Impactbepaling van een hoge rechten account in de SAP omgeving

Impactbepaling van een hoge rechten account in de SAP omgeving Handvatten voor de impactbepaling van een hoge rechten account in de SAP omgeving in het kader van de jaarrekeningcontrole.

Impactbepaling van een hoge rechten account in de SAP omgeving Handvatten voor de impactbepaling van een hoge rechten account in de SAP omgeving in het kader van de jaarrekeningcontrole. Scriptienummer: 2050 Versienummer: 1.0

Vrije Universiteit Amsterdam Faculteit der Economische Wetenschappen en Bedrijfskunde (FEWEB) Postgraduate opleiding IT Audit Compliance & Advisory De Boelelaan 1105 1081 HV Amsterdam Auteur: W.M. van der Niet (2546712) Begeleider Vrije Universiteit: P. Harmzen RA RE Begeleider Deloitte Risk Services B.V.: R. Hoekman RE CISSP

Impactbepaling van een hoge rechten account in de SAP omgeving

14/08/2015

VOORWOORD Voor u ligt het rapport “Impactbepaling van een hoge rechten account in de SAP omgeving”. Dit rapport is tot stand gekomen in het kader van de Postgraduate opleiding ‘IT Audit Compliance & Advisory’ aan de Vrije Universiteit, te Amsterdam. Vanuit mijn werkzaamheden als IT auditor zag ik de noodzaak voor het ontwikkelen van een normenkader om de impact van een hoge rechten account op de jaarrekeningcontrole vast te kunnen stellen. Dit omdat de impact van een hoge rechten account op de geautomatiseerde gegevensverwerking in minimale mate vastgesteld wordt. Dit onderzoeksrapport levert handvatten om de impact van een hoge rechten account op de jaarrekeningcontrole te bepalen. Deze handvatten worden aangeleverd in de vorm van een normenkader en is toegespitst op de SAP omgeving. Als resultaat hiervan zal de IT auditor meer werkzaamheden moeten verrichten om de impact op de geautomatiseerde gegevensverwerking vast te stellen. Tevens kan het testen van de impact door de IT auditor leiden tot minder werkzaamheden voor de accountants. Graag maak ik van de gelegenheid gebruik om mijn begeleiders, Dhr. Harmzen namens de Vrije Universiteit en Dhr. Hoekman als bedrijfsbegeleider vanuit Deloitte Risk Services B.V., te bedanken voor hun begeleiding en inhoudelijke ondersteuning. Tevens bedank ik graag de collega’s binnen Deloitte Risk Services welke een inhoudelijke bijdrage geleverd hebben aan dit rapport en het uiteindelijke normenkader. W.M van der Niet

1 Auteur: W.M van der Niet


14/08/2015

MANAGEMENT SAMENVATTING De AFM (Autoriteit Financiële Markten) constateerde in een rapport (gepubliceerd op 25 september 2014i) dat de kwaliteit van wettelijke controles, de kwaliteitsbeheersing en – bewaking onvoldoende was voor de Big Four (Deloitte, EY, KPMG en PWC). De AFM heeft bij elk van de vier bovengenoemde tien wettelijke controles uit de periode 2012-2013 beoordeeld en heeft de uitvoering van de wettelijke controle als ‘onvoldoende’ beoordeeld. De geconstateerde tekortkomingen komen deels voort uit de IT kwaliteit van de wettelijke controles. Om invulling te geven aan de door AFM geconstateerde tekortkomingen met betrekking tot een omgeving die in de eigen praktijk veelvuldig voorkomt wordt in dit onderzoek verder toegespitst op de volgende hoofdvraag: “Welke maatregelen dienen IT auditors in het kader van de jaarrekening te testen om de impact van een hoge rechten account in SAP inzichtelijk te maken voor de accountant?” Het uiteindelijke resultaat van dit onderzoek zal in de toekomst een bijdrage leveren aan het verbeteren van de kwaliteit van de jaarrekeningcontroles. Dit door een normenkader aan te leveren welke inzicht biedt in de impact van hoge rechten accounts op de jaarrekeningcontrole. Dit normenkader bevat risico’s, maatregelen en gedetailleerde teststappen om deze impact te bepalen. In deze versie van het rapport zal het normenkader beperkt worden tot de risico’s en maatregelen. De maatregelen die IT auditors in het kader van de jaarrekeningcontrole dienen te testen om de impact van een hoge rechten account inzichtelijk te maken voor de accountant zijn opgedeeld in IT en business risico’s. IT risico’s om de impact van een hoge rechten account op de geautomatiseerde gegevensverwerking vast te stellen en daarnaast de business risico’s om te bepalen of het hoge rechten account ook impact heeft gehad op de business processen. Wanneer de accountant op de geautomatiseerde gegevensverwerking wil steunen, dienen de geïdentificeerde IT risico’s te allen tijden door de IT auditor getest te worden om vast te stellen of het hoge rechten account impact gehad heeft op de geautomatiseerde gegevensverwerking. Wanneer de accountant niet op de geautomatiseerde gegevensverwerking wil steunen is de SAP_ALL analyse voor de IT risico’s geen vereiste, wel kan dit een wens zijn van de accountant. Het is belangrijk dat er niet alleen IT risico’s of business risico’s getest worden wanneer een hoge rechten account aanwezig is en de accountant op de geautomatiseerde gegevensverwerking wil steunen. Beide risico’s dienen te allen tijden getest te worden. Welke en hoe de business risico’s getest zullen worden is afhankelijk van het audit plan van de accountant. Het is mogelijk dat het audit plan van de accountant toereikend is om de impact van de hoge rechten accounts op de business risico’s te mitigeren. In dat geval is het afhankelijk van de accountant of hij een additionele analyse op de hoge rechten accounts wil uitvoeren of dat hij zijn huidige audit plan aanhoudt. Wanneer de IT auditor business risico’s in scope neemt, zullen deze altijd in afstemming met de accountant geïdentificeerd dienen te worden omdat deze voor ieder bedrijf verschillend zijn. Tevens komt uit dit onderzoek naar voren dat de IT auditor de geïdentificeerde business maatregelen integraal kan analyseren en daarmee een hogere zekerheid levert dan een analyse op steekproefbasis. Echter, blijft de scope van de IT audit altijd de verantwoordelijkheid van de accountant, wel kan de IT auditor hier een adviserende rol in spelen. Wanneer de IT en business risico’s beide in scope zijn zullen er voldoende werkzaamheden verricht zijn om de impact van het hoge rechten account op de jaarrekening vast te stellen.



14/08/2015

INHOUDSOPGAVE Voorwoord .............................................................................................................................................. 1 Management samenvatting .................................................................................................................... 2 Inhoudsopgave........................................................................................................................................ 3 Hoofdstuk 1. AANLEIDING & PROBLEEMANALYSE ................................................................................. 5 1.1 Aanleiding ......................................................................................................................................... 5 1.2 Probleemanalyse............................................................................................................................... 5 Tekortkomingen Systeem- en gegevensgerichte werkzaamheden .................................................... 6 Focus onderzoek ................................................................................................................................. 6 Problematiek vanuit de praktijk.......................................................................................................... 7 Hoofdvraag onderzoek........................................................................................................................ 8 Afbakening onderzoek ........................................................................................................................ 8 Doelstelling ....................................................................................................................................... 10 Deelvragen onderzoek, onderzoeksmethode & leeswijzer .............................................................. 10 Hoofdstuk 2. Risico analyse Jaarrekeningcontrole ............................................................................... 12 2.1 Impact hoge rechten account op de jaarrekeningcontrole ............................................................ 12 Impact van een hoge rechten account binnen De it risico’s:............................................................ 12 Impact van een hoge rechten account binnen de business risico’s: ................................................ 15 Hoofdtuk 3. SAP_ALL normenkader...................................................................................................... 18 3.1 Uitgangspunten in de definitie van risico’s ..................................................................................... 18 Het risico bestaat .............................................................................................................................. 18 Het risico kan leiden tot fraude en kan de integriteit van de data aantasten. ................................. 18 3.2 Uitgangspunten in de definitie van maatregelen ........................................................................... 18 3.3 Uitgangspunten in de definitie van teststappen............................................................................. 19 3.4 Manier en Diepgang testen maatregelen ....................................................................................... 19 3.5 Scope SAP_ALL analyse ................................................................................................................... 19 Accounts in scope SAP_ALL analyse.................................................................................................. 20 Aanvullende analyse op scope SAP_ALL analyse .............................................................................. 20 3.6 IT risico’s GEDEFINIEERD IN SAP_ALL NORMENKADER .................................................................. 21 3.7 Business risico’s gedefinieerd in SAP_ALL normenkader................................................................ 23 Hoofdstuk 4. randvoorwaarden ............................................................................................................ 26 4.1 Logging ............................................................................................................................................ 26 4.2 Moment van testen ........................................................................................................................ 26 4.3 Restricties auditor ........................................................................................................................... 27 Hoofdstuk 5. Praktijkonderzoek ........................................................................................................... 28 Conclusie ............................................................................................................................................... 29 3 Auteur: W.M van der Niet


14/08/2015

Literatuurlijst......................................................................................................................................... 31 Bijlage 1. Probleemanalyse ................................................................................................................... 32 Bijlage 2. Deelvragen & onderzoeksmethodologie............................................................................... 35 Bijlage 3. SAP GITC normenkader ......................................................................................................... 38



14/08/2015

HOOFDSTUK 1. AANLEIDING & PROBLEEMANALYSE In dit hoofdstuk wordt de aanleiding van dit onderzoek besproken. Tevens is een probleemanalyse uitgevoerd om de achterliggende problemen van de geïdentificeerde ‘structurele tekortkomingen’ die de AFM signaleerde te achterhalen. Op basis van deze probleemanalyse is de focus van dit onderzoek bepaald. 1.1 AANLEIDING De aanleiding van dit onderzoek zijn de structurele tekortkomingen die de AFM signaleerde in een rapport, gepubliceerd op 25 september 2014. Dit rapport is het resultaat van een onderzoek naar de kwaliteit van wettelijke controles, de kwaliteitsbeheersing en -bewaking door de vier grootste accountantsorganisaties, de zogenoemde Big Four (Deloitte, EY, KPMG en PWC). De AFM heeft bij elk van de vier bovengenoemde tien wettelijke controles uit de periode 2012-2013 beoordeeld. Het aantal 'onvoldoende’ controles bedraagt:    

Deloitte: 40%, EY: 30%, KPMG: 70% PWC: 40%

Om de eerlijkheid en transparantie binnen de financiële markten te bevorderen is de onafhankelijke gedragstoezichthouder AFM (Autoriteit Financiële Markten) in het leven geroepen. De AFM concludeerde dat de accountancysector zo snel mogelijk maatregelen moet nemen om de kwaliteit te waarborgen en het publiek belang meer centraal te stellen. Voorafgaand aan het rapport, gepubliceerd op 25 september 2014, heeft de AFM in september 2010 ook een rapport gepubliceerd. Het rapport uit 2010 betreft de eerste reguliere onderzoeken die zij had uitgevoerd bij de Big Four in de periode 2009-2010. De reguliere onderzoeken in 2013-2014 betreffen een zogenoemde éénmeting. De AFM doet hierin opnieuw onderzoek naar de kwaliteit van wettelijke controles om vast te stellen in hoeverre de verbetermaatregelen die zijn genomen in de tussenliggende periode het beoogde effect hebben gehad. Tijdens de éénmeting heeft de AFM de kwaliteit van achttien van de veertig (45%) beoordeelde wettelijke controles als ‘onvoldoende’ aangemerkt. In 2010 was dit nog 52%. De meest voorkomende tekortkomingen hebben betrekking op de systeemgerichte werkzaamheden, de gegevensgerichte werkzaamheden en de kritische evaluatie door de externe accountant van verkregen controle-informatie. Het betreft in de meeste gevallen een combinatie van verschillende tekortkomingen. 1.2 PROBLEEMANALYSE Om de achterliggende problemen te achterhalen van het door de AFM geconstateerde initiële probleem is een probleemanalyse uitgevoerd. Hiermee zijn de achterliggende problemen achterhaald met als doel meer inzicht te krijgen in de veroorzakers van het initiële probleem. Het AFM rapport is als uitgangspunt genomen voor deze probleemanalyse. In het AFM rapport worden de tekortkomingen uiteengezet op het gebied van systeemgerichte en gegevensgerichte werkzaamheden. In deze paragraaf worden deze tekortkomingen van zowel de systeemgerichte als gegevensgerichte werkzaamheden besproken. Details van deze structurele tekortkomingen worden in bijlage 1. Probleemanalyse uiteengezet. 5 Auteur: W.M van der Niet


14/08/2015

TEKORTKOMINGEN SYSTEEM- EN GEGEVENSGERICHTE WERKZAAMHEDEN

In het AFM rapport worden de volgende tekortkomingen uiteengezet op het gebied van systeemgerichte werkzaamheden:  Controle werkzaamheden aangemerkt als systeemgericht maar zijn in feite gegevensgericht.  Onvoldoende werkzaamheden verricht om de betrouwbaarheid van de geautomatiseerde gegevens verwerking vast te stellen.  Onvoldoende vaststelling of automatische functiescheiding toereikend is. In het AFM rapport worden de volgende tekortkomingen uiteengezet op het gebied van gegevensgerichte werkzaamheden:  Tekortkomingen geïdentificeerd bij de toepassing op verbandcontroles.  Onvoldoende evaluatie of overzichten, lijsten en databases betrouwbare informatie bevatten.  Onvoldoende opvolging aan verschillen die blijken uit detailcontroles, cijferanalyses of toetsing van interne beheersmaatregelen.  Onvoldoende kritisch management informatie beoordeeld.  Onvoldoende evaluatie van werkzaamheden verricht door een ander, waaronder geen opvolging geven aan de bevindingen van de IT-specialist.  Onvoldoende invulling geven aan de rol als groepsaccountant. FOCUS ONDERZOEK

De door de AFM gesignaleerde problemen in combinatie met mijn huidige werkzaamheden als IT auditor geven aanleiding om te focussen op het volgende probleem (zie figuur 1): 

Onvoldoende werkzaamheden verricht om de betrouwbaarheid van de geautomatiseerde gegevens verwerking vast te kunnen stellen.

