een aantal algemeen geaccepteerde raamwerken zoals COSO, Code voor de Informatiebeveiliging, ITIL, en CobIT. Naast deze standaarden zijn er weer verschillende verklaringen, waarmee er aangetoond kan worden dat de ITGC ‘in control’ is, zoals third party mededeling (TPM), SAS 70 verklaring, WebTrust, SysTrust, de Certificaat Code voor Informatiebeveiliging of ITservice management ISO /IEC 20000. Deze verschillende verklaringen zijn moeilijk met elkaar te vergelijken. Niet alleen omdat de reikwijdte en het onderzoeksobject verschillen, maar ook omdat er geen voorgeschreven normen voor it-controls zijn.
Het probleem waar het verantwoordelijke it-management en it-auditors tegenaan lopen is, dat er geen sprake is van een uniforme, eenduidige en algemeen geaccepteerde normenset voor de beheersing en beoordeling van de algemene it-beheersmaatregelen, de ITGC. Hierdoor spreken het verantwoordelijk it-management, it-auditors en de afnemers van de oordelen niet altijd dezelfde ‘taal’.
Door het ontbreken van een algemeen geaccepteerde beheersingsstandaard voor ITGC, die voor de meest voorkomende praktijksituaties concreet toepasbaar is, ontstaan er ook afstemmingsproblemen tussen organisaties onderling en met it-auditors bij het gebruik maken van verklaringen of statements over de beheersing van de it-controls.
Tevredenheid
In de praktijk is het voor it-organisaties lastig om naar tevredenheid van de verschillende belanghebbenden, zoals it-auditors, toezichthouders en klanten, een uitspraak te doen over het al dan niet ‘in Control’ zijn. Dit komt niet zo zeer doordat de it-organisatie dit niet wil of kan, integendeel. De complexiteit zit vooral in het feit dat belanghebbenden nogal eens een verschillende uitspraak vragen en/of verschillende normenkaders hanteren. Veelal werkt een it-organisatie conform ITIL, terwijl vanuit oogpunt van interne beheersing door de business gekozen is voor CobiT. Of een klant eist een certificaat op basis van ISO/IEC 27001:2005 en weer een andere klant vraagt om een SAS70 verklaring. Dan hebben we de externe accountant en toezichthouders zoals DNB (De Nederlandsche Bank) nog niet eens genoemd.
Om de hier geschetste problematiek het hoofd te bieden heeft een aantal grote organisaties in Nederland een ITGC raamwerk ontwikkeld. Het Platform Informatiebeveiliging en Norea, de beroepsorganisatie van it-auditors, hebben een werkgroep in het leven geroepen met ruime vertegenwoordiging uit grote accountantskantoren, overheid en it-dienstverleners om een algemeen aanvaarde standaard voor de ITGC in Nederland te ontwikkelen. Een onafhankelijke en door alle belanghebbenden geaccepteerde organisatie zal een dergelijke standaard moeten vaststellen. Via wet- en regelgeving kan dan vervolgens het gebruik van deze standaard worden afgedwongen.
Drs. P.J. Mancham RE RA, Head of Cordares Risk & Audit Services
Drs. M.A. Ringia, Audit Manager IT Cordares Risk & Audit Services
Drs G. Labrujere, Chief Security Officer Cordares
Harmonisatie binnen een bedrijf
De harmonisatie van de IT Controls binnen een onderneming is het best te verduidelijken met een gefingeerde praktijksituatie.
Bedrijf B is gespecialiseerd in pensioenbeheer, vermogensbeheer en inkomensverzekeringen. Het bedrijf levert de volledige it-productenportfolio aan haar werkmaatschappijen. Daarnaast verzorgt Bedrijf B nieuwbouw, onderhoud en exploitatie oor een belangrijke externe klant Y. De interne dienstverlening vindt plaats vanuit een shared service model, waarbij sprake is van een mandaat voor het it-bedrijf.
Voor Klant Y wordt jaarlijks een third party mededeling (TPM) verstrekt door een businessunit van Bedrijf B. Deze TPM is gebaseerd op door Klant Y aangeleverde normen is en is gericht op opzet, bestaan en werking van de algemene it-controls.
Naast de jaarlijkse TPM worden it-audit werkzaamheden door de businessunit van Bedrijf X uitgevoerd voor de verschillende SAS 70 Type II trajecten, voor het verantwoordelijk management, voor de controle van de jaarrekeningen van de klanten van Bedrijf X en de eigen jaarrekeningen van dit bedrijf. Bij de it-audit werkzaamheden werd tot 2006 gebruik gemaakt van verschillende ITGC normensets, afkomstig uit verschillende bronnen. Ook de diepgang van de it-audits was per onderzoek verschillend.
Bedrijf B heeft ook vrijwillig de principes uit Code Tabaksblat geadopteerd. Deze code heeft zijn weerslag op de jaarlijkse beoordeling van de beheersing van de it-risico’s in het kader van de ‘in control statements’.
Duidelijk is dat Bedrijf B in toenemende mate geconfronteerd wordt en zal worden met normenkaders waaraan moet worden voldaan. Het initiatief van de businessunit om te komen tot een ‘multi purposes, single audit’ normenkader is een belangrijk initiatief wat door Bedrijf B met beide armen is ontvangen. In 2006 is daarom bij Bedrijf B een project gestart waarin een eigen maatregelenverzameling wordt ontwikkeld, die ‘bestand’ is tegen de ITGC-audits en andere audits, zoals in het kader van de Certificering voor de Code voor Informatiebeveiliging.
Doel van deze ontwikkeling is tweeërlei. Voor de operationele onderdelen van het it-bedrijf betekenen de opgelegde normenkaders een terugkerende inspanning en een gedwongen verandering van werkwijzen, waarvan nut en noodzaak vanuit het expertstandpunt vaak moeilijk verdedigbaar is. De acceptatie van veranderende en – onderling afwijkende – normenkaders, die van buiten worden opgelegd, is natuurlijkerwijze laag. Daarnaast vraagt het ITGC-normenkader en de ‘best-practices’ van de Code voor Informatiebeveiliging om een integratie naar één maatregelenverzameling die bestand is tegen de beide kaders.
In het opgestarte project worden operationele groepen en afdelingen betrokken in het formuleren van de controls om de acceptatie van het uiteindelijke resultaat te verhogen en de noodzaak van eventuele veranderingen in werkwijze direct duidelijk te maken. Als vertrekpunt voor de ontwikkeling van het normenkader van Bedrijf B zelf is gekozen voor de door de businessunit ontwikkelde ITGC-normenset. Daarmee is een goed startpunt gevonden voor de ontwikkeling van een normenset binnen Bedrijf B. Uiteindelijk moeten de operationele groepen werken volgens zelf ontwikkelde ITGC-baselines waarbij Bedrijf B beschikt over een zelfontwikkeld en breed gedragen controlskader. De verwachting is dat het project zichzelf gaat bekostigen vanuit een daling van de audit kosten en vanuit een stijging van de kwaliteit van de dienstverlening.
Grip houden op interne controle?