1 RE, Register EDP-Auditor, Executive Master of IT Auditing ‘De basis op orde’
1
RE, Register EDP-Auditor, Executive Master of IT Auditing
‘De basis op orde’
2
RE, Register EDP-Auditing, Executive Master of IT Auditing
Faculteit der Economische Wetenschappen en Bedrijfskunde
De basis op orde
Opleiding
Vrije Universiteit Amsterdam Faculteit der Economische Wetenschappen en Bedrijfskunde Postgraduate EDP Audit De Boelelaan 1105 1081 HV Amsterdam 020 598 9898
Auteur
Dhr. S. Luttik
VU Coach
drs. R.M.J. Christaanse RA
Datum
26-03-2014
Versie
Scriptie Sander Luttik definitief
3
Voorwoord
Deze scriptie is een presentatie van mijn onderzoeksproject voor de Executive master of IT Auditing
aan de Vrije Universiteit van Amsterdam. De scriptie heeft als onderwerp ‘De basis op orde’. Het ICT
landschap van vandaag en de beheer processen daaromheen dienen als fundament voor de toekomst.
Zoals in de bouw wereld welbekend is, is het bouwwerk zo sterk als het fundament waar deze op
gebouwd is. Om die reden heb ik ervoor gekozen om mijn scriptie te schrijven over controle over deze
‘basis’, de IT General Controls (ITGC). De scriptie behandelt de vraag of de huidige set van ITGC’s ten
behoeve van de jaarrekeningcontrole voldoende zekerheid kan bieden als (een deel) van de aan de
financiële processen ten grondslag liggende ICT diensten/infrastructuur zich bevind in een Cloud
Computing oplossing.
Naast een literatuuronderzoek is er een praktijk onderzoek uitgevoerd aan de hand van interviews met experts uit het werkveld. Hierbij is de selectie van de te interviewen personen zodanig gedaan dat dit vraagstuk vanuit de perspectieven van de klant, de leverancier en de externe Assurance partij wordt belicht.
Verder benadruk ik graag dat ik met veel plezier aan dit onderzoek heb gewerkt en dit stuk heb geschreven. Ik ben toegelaten tot deze studie op basis van mijn werkervaring en in de afgelopen jaren opgedane inhoudelijke kennis, maar ben niet in het bezit van een universitaire achtergrond. Het is dus voor mij de eerste keer dat ik een scriptie schrijf. Ik heb dan ook veel geleerd van de wetenschappelijk onderbouwde manier van onderzoeken, vastlegging en schrijven. Ik wil graag de heer Rob Christiaanse bedanken voor zijn begeleiding bij dit onderzoek, juist door zaken niet (toe) te zeggen, mij zelf te laten nadenken en hints te geven op het moment dat dat nodig was heeft hij mij geholpen en deskundig begeleid gedurende de totstandkoming van deze scriptie. Daarnaast wil ik mijn oud-collega’s van PricewaterhouseCoopers NV en mijn collega’s van NS Groep Corporate Audit bedanken voor het reviewen van mijn werk, het meedenken, het verschaffen van interessante documentatie en het geven van feedback. Natuurlijk het thuisfront niet te vergeten…lieverd, ik ben er weer! Amsterdam, maart 2014 Sander Luttik
4
Samenvatting
In het laatste decennia van deze eeuw heeft Cloud Computing een enorme opmars gemaakt. Ook de
komende jaren (GARTNER, 2013) zullen de ontwikkelingen op dit gebied zich in een rap tempo blijven
opvolgen.
Veel aanbieders (Exact, Oracle, SAP, etc.) van bedrijfssoftware, waaronder software voor
boekhouding, administratie, voorraadbeheer en CRM hebben diensten inmiddels ontsloten via Cloud
Computing.
Voor de Cloud Computing klant is de afgenomen dienst veelal een ‘black box’. Controle en
transparantie ontbreekt over de (geografische) locatie van de (financiële) gegevens en de
onderliggende infrastructuren. Verder ontbreekt inzicht in de processen, procedures en
werkzaamheden bij de Cloud Computing leverancier en de betrokken sub leveranciers waardoor ook
de verantwoording en verantwoordelijkheid in een keten van (sub) leveranciers vervaagt of verdwijnt.
Bij de jaarrekeningcontrole is het doel een oordeel te geven of de financiële jaarverslaggeving van een
organisatie een ‘getrouw beeld’ weergeeft, dit in overeenstemming met algemeen aanvaarde
grondslagen voor financiële verslaggeving en voldoet aan de wettelijke bepalingen betreffende de
jaarrekening.
De huidige set van ITGC’s hebben als doel om ten behoeve van het systeemgericht controleren van
financiële gegevens ten behoeve van de jaarrekening controle een oordeel te geven betreffende de
betrouwbaarheid en continuïteit van de geautomatiseerde gegevensverwerking. Deze set aan ITGC’s is
vanuit de historie afgestemd op een controleerbare en transparante IT infrastructuur en sluit niet aan
met de technologische en organisatorische kenmerken van Cloud Computing.
Dientengevolge dienen er voor de Accountant, om te kunnen steunen op de geautomatiseerde
gegevensverwerking, wanneer deze (deels) binnen een Cloud Computing omgeving plaatsvindt,
aanvullende maatregelen geïmplementeerd te zijn en gecontroleerd te worden bij de (IT) beheer
organisatie.
Gebaseerd op de resultaten van het literatuur onderzoek en de resultaten van de gehouden expert
interviews is een ITGC raamwerk beschreven welke toepasbaar is voor toekomstige ITGC audits ten
behoeve van de jaarrekeningcontrole wanneer (een deel) van de financiële gegevens zich in een Cloud
Computing omgeving bevindt. Dit raamwerk helpt de (IT) beheer organisatie bij het borgen van de
transparantie en controle over (financiële) gegevens in een Cloud Computing omgeving en maakt het
mogelijk voor de externe Accountant/Auditor om een oordeel te kunnen geven betreffende de
betrouwbaarheid en continuïteit van de geautomatiseerde gegevensverwerking.