Figuur 1. Focus van dit onderzoek



14/08/2015

In de volgende paragrafen zal de onderzoekfocus verder toegelicht worden. Het uiteindelijke doel van het onderzoek zal een bijdrage leveren aan het verbeteren van de kwaliteit van de jaarrekeningcontroles in de toekomst. De focus zal hierbij liggen op een beperkt maar specifiek onderdeel binnen het bovengenoemde probleem. PROBLEMATIEK VANUIT DE PRAKTIJK

Vanuit de praktijk krijg ik veel met de volgende problematiek te maken, dit is tevens aanleiding voor de focus van dit onderzoek. Mijn dagelijkse werkzaamheden bestaan uit IT audits in het kader van de jaarrekening en advies opdrachten. Voor de IT audits in het kader van de jaarrekening bestaat mijn opdrachtportefeuille voornamelijk uit IT audits rondom de SAP applicatie. Daarmee geven we onder andere zekerheid over de automatische gegevensverwerking van SAP systemen aan de accountant. Door de jaren heen heb ik veel expertise ontwikkeld op SAP gebied en ben ik sinds januari 2015 SAP SD (Sales & Distribution) gecertificeerd. Wanneer de IT auditor constateert dat er één of meerdere hoge rechten account(s) aanwezig zijn op de SAP applicatie, wordt dit gerapporteerd naar de accountant als onderdeel van het IT audit rapport. De IT auditor rapporteert het totaal aantal hoge rechten accounts op de SAP applicatie naar de accountant toe, dit in combinatie met de functie van de persoon achter het hoge rechten account. Tevens geeft de IT auditor aan of het risico van een hoge rechten account gemitigeerd is door andere maatregelen in het SAP GITC normenkader. Het SAP GITC normenkader is het standaard SAP normenkader dat binnen Deloitte getest wordt wanneer er zekerheid over de geautomatiseerde gegevensverwerking van SAP gevraagd wordt. De huidige werkwijze waarop de IT auditor een impactbepaling doet, is onvoldoende. Wanneer een hoge rechten account geconstateerd is betekent dit dat er een hoog risico is voor alle maatregelen binnen het SAP GITC normenkader. Dit houdt in dat het hoge rechten account impact gehad kan hebben op de maatregelen, ondanks dat deze maatregelen als ‘effectief’ getest zijn. Dit is tevens de reden dat effectief geteste maatregelen niet als mitigerend gebruikt kunnen worden. De steekproefgrootte is namelijk niet gebaseerd op een hoog risico, maar op een normaal risico. De volgende keuze zou gemaakt worden om dit hoge risico af te dekken voor alle maatregelen binnen het SAP GITC normenkader. 1. Het verhogen van de steekproefaantallen voor iedere control binnen het GITC normenkader waar dit hoge rechten account een directe impact op uitgeoefend kan hebben. 2. Het onderzoeken van de impact van het hoge rechten account voor iedere control binnen het GITC normenkader waar dit hoge rechten account een directe impact op uitgeoefend kan hebben. Wanneer er geen uitzonderingen geconstateerd worden bij bovenstaande opties, impliceert dit dat de hoge rechten accounts geen impact hebben gehad op de geautomatiseerde gegevensverwerking van het SAP landschap. In de praktijk is optie 2 een veel efficiëntere oplossing dan optie 1. Dit komt doordat bij optie 1 het aantal willekeurige steekproeven verhoogt wordt tot 60 steekproeven per maatregel. Dit kost erg veel tijd per maatregel, er vanuit gaande dat dit normaliter maximaal 25 steekproeven per maatregel zijn. Bij optie 2 wordt door middel van een integrale analyse van de acties van het hoge rechten account specifiek toegespitst op dit account en worden overige accounts buiten scope gelaten. Wanneer blijkt dat het hoge rechten account niet voorkomt in de 7 Auteur: W.M van der Niet


14/08/2015

maatregel, is er geen risico aanwezig en daarmee ook geen impact. Bij het lezen van beide opties wordt duidelijk dat optie 2 het meest efficiënt en effectief is doordat de acties van het hoge rechten account per maatregel integraal inzichtelijk gemaakt worden. Wanneer de accountant op de automatische gegevensverwerking van het SAP landschap wil steunen voor zijn jaarrekeningcontrole, is het bepalen van de impact op de maatregelen binnen het SAP GITC normenkader te allen tijde benodigd om de impact van het hoge rechten account op de geautomatiseerde gegevensverwerking te bepalen.

Business maatregelen Daarnaast kan het hoge rechten account ook invloed hebben op business processen. De accountant heeft hiermee de keuze om de impact van het hoge rechten account inzichtelijk te maken door zelf grotere steekproefaantallen te nemen of de IT auditor de directe invloed van het hoge rechten account op de business maatregelen inzichtelijk te laten maken. Dit kan de IT auditor inzichtelijk maken door te testen of het hoge rechten account binnen de geselecteerde business processen ongeautoriseerde acties heeft uitgevoerd. Welk team de impactbepaling voor zijn rekening neemt binnen de jaarrekeningcontrole en welke business maatregelen daarmee aanvullend getest dienen te worden door de IT auditor ligt in de handen van de accountant. Dit is mede afhankelijk van een aantal generieke elementen zoals het soort bedrijf, de risico analyse uitgevoerd door de accountant en het risicoprofiel van de accountant. Wel kan de IT auditor hier een adviserende rol in spelen.

Bepaling impact hoge rechten accounts door de accountant of IT auditor? In de voorgaande paragrafen is uiteengezet welke acties verricht dienen te worden door accountants of IT auditors om de impact van hoge rechten accounts te bepalen. De conclusie hieruit is dat de IT auditor de geïdentificeerde business maatregelen integraal kan analyseren en daarmee een hogere zekerheid levert dan een analyse op steekproefbasis uitgevoerd door de accountant. Echter, blijft de scope van de IT audit altijd de verantwoordelijkheid van de accountant, wel kan de IT auditor hier een adviserende rol in spelen. HOOFDVRAAG ONDERZOEK

Om een bijdrage te leveren aan de noodzakelijk uit te voeren testwerkzaamheden om de impact van de hoge rechten accounts op de jaarrekeningcontrole vast te stellen, zal dit onderzoek verder toegespitst worden op de volgende hoofdvraag: “Welke maatregelen dienen IT auditors in het kader van de jaarrekening te testen om de impact van een hoge rechten account in SAP inzichtelijk te maken voor de accountant?” Deze hoofdvraag draagt bij aan het inzichtelijk maken van de uit te voeren teststappen om vast te stellen wat de werkelijke impact van het hoge rechten account geweest is op de jaarrekeningcontrole, voor zowel de business maatregelen als SAP GITC maatregelen. Hiermee wordt voor de SAP GITC maatregelen toegespitst op optie 2 uit deze paragraaf. AFBAKENING ONDERZOEK

Voor dit onderzoek zijn de volgende afbakeningen gedaan:   

Afbakening SAP ECC systeem. Afbakening SAP applicatie. Afbakening hoge rechten account tot SAP_ALL



14/08/2015

SAP ECC systeem Het onderzoek is afgebakend tot het SAP ECC systeem (hier na te noemen SAP landschap) omdat in de IT audit praktijk het SAP ECC systeem het meest voorkomt. Dit wordt veroorzaakt doordat een SAP ECC systeem de basis is van een SAP landschap. Waar mogelijk kunnen klanten extra SAP systemen toevoegen aan het SAP landschap. Deze SAP systemen zullen ‘op’ het SAP ECC systeem geplaatst worden ter uitbreiding van de huidige faciliteiten. Of een bedrijf alleen een SAP ECC systeem bezit of ook meerdere SAP systemen is vaak afhankelijk van het soort bedrijf, de grootte van het bedrijf en waar de interne organisatie meerwaarde aan hecht. Sommige corporate klanten hebben zelfs meerdere SAP ECC systemen. Tijdens het uitvoeren van de IT audit in het kader van de jaarrekening wordt voornamelijk toegespitst op de SAP ECC systemen. Dit omdat zich hier de belangrijkste financiële gegevens bevinden. Het komt tevens voor dat de accountant een aanvullende maatregel wil testen voor een specifieke module. Binnen de IT audit in het kader van de jaarrekening noemen IT auditors dit een ‘application control’. Houdt daarmee wel het volgende in gedachten: 

De IT auditor komt tot de conclusie of de accountant wel of niet kan steunen op de geautomatiseerde gegevensverwerking van het SAP landschap. Dit is het resultaat van de uitzonderingen die de IT auditor binnen het SAP GITC normenkader geconstateerd heeft. Wanneer de IT auditor aangeeft dat de accountant niet kan steunen op de geautomatiseerde gegevensverwerking van het SAP landschap, dan zal de ‘application control’ ook automatisch niet effectief zijn. Dit houdt tevens in dat accountant ook niet op de application control kan steunen.

SAP applicatie Het onderzoek is tevens afgebakend tot logische toegang via de SAP applicatie. Tijdens de Deloitte IT audit in het kader van de jaarrekening wordt logische toegang tot de SAP applicatie als een groter risico gezien dan logische toegang tot de database omdat meer gebruikers toegang hebben tot de applicatie dan directe toegang tot de database. Om dit onderzoek goed aan te laten sluiten op de IT audit in het kader van de jaarrekening is daarom de keuze gemaakt om het onderzoek af te bakenen tot de SAP applicatie.

Hoge rechten account met profielen SAP_ALL en SAP_NEW Ook is het onderzoek afgebakend tot de hoge rechten accounts met profielen SAP_ALL en SAP_NEW. In de SAP applicatie worden rechten toegekend door middel van autorisaties op transactiecode niveau. Deze autorisaties zijn weer geclusterd in rollen en profielen. Nu zijn er door SAP twee profielen samengesteld met de ‘machtigste’ rechten binnen de SAP applicatie, namelijk het profiel SAP_ALL en SAP_NEW (hierna te noemen: ‘SAP_ALL’). Dit onderzoek is afgebakend op de hoogste rechten binnen de SAP applicatie. Dit enerzijds omdat dit de machtigste rechten zijn binnen de SAP applicatie, maar tevens ook omdat de IT audit in het kader van de jaarrekening zich ook focust op deze twee profielen. Zoals in de deze paragraaf al genoemd is, is dit de maatregel waar vaak uitzonderingen op geconstateerd worden en accountants vaak problemen hebben met de impactbepaling op de jaarrekeningcontrole.



14/08/2015

DOELSTELLING

Met het beantwoorden van de hoofdvraag wordt uiteindelijk een normenkader opgeleverd welke als leidraad dient om de impact van een hoge rechten account op een SAP landschap vast te stellen voor de accountant. Dit normenkader zal in het onderzoek het ‘SAP_ALL normenkader’ genoemd worden, welke getest wordt als onderdeel van de ‘SAP_ALL analyse’. De volgende doelen worden getracht te behalen met het SAP_ALL normenkader en het uitvoeren van de SAP_ALL analyse:  Het bepalen van de impact van een hoge rechten account op de jaarrekening voor zowel business als IT risico’s voor de accountant.  Het bewust maken van de IT en business risico’s bij het engagement team (zowel IT auditors als accountants), welke dient als discussiepunt om te bepalen welke aanvullende zaken getest gaan worden wanneer een hoge rechten account geconstateerd is. Doelstelling 1 is al in de voorgaande paragrafen uitgebreid besproken en zal hier niet verder toegelicht worden. Doelstelling 2 draagt bij aan het bewust worden van de risico’s die zich mogelijk voordoen na het constateren van een hoge rechten account. Dit is tevens essentieel omdat alle leden van een engagement team niet altijd gespecialiseerd zijn in SAP. Dit SAP_ALL normenkader geeft inzicht in alle business en IT risico’s waarop vervolgacties ondernomen kunnen worden. Dit betekent tevens dat het engagement team alle risico’s en maatregelen goed in kaart heeft en op basis daarvan beslissingen genomen kunnen worden. Wanneer het SAP_ALL normenkader als uitgangspunt genomen wordt, zorgt dit ervoor dat er een volledige analyse op het hoge rechten account wordt uitgevoerd voor zowel de business als IT risico’s. Of het gehele SAP_ALL normenkader getest zal worden ligt deels in de handen van de accountant, namelijk voor de business risico’s. De IT auditor is verantwoordelijk voor het testen van de IT risico’s wanneer de accountant steunt op de geautomatiseerde gegevensverwerking. DEELVRAGEN ONDERZOEK, ONDERZOEKSMETHODE & LEESWIJZER

Onderliggend aan de hoofdvraag is dit onderzoek opgebouwd uit de volgende deelvragen:      

Welke IT risico’s worden geïdentificeerd met betrekking tot hoge rechten accounts in het kader van de jaarrekeningcontrole? Welke business risico’s worden geïdentificeerd met betrekking tot hoge rechten accounts in het kader van de jaarrekeningcontrole? Welke maatregelen kunnen geïdentificeerd worden om de risico’s van hoge rechten accounts op de jaarrekening te beheersen? Welke teststappen dient de IT auditor uit te voeren voor het testen van de geïdentificeerde maatregelen? Wat zijn de randvoorwaarden voor het uitvoeren van de SAP_ALL analyse? Vindt de accountant de risico’s en maatregelen gedefinieerd in het SAP_ALL normenkader voldoende om te integreren in de IT audit in het kader van de jaarrekeningcontrole?

De deelvragen worden op chronologische volgorde onderzocht en beantwoord. In dit onderzoek wordt gebruik gemaakt van field- en deskresearch. Tevens wordt er aandacht besteed aan de toetsing van het normenkader. In bijlage 2, deelvragen & onderzoeksmethodologie, is per deelvraag een verantwoording opgenomen. Hierin wordt besproken welke onderzoeksmethodologie per deelvraag gehanteerd is.



14/08/2015

Voor het opstellen en formuleren van de risico’s, maatregelen en teststappen is het SAP GITC normenkader als uitgangspunt genomen om de normenkaders in de basis op elkaar te laten aansluiten. Dit is tevens ook de reden waarom het SAP_ALL normenkader in het Engels is opgesteld. Op deze manier is het SAP_ALL normenkader voor iedereen binnen Deloitte toegankelijk. Om de hoofdvraag van dit onderzoek te beantwoorden is eerst een verdere probleemanalyse op de aanleiding uitgevoerd, deze is te lezen in hoofdstuk 1. Hoofdstuk 2 wordt gewijd aan een risico analyse. Hierbij wordt inzichtelijk gemaakt welke risico’s er voor de jaarrekening bestaan wanneer er een hoge rechten account geconstateerd is door de IT auditor. In hoofdstuk 3 wordt het SAP_ALL normenkader besproken met de geïdentificeerde risico’s, maatregelen en teststappen. Hoofstuk 4 wordt gewijd aan de randvoorwaarden voor het succesvol uitvoeren van de SAP_ALL analyse en in hoofdstuk 5 worden de praktijkresultaten besproken. Dit hoofdstuk geeft inzicht in de toegevoegde waarde van de SAP_ALL analyse voor de accountant.



14/08/2015

HOOFDSTUK 2. RISICO ANALYSE JAARREKENINGCONTROLE In dit hoofdstuk is een risico analyse uitgevoerd met als doel om inzicht te verkrijgen welke risico’s bestaan voor de jaarrekeningcontrole wanneer een hoge rechten account aanwezig is op het SAP landschap. 2.1 IMPACT HOGE RECHTEN ACCOUNT OP DE JAARREKENINGCONTROLE De hoge rechten accounts binnen het SAP landschap worden tijdens de IT audit in het kader van de jaarrekening geconstateerd. Hoge rechten accounts binnen het SAP landschap kunnen op verschillende manieren een impact hebben op de jaarrekeningcontrole. Er zijn twee mogelijkheden om te ontdekken of de data integriteit, volledigheid of tijdigheid is aangetast binnen de jaarrekeningcontrole door een account met hoge rechten. Dit zijn de volgende risicogebieden:  

Risico’s voor de geautomatiseerde gegevensverwerking, hierna te noemen IT risico’s. Risico’s voor de bedrijfsvoering, hierna te noemen business risico’s.

In de onderstaande paragrafen is een risico analyse uitgevoerd om vast te stellen welke risico’s meegenomen moeten worden in deze aanvullende SAP_ALL analyse voor IT en business risico’s. IMPACT VAN EEN HOGE RECHTEN ACCOUNT BINNEN DE IT RISICO’S:

Met het oog op juistheid, volledigheid en tijdigheid van de geautomatiseerde gegevensverwerking zal, zoals in de aanleiding al uiteengezet is, de impact van een hoge rechten account voor de andere maatregelen in het GITC normenkader onderzocht moeten worden. Refereer naar bijlage 3 voor het SAP GITC normenkader. Door het analyseren van het huidige SAP GITC normenkader wat gebruikt wordt bij een IT audit in het kader van een SAP landschap zijn 10 van de 24 maatregelen geselecteerd als risico waar een hoge rechten account impact op zou kunnen hebben. Op de resterende 14 maatregelen kan geen directe invloed uitgeoefend worden door een hoge rechten account en zijn daarmee geen risico voor de geautomatiseerde gegevensverwerking wanneer zich een hoge rechten account voordoet op de SAP omgeving. Deze 14 maatregen zijn daarom buiten scope gelaten. De volgende 10 maatregelen zijn wel in scope voor het SAP_ALL werkprogramma en zullen hieronder kort toegelicht worden.          

SAP.01: The ability to change the SAP schedule and batch schedules is restricted. SAP.03: Users with the ability to create, modify or delete roles, profiles and users are limited. SAP.05: SAP Table update access is restricted based on specific business need. SAP.06: SAP users are authorized to execute programs based on their job responsibilities. SAP.09: User access is controlled through authentication mechanism with appropriate parameters enforced. SAP.16: IDOCS are monitored and access is granted based on job responsibilities. SAP.18: The ability to maintain the global system change option and client maintenance settings is restricted. SAP.20: Development access is not granted in the production environment. SAP.22: Application systems changes are appropriately documented, tested and approved before migration to production. SAP.23: Access to change the data structure through the data dictionary is not granted in production.



14/08/2015

Access to Batch Jobs Deze maatregel betreft SAP.01 in het SAP GITC normenkader. Het is relevant om te achterhalen of een hoge rechten account batch jobs heeft aangemaakt, gewijzigd of verwijderd. Dit kan er bijvoorbeeld voor zorgen dat batch jobs met een financieel karakter niet uitgevoerd zijn.

Access to User Administration Deze maatregel betreft SAP.03 in het SAP GITC normenkader. Het is relevant om te achterhalen of een hoge rechten account nieuwe accounts heeft aangemaakt of accounts verwijderd heeft. Tevens is het relevant of het hoge rechten account bestaande rollen of profielen heeft aangepast of gecreëerd. Dit kan erop duiden dat een nieuw account gecreëerd is om acties van het hoge rechten account te verbergen. Tevens zou een rol of profiel toegevoegd of gewijzigd kunnen worden in de benodigde rechten voor de persoon achter het hoge rechten account. Dit heeft tevens als doel om acties van de persoon te verbergen. Een andere mogelijkheid is dat de persoon achter het hoge rechten account dit nieuwe account al heeft verwijderd.

Access to Table Update Deze maatregel betreft maatregel SAP.05 in het SAP GITC normenkader. Het is relevant om te achterhalen of een hoge rechten account direct wijzigingen in tabellen heeft doorgevoerd via standaard transactiecodes SM30 of SM31. Dit kan erop duiden dat er wijzigingen direct in de database uitgevoerd kunnen zijn. Er zijn twee soorten tabellen, customizing tabellen en SAP transactionele tabellen. Customizing tabellen is data dat aangemaakt wordt wanneer klanten hun systeem op een klant-specifieke manier configureren. SAP transactionele tabellen bevat configuratie data waar het SAP systeem op gebaseerd is. Belangrijk is dat wanneer de client change option niet open staat, er geen wijzigingen in de Customizing tabellen doorgevoerd kunnen worden. Vanuit het perspectief van de IT audit bevatten deze Customizing tabellen het meeste risico. Dit houdt tevens in, wanneer de client change option niet geopend is in het fiscale jaar, het grootste deel van het risico gemitigeerd is. Echter is het geen gemeen goed voor bedrijven om de client change option niet te openen omdat dit vaak vereist is voor het doorvoeren van bepaalde transporten voor change management.

Access to Execute Programs Deze maatregel betreft SAP.06 in het SAP GITC normenkader. Het is relevant om te achterhalen of een hoge rechten account directe programma wijzigingen in productie heeft doorgevoerd via standaard transactiecode SE38, SA38 en SE80. Dit kan erop duiden dat SAP standaard programma’s en zelf ontwikkelde programma’s ontwikkeld, gewijzigd en uitgevoerd kunnen zijn. Er zijn twee soorten programma’s, SAP standaard programma’s en zelf ontwikkelde programma’s. Vanuit een IT audit in het kader van de jaarrekening perspectief bevatten deze zelf ontwikkelde programma’s het meeste risico. Belangrijk is dat wanneer de system change options niet open staat, er geen programma’s aangemaakt of gewijzigd kunnen worden. Wel kunnen er programma’s uitgevoerd worden wanneer de system change option dicht staat. Daarmee is het ook zaak om naast het vaststellen of de system change option open is geweest, vast te stellen of de transactiecodes gebruikt zijn.

Password Parameters Deze maatregel betreft SAP.09 in het SAP GITC normenkader. Het is relevant om te achterhalen of een hoge rechten account aanpassingen in de configuratie van de logging heeft doorgevoerd. De 13 Auteur: W.M van der Niet


14/08/2015

logging configuratie en wachtwoord configuratie zou gewijzigd kunnen worden door het uitvoeren van de SAP standaard transactiecodes SM18, SM19, RZ10, RZ11. Wanneer dit gebeurd is, zou dit erop kunnen duiden dat het hoge rechten account onvoldoende gelogd werd, waardoor een deel van de acties uitgevoerd door het hoge rechten account niet meer te traceren zijn. Of, wanneer de wachtwoord configuratie gewijzigd wordt zou dit erop kunnen duiden dat de wachtwoordeisen teruggebracht zijn.

Access to IDOC and Monitoring Deze maatregel betreft SAP.16 in het SAP GITC normenkader. Het is relevant om te achterhalen of een hoge rechten account IDOCS (interne berichten binnen het SAP landschap) heeft tegengehouden. Dit kan erop duiden dat het verwerken van IDOCS niet juist is uitgevoerd. Wat mogelijk kan leiden tot een niet juist verwerkte IDOC met een financieel karakter.

Access to System and Client Change Options Deze maatregel betreft SAP.18 in het SAP GITC normenkader. Het is relevant om te achterhalen of een hoge rechten account de client of system change option heeft geopend. Dit kan duiden op het doorvoeren van bijvoorbeeld bepaalde transporten of het wijzigen van tabellen direct in de database.

Access To Development Activities Deze maatregel betreft SAP.20 in het SAP GITC normenkader. Het is relevant om te achterhalen of een hoge rechten account debugging functionaliteiten heeft gebruikt. Dit kan erop duiden dat er ontwikkeling heeft plaatsgevonden in een productieomgeving. Daarmee wordt de functiescheiding tussen ontwikkeling en het doorvoeren naar productie omzeild.