5
Inhoudsopgave
Voorwoord ............................................................................................................................................................3
Samenvatting .......................................................................................................................................................4
1 Inleiding ............................................................................................................................................................6
1.1 Aanleiding.......................................................................................................................................................6
1.2 Persoonlijke doelstelling .................................................................................................................................7
1.3 Doelstelling, vragen en scope ........................................................................................................................8
1.3.1 Doel .............................................................................................................................................................8
1.3.2 Hoofdvraag ..................................................................................................................................................8
1.3.3 Deelvragen ..................................................................................................................................................8
1.3.4 Scope ..........................................................................................................................................................9
1.4 Onderzoeksmethodologie ..............................................................................................................................9
1.5 Structuur van de scriptie ............................................................................................................................. 11
2 De geschiedenis van de huidige set aan ITGC’s ...................................................................................... 12
2.1 Geschiedenis .............................................................................................................................................. 12
2.2 Relatie Jaarrekeningcontrole en informatie systemen ................................................................................ 13
2.3 Bereik ITGC’s ten behoeve van de jaarrekeningcontrole. .......................................................................... 13
2.4 Interne-beheersingsorganisatie .................................................................................................................. 15
2.5 IT General Controls ..................................................................................................................................... 16
2.6 Deelconclusie .............................................................................................................................................. 19
3 Uitdagingen................................................................................................................................................... 20
3.1 Introductie.................................................................................................................................................... 20
3.2 Het begrip Cloud Computing ....................................................................................................................... 20
3.3 Organisatorische kenmerken en mogelijke risico’s Cloud Computing ........................................................ 21
3.4 Deelconclusie .............................................................................................................................................. 23
4 Mogelijkheden .............................................................................................................................................. 24
4.1 Empirisch onderzoek ................................................................................................................................... 24
4.1.2 Uitkomsten empirisch onderzoek (in relatie tot de literatuur) ................................................................... 25
4.2 Detail uitwerking aanvullingen op ITGC raamwerk ..................................................................................... 26
4.3 Deelconclusie .............................................................................................................................................. 30
5 Eind conclusie .............................................................................................................................................. 31
6 Reflectie ......................................................................................................................................................... 32
7 Suggestie voor verder onderzoek .................................................................................................................. 33
8 Referentielijst.................................................................................................................................................. 35
Bijlages .............................................................................................................................................................. 36
6
1 Inleiding
1.1 Aanleiding
De ontwikkelingen op het gebied van toepasbaarheid van informatie technologie hebben zich in de
laatste decennia van de vorige eeuw in een zeer rap tempo opgevolgd. Informatie Technologie is een
integraal onderdeel van de bedrijfsvoering geworden en wordt gebruikt voor complexe financiële
administraties, bedrijfsoverstijgende logistieke processen, internet winkels en vele andere
mogelijkheden. Papieren vastlegging verdwijnt meer naar de achtergrond en het wordt steeds lastiger
om buiten computer systemen om te controleren.
In de zestig en zeventiger jaren van de vorige eeuw werden de eerste voor het bedrijfsleven
toepasbare mogelijkheden van informatie technologie ontwikkeld. Met name ten behoeve van het
verwerken van grotere hoeveelheden administratieve gegevens waren deze ontwikkelingen van
toegevoegde waarde. (Fijneman, 2005)
In zijn artikel in ICT in business (Rijsenbrij, 1995) geeft prof. Dr. Daan Rijsenbrij deze ontwikkeling
schematisch weer. Zie afbeelding 1.
Afbeelding 1, ontwikkeling toepasbare mogelijkheden van informatie technologie.
Het accountantsberoep is (zich bewust van al deze ontwikkelingen) mee geëvolueerd om op efficiënte
wijze gebruik te maken van informatie technologie in de accountantscontrole. Verder heeft ook de
wetgeving (BW, boek 2, artikel 393, lid 4) de accountant gevraagd te rapporteren over zijn bevindingen
betreffende de betrouwbaarheid en continuïteit van geautomatiseerde gegevensverwerking. In het Studierapport NIVRA
1 34 (Moonen, 1995) introduceert men het begrip ‘jaarrekening EDP
2 audit’.
Hiermee bedoelt men de beoordeling van de geautomatiseerde gegevensverwerking die de accountant minimaal moet verrichten om tot een oordeel te kunnen komen over de getrouwheid van de jaarrekening. Om hierover te rapporteren wordt door de Accountant bij de jaarrekeningcontrole werkzaamheden samengewerkt met de EDP (vandaag de dag IT
3) auditor om een ‘basis’ set aan controles, de IT
General Controls (ook wel ITGC’s4) te toetsen. (Byers, 2005)
In het laatste decennia van deze eeuw is het aanbod en karakter van IT diensten sterk veranderd. De
meest in het oog springende verandering van vandaag de dag is Cloud Computing. (IBM, 2010) Bij
Cloud Computing worden IT diensten ontsloten via het internet en als een dienst aangeboden door
aanbieders die zich dus overal ter wereld kunnen bevinden. Het verschil met de reeds bestaande IT
oplossingen zoals de traditionele data center diensten als housing, hosting, opslag, etc. zit in de wijze
van toelevering (het delivery model) en de manier waarop de dienst wordt afgenomen.
Cloud Computing betekent dat je als klant werkt met functionaliteit die is opgebouwd uit IT diensten die
overal in ‘de Cloud’ kunnen draaien. Door dit diensten delivery model ben je als klant flexibel,
schaalbaar en minder afhankelijk van gespecialiseerde technische kennis. Aan de kant van de Cloud
leveranciers vormen de begrippen virtualisatie, standaardisatie en uitbesteding/automatisering van het
beheer de basis voor hun diensten.
1 Nederlands Instituut van Registeraccountants
2 Electronic Data Processing
3 Informatie Technologie
4 IT General Controls
7
In de loop der jaren hebben vele aanbieders (Exact, Oracle, SAP, etc.) van bedrijfssoftware, waaronder
software voor boekhouding, administratie, voorraadbeheer en CRM hun diensten ontsloten via de
Cloud. Veel financiële processen welke relevant zijn voor de jaarrekeningcontrole worden ondersteund
door via de Cloud ontsloten software. De daaraan ten grondslag liggende databases met financiële
informatie (welke zich veelal ook in de Cloud bevinden) interacteren.
In het (IT) audit vakgebied is inmiddels veel geschreven over ‘controle’ en/of Assurance over de Cloud,
maar er is in de vakliteratuur weinig beschreven over de relatie tussen veranderende ICT oplossingen
en het actualiseren van de inhoud van de huidige set van ITGC’s zoals deze worden getest ten
behoeve van de jaarrekeningcontrole, en ter ondersteuning van de werkzaamheden van de Register
Accountants.
Het is geen vreemde gedachte dat deze ‘basis’ set van ITGC’s regelmatig moet worden geëvalueerd en
indien nodig worden aangepast om aan te sluiten met de (technologische) ontwikkelingen van vandaag
de dag.
Om deze reden zou ik graag een wetenschappelijke bijdrage willen leveren aan de literatuur op dit vlak.
Daarnaast kunnen de inzichten uit deze evaluatie over de huidige ITGC’s bijdragen aan de kwaliteit van
de dienstverlening binnen ons in- en externe IT audit vakgebied. De IT Auditors kunnen hierdoor de
eindgebruiker (de klant of de business) een meer volledige, en aan deze tijd aangepaste mate van
zekerheid bieden gedurende het proces van de jaarrekeningcontrole.