Approval and Testing of Changes Deze maatregel betreft SAP.22 in het SAP GITC normenkader. Het is relevant om te achterhalen of een hoge rechten account transport heeft doorgezet in de productie omgeving om vast te stellen of hier een risico aanwezig is voor de jaarrekening. Wanneer er geen transporten doorgezet zijn door de hoge rechten accounts is er geen risico voor de jaarrekening. Wanneer een hoge rechten account wel transporten doorgezet heeft in productie, kan nagegaan worden of dit transport geautoriseerd was en wat de mogelijke impact van dit of meerdere transporten is.

Access to Change Data Structure Deze maatregel betreft SAP.23 in het SAP GITC normenkader. Het is relevant om te achterhalen of een hoge rechten account wijzigingen in de data dictionary heeft doorgevoerd. Data dictionary is het centrale punt in het data management systeem. Deze functie ondersteunt het aanmaken en beheersen van data definities. Tevens bevat de data dictionary de data die aangeboden wordt aan alle systeemcomponenten. Dit zorgt ervoor dat de data integer en consistent blijft. Het risico bestaat dat toegang kan leiden tot directe wijzigingen van de data dictionary in de SAP database. Dit kan daarmee de integriteit en consistentie van de data aantasten in alle systeemcomponenten. Belangrijk is dat wanneer de system change option niet open staat, er geen wijzigingen in de data dictionary plaats kunnen vinden. Dit houdt tevens in, wanneer de system change option niet geopend is in het fiscale jaar, het risico gemitigeerd is. Echter is het geen gemeen goed voor bedrijven om de system change option niet te openen omdat dit vaak vereist is voor het doorvoeren van bepaalde transporten voor change management.



14/08/2015

IMPACT VAN EEN HOGE RECHTEN ACCOUNT BINNEN DE BUSINESS RISICO’S :

Naast de geïdentificeerde risico’s voor de geautomatiseerde gegevensverwerking zijn er met het oog op de jaarrekeningcontrole tevens verschillende business risico’s te identificeren. In de onderliggende paragrafen zullen de hierna te noemen business risico’s in scope voor het SAP_ALL normenkader in detail besproken worden. De volgende business risico’s worden geïdentificeerd voor de jaarrekeningcontrole:         

Leverancier master data Inkooporders Materiaal verkoopprijzen Klant master data Kortingen Betalingen Manuele boekingen Creditnota’s Werknemer master data

Daarnaast wordt het relevant geacht of deze hoge rechten accounts bepaalde documenten hebben doorgevoerd binnen het SAP landschap. De volgende documenten worden als relevant geacht:     

Inkoop documenten Materiaal documenten Uitlever documenten Facturering documenten Sales documenten

Leverancier master data Leverancier master data kan ongeautoriseerd aangemaakt of gewijzigd zijn. Het risico bestaat dat door het ongeautoriseerd aanmaken of wijzigen van leverancier master data geld ongeautoriseerd de organisatie is uitgestroomd, bijvoorbeeld door het wijzigen van een bankrekening of het aanmaken van een foutieve leverancier. Het aantal gecreëerde en wijzigingen van leverancier master data is bepalend voor het risico en de impact op de jaarrekeningcontrole. Daarmee rijzen de volgende vragen:  

Hebben deze hoge rechten accounts daadwerkelijk leverancier master data aangemaakt of gewijzigd? Wanneer er leverancier master data gewijzigd is, welke velden omvat dit precies?

Inkooporders Inkooporders kunnen ongeautoriseerd aangemaakt, gewijzigd en goedgekeurd zijn. Het risico bestaat dat er door een ongeautoriseerde inkooporder geld de organisatie is uitgestroomd. De hoogte van deze inkooporder is bepalend voor het risico en de impact op de jaarrekeningcontrole. Daarmee rijzen de volgende vragen:  

Hebben deze hoge rechten accounts daadwerkelijk inkooporders aangemaakt, gewijzigd of goedgekeurd? Indien ja, hoe groot was dit bedrag per hoge rechten account?



14/08/2015

Materiaal verkoopprijzen Verkoopprijzen van materialen kunnen ongeautoriseerd aangemaakt of gewijzigd zijn. Het risico bestaat dat het ongeautoriseerd aanmaken of wijzigen van materiaal verkoopprijzen heeft geleid tot minder inkomsten voor de organisatie. Net als bij kortingen zijn materiaal verkoopprijzen ook vaak opgesteld door het management. Dit zijn daarmee ook de prijzen die gebruikt mogen worden tijdens de verkoop van materialen aan klanten. De mate van aanpassing van de materiaal verkoopprijzen is bepalend voor het risico en de impact op de jaarrekeningcontrole. Daarmee rijzen de volgende vragen: 

Hebben deze hoge rechten accounts daadwerkelijk materiaal verkoopprijzen aangepast?

Indien ja, hoe groot was dit bedrag per hoge rechten account?

Klant master data Klant master data kan ongeautoriseerd aangemaakt, gewijzigd of verwijderd zijn. Het risico bestaat dat door het aanmaken, wijzigen of verwijderen van klant master data geld ongeautoriseerd de organisatie verlaten heeft, bijvoorbeeld door het ontvangen van persoonlijke bonussen door een medewerker. De mate van aanpassing van de klant master data is bepalend voor het risico en de impact op de jaarrekeningcontrole. Daarmee rijzen de volgende vragen:  

Hebben deze hoge rechten accounts daadwerkelijk klant master data aangemaakt, gewijzigd of verwijderd? Wanneer er klant master data gewijzigd is, welke velden omvat dit precies?

Kortingen Kortingen kunnen gegeven worden aan zowel de inkoop en de verkoop kant in een SAP landschap. Voor de jaarrekeningcontrole zijn voornamelijk de kortingen aan de verkoopkant een geïdentificeerd risico. Dit omdat op deze manier minder geldstroom als beoogd de organisatie ingestroomd kan zijn. Nu worden binnen bijna elke organisatie kortingen verstrekt aan klanten, normaliter zijn deze grenzen opgesteld door het management. Echter wanneer het om het verstrekken van ongeautoriseerde kortingen aan klanten gaat, zou dit een negatieve invloed kunnen hebben op de inkomsten van het bedrijf. De hoogte van deze kortingen is bepalend voor het risico en de impact op de jaarrekeningcontrole. Daarmee rijzen de volgende vragen:  

Hebben deze hoge rechten accounts daadwerkelijk kortingen gegeven. Indien ja, hoe groot was dit bedrag per hoge rechten account?

Betalingen Inkooporders kunnen ongeautoriseerd betaald zijn. Het risico bestaat dat door het ongeautoriseerd doorvoeren van een betaling geld ongeautoriseerd de organisatie uitgestroomd is, bijvoorbeeld door het betalen van een inkooporder. Het totale bedrag aan betalingen is bepalend voor het risico en de impact op de jaarrekeningcontrole. Daarmee rijzen de volgende vragen:  

Hebben deze hoge rechten accounts daadwerkelijk betalingen doorgevoerd? Indien ja, hoe groot was dit bedrag per hoge rechten account? 16

Auteur: W.M van der Niet


14/08/2015

Manuele boekingen Manuele boekingen kunnen ongeautoriseerd opgevoerd zijn. Het risico bestaat dat door het opvoeren van een ongeautoriseerde manuele boeking op een grootboekrekening geld ongeautoriseerde de organisatie uitgestroomd is. Dit kan bijvoorbeeld een manuele boeking naar een klant of leverancier zijn. Het totale bedrag aan manuele boekingen is bepalend voor het risico en de impact op de jaarrekeningcontrole. Daarmee rijzen de volgende vragen:  

Hebben deze hoge rechten accounts daadwerkelijk manuele boekingen gedaan? Indien ja, hoe groot was dit bedrag per hoge rechten account?

Creditnota’s Creditnota’s kunnen ongeautoriseerd aangemaakt of gewijzigd worden. Een creditnota kan zowel voor een klant als voor een leverancier aangemaakt zijn. Het risico bestaat dat door het ongeautoriseerd aanmaken of wijzigen van creditnota’s de post crediteuren tijdelijk fictief omhoog gebracht is. Daarmee bestaat het risico dat de post crediteuren onjuist geïnterpreteerd wordt. De mate van aangemaakte of gewijzigde creditnota’s is bepalend voor het risico en de impact op de jaarrekeningcontrole. Daarmee rijzen de volgende vragen:  

Hebben deze hoge rechten accounts daadwerkelijk creditnota’s aangemaakt of gewijzigd? Indien ja, hoe groot was dit bedrag per hoge rechten account?

Werknemer master data Werknemer master data kan ongeautoriseerd aangemaakt, gewijzigd of verwijderd zijn. Het risico bestaat dat door het aanmaken, wijzigen of verwijderen van werknemer master data geld ongeautoriseerd de organisatie verlaten heeft, bijvoorbeeld door het opvoeren van een salaris en/of een bonus; voor de desbetreffende foutieve werknemer. De mate van aangemaakte, gewijzigde of verwijderde werknemer master data is bepalend voor het risico en de impact op de jaarrekeningcontrole. Daarmee rijzen de volgende vragen:  

Hebben deze hoge rechten accounts daadwerkelijk werknemer master data aangemaakt, gewijzigd of verwijderd? Indien ja, hoe groot was dit bedrag per hoge rechten account?

Documenten Inkoop, materiaal, uitlever, facturering en sales documenten kunnen ongeautoriseerd aangemaakt of gewijzigd zijn. Het risico bestaat daarmee dat door het aanmaken of wijzigingen van deze documenten geld ongeautoriseerd de organisatie verlaten heeft, bijvoorbeeld door het opvoeren van een foutief materiaal of het doorvoeren van een foutieve inkooporder. Het totale bedrag wat gemoeid gaat met de bovengenoemde documenten is bepalend voor het risico en de impact op de jaarrekeningcontrole. Daarmee rijzen de volgende vragen:  

Hebben deze hoge rechten accounts daadwerkelijk documenten aangemaakt of gewijzigd? Indien ja, hoe groot was dit bedrag per hoge rechten account en om welke soort document gaat het? 17



14/08/2015

HOOFDTUK 3. SAP_ALL NORMENKADER. In dit hoofdstuk worden de risico’s en maatregelen van het SAP_ALL normenkader uiteengezet. In dit hoofdstuk wordt antwoord gegeven op de volgende deelvragen:   

Welke business risico’s worden geïdentificeerd met betrekking tot hoge rechten accounts in het kader van de jaarrekeningcontrole. Welke IT risico’s worden geïdentificeerd met betrekking tot hoge rechten accounts in het kader van de jaarrekeningcontrole. Welke maatregelen kunnen geïdentificeerd worden om de risico’s van hoge rechten accounts op de jaarrekening te beheersen?

Onderliggende teststappen worden kort belicht. Dit rapport betreft een voor iedereen toegankelijke versie. Met deze reden zijn de geformuleerde teststappen niet opgenomen in de bijlagen. 3.1 UITGANGSPUNTEN IN DE DEFINITIE VAN RISICO’S Tijdens het definiëren van de business en IT risico’s zijn de volgende uitgangspunten gebruikt:  

Het risico bestaat. Het risico kan leiden tot fraude en kan de integriteit van de data aantasten.

HET RISICO BESTAAT

Het risico bestaat tot dat het tegendeel bewezen wordt tijdens het testen van de gedefinieerde maatregelen. Wanneer uit de maatregelen, gekoppeld aan het specifieke risico, blijkt dat er geen uitzonderingen geconstateerd zijn tijdens het volgen van de teststappen kan de conclusie getrokken worden dat het risico zich niet heeft voorgedaan in het fiscale jaar. Echter, tot die tijd bestaat het risico. Dit is tevens meegenomen in de beschrijving van de risico’s. HET RISICO KAN LEIDE N TOT FRAUDE EN KAN DE INTEGRITEIT VAN DE DATA AANTASTEN.

Hetgeen dat in de bovenstaande paragraaf beschreven is, geldt voor het risico. Dit kan leiden tot fraude en kan de integriteit van de data aantasten. Wanneer uit de maatregelen, gekoppeld aan het specifieke risico, blijkt dat er geen uitzonderingen geconstateerd zijn tijdens het volgen van de teststappen kan de conclusie getrokken worden dat het risico zich niet heeft voorgedaan in het fiscale jaar. Dit betekent dus dat zich geen fraude heeft voorgedaan en de integriteit van de data gehandhaafd is. 3.2 UITGANGSPUNTEN IN DE DEFINITIE VAN MAATREGELEN Tijdens het definiëren van de maatregelen om de scope, business en IT risico’s te beheersen is het volgende uitgangspunt gebruikt:  

Maatregelen zijn alleen toegewezen aan personeel dat geautoriseerd is om deze rechten te gebruiken als onderdeel van hun functie. Maatregelen zijn alleen uitgevoerd door personeel dat geautoriseerd is om deze acties uit te voeren als onderdeel van hun functie.

Voor beide van de bovenstaande punten geldt dat de gebruiker van een hoge rechten account hoogst waarschijnlijk voor geen van de bovenstaande punten geautoriseerd is. Daarmee zal in de meeste gevallen de maatregel een uitzondering bevatten wanneer geconstateerd wordt dat een hoge rechten account een bepaalde actie heeft uitgevoerd in het kader van de desbetreffende maatregel. 18 Auteur: W.M van der Niet


14/08/2015

3.3 UITGANGSPUNTEN IN DE DEFINITIE VAN TESTSTAPPEN Tijdens het definiëren van de teststappen om de scope, business en IT risico’s te beheersen is het volgende uitgangspunt gebruikt: 



In de teststappen worden gedetailleerde stappen weergegeven, zoals transactiecodes en benodigde tabelnamen. Door de mate van detail is het reproduceren van de teststappen eenvoudig. In de teststappen worden mitigerende maatregelen meegenomen binnen het SAP_ALL normenkader.

Een van de doelstellingen tijdens het opstellen van de teststappen van het SAP_ALL normenkader is dat een willekeurige IT auditor de teststappen kan uitvoeren zonder een SAP specialist te zijn. Tevens zijn in de teststappen mitigerende maatregelen meegenomen, zoals bijvoorbeeld het bekijken of de client of system change option niet is opengezet in het fiscale jaar. Dit kan er voor zorgen dat het risico al gemitigeerd is voor bepaalde maatregelen. 3.4 MANIER EN DIEPGANG TESTEN MAATREGELEN De manier van het testen van deze maatregelen komt vrijwel een op een overeen met de manier van testen van maatregelen gedefinieerd in het SAP GITC normenkader. De overeenkomsten met de manier van testen van maatregelen gedefinieerd in het SAP GITC normenkader zijn de volgende:  

De maatregelen worden qua opzet, bestaan en werking getest. De IT auditor geeft per maatregel aan of er een uitzondering geconstateerd is.

De afwijkingen in de manier van testen van maatregelen gedefinieerd in het SAP GITC normenkader zijn de volgende:  

Het SAP_ALL normenkader heeft een beperktere scope qua relevante accounts. De teststappen onderliggend aan de maatregelen integraal bekeken dienen te worden.

3.5 SCOPE SAP_ALL ANALYSE Voordat overgegaan wordt naar het definiëren van de IT en business risico’s, zal eerst de scope van de SAP_ALL analyse behandeld worden. De scope van de SAP_ALL analyse is namelijk één van de belangrijkste onderwerpen voor het bepalen van de testwerkzaamheden. De scope zal in kaart brengen voor welke accounts deze risico’s en de bijbehorende maatregelen getest dienen te worden. Door het in- en uitscopen van relevante user ID’s wordt namelijk bepaald of deze gedefinieerde business en IT risico’s ontdekt worden voor de relevante accounts. Dit is ook tevens waar geïdentificeerd IT risicogebied SAP.03 ‘Access to User Administration’ om de hoek komt kijken. Om de scope van de SAP_ALL analyse te bepalen is het volgende risico als uitgangspunt genomen, deze geldt voor zowel de business en IT risico’s: 

An increased risk exists that unauthorized use of user ID's took place by the selected scope of users for this analysis which could lead to fraud and compromise the integrity of the data.



14/08/2015

ACCOUNTS IN SCOPE SAP_ALL ANALYSE

Het uitgangspunt van de SAP_ALL analyse betreft alle accounts welke de hoge rechten hebben toegewezen gekregen in het fiscale jaar. Al is het maar twee minuten, de accounts zullen in scope genomen moeten worden. De volgende uitzonderingen dienen in acht genomen te worden: 





Accounts welke geen dialog (user type A) of service (user type S) zijn, zoals system (user type B), communication (user type C) en reference (user type L), zijn minder relevant voor de SAP_ALL analyse. Dit omdat deze drie user types niet interactief kunnen aanloggen en daarmee geen direct risico vormen voor de data binnen SAP. Accounts welke niet aangelogd zijn in het fiscale jaar. Dit betekent dat deze accounts niet actief zijn geweest op de systemen en daarmee geen risico vormen voor de data binnen SAP en de jaarrekeningcontrole. Wanneer er tijdens het testen van maatregel SAP.15 (emergency access) tijdens de IT audit in het kader van de jaarrekening geen uitzonderingen geconstateerd zijn, zouden deze accounts uit de scope voor de SAP_ALL analyse kunnen blijven. Belangrijk is wel dat de volgende teststappen gevolgd zijn: o Er wordt een aanvraag gedaan door de medewerker die gebruik wil maken van hoge rechten. In deze aanvraag geeft hij of zij de reden van gebruik aan en welke transactiecodes benodigd zijn. o Alle aanvragen worden beoordeeld en af- of goedgekeurd door een geautoriseerd persoon o Logging is geactiveerd en kan niet worden gemanipuleerd door de werknemer welke gebruikt maakt van de hoge rechten. o Logging wordt integraal bekeken, tevens wordt er een aanvullende test gedaan of alleen de transactiecodes in de aanvraag gebruikt zijn. o De voorgaande stappen zijn vastgelegd en in te zien door de IT auditor.

AANVULLENDE ANALYSE OP SCOPE SAP_ALL ANALYSE

Hoge rechten accounts hebben genoeg autorisaties in het SAP landschap om acties moeilijk herleidbaar te maken. Dit kan bijvoorbeeld door de volgende acties uit te voeren:     

Het aanmaken van een nieuw account met hoge rechten. Het wijzigen van autorisaties voor bestaande users Het wijzigen van autorisatieprofielen en autorisatierollen. Het activeren van geblokkeerde accounts. Het resetten van wachtwoorden van accounts.

Deze bovengenoemde zaken leiden er toe dat je gebruik kan maken van andere accounts en andere autorisaties om ongeautoriseerde acties te verdoezelen. Dit is precies de reden waarom onderzocht dient te worden of de hoge rechten accounts in scope van de SAP_ALL analyse ook andere accounts gebruikt kunnen hebben. Wanneer dit het geval is, dienen deze accounts ook meegenomen te worden in de scope van de SAP_ALL analyse. Naar aanleiding van deze analyse is gekomen tot de volgende drie maatregelen om het bovengenoemde risico te beheersen: 

Maatregel: SAP_ALL authorizations are only assigned to appropriate personnel who need access as part of their responsibility. 20


Impactbepaling van een hoge rechten account in de SAP omgeving 



14/08/2015

Maatregel: The creation of new user ID's and changes of existing authorization profiles and values are only performed by appropriate personnel who need access as part of their job responsibility. Maatregel: Unlocking user ID's and resetting passwords are only performed by appropriate personnel who need access as part of their job responsibility.

Voor iedere maatregel is tevens een teststap gedefinieerd. Een voorbeeld van een teststap is hieronder weergegeven. 

Maatregel: SAP_ALL authorizations are only assigned to appropriate personnel who need access as part of their responsibility. o Teststap:  1. Obtain the eQSmart default report 'users assigned standard profiles' to determine which user ID's are currently assigned the SAP_ALL profile. OR Start transaction code SUIM in order to determine which user ID's have currently SAP_ALL assigned. Select --> user --> users by complex criteria --> by profiles. Perform the following steps: - Profile name: SAP_ALL and SAP_NEW by multiple selection in the row. Hit execute (F8).  2. Start transaction code SUIM in order to determine which user ID's had SAP_ALL assigned during the fiscal year. Select --> Changed documents --> for users Perform the following steps: - user: * - changed by: * - from date: start fiscal year in scope - to date: end fiscal year in scope Select tab 'roles and profiles' --> select 'profiles'. Add: - profile name: * to * Hit execute (F8).  3. Select all user ID's assigned SAP_ALL profiles this fiscal year by filtering on 'new value'.  4. Verify with management whether the appropriate approval or a valid explanation is in place. In both cases the SAP_ALL profile should be added to the scope of the analysis.

3.6 IT RISICO’S GEDEFINIEERD IN SAP_ALL NORMENKADER In hoofdstuk 2 zijn verschillende IT risico gebieden voor de jaarrekeningcontrole geïdentificeerd. Deze IT risico’s zijn als uitgangspunt gedefinieerd in het SAP_ALL normenkader waaraan vervolgens maatregelen en testplannen gekoppeld worden. Wanneer deze teststappen per maatregel worden uitgevoerd geven de conclusies van deze maatregelen aan in hoeverre het gedefinieerde risico daadwerkelijk beheerst is. De 9 IT risico’s geïdentificeerd in hoofdstuk 2 zijn vertaald in 3 IT risico’s in het SAP_ALL normenkader. Deze 3 IT risico’s kunnen gemitigeerd worden door 9 maatregelen. Hieronder zijn zowel de risico’s als onderliggende maatregelen uiteengezet. 21 Auteur: W.M van der Niet


14/08/2015



Changes to systems or data o Risico: An increased risk exists that unauthorized changes to systems or data were made by the selected scope of users for this analysis which could lead to fraud and compromise the integrity of the data.  SAP GITC referentie SAP.05 - Access to Table Update Maatregel: Direct table maintenance is only performed by appropriate personnel who need access as part of their job responsibility  SAP GITC referentie SAP.06 - Access to Execute Programs Maatregel: Modifications to programs directly in the production environment are only performed by appropriate personnel who need access as part of their job responsibility  SAP GITC referentie SAP.18 - Access to System and Client Change Options Maatregel: Changes to the configuration of the client and system change option are only performed by appropriate personnel who need access as part of their job responsibility  SAP GITC referentie SAP.20 - Access To Development Activities Maatregel: Debugging is only performed by appropriate personnel who need access as part of their job responsibility  SAP GITC referentie SAP.22 - Approval and Testing of Changes Maatregel: Changes are only transported to production by appropriate personnel who need access as part of their job responsibility  SAP GITC referentie SAP.23 - Access to Change Data Structure Maatregel: Data dictionary updates are only performed by appropriate personnel who need access as part of their job responsibility



Changes to security configurations o Risico: An increased risk exists that unauthorized changes were made to security configurations by the selected scope of users for this analysis which could lead to fraud and compromise the integrity of the data.  SAP GITC referentie SAP.09 – Access to (password) parameters Maatregel: Changes to logging and password configuration is only performed by appropriate personnel who need access as part of their job responsibility.



Batch job and IDOC processing o Risico: An increased risk exists that unauthorized batch job / IDOC processing was performed by the selected scope of users for this analysis which could lead to fraud and compromise the integrity of the data.  SAP GITC referentie SAP.01 - Access to Batch Jobs Maatregel: Batch job processing activity is only performed by appropriate personnel who need access as part of their job responsibility  SAP GITC referentie SAP.16 - Access to IDOC and Monitoring Maatregel: IDOC processing activity is only performed by appropriate personnel who need access as part of their job responsibility



14/08/2015

3.7 BUSINESS RISICO’S GEDEFINIEERD IN SAP_ALL NORMENKADER Net als in de bovenstaande paragraaf 3.6 ‘IT risico’s gedefinieerd in SAP_ALL normenkader’ is hoofdstuk 2 gebruikt als uitgangspunt voor het definiëren van de business risico’s. Deze risico’s zijn als uitgangspunt gedefinieerd in het SAP_ALL normenkader waaraan vervolgens maatregelen en testplannen gekoppeld zijn. Wanneer deze teststappen per maatregel worden uitgevoerd geven de conclusies van deze maatregelen aan in hoeverre het gedefinieerde risico daadwerkelijk beheerst is. De 14 business risico’s geïdentificeerd in hoofdstuk 2 zijn vertaald in 14 business risico’s. Dit zijn de volgende: 









Leverancier master data o Risico: An increased risk exists that the users in scope have unauthorized created and changed, vendor master data which could lead to fraud and compromise the integrity of the data  Maatregel: The creation of and changes to vendor master data are only performed by appropriate personnel who need access as part of their job responsibility Inkooporders o Risico: An increased risk exists that the users in scope have unauthorized created, changed and approved purchased orders which could lead to fraud and compromise the integrity of the data  Maatregel: The creation of and changes to purchase orders are only performed by appropriate personnel who need access as part of their job responsibility Materiaal verkoopprijzen o Risico: An increased risk exists that the users in scope have made unauthorized changed material prices which could lead to fraud and compromise the integrity of the data  Maatregel: The changes to material prices are only performed by appropriate personnel who need access as part of their job responsibility Klant master data o Risico: An increased risk exists that the users in scope have made unauthorized changes to customer master data which could lead to fraud and compromise the integrity of the data.  Maatregel: The creation of and changes to customer master data are only performed by appropriate personnel who need access as part of their job responsibility Kortingen o Risico: An increased risk exists that the users in scope have provided unauthorized discounts which could lead to fraud and compromise the integrity of the data.  Maatregel: Discounts are only provided by appropriate personnel who need access as part of their job responsibility.