Het ICT landschap van vandaag en de beheer processen daaromheen dienen als fundament voor de
toekomst. Zoals in de bouw wereld welbekend is, is het bouwwerk zo sterk als het fundament waar het
op gebouwd is. Om die reden heb ik ervoor gekozen om mijn scriptie te schrijven over controle over
deze ‘basis’ de ITGC’s en de vraag of de huidige set van ITGC’s voldoende zekerheid kunnen bieden in
een Cloud omgeving.
1.2 Persoonlijke doelstelling
In de afgelopen jaren ben ik werkzaam geweest als interne IT auditor en als externe IT auditor. Met
name als externe IT auditor bij één van de BIG-45 is het mij opgevallen dat er bij het uitvoeren van de
ITGC audits ten behoeve van ondersteuning van de Accountant bij de Jaarrekeningcontrole
werkzaamheden weinig animo was bij de ‘nieuwe’ garde (junior) IT auditors. Deze werkzaamheden
werden bestempeld als saai, zichzelf jaarlijks herhalend werk met weinig uitdaging en meerwaarde. Het
belang van deze werkzaamheden lijkt dus nogal eens onderschat.
Het is mijn persoonlijke mening en ervaring dat als een organisatie haar ITGC’s bedrijfsbreed heeft
geïmplementeerd, dit een efficiënte en effectieve bijdrage kan leveren en zelfs randvoorwaardelijk kan
zijn voor het behalen van de strategische doelstellingen van een organisatie.
Ik wil met deze scriptie inzichtelijk maken voor mijn collega IT auditors dat het op orde hebben van een
sterke basis (de ITGC’s) van cruciaal belang kan zijn voor de kwaliteit van de verschillende Assurance
verklaringen, Compliance certificeringen, de bedrijfsstrategie, het behalen van project doelstellingen, de
informatie beveiliging en kwaliteitsmanagement systemen. Hiermee wil ik mijn collega IT auditors uit
dagen om kritisch, alert en grondig te blijven bij het uitvoeren van ITGC opdrachten.
5 PwC, Deloitte, EY en KPMG
8
1.3 Doelstelling, vragen en scope
1.3.1 Doel
Aantonen of de huidige set van ITGC’s ten behoeve van jaarrekeningcontrole werkzaamheden,
voldoende mogelijkheid biedt om een oordeel te kunnen geven betreffende de betrouwbaarheid en
continuïteit van geautomatiseerde gegevensverwerking, als (een deel) van de aan de financiële
processen ten grondslag liggende ICT diensten/infrastructuur zich bevind in een Cloud oplossing.
1.3.2 Hoofdvraag Bied de huidige set van ITGC’s ten behoeve van jaarrekeningcontrole werkzaamheden, voldoende
mogelijkheid om een oordeel te kunnen geven betreffende de betrouwbaarheid en continuïteit van
geautomatiseerde gegevensverwerking, als (een deel) van de aan de financiële processen ten
grondslag liggende ICT diensten/infrastructuur zich bevind in een Cloud oplossing?
1.3.3 Deelvragen
1. Wat is de geschiedenis van de ITGC’s?
1. Hoe zijn deze tot stand gekomen?
2. En waar bestaat de huidige set van ITGC’s uit?
2. Waarom moet deze set aan ITGC’s geëvalueerd worden, oftewel welke uitdagingen kent de
huidige set van ITGC’s als deze niet mee evolueren in relatie tot de kenmerken van Cloud
oplossingen?
1. Wat zijn de kenmerken van Cloud Computing?
2. Welke beperkingen zijn er te onderkennen betreffende de huidige set van ITGC’s in
relatie tot deze kenmerken?
3. Welke mogelijke aanvullingen zijn er te onderkennen voor de huidige set van ITGC’s in relatie
tot de kenmerken van Cloud Computing?
Deze vraagstelling is als volgt weer te geven. Zie afbeelding 2.
Afbeelding 2, Weergave vraagstelling
9
1.3.4 Scope:
De scope van deze scriptie richt zich op huidige set van ITGC’s zoals deze worden ingezet ten
behoeve van de jaarrekeningcontrole ter ondersteuning van de werkzaamheden van de Register
Accountants.
Buiten de scope van deze scriptie vallen de gebruiker/user en application controls
Verder richt deze scriptie zich op de organisatorische processen van controle en beheer over Cloud
Computing, en in mindere mate op de technische implementatie c.q. inrichting van Cloud
oplossingen/infrastructuren.
Om het geheel uniform leesbaar en toepasbaar te maken zullen adviezen en aanbevelingen
betreffende controles en controle domeinen in deze scriptie waar mogelijk worden gerelateerd aan het
desbetreffende ‘COBIT6 5’ beheerdomein.
1.4 Onderzoeksmethodologie
1.4.1 In hoofdlijnen
Het onderzoek bestaat uit literatuur onderzoek en per deelvraag een conclusie. De deelconclusies
zullen worden gevalideerd door middel van interviews met experts. Daaruit voortvloeiend zullen de
resultaten van beide onderzoeken geanalyseerd worden, wat zal leiden tot een eindconclusie. Hierna
zal een persoonlijke reflectie van deze scriptie worden beschreven.
Het betreft een empirisch onderzoek waar de theorie en hypotheses worden getoetst aan de praktijk
(Eijck, 1982).
1.4.2 In detail
Hieronder wordt per deelvraag uiteengezet welke stappen er zijn doorlopen om deze te beantwoorden:
Hoofd-vraag
Bied de huidige set van ITGC’s ten behoeve van jaarrekeningcontrole werkzaamheden, voldoende mogelijkheid om een oordeel te kunnen geven betreffende de betrouwbaarheid en continuïteit van geautomatiseerde gegevensverwerking, als (een deel) van de aan de financiële processen ten grondslag liggende ICT
diensten/infrastructuur zich bevind in een Cloud oplossing?
Deelvraag Activiteit Bron(nen)
1 Wat is de geschiedenis van de ITGC’s?
1.1 Hoe zijn deze tot stand gekomen?
Eerst is een literatuuronderzoek uitgevoerd om de historie en het concept van de jaarrekeningcontrole werkzaamheden in de relatie tot de huidige set aan ITGC’s te verduidelijken. Het ontstaan en het doel van de huidige set aan ITGC’s wordt beschreven, herleid tot de geschiedenis van de (accountants) jaarrekeningcontrole en de relatie hiervan tot een ICT infrastructuur en de Interne beheers organisatie.
Hierbij is gebruik gemaakt van presentaties van seminars, verscheidene publicaties, literatuur, tijdschriften en artikelen/ publicaties op verschillende internetsites.
6 Control Objectives for Information and Related Technology
De empirische cylcus volgens Eijck, 1982 Stappen onderzoek scriptie
10
1.2 Waar bestaat de huidige set van ITGC’s uit?
A. Op basis van literatuur onderzoek Hierbij is gebruik gemaakt van presentaties van seminars, verscheidene publicaties, literatuur, tijdschriften en artikelen/ publicaties op verschillende internetsites.
B. interviews met bij de BIG-4 werkzame klasgenoten worden de gebruikte ITGC domeinen vastgesteld en overeenkomsten aangetoond.
En zijn er interviews gehouden met (IT) auditors welke werkzaam zijn bij de BIG-4 kantoren, brondocumentatie ten behoeve van deze interviews bestaat uit interne audit manuals t.b.v. van de ITGC jaarrekeningcontrole werkzaamheden.
2 Waarom moet deze set aan ITGC’s geëvalueerd worden, oftewel welke uitdagingen kent de huidige set van ITGC’s als deze niet mee evolueren in relatie tot de kenmerken van Cloud Computing?
2.1 Wat zijn de kenmerken van Cloud oplossingen?
A. Op basis van literatuur onderzoek zijn de definitie en karakteristieken van Cloud Computing uiteengezet: 1. De organisatorische kenmerken worden beschreven, 2. de hier uit af te leiden potentiele risico's, en 3. de mogelijke impact op de (financiële) gegevensverwerking
Hierbij is gebruik gemaakt van presentaties van seminars, verscheidene publicaties, literatuur, tijdschriften en artikelen op internetsites. Aan deze bronnen zijn de definities en het concept van de Cloud Computing ontleend en uitgewerkt zonder al te diep op techniek in te gaan.
B. Vervolgens zijn de uitkomsten van het literatuuronderzoek getoetst aan de praktijk en waar mogelijk aangevuld d.m.v. interviews met zowel (IT) auditors, Cloud Computing klanten en Cloud Computing leveranciers
Interviews met zowel in- als externe (IT) auditors, Cloud Computing klanten en Cloud Computing leveranciers, brondocumentatie ten behoeve van deze interviews bestaat uit 1. Contracten met Cloud leveranciers inclusief alle bijlages (w.o. SLA, dienstbeschrijvingen, escalatie mogelijkheden etc.) 2. Controle raamwerken van de externe Auditor betreffende ‘Assurance’ in de Cloud 3. Controle Raamwerken van de Cloud leverancier betreffende interne controle t.b.v. de externe Assurance
2.2 Welke beperkingen zijn er te onderkennen betreffende de huidige set van ITGC’s in relatie tot deze kenmerken?
Door het samenvoegen van de resultaten uit deelvraag 1 en de inzichten verkregen betreffende de organisatorische kenmerken van Cloud Computing is de impact bepaald op de huidige set aan ITGC's. Dit gerelateerd aan de doelstelling van de ITGC's om ten behoeve van het proces van de jaarrekeningcontrole een systeemgerichte controleaanpak uit te voeren en zo in belangrijke mate te steunen op de geautomatiseerde gegevensverwerking.
Resultaat Deelvraag 1 en 2.1 Interviews met zowel in- als externe (IT) auditors, Cloud Computing klanten en Cloud Computing leveranciers, brondocumentatie ten behoeve van deze interviews bestaat uit 1. Contracten met Cloud leveranciers inclusief alle bijlages (w.o. SLA, dienstbeschrijvingen, escalatie mogelijkheden etc.) 2. Controle raamwerken van de externe Auditor betreffende ‘Assurance’ in de Cloud 3. Controle Raamwerken van de Cloud leverancier betreffende interne controle t.b.v. de externe Assurance
3 Welke mogelijke aanvullingen zijn er te onderkennen voor de huidige set van ITGC’s in relatie tot de kenmerken van Cloud oplossingen?
A. Gebaseerd op de conclusie uit deelvraag 2, waar de beperkingen onderkend zijn betreffende de huidige set van ITGC’s in relatie tot de organisatorische kenmerken van Cloud Computing worden er op de literatuur gebaseerde aanvullende maatregelen en controle domeinen voorgesteld om gedurende het proces van een jaarrekeningcontrole de oorspronkelijke doelstelling om een systeemgerichte controleaanpak uit te voeren en zo in belangrijke mate te steunen op de geautomatiseerde gegevensverwerking te kunnen realiseren.
Hierbij is gebruik gemaakt van presentaties van seminars, verscheidene publicaties, literatuur, tijdschriften en artikelen op internetsites. Waar mogelijk is een relatie gelegd met een COBIT 5 beheers domein
B. Vervolgens zijn de uitkomsten van dit literatuuronderzoek getoetst aan de praktijk en waar mogelijk aangevuld d.m.v. interviews met
Interviews met zowel in- als externe (IT) auditors, Cloud Computing klanten en Cloud Computing leveranciers, brondocumentatie ten
11
zowel (IT) auditors, Cloud Computing klanten en Cloud Computing leveranciers
behoeve van deze interviews bestaat uit 1. Contracten met Cloud leveranciers inclusief alle bijlages (w.o. SLA, dienstbeschrijvingen, escalatie mogelijkheden etc.) 2. Controle raamwerken van de externe Auditor betreffende ‘Assurance’ in de Cloud 3. Controle Raamwerken van de Cloud leverancier betreffende interne controle t.b.v. de externe Assurance 4. Scripties van voorgaande college jaren en collega RE opleiders.
Het (tussentijds) valideren van de theoretische onderzoeksresultaten en (deel) conclusies aan de praktijk wordt gedaan aan de hand van interviews (Kvale, 1996) met experts binnen het vakgebied van in- en externe (IT) Assurance, Cloud Computing en IT management.
1. Cloud Klant (o.a. NS);
1. IT manager
2. Service manager
3. Contract manager
4. Internal Auditors
2. Cloud leverancier (o.a. KPN);
1. Service delivery manager
2. Internal Auditor verantwoordelijk voor werkzaamheden t.b.v.de externe verantwoording.
3. External Auditors BIG-4 (o. a. PwC, EY, Deloitte).
1.5 Structuur van de scriptie
De structuur van deze scriptie is verdeeld in drie delen. Het eerste deel geeft de aanleiding van deze
scriptie weer, met daarin o.a. de inleiding, scope, hoofd en deelvragen en de onderzoeksaanpak. Het
tweede deel beschrijft per (deel) vraag een theoretische onderbouwing, een analyse en een deel-
conclusie. Deze deelconclusies worden gevalideerd door experts gedurende interviews. Het derde deel
is ingericht om de eindconclusie te presenteren waar de belangrijkste onderzoeksvraag wordt
beantwoord. Uiteraard zal ook een persoonlijke reflectie op het onderwerp niet ontbreken.
Auteur
De auteur van deze scriptie is werkzaam als IT & Operationeel Auditor bij NS Groep en daarvoor als
senior auditor/assistent manager bij PwC, in het bijzonder betrokken bij Project Assurance, Risk
management, Security, Compliance en Governance onderzoeken.
.
12
2 De geschiedenis van de huidige set aan ITGC’s
In dit hoofdstuk wordt antwoord gegeven op deelvraag
een:
Wat is de geschiedenis van de ITGC’s?