14/08/2015

Betalingen o Risico: An increased risk exists that the users in scope have made unauthorized payments which could lead to fraud and compromise the integrity of the data  Maatregel: Payments to vendors are only performed by appropriate personnel who need access as part of their job responsibility  Maatregel: Payments to customers are only performed by appropriate personnel who need access as part of their job responsibility o Let op: het geïdentificeerde risico rondom credit nota’s is onderdeel van de bovenstaande maatregel. Manuele boekingen o Risico: An increased risk exists that the users in scope have made unauthorized direct postings to specific GL accounts which could lead to fraud and compromise the integrity of the data.  Maatregel: Direct postings to specific general ledger accounts are only performed by appropriate personnel who need access as part of their job responsibility Werknemer master data o Risico: An increased risk exists that the users in scope have created employee master records which could lead to fraud and compromise the integrity of data.  Maatregel: The creation and changes of employee master data is only performed by appropriate personnel who need access as part of their job responsibility. Inkoop documenten o Risico: An increased risk exists that the users in scope have created unauthorized purchasing documents which could lead to fraud and compromise the integrity of the data.  Maatregel: The creation of and changes to purchasing documents are only performed by appropriate personnel who need access as part of their job responsibility. Materiaal documenten o Risico: An increased risk exists that the users in scope have created unauthorized material documents which could lead to fraud and compromise the integrity of the data.  Maatregel: The creation of and changes to material documents are only performed by appropriate personnel who need access as part of their job responsibility. Uitlever documenten o Risico: An increased risk exists that the users in scope have entered unauthorized delivery data which could lead to fraud and compromise the integrity of the data.  Maatregel: The creation of and changes to delivery data are only performed by appropriate personnel who need access as part of their job responsibility.





14/08/2015

Facturering documenten o Risico: An increased risk exists that the users in scope have entered unauthorized invoice data which could lead to fraud and compromise the integrity of the data.  Maatregel: The creation of and changes to invoice data are only performed by appropriate personnel who need access as part of their job responsibility. o Risico: An increased risk exists that the users in scope have created unauthorized billing documents which could lead to fraud and compromise the integrity of the data.  Maatregel: The creation of and changes to billing documents are only performed by appropriate personnel who need access as part of their job responsibility. Sales documenten o Risico: An increased risk exists that the users in scope have created unauthorized sales documents which could lead to fraud and compromise the integrity of the data.  Maatregel: The creation of and changes to sales documents are only performed by appropriate personnel who need access as part of their job responsibility.



14/08/2015

HOOFDSTUK 4. RANDVOORWAARDEN In dit hoofdstuk zullen de randvoorwaarden voor het succesvol uitvoeren van de SAP_ALL analyse uiteengezet worden. Tevens geeft dit hoofdstuk antwoord op de volgende deelvraag: “Wat zijn de randvoorwaarden voor het uitvoeren van de SAP_ALL analyse?”. Om de SAP_ALL analyse succesvol uit te voeren zijn er een aantal randvoorwaarden waaraan voldaan moet worden voordat de SAP_ALL analyse volledig uitgevoerd kan worden, dit zijn de volgende:   

Logging Moment van testen Restricties auditor

4.1 LOGGING Tijdens het definiëren van de teststappen zijn tevens de minimale vereisten aan logging inzichtelijk geworden. De logging welke vereist is voor het succesvol uitvoeren van de SAP_ALL analyse is de security audit log. Om vast te stellen of de security audit logging geactiveerd is, dient het eQSmart rapport ‘active parameters’ gebruikt worden. De parameter ‘rsau/enable’ geeft aan dat de security audit logging geactiveerd is bij een parameterwaarde 1. Qua audit classes zouden minimaal ‘transaction start’, ‘other events’ en ‘system events’ gelogd moeten zijn voor de relevante users. Bekijk altijd de instellingen van de security audit log via transactiecode SM19 om vast te stellen of de security audit log toereikend is voordat de SAP_ALL analyse uitgevoerd wordt. De security audit log is een logging ontworpen voor de auditors en bestaat uit datastructuren waardoor het niet mogelijk is om deze data aan te passen vanuit de SAP applicatie. De security audit logging bevindt zich op de OS laag van de SAP applicatie server. Wel kunnen de logs verwijderd worden via transactiecode SM18 of SM20. Bekijk daarom altijd of de retentieperiode van de security audit log toereikend is om het gehele fiscale jaar te analyseren. Wanneer de security audit log niet toereikend is zou gebruik gemaakt kunnen worden van tabel- en stadlogging, echter vallen teststappen van deze logging’s buiten dit onderzoek. o

o

Tabel logging Om vast te stellen of tabel logging geactiveerd is dient het eQSmart rapport ‘active parameters’ gebruikt worden. De parameter ‘rec/client’ geeft aan of tabel logging geactiveerd is wanneer de parameter waarde <0 is. Te raadplegen via standaard transactiecode SCU3. Stadlogging Via transactiecode ST03N kan je direct vaststellen of STAD logging geactiveerd is. By default is dit 48 uur en kan vergroot worden tot maximaal 3 maanden. De kans dat daarmee de benodigde data van het hele fiscale jaar aanwezig is, is erg klein.

4.2 MOMENT VAN TESTEN Belangrijk is om rekening te houden met het moment van testen zodat het gehele fiscale jaar geanalyseerd kan worden. Wanneer de SAP_ALL analyse uitgevoerd wordt midden in het fiscale jaar wordt niet het gehele jaar bekeken maar een deel daarvan. Daarmee is de conclusie niet toereikend voor het gehele fiscale jaar. Overleg goed met de accountant wanneer de SAP_ALL analyse uitgevoerd kan worden. 26 Auteur: W.M van der Niet


14/08/2015

4.3 RESTRICTIES AUDITOR Het SAP_ALL normenkader is dusdanig gedetailleerd opgesteld dat een IT auditor zonder specifieke SAP kennis de SAP_ALL analyse zou uit kunnen voeren. Een voorwaarde hieraan is wel dat het werk van de IT auditor bekeken dient te worden door een IT auditor met SAP kennis en ervaring. Dit ter bevestiging of de juiste data gebruikt is en de juiste overwegingen zijn gemaakt om tot een dergelijke conclusie te komen.



14/08/2015

HOOFDSTUK 5. PRAKTIJKONDERZOEK

In dit hoofdstuk wordt antwoord gegeven op de volgende deelvraag: “Vindt de accountant de risico’s en maatregelen gedefinieerd in het SAP_ALL normenkader voldoende om te integreren in de IT audit in het kader van de jaarrekeningcontrole?”. Door middel van interviews is onderzocht of het uitvoeren van de SAP_ALL analyse een bijdrage levert aan de betrouwbaarheid van de geautomatiseerde gegevensverwerking wanneer de accountant hierop wil steunen. Hieruit is naar voren gekomen dat, zoals al in de problematiek uiteen werd gezet, voor ieder hoge rechten account de IT risico’s te allen tijde getest dienen te worden om vast te stellen of het hoge rechten account impact gehad heeft op de geautomatiseerde gegevensverwerking. Gedurende de interviews zijn geen aanvullende IT risico’s geïdentificeerd en de geïnterviewden waren het er tevens mee eens dat wanneer de accountant wil steunen op geautomatiseerde gegevensverwerking de IT risico’s getest zouden moeten worden. Wanneer de accountant niet kan steunen op de geautomatiseerde gegevensverwerking is de SAP_ALL analyse voor IT risico’s geen vereiste. Wel kan dit een wens zijn van de accountant. Tevens zijn er naast IT risico’s ook business risico’s uit het onderzoek naar voren gekomen. Zoals eerder uiteengezet is, kan een hoge rechten account ook invloed hebben op business processen als inkoop, verkoop etc. Het totaal aan business risico’s biedt een palet aan mogelijkheden welke IT auditors kunnen testen voor de accountant om daarmee ook vast te stellen dat het hoge rechten account naast de geautomatiseerde gegevensverwerking geen impact op de business risico’s gehad heeft. Mogelijk mitigeert de accountant dit in de jaarrekeningcontrole door grotere steekproeven, maar door gebruik van het SAP_ALL normenkader kan de IT auditor deze analyse ook uitvoeren. Wanneer de IT auditor deze analyse uitvoert, zal deze analyse integraal uitgevoerd worden voor deze hoge rechten account en zal daarmee meer zekerheid geven dan een analyse op steekproef basis. Uit interviews blijkt dat deze argumenten reden genoeg zijn om ook business risico’s door de IT auditor te laten testen, echter zal toegevoegde waarde per accountant verschillen en is daarmee geen garantie dat iedere accountant de toegevoegde waarde hiervan inziet. Welke business risico’s getest zullen worden door de IT auditor is tevens afhankelijk van het audit plan van de accountant. Op basis van deze geïdentificeerde business risico’s kan de IT auditor in ieder geval het gesprek aangaan met de accountant. Om enerzijds vast te stellen of hieraan gedacht is en anderzijds om te bediscussiëren welke business risico’s relevant zijn. Dit is natuurlijk mede afhankelijk van de processen aanwezig in het desbetreffende bedrijf. De geïnterviewden waren het er tevens over eens dat business risico’s voor iedere IT audit op een SAP omgeving in het kader van de jaarrekening bediscussieerd moeten worden met de accountant wanneer een hoge rechten account aanwezig is.



14/08/2015

CONCLUSIE De maatregelen die IT auditors in het kader van de jaarrekening dienen te testen om de impact van een hoge rechten account inzichtelijk te maken voor de accountant zijn opgedeeld in IT en business risico’s. IT risico’s om de impact op de geautomatiseerde gegevensverwerking te bepalen en daarnaast de business risico’s om te bepalen of het hoge rechten account ook impact heeft gehad op de business processen. Wanneer de accountant op de geautomatiseerde gegevensverwerking wil steunen, dienen de geïdentificeerde IT risico’s te allen tijden door de IT auditor getest te worden om vast te stellen of het hoge rechten account impact gehad heeft op de geautomatiseerde gegevensverwerking. Wanneer de accountant niet op de geautomatiseerde gegevensverwerking wil steunen is de SAP_ALL analyse voor de IT risico’s geen vereiste, wel kan dit een wens zijn van de accountant. Het is belangrijk dat er niet alleen IT risico’s of business risico’s getest worden wanneer een hoge rechten account aanwezig is en de accountant op de geautomatiseerde gegevensverwerking wil steunen. Beide risico’s dienen te allen tijden getest te worden. Welke en hoe de business risico’s getest zullen worden is afhankelijk van het audit plan van de accountant. Het is mogelijk dat het audit plan van de accountant toereikend is om de impact van de hoge rechten accounts op de business risico’s te mitigeren. In dit geval is afhankelijk van de accountant of hij een additionele analyse op de hoge rechten accounts wil uitvoeren om de impact vast te stellen of dat hij zijn huidige audit plan aanhoudt en de scope van de IT audit niet uitbreidt. Wanneer de IT auditor business risico’s in scope neemt zullen deze altijd in afstemming met de accountant geïdentificeerd dienen te worden omdat deze voor ieder bedrijf verschillend zijn. Tevens komt uit dit onderzoek naar voren dat de IT auditor de geïdentificeerde business maatregelen integraal kan analyseren en daarmee een hogere zekerheid levert dan een analyse op steekproefbasis. Echter blijft de scope van de IT audit altijd de verantwoordelijkheid van de accountant, wel kan de IT auditor hier een adviserende rol in spelen. Wanneer de IT en business risico’s beide in scope zijn zullen er voldoende werkzaamheden verricht zijn om de impact van het hoge rechten account op de jaarrekening vast te stellen. Tevens betekent dit ook dat er voldoende werkzaamheden verricht zullen zijn om de betrouwbaarheid van de geautomatiseerde gegevensverwerking te kunnen vaststellen wanneer het hoge rechten accounts op een SAP omgeving betreft. Daarmee levert de SAP_ALL analyse een kwaliteitsbijdrage aan de eerder door de AFM geïdentificeerde tekortkomingen:   

“Onvoldoende werkzaamheden verricht om de betrouwbaarheid van de geautomatiseerde gegevensverwerking vast te kunnen stellen”. “Onvoldoende vaststelling of de automatische functiescheiding toereikend is” “Onvoldoende evaluatie of overzichten, lijsten en databases betrouwbare informatie bevatten”

(Zelf)reflectie De totstandkoming van deze scriptie is redelijk soepel verlopen. Dit komt voornamelijk omdat ik echt de tijd genomen heb om deze scriptie tot een goed einde te brengen. Hiervoor heb ik verscheidene weken vrij van werk genomen en tevens veel terugkoppelmomenten met mijn begeleiders gehad.



14/08/2015

Qua leerproces beschouw ik deze scriptie als zeer leerzaam op verschillende niveaus. Enerzijds op het gebied van wetenschappelijk onderzoek en het denken in structuren, maar zeker ook SAP inhoudelijk. Het was erg leuk om de teststappen te formuleren door dit zelf uit te voeren in een SAP testomgeving. Tevens maakte dit het proces af en toe erg lastig doordat deze teststappen niet altijd even voor de hand liggend waren en veel tijd kostte. Het eindresultaat van deze scriptie is zowel voor mij persoonlijk van belang als voor het bedrijf. Er ligt een eindresultaat waar veel kennis samen is gekomen en werkelijk in de praktijk gebruikt kan worden. Door dit normenkader is de kennis gemakkelijk over te dragen en misschien wel belangrijker, het is beschikbaar. Tevens zullen collega’s zich meer bewust zijn van het onderscheid in IT en business risico’s en hoe zij hier per soort risico mee om dienen te gaan wanneer er bijvoorbeeld wel of niet op de IT gesteund wordt door de accountant. Al met al ben ik erg tevreden over de uitkomsten van de scriptie, welke volledig in lijn zijn met mijn verwachtingen toen ik het proces startte. De beperkingen van dit onderzoek liggen voornamelijk op de applicatie en security audit log. Mijn suggestie voor vervolg onderzoek zou in de eerste plaats zijn om de teststappen niet te beperken tot de security audit log, maar de tabel- en stadlog ook mee te nemen. Tevens zou het onderzoek uitgebreid kunnen worden naar databaseniveau.



14/08/2015

LITERATUURLIJST.



14/08/2015

BIJLAGE 1. PROBLEEMANALYSE

In deze bijlage worden de door de AFM geconstateerde structurele tekortkomingen binnen de wettelijke accountantscontrole door de Big Four uiteengezet. De structurele tekortkomingen zijn opgedeeld in systeemgerichte en gegevensgerichte werkzaamheden. TEKORTKOMINGEN SYSTEEMGERICHTE WERKZAAMHEDEN In het AFM rapport worden de volgende tekortkomingen uiteengezet op het gebied van systeemgerichte werkzaamheden:  Controle werkzaamheden aangemerkt als systeemgericht maar zijn in feite gegevensgericht.  Onvoldoende werkzaamheden verricht om de betrouwbaarheid van de geautomatiseerde gegevens verwerking vast te stellen.  Onvoldoende vaststelling of automatische functiescheiding toereikend is.

Controle werkzaamheden aangemerkt als systeemgericht zijn in feite gegevensgericht. In deze gevallen heeft de externe accountant namelijk niet de interne beheersingsmaatregel getest, maar zelf een vorm van detailcontrole uitgevoerd. Als de beheersingsmaatregel voor het bestaan van de voorraad er bijvoorbeeld uit bestaat dat een administratieve medewerker van de controlecliënt iedere twee weken een aansluiting maakt tussen de verzendmeldingen van de leveranciers en de ontvangstmeldingen van het magazijn, dan moet de externe accountant in zijn controle vaststellen dat deze medewerker daadwerkelijk deze aansluitingen heeft gemaakt. Hij doet dit bijvoorbeeld door de uiterlijke kenmerken van de beheersingsmaatregel vast te stellen, zoals de paraaf van de medewerker op de aangesloten meldingen. Indien de externe accountant uitsluitend zelf de meldingen op elkaar aansluit, dan verkrijgt hij uitsluitend zekerheid over het bestaan van de voorraad bij wijze van deelwaarneming en niet over de werking van de interne beheersingsmaatregel.

Onvoldoende werkzaamheden verricht om de betrouwbaarheid van de geautomatiseerde gegevens verwerking vast te stellen. Bij veel ondernemingen worden transacties geautomatiseerd tot stand gebracht, vastgelegd, verwerkt en gerapporteerd. De interne beheersingsmaatregelen die relevant zijn voor de jaarrekeningcontrole van een dergelijke onderneming bevatten daarom naast handmatige aspecten dikwijls ook geautomatiseerde aspecten. Als een externe accountant wil steunen op de interne beheersingsmaatregelen van een onderneming die in belangrijke mate is geautomatiseerd, dan zal hij de betrouwbaarheid van de geautomatiseerde gegevensverwerking moeten testen. Dit betreft werkzaamheden waarbij de externe accountant inzicht verkrijgt in de geautomatiseerde interne beheersingsmaatregelen en deze vervolgens toetst op opzet, bestaan en werking.

Onvoldoende vaststelling of automatische functiescheiding toereikend is. Een specifiek aandachtspunt in geautomatiseerde interne beheersingsmaatregelen is toereikende functiescheiding. De externe accountant zal moeten vaststellen wie welke bevoegdheden heeft in het systeem (vastgelegd in een zogenaamde competentietabel of autorisatiematrix), of deze bevoegdheden aansluiten bij de beoogde functiescheidingen binnen bepaalde processen en of deze functiescheidingen ook het hele jaar hebben gewerkt. In meerdere wettelijke controles heeft de AFM geconstateerd dat de externe accountant deze werkzaamheden onvoldoende heeft uitgevoerd.



14/08/2015

TEKORTKOMINGEN GEGEVENSGERICHTE WERKZAAMHEDEN In het AFM rapport worden de volgende tekortkomingen uiteengezet op het gebied van gegevensgerichte werkzaamheden:  Tekortkomingen geïdentificeerd bij de toepassing op verbandcontroles.  Onvoldoende evaluatie of overzichten, lijsten en databases betrouwbare informatie bevatten.  Onvoldoende opvolging aan verschillen die blijken uit detailcontroles, cijferanalyses of toetsing van interne beheersmaatregelen.  Onvoldoende kritisch management informatie beoordeeld.  Onvoldoende evaluatie van werkzaamheden verricht door een ander, waaronder geen opvolging geven aan de bevindingen van de IT-specialist.  Onvoldoende invulling geven aan de rol als groepsaccountant.

Tekortkomingen geïdentificeerd bij de toepassing op verbandcontroles. De AFM heeft verschillende tekortkomingen geconstateerd bij de toepassing van deze verbandcontroles, met name dat niet alle elementen in het model met voldoende diepgang zijn gecontroleerd. Als bijvoorbeeld de inkopen of de ‘verstoringen’ in de verbanden (bijvoorbeeld door kortingen of derving) niet goed zijn gecontroleerd, dan kan op basis van de verbandcontrole ook niet meer de conclusie worden getrokken dat de verkopen volledig zijn verantwoord.

Onvoldoende evaluatie of overzichten, lijsten en databases betrouwbare informatie bevatten. Voor de meeste gegevensgerichte controlewerkzaamheden, zowel detailcontroles als gegevensgerichte cijferanalyse, maakt de externe accountant gebruik van informatie uit overzichten, lijsten en databases van de controlecliënt. De AFM heeft in meerdere wettelijke controles geconstateerd dat de externe accountant onvoldoende heeft geëvalueerd of deze overzichten, lijsten en databases voldoende integer zijn om betrouwbare informatie op te leveren voor zijn controle.

Onvoldoende opvolging aan verschillen die blijken uit detailcontroles, cijferanalyses of toetsing van interne beheersmaatregelen. In meerdere wettelijke controles heeft de AFM geconstateerd dat de externe accountant geen opvolging heeft gegeven aan verschillen die blijken uit zijn detailcontroles, cijferanalyses of toetsingen van interne beheersingsmaatregelen. Hij heeft in die gevallen bijvoorbeeld geen verklaring gezocht voor deze verschillen, onvoldoende geëvalueerd wat de betekenis is van deze verschillen voor zijn controle of zijn conclusie aangepast. Geconstateerde verschillen zijn juist vaak voorbeelden van tegenstrijdigheden tussen meerdere bronnen van controle-informatie of omstandigheden die aanleiding kunnen geven aanvullende controlewerkzaamheden uit te voeren.

Onvoldoende kritisch management informatie beoordeeld. De AFM is van oordeel dat externe accountants in verschillende wettelijke controles onvoldoende kritisch de informatie van het management hebben beoordeeld, bijvoorbeeld met betrekking tot:  de redelijkheid van veronderstellingen die aan een bijzondere waardevermindering ten grondslag liggen, zoals de schattingen van het management voor ontwikkelingen in opbrengsten, kosten, personeel en markt;


Impactbepaling van een hoge rechten account in de SAP omgeving    

14/08/2015

het al dan niet realistisch zijn van schattingen die onderdeel zijn van de verantwoorde omzet; de uitgangspunten en variabelen in de berekening van voorzieningen; de toelichtingen van het management op overschrijdingen van betalingstermijnen; de vraag of de toegepaste methodieken, bijvoorbeeld voor het bepalen van de hoogte van omzet of de waardering van de beleggingen, in overeenstemming zijn met het stelsel van financiële verslaggeving.

Onvoldoende evaluatie van werkzaamheden verricht door een ander, waaronder geen opvolging geven aan de bevindingen van de IT-specialist. In veel gevallen maakt een externe accountant in zijn controle gebruik van werkzaamheden van anderen dan zijn eigen controleteam, omdat hij zelf niet over voldoende deskundigheid beschikt, zelf niet rechtstreeks toegang heeft tot de benodigde informatie, of omdat dat de efficiëntie van de controle vergroot. Zo maken accountants bijvoorbeeld gebruik van werkzaamheden van waarderingsdeskundigen, IT-specialisten, accountants van serviceorganisaties waarvan de controlecliënt gebruikmaakt, de interne controleafdeling van de controlecliënt, of andere accountants. De werkzaamheden van deze anderen leveren in feite ‘afgeleide’ controle-informatie op voor de externe accountant: controle-informatie die hij niet rechtstreeks heeft verkregen uit zelf verrichte controlewerkzaamheden, maar heeft verkregen uit de werkzaamheden die een ander heeft verricht.

Onvoldoende invulling geven aan de rol als groepsaccountant In enkele wettelijke controles heeft de externe accountant naar het oordeel van de AFM onvoldoende invulling gegeven aan zijn rol als groepsaccountant. Dit betroffen financiële holdings van ondernemingen die voornamelijk in het buitenland actief zijn. De bedrijfsactiviteiten en het financiële en operationele management, waaronder het opstellen van de geconsolideerde jaarrekening, vinden voornamelijk plaats in het buitenland (‘letterbox companies’). In deze controles heeft de externe accountant in belangrijke mate gebruikgemaakt van de werkzaamheden van een accountant in het buitenland. De externe accountant heeft hierbij bijvoorbeeld niet op passende wijze de controle opgezet. Zo heeft hij niet de werkzaamheden bepaald die de andere accountant moest uitvoeren en deze werkzaamheden in zijn instructies aan die andere accountant voorgeschreven. Ook heeft hij onvoldoende inzicht verkregen in de bedrijfsprocessen van de onderneming en de daarmee samenhangende risico’s voor de jaarrekening. In deze wettelijke controles heeft de externe accountant verder nagelaten opvolging te geven aan de bijzonderheden die hij in zijn review van de werkzaamheden van de andere accountant zelf heeft opgemerkt voor meerdere balansposten en aan de bijzonderheden die door de andere accountant aan hem zijn gerapporteerd. De externe accountant is in deze gevallen te weinig betrokken geweest om de verantwoordelijkheid te kunnen nemen voor de controleopdracht op groepsniveau, de uitvoering daarvan en de controleverklaring bij de groepsjaarrekening.



14/08/2015

BIJLAGE 2. DEELVRAGEN & ONDERZOEKSMETHODOLOGIE

In deze bijlage worden de deelvragen en bijbehorende onderzoeksmethodologie behandeld. Per deelvraag wordt besproken welke onderzoeksmethodologie gebruikt is en hoe de informatie verkregen is. Hieronder wordt bij elke deelvraag toegelicht hoe het antwoord op de vraag wordt verkregen. DEELVRAGEN Onderliggend aan de hoofdvraag is dit onderzoek opgebouwd uit de volgende deelvragen:      

Welke IT risico’s worden geïdentificeerd met betrekking tot hoge rechten accounts in het kader van de jaarrekeningcontrole. Welke business risico’s worden geïdentificeerd met betrekking tot hoge rechten accounts in het kader van de jaarrekeningcontrole. Welke maatregelen kunnen geïdentificeerd worden om de risico’s van hoge rechten accounts op de jaarrekening te beheersen? Welke teststappen dient de IT auditor uit te voeren voor het testen van deze maatregelen? Wat zijn de randvoorwaarden voor het uitvoeren van de SAP_ALL analyse? Vindt de accountant de risico’s en maatregelen gedefinieerd in het SAP_ALL normenkader voldoende om te integreren in de IT audit in het kader van de jaarrekeningcontrole bij het constateren van een hoge rechten account?

ONDERZOEKSMETHODOLOGIE De onderzoeksmethodologie van de deelvragen wordt besproken aan de hand van drie onderwerpen: mate van field research, deskresearch en de gebruikte theorie. 1. Welke business risico’s worden geïdentificeerd met betrekking tot hoge rechten accounts in het kader van de jaarrekeningcontrole. o

o

Field research: om inzicht te verkrijgen in de business risico’s met betrekking tot een hoge rechten account in het kader van de jaarrekeningcontrole zijn verscheidene medewerkers van Deloitte geïnterviewd. Dit zijn voornamelijk RA’s en accountants in opleiding met meerdere jaren werkervaring. Gebruikte theorie: Er is gebruik gemaakt van de theorie over het identificeren van business risico’s binnen de jaarrekening. Deze theorie is gebruikt om inzicht te verkrijgen hoe een accountant te werk gaat en welke risico’s hij identificeert wanneer hij of zij een jaarrekeningcontrole uitvoert.  Auditing and assurance services, an integrated approachii.  Externe verslaggevingiii.  Security, audit and control features SAP R/3, a technical and risk management reference guideiv

2. Welke IT risico’s worden geïdentificeerd met betrekking tot hoge rechten accounts in het kader van de jaarrekeningcontrole. o

Field research: om inzicht te verkrijgen in de IT risico’s met betrekking tot een hoge rechten account in het kader van de jaarrekeningcontrole zijn verscheidene



o

14/08/2015

medewerkers van Deloitte geïnterviewd. Dit zijn voornamelijk RE’s en IT auditors in opleiding met meerdere jaren werkervaring. Tevens is mijn eigen kennis als IT auditor in opleiding met meerdere jaren werkervaring als IT auditor in het kader van de jaarrekening als basis genomen en zijn mijn aannames tevens bevestigd door collega’s. Gebruikte theorie: Om IT risico’s te valideren is het volgende boek gebruikt  Security, audit and control features SAP R/3, a technical and risk management reference guide

3. Welke maatregelen kunnen geïdentificeerd worden om de risico’s van hoge rechten accounts op de jaarrekening te beheersen? De geïdentificeerde risico’s welke voortkwamen uit het beantwoorden van deelvraag 1 en 2 zijn als uitgangspunt gebruikt voor het formuleren van maatregelen. Tevens is er door middel van field research en gebruikte theorie gekomen tot een antwoord op deze deelvraag. Tijdens het beantwoorden van deze deelvraag is er tevens rekening gehouden met de inrichting in SAP om herformulering van de maatregelen te voorkomen tijdens het beantwoorden van deelvraag 4. Dit is meegenomen in de interviews met collega’s uit het Deloitte SAP team. o Field research: om inzicht te verkrijgen in de business en IT maatregelen met betrekking tot een hoge rechten account in het kader van de jaarrekeningcontrole zijn verscheidene medewerkers van Deloitte geïnterviewd. Dit zijn voornamelijk RE’s en IT auditors in opleiding met meerdere jaren werkervaring. Tevens is mijn eigen kennis als IT auditor in opleiding met meerdere jaren werkervaring als IT auditor in het kader van de jaarrekening als basis genomen en zijn mijn aannames tevens bevestigd door collega’s. o Desk research: tijdens de interviews kwam naar voren dat sommige collega’s al een maatregel op een specifiek risicogebied hadden getest. Deze heb ik bekeken en vastgesteld of deze geteste maatregel aansluit op de maatregel geformuleerd in het SAP_ALL normenkader. o Gebruikte theorie: 4. Welke teststappen dient de IT auditor uit te voeren voor het testen van deze maatregelen? De geïdentificeerde maatregelen welke voortkwamen uit het beantwoorden van deelvraag 3 zijn als uitgangspunt gebruikt voor het formuleren van de teststappen. In het beantwoorden van deze deelvraag is ook hier field research erg belangrijk gebleken. Dit omdat veel IT audit collega’s uit het SAP team veel kennis hebben van specifieke SAP systemen en handelingen in SAP. Daarnaast is er veel gebruik gemaakt van het internet en het SAP landschap zelf om te testen of deze geformuleerde teststappen werkelijk tot het gewenste eindresultaat leiden. o Field research: om inzicht te verkrijgen in de teststappen die uitgevoerd moeten worden om de geïdentificeerde maatregelen te testen zijn verscheidene medewerkers van Deloitte geïnterviewd. Dit zijn voornamelijk RE’s en IT auditors in opleiding met meerdere jaren werkervaring Tevens is mijn eigen kennis als IT auditor in opleiding met meerdere jaren werkervaring als IT auditor in het kader van de jaarrekening als basis genomen en zijn mijn aannames tevens bevestigd door collega’s. 36 Auteur: W.M van der Niet


14/08/2015

o

Desk research: tijdens de interviews kwam naar voren dat sommige collega’s al een maatregel op een specifiek risicogebied hadden getest. Deze heb ik bekeken en vastgesteld of deze geteste maatregel aansluit op de maatregel geformuleerd in het SAP_ALL normenkader.

o

Gebruikte theorie: Om vorm te geven aan de teststappen is het volgende boek gebruikt:  SAP transaction codes, your quick reference to transaction codes in SAP ERPv  Verscheidene websitesviviiviii

5. Wat zijn de randvoorwaarden voor het uitvoeren van de SAP_ALL analyse? o o

Desk research: De randvoorwaarden zijn ontleed uit het SAP_ALL normenkader en tevens mijn praktijk ervaring. Field research: Er is gebruik gemaakt van field research onder mijn IT audit collega’s uit het SAP team.

6. Vindt de accountant de risico’s en maatregelen gedefinieerd in het SAP_ALL normenkader voldoende om te integreren in de IT audit in het kader van de jaarrekeningcontrole bij het constateren van een hoge rechten account? o

Field research: Deze deelvraag maakt deel uit van het praktijk onderzoek. Het SAP_ALL normenkader is voorgelegd aan verscheidene IT audit collega’s met veel praktijk ervaring om vast te stellen of de SAP_ALL analyse voor een accountant voldoende is om deze te integreren in de IT audit in het kader van de jaarrekeningcontrole wanneer een hoge rechten account geconstateerd wordt. In deze deelvraag wordt het normenkader getoetst op de volgende punten:  Zijn de geïdentificeerde risico’s voldoende om de risico’s van een SAP_ALL account af te dekken?  Zijn de geïdentificeerde maatregelen voldoende om de risico’s van een SAP_ALL account af te dekken?  Zijn de geïdentificeerde teststappen voldoende om de risico’s van een SAP_ALL account af te dekken?



14/08/2015

BIJLAGE 3. SAP GITC NORMENKADER

In deze bijlage wordt inzicht gegeven in het huidige SAP GITC normenkader van Deloitte welke gebruikt wordt tijdens de IT audit in het kader van de jaarrekening om zekerheid te geven over de automatische gegevens verwerking van het SAP landschap. SAP GITC NORMENKADER Om zekerheid te verschaffen over de juistheid, volledigheid en tijdigheid van de data in een SAP ERP systeem wordt binnen de IT-audit in het kader van de jaarrekening gebruik gemaakt van een normenkader (hierna te noemen ‘SAP GITC normenkader’). Deloitte test 24 verschillende maatregelen om een oordeel te kunnen geven over de juistheid, volledigheid en compleetheid van de data. Hieronder wordt ingezoomd op de risico’s en maatregelen in dit raamwerk. De gedetailleerde test stappen per control worden hier buiten beschouwing gelaten. RISICO’S

In het SAP GITC normenkader worden vijf risico’s getest om zekerheid te geven over de data in het SAP ERP systeem, dit zijn de volgende:     

User Access Privileges (IT001_SAP) - Users have access privileges beyond those necessary to perform their assigned duties, which may create improper segregation of duties. System Configuration (IT002_SAP) - Systems are not adequately configured or updated to restrict system access to properly authorized and appropriate users. Unauthorized Processing (IT003_SAP) - Production systems, programs, and/or jobs result in inaccurate, incomplete, or unauthorized processing of data. Inappropriate Changes (IT004_SAP) - Inappropriate changes are made to application systems or programs that contain relevant automated controls and/or report logic. Data Conversions (IT005_SAP) - Data converted from legacy systems or previous versions introduces data errors if the conversion transfers incomplete, redundant, obsolete, or inaccurate data.

MAATREGELEN

Per risico zijn een aantal maatregelen opgesteld om vast te stellen hoeveel grip een organisatie op dit risico heeft. Elke maatregel verbonden aan dit risico wordt hierbij getest op basis van opzet, bestaan en werking. Per maatregel geven de conclusies voor opzet, bestaan en werking inzicht in de beheersing van de maatregel en daarmee op een geaggregeerd level voor het desbetreffende risico. Deloitte onderscheidt de volgende 24 SAP GITC maatregelen.    



SAP.01: Access to Batch Jobs - The ability to change the SAP schedule and batch schedules is restricted. SAP.02: Job Monitoring - Job processing is monitored to ensure successful and timely completion. SAP.03: Access to User Administration - Users with the ability to create, modify or delete roles, profiles and users are limited. SAP.04: Default Passwords - The default passwords for SAP*, DDIC, SAPCPIC, and EarlyWatch have been changed in all clients and secured appropriately. Management monitors the usage of the powerful IDs. SAP.05: Access to Table Update - SAP Table update access is restricted based on specific business need.


Impactbepaling van een hoge rechten account in de SAP omgeving                

  

14/08/2015

SAP.06: Access to Execute Programs - SAP users are authorized to execute programs based on their job responsibilities. SAP.07: Powerful Profiles - SAP_ALL - Powerful profiles SAP_ALL and SAP_NEW are adequately secured. SAP.08: Remote Access - Remote access to SAP for software maintenance for the SAP vendor is restricted, approved, logged and removed in a timely manner. SAP.09: Password Parameters - User access is controlled through authentication mechanism with appropriate parameters enforced. SAP.10: User Access Approval - Access to the application is authorized by the data owners based on job responsibilities SAP.11: Terminated Users - The access rights are removed upon termination of their employment or adjusted upon change. SAP.12: SoD Monitoring - Segregation of duties is monitored and controlled. SAP.13: User Access Review - User access is periodically reviewed. SAP.14: Web-Enabled Applications - Web-enabled applications are periodically scanned to identify and address vulnerabilities. SAP.15: Emergency Access - Emergency access to SAP is restricted, approved, logged, monitored and removed in a timely manner. SAP.16: Access to IDOC and Monitoring - IDOCS are monitored and access is granted based on job responsibilities. SAP.17: Production Client Settings - The production client settings have been flagged to not allow changes to programs and configuration. SAP.18: Access to System and Client Change Options - The ability to maintain the global system change option and client maintenance settings is restricted. SAP.19: Client Change Option Monitoring - Client setting changes are logged, monitored and approved by management. SAP.20: Access To Development Activities - Development access is not granted in the production environment. SAP.21: Segregation of Development from Production - Environment and, duties are segregated such that the same person cannot make a change from development to production. SAP.22: Approval and Testing of Changes - Application systems changes are appropriately documented, tested and approved before migration to production. SAP.23: Access to Change Data Structure - Access to change the data structure through the data dictionary is not granted in production. SAP.24: Data Conversions - Data Owner approves the results and monitors the conversion of data from the old application system to the new application system.


Impactbepaling van een hoge rechten account in de SAP omgeving

Recommend Documents