1. Hoe zijn deze tot stand gekomen?
2. En waar bestaat deze set aan ITGC’s uit?
2.1 Geschiedenis
Het vakgebied IT auditing vindt zijn oorsprong in het
accountantsberoep, Fijneman schrijft hier het volgende
over: (Fijneman, 2005)
Op 1 januari 1883 werd op initiatief van het Bureel van
Boekhouding ‘Confidentia’ het Nederlandsch instituut van
Accountants (NivA later NIVRA) opgericht. De NovAA7 is
opgericht in 1948. Aanvankelijk als privaatrechtelijke
vereniging, later als een openbaar lichaam voor de
Accountants-Administratieconsulenten (AA). (Deckers,
2002)
Het doel van de NivA was ‘de stand der accountants in Nederland te organiseren’, propaganda te
maken voor het inschakelen van accountants en te streven naar een wettelijke regeling van het beroep
van accountants als controleur van boekingen en rekeningen, liquidateur en administratief expert.
Vandaag de dag is de rol van de accountant groot bij (financiële) informatieverzorging. De tendens is
een bredere Assurance-functie, waarbij de accountant (een bepaalde mate van) zekerheid toevoegt
aan de betrouwbaarheid van de informatie.
De accountantscontrole heeft als doel een oordeel te geven of de financiële jaarverslaggeving van een
organisatie een ‘getrouw beeld’ weergeeft, dit in overeenstemming met algemeen aanvaarde
grondslagen voor financiële verslaggeving en voldoet aan de wettelijke bepalingen betreffende de
jaarrekening zoals opgenomen in het Burgerlijk Wetboek (BW) Titel 9 Boek 2.
Als normen voor de controle gelden dus ‘getrouw beeld’, ‘algemeen aanvaarde grondslagen voor
financiële verslaggeving’ en ‘wettelijke bepalingen van Burgerlijk Wetboek Titel 9 Boek 2.
Een getrouw beeld houdt in dat het beeld dat de in een verantwoording verstrekte informatie oproept
juist en toereikend moet zijn, dat wil zeggen niet te optimistisch, evenmin te pessimistisch, en geschikt
voor het doel waartoe de verantwoording wordt afgelegd. De essentie van getrouwheid is de objectieve
waarheid, het echte, geen andere voorstelling van zaken gevend aan de gebruiker en geen ander beeld
bij hem oproepend dan wat overeenkomt met de werkelijkheid, met de feiten. Met de ‘algemeen
aanvaarde grondslagen van financiële verslaggeving’ worden de International Accounting Standards
(IAS) bedoeld.
Om een oordeel te kunnen geven over de jaarverslaggeving zal de accountant onderzoek moeten doen
naar:
Belangrijkste soort transacties in het bedrijfsgebeuren van de huishouding;
Wijze waarop transacties worden geïnitieerd;
Belangrijkste administratieve vastleggingen, onderliggende documenten en posten in de
jaarrekening;
Proces van vastlegging en financiële verslaggeving.
Vanuit het perspectief van de accountant kan de wijze waarop een jaarverslaggeving wordt
gecontroleerd dus variëren. De accountant zal zijn aanpak bepalen door uit te gaan van de posten die
op de jaarverslaggeving staan. Deze posten zijn gebaseerd op de transacties die binnen de
onderliggende financiële processen worden uitgevoerd. Eén van de mogelijkheden om de
betrouwbaarheid van de posten te beoordelen is het beoordelen van de betrouwbaarheid van de
onderliggende financiële processen.
In de jarenzeventig kreeg de accountant meer en meer te maken met financiële processen welke in groeiende mate geautomatiseerd waren. Voor de accountant was, om zijn controle taak uit te kunnen voeren inzicht nodig in deze administratieve omgeving en de daarbij gebruikte technieken een noodzaak.
7 De Nederlandse Orde van Accountants-Administratieconsulenten
13
In het beroep van accountants ontstond een kleine groep accountants die zich kenmerkte om zijn
deskundigheid met geautomatiseerde omgevingen. Oftewel Electronic Data Processing (EDP). Het
EDP audit vak gebied was ontstaan. In 1992 is de Nederlandse orde van Register EDP auditors
(NOREA) opgericht en de Register EDP (RE) auditor geboren (Fijneman, 2005). In het Studierapport
NIVRA 34 (Moonen, 1995) introduceert men het begrip ‘jaarrekening EDP audit’. Hiermee bedoelt men
de beoordeling van de geautomatiseerde gegevensverwerking die de accountant minimaal moet
verrichten om tot een oordeel te kunnen komen over de getrouwheid van de jaarrekening.
2.2 Relatie Jaarrekeningcontrole en informatie systemen
De ontwikkelingen in het vakgebied van EDP (vandaag de dag IT) auditing houden gelijke tred met de
ontwikkelingen op het gebied van gebruik van informatie technologie.
In de zestig en zeventiger jaren van de vorige eeuw werden de eerste voor het bedrijfsleven
toepasbare mogelijkheden van informatie technologie ontwikkeld. Met name ten behoeve van het
verwerken van grotere hoeveelheden administratieve gegevens. De handmatige verwerking van deze
gegevens leidde tot een beperking van groei van organisaties door dat er simpelweg te veel menselijke
zichzelf herhalende handelingen nodig waren om het gewenste resultaat te bereiken. Het
automatiseren van deze handelingen en dus het toepassen van informatietechnologie maakte groei wel
mogelijk, en nam de voorgaande beperking van het maximaal aantal handelingen weg door gegevens
met name batch gewijs te verwerken.
De ontwikkelingen op het gebied van toepasbaarheid van informatie technologie hebben zichzelf in de
laatste decennia van de vorige eeuw in een zeer rap tempo opgevolgd. En informatie Technologie is
een integraal onderdeel van de bedrijfsvoering geworden. Informatie technologie wordt gebruikt voor
complexe financiële administraties, (bronverwijzing naar Oracle SAP, Exact), bedrijfsoverstijgende
logistieke processen, internet winkels en vele andere mogelijkheden. Papieren vastlegging wordt meer
en meer naar de achtergrond gedrukt en het wordt steeds lastiger om buiten computers om te
controleren.
In zijn artikel ICT in business (1995):IT-toepassingen in bedrijven, geeft prof. Dr. Daan Rijsenbrij deze
ontwikkeling schematisch als volgt weer:
Afbeelding 4, Weergave ontwikkelingen toepasbaarheid ICT
Het accountantsberoep heeft zich (bewust van al deze ontwikkelingen) ontwikkeld om op efficiënte
wijze gebruik te maken van Informatie technologie in de accountantscontrole. Verder heeft ook de
wetgeving (Burgerlijk Wetboek, boek 2, artikel 393, lid 4) de accountant gevraagd te rapporteren over
zijn bevindingen betreffende de betrouwbaarheid en continuïteit van geautomatiseerde
gegevensverwerking.
2.3 Bereik ITGC’s ten behoeve van de jaarrekeningcontrole.
Het figuur hieronder (Afbeelding 5) geeft schematisch het controle overzicht weer van een
jaarrekeningcontrole.
Op basis van de door de accountant vastgestelde materialiteit worden de Financial Statement Line
Items (FSLI’s) bepaald (IAASB, 2009) De FSLI’s geven inzicht in de financiële cijfers en positie van een
14
organisatie (Berger, 2003). Vervolgens wordt er gekeken welke proces transacties hier aan gekoppeld
zijn. Daarna is het van belang dat de accountant, bij voorkeur met de IT-auditor, bekijkt welke
processen geautomatiseerd of handmatig worden uitgevoerd om vervolgens de risico’s in kaart te
brengen.
Op basis van de geïdentificeerde risico’s kan de controle aanpak worden bepaald waarbij de
handmatige controles meestal door de accountant worden uitgevoerd en de geautomatiseerde
controles door de IT-auditor.
De IT afhankelijke handmatige controles (zoals het genereren van rapportages) kunnen zowel door de
accountant als IT-auditor of gezamenlijk worden uitgevoerd.
Op basis van de geïdentificeerde geautomatiseerde en handmatige business processen (en de daar
aan gekoppelde transacties) worden de ondersteunende IT applicaties, infrastructuur en databases (in
het figuur als Financiële
data weergegeven)
bepaald. Als onderdeel van
het onderzoek zal de
accountant bepalen welke
systemen gebruikt worden
voor het verzamelen,
bewerken, communiceren
en rapporteren van
transacties, en welke
risico’s van toepassing zijn
op de betrouwbaarheid van
de transacties, en daarmee
de Jaarverslaggeving.
De scope van deze scriptie betreft de ITGC’s ten behoeve van de systeemgerichte controle aanpak, het
onderscheid tussen systeem en gegevens gericht is als volgt uit te leggen:
Gegevensgerichte aanpak Hierbij wordt de betrouwbaarheid van gegevens gecontroleerd door steekproefsgewijs de transacties binnen een financieel proces te controleren. Hierbij wordt gecontroleerd of de transacties in overeenstemming zijn met het daarvoor geldend interne beleid en externe regelgeving. In deze aanpak wordt niet gesteund op de betrouwbare werking van beheersmaatregelen binnen een applicatie.
Systeemgerichte aanpak De systeemgerichte aanpak wordt gehanteerd wanneer de accountant zich een positief oordeel heeft gevormd over de betrouwbaarheid van beheersmaatregelen binnen een financieel proces. Dit oordeel houdt in, dat de beheersmaatregelen aanwezig zijn, dat deze de risico’s ten aanzien van de betrouwbaarheid van informatie voldoende afdekken en dat de risico’s om de betrouwbaarheid van deze beheersmaatregelen te beïnvloeden beperk zijn.
Een goed systeem van interne controle leidt tot een systeemgerichte controleaanpak waarbij in
belangrijke mate wordt gesteund op de geautomatiseerde gegevensverwerking. Het controleren van de
werking van de controlemaatregelen staat dan centraal.
De IT auditor biedt door middel van een op risico analyse gebaseerd aanpak inzicht in het bereik
(scope) van de door de ITGC’s te controleren omgeving.
Deze scope behelst meer dan dat de bovenstaande afbeelding op het eerste gezicht doet vermoeden.
Een voorbeeld van de reikwijdte van een onderliggende infrastructuur is hieronder weergegeven. (zie
afbeelding 6) Hier is duidelijk weergegeven der er verregaande relaties zijn tussen verschillende
componenten in alle lagen van een ICT Infrastructuur.
Afbeelding 5, controle overzicht van een jaarrekeningcontrole.
15
Afbeelding 6, relaties tussen verschillende componenten in lagen van een ICT Infrastructuur
Voorts biedt het OSI8 model een goede weergave van de relatie tussen de verschillende
(communicatie) lagen in een ICT Infrastructuur. Zie afbeelding 7.
Het OSI model ((ISO), 1996) onderkent zeven relevatie stadia (zowel fysiek als logisch). De bovenste
laag van het model wordt de applicatie laag genoemd. Op die plaats heeft de digitale data de vorm van
begrijpelijke informatie, in de vorm van (voor de
mens) betekenisvolle tekst en getallen. De onderste
laag van het model wordt de fysieke laag genoemd.
Op die plaats is er alleen nog maar sprake van een
(foto)elektrische signaal dat geschikt is voor transport
over een IT-infrastructuur. Soms worden er aan het OSI-model onofficieel lagen toegevoegd of ertussen gezet, zoals bijv. ‘laag 8 is de gebruiker’ of ‘laag 0 is de stoffelijkheid van de kabels
Het OSI-model heeft echter enigszins zijn betekenis
verloren, omdat de datacommunicatie wereld de
facto gestandaardiseerd is geraakt op Ethernet als
netwerktopologie en TCP/IP als
communicatieprotocol.
2.4 Interne-beheersingsorganisatie
De relatie tussen de jaarrekeningcontrole, de daaraan ten grondslag liggende financiële processen en
de faciliterende IT infrastructuur is nu belicht. Nu is het voor de accountant van belang om ten behoeve
van het opzetten van een controle plan zich een beeld te vormen van de interne-
beheersingsorganisatie, bestaande uit de interne controleomgeving en het inzicht in de interne-controle
maatregelen over deze, hierboven genoemde IT infrastructuur.
8 Open Systems Interconnection
Afbeelding 7, OSI model & TCP/IP model
16
COSO9 definieert interne beheersing als ‘een proces, uitgevoerd door de raad van bestuur, het
management en ander personeel van een entiteit, bedoeld om een redelijke zekerheid te verschaffen
over de verwezenlijking van de doelstellingen’ (COSO) onderkent de volgende categorieën:
effectiviteit en efficiëntie van de bedrijfsvoering;
betrouwbaarheid van de financiële verslaggeving;
naleving met de toepasselijke wet en regelgeving.
Het onderzoek naar de interne-beheersingsorganisatie heeft als doel vast te stellen op welke punten en
op welke wijze bij de accountantscontrole gebruik kan worden gemaakt van de verrichtingen en
uitkomsten van de interne controle, voldoet deze controle aan de minimumeisen om tot een
goedkeurende accountantsverklaring bij de te controleren verantwoording te komen?
De accountant richt zich met name op het aanwezig zijn van controle technische functiescheidingen.
Daarnaast moet hierbij aandacht besteedt worden aan hoe de verantwoordelijkheden en
bevoegdheden zijn verdeeld.
T.a.v. de geautomatiseerde gegevensverwerking dient de accountant inzicht te verkrijgen in welke mate
de huishouding belang hecht aan automatisering. Betrouwbaarheid van informatie is hier van groot
belang.
Voor betrouwbaarheid van geautomatiseerde gegevens wordt over het algemeen naar de door het ISO
2700110
gestelde classificatiemodel verwezen. Bij classificatie van informatie wordt veelal de norm voor
de aspecten Beschikbaarheid, Integriteit en Vertrouwelijkheid apart geclassificeerd.
De classificatie wordt daarom wel aangeduid met de ‘BIV-classificatie’ (in het Engels veelal CIA of AIC).
In de RE studie van de VU Amsterdam is ook het aspect ‘controleerbaarheid’ van gegevens en
informatie als aparte classificatie opgenomen, dit is echter ook al terug te herleiden naar het NIVRA-
studierapport 34 (Moonen, 1995) waar ‘controleerbaarheid’ onder het begrip ‘betrouwbaarheid wordt
geschaard.
2.5 IT General Controls
Een goed systeem van interne controle leidt tot een systeemgerichte controleaanpak waarbij in
belangrijke mate wordt gesteund op de geautomatiseerde gegevensverwerking. Het controleren van de
werking van de controlemaatregelen staat dan centraal. In feite zijn ITGC’s een sub set van het interne
controle raamwerk van een organisatie.
ITGC doelstellingen hebben betrekking op de beschikbaarheid, integriteit, vertrouwelijkheid en
controleerbaarheid van gegevens en het algemene beheer van de IT-functie binnen een organisatie
waarmee wordt gewaarborgd dat:
Alleen wordt gewerkt met door gebruikers goedgekeurde programmatuur;
De betrouwbare werking van de programmatuur is gewaarborgd;
Middelen adequaat zijn beveiligd.
In de literatuur worden over het algemeen de volgende soorten interne controlemaatregelen
onderscheiden: (Jenkins, 1986) en (Fijneman, Grondslagen IT Auditing, 2005)
User/Gebruiker controls;
Application controls;
IT General Controls.
De onderlinge relatie en afhankelijkheid van de verschillende soorten interne controlemaatregelen
wordt weergegeven in afbeelding 8.
9 The Committee of Sponsoring Organizations of the Treadway Commission 10 International Organization for Standardization, a standard for information security management system
17
User Controls Onder User controls /Gebruiker controles (Groen P. , 2006) verstaat men handmatige interne controlemaatregelen welke door een (eind) gebruiker worden uitgevoerd. Deze hebben als doel om de volledigheid, juistheid en geldigheid van transacties te bewaken en betrouwbare brongegevens te genereren. Dit ten behoeve van de invoer in informatiesystemen, om actie te ondernemen op basis van gegevens en signalen uit informatiesystemen en om de informatiesystemen op een adequate wijze te bedienen Application Controls Onder de application controls (Groen P. , 2006) schaart men de in applicaties opgenomen geprogrammeerde controlemaatregelen. Het doel van application controls betreft ondermeer het creëren van functiescheiding in de applicatie en het waarborgen van de betrouwbaarheid van de gegevensverwerking door de parametrisering van de applicatie.
IT General controls Onder de ITGC’s (Byers, 2005) verstaat men de algemene IT beheersingsmaatregelen. Met deze maatregelen wordt de doelstelling nagestreefd dat alleen wordt gewerkt met door gebruikers goedgekeurde programmatuur, dat de betrouwbare werking van de programmatuur is gewaarborgd, dat de integriteit van data is gewaarborgd en tenslotte dat alle middelen adequaat zijn beveiligd. Verder moeten de ITGC’s waarborgen dat de application controls (blijvend) betrouwbaar functioneren. (Moonen, 1995) Deze controls fungeren dan ook als de basis voor het gehele stelsel van interne controlemaatregelen. Zie figuur hierboven. (afbeelding 8) Een ITGC raamwerk bevat een breed scala aan onderwerpen en onderliggende controles en kunnen op verschillende manieren worden ingericht en beheerst. Om invulling te geven aan de ITGC’s bestaan een aantal algemeen geaccepteerde raamwerken. Fijneman (Fijneman, IT Auditing en de praktijk, 2006) onderkent een aantal normenkaders waar naar kan worden gerefereerd bij het uitvoeren van de inrichting en beoordeling van de ITGC’s. Te noemen zijn onder andere COBIT, ITIL, code voor Informatiebeveiliging (ISO 27001/2), NIVRA geschriften in de ‘Automatisering en Controle’ serie en het NIVRA studie rapport 34. Ondanks dat er initiatieven zijn gestart (Mancham, 2008) is er vandaag de dag nog geen ‘Industry Standard’ normen set voor ITGC’s ten behoeve van de ondersteuning van de financiële accountant bij jaarrekeningcontrole werkzaamheden.
Afbeelding 8, Relatie Financiële controle posten en de ITGC’s
18
Echter, verscheidene literatuur verduidelijkt wel hoofdgebieden die door een ITGC raamwerk ten behoeve van de Jaarrekeningcontrole zouden moeten worden afgedekt. Volgens Beyers (Byers, 2005) betreft dit de volgende gebieden:
ITGC hoofdgebied 1. Information Security. Hieronder vallen de maatregelen die worden getroffen om de functiescheiding tussen de gebruikersorganisatie, de transport- en verwerkingsorganisatie (IT-organisatie) en de systeemontwikkelingsorganisatie te waarborgen, om de exclusiviteit van informatie in transport en opslag te waarborgen en om middelen te beveiligen. Voorts de maatregelen die de informatie af schermen tegen ongeautoriseerd gebruik, openbaarmaking of aanpassing, schade of verlies. Maatregelen op het gebied van fysieke en logische toegangsbeveiliging. Een gebalanceerde set van maatregelen op deze gebieden realiseert in totaliteit dat de toegang tot de systemen, de gegevens en de programmatuur is voorbehouden aan geautoriseerde gebruikers.
ITGC hoofdgebied 2. Operations. Hieronder vallen de maatregelen die de integriteit van gegevens (bestanden) en programmatuur blijvend moeten waarborgen, die de beschikbaarheid en continuïteit van de gegevensverwerking moeten waarborgen en die de juiste werking van programmatuur moeten waarborgen, bijvoorbeeld scheduling, batch-gewijze verwerking en backup.
ITGC hoofdgebied 3. Change management and control. Hieronder vallen de maatregelen die moeten waarborgen dat alleen wordt gewerkt met (door gebruikers) goedgekeurde programmatuur. Dit houdt de maatregelen in rond het indienen, accepteren en beoordelen van wijzigingsaanvragen, het beheersen van het ontwikkelen van de wijzigingen evenals de procedures rond testen, acceptatie en de overdracht naar de productieomgeving. De noodzakelijke veranderingen in de IT-infrastructuur worden zodanig onder controle gebracht dat nieuwe fouten en problemen worden voorkomen.
ITGC hoofdgebied 4. System development and maintenance. Hieronder vallen de maatregelen in het systeemontwikkelingsproces die moeten waarborgen dat in nieuw te ontwikkelen applicaties een voldoende adequaat stelsel van intern controlemaatregelen wordt ingebouwd.
Overeenkomsten ITGC hoofddomeinen Hieronder staat in een schematische weergave een selectie van een aantal in de literatuur en door de BIG4 gehanteerde ITGC hoofddomeinen ten behoeve van de Jaarrekeningcontrole. Hieruit blijkt dat, los van de gebruikte terminologie, de controle domeinen in hoofdlijnen overeenkomen.
Beyers (Byers, 2005)
SOX (Fijneman, IT Auditing en de praktijk, 2006)
PwC (PwC, 2013)
E&Y (E&Y)
KPMG (KPMG, 08/09)
Information Security.
Access to Programs and data
Access to Programs and data
Logical Access Access to
programs and
data
Change management and control
Change management
Program changes Manage Changes
Program changes
Operations Operations
Computer operations
Other ITGC’s (Backup, Problem/Incident management, monitoring)
Computer operations
System development and maintenance
Program developement
Systems development
Niet benoemd in programma
Program development
19
Een voorbeeld van een ITGC controle raamwerk ten behoeve van de jaarrekeningcontrole werkzaamheden is hieronder weergegeven. Zie afbeelding 9.
Afbeelding 9, Voorbeeld ITGC controle raamwerk PwC
2.6 Deelconclusie
Het startpunt voor de huidige set aan ITGC’s is de jaarrekening (controle) van een organisatie. De
accountant geeft invulling aan de jaarrekeningcontrole met behulp van een risicoanalyse (Deckers,
2002). Hiervoor heeft de accountant een relatie gelegd tussen de balansposten en resultatenrekening
in de jaarrekening van een organisatie en de onderliggende bedrijfsprocessen en ondersteunende
applicaties. Op basis van dit verkregen overzicht maakt de IT auditor de relatie naar de onderliggende
IT-infrastructuur. De accountant en de IT-auditor stellen samen vast welke IT General Controls
minimaal moeten functioneren binnen die organisatie om de doelstellingen te behalen.
Literatuurstudie en de praktijk wijzen uit dat de huidige set aan ITGC’s zoals deze worden ingezet ten
behoeve van de jaarrekeningcontrole ter ondersteuning van de werkzaamheden van de Register
Accountants in hoofdlijnen bestaat uit de volgende controle domeinen:
Information Security/ Access to Programs and data;
Operations;
Change management and control;
System/Program development and maintenance.
20
3 Uitdagingen
In dit hoofdstuk wordt antwoord gegeven op deelvraag 2:
Waarom moet deze set aan ITGC’s geëvalueerd worden, oftewel welke uitdagingen
kent de huidige set van ITGC’s als deze niet mee evolueren in relatie tot de
kenmerken van Cloud Computing?
a) Wat zijn de kenmerken van Cloud Computing?
b) Welke beperkingen zijn er te onderkennen betreffende de huidige set van
ITGC’s in relatie tot deze kenmerken?
3.1 Introductie
De relatie tussen de jaarrekeningcontrole, de daaraan ten grondslag liggende financiële processen, de
faciliterende IT infrastructuur en de IT General Controls is nu belicht.
Dit hoofdstuk gaat in op de uitdagingen welke te onderkennen zijn met betrekking tot de relatie tussen
de geïdentificeerde ITGC domeinen uit hoofdstuk twee en de kenmerken van Cloud Computing.
3.2 Het begrip Cloud Computing
Het National Institute of Standards and Technology (NIST) definieert Cloud Computing als (NIST):
‘een model voor het inschakelen van alomtegenwoordige, handige on -demand (netwerk) toegang tot
een gedeelde pool van configureerbare IT-middelen (bijv. netwerken, servers, opslag, applicaties en
diensten) die snel kunnen worden bevoorraad en vrijgegeven met minimale beheer moeite of
dienstverlener interactie.’
NIST maakt gebruik van een vijftal essentiële kenmerken, drie Cloud service modellen en vier Cloud
deployment modellen (NIST):
3.2.1 Vijf essentiële Cloud kenmerken:
1. Klanten van een Cloud dienst
delen resources om er optimaal
gebruik van te maken. Afhankelijk
van het servicemodel wordt het
netwerk, de hardware en soms
zelfs de software via het internet
gedeeld;
2. Een klant heeft de mogelijkheid
om resources op te schalen of af
te bouwen voor een bepaalde
service. Dit kan bijvoorbeeld de
bandbreedte of de hoeveelheid
data zijn waarvan de
desbetreffende service
gebruikmaakt;
3. De elasticiteit of snelheid
waarmee de klant kan op- of
afschalen is van belang. De klant
dient namelijk de mogelijkheid te
hebben om in een ogenblik om te
schakelen;
4. Klanten betalen alleen voor de resources die ze daadwerkelijk gebruiken;
5. Klanten zijn zelf verantwoordelijk voor het beheer van de service.
3.2.2 Drie Cloud service modellen: 1. Software as a Service (SaaS), bij dit model ‘huurt’ de organisatie de mogelijkheid om een
applicatie te gebruiken welke zich in de Cloud infrastructuur bevindt. De applicaties zijn toegankelijk vanuit verschillende cliënt-apparaten, zowel via een thin-cliënt interface, zoals een webbrowser (bijvoorbeeld web-based e-mail) of een programma-interface. De organisatie hoeft geen beheer(s) activiteiten uit te voeren op de onderliggende Cloud-infrastructuur met inbegrip van netwerk, servers, besturingssystemen of opslag. Met de mogelijke uitzondering van beperkte gebruiker - specifieke toepassing of configuratie-instellingen;
Afbeelding 10, Visueel model Cloud Computing
21
2. Platform as a Service (PaaS) wordt een ontwikkelomgeving aangeboden met bouwstenen (bijvoorbeeld stukken code of standaard databases), waarmee gebruikers hun eigen applicaties bouwen. De klant hoeft geen beheer(s) activiteiten uit te voeren op de onderliggende Cloud-infrastructuur met inbegrip van netwerk, servers, besturingssystemen of opslag maar heeft wel controle over de ingezette applicaties en eventueel configuratie-instellingen voor de applicatie hosting omgeving;
3. Infrastructure as a Service (IaaS) Dit model lijkt het meest op het model van een standaard sourcings partner met datacentrum. Een van de onderscheidende aspecten van IaaS is echter de capaciteit om pieken in een infrastructuur op te vangen. Als er op momenten veel bandbreedte, processorkracht of opslag wordt vereist, kan een Cloud leverancier dit tijdelijk bij schalen en daarna weer afbouwen. De klant hoeft geen beheer(s) activiteiten uit te voeren op de onderliggende Cloud netwerk infrastructuur maar heeft controle over besturingssystemen, opslag en toepassingen ingezet, en eventueel beperkte controle van geselecteerde netwerkcomponenten (bijv. host firewalls).
3.2.3 Vier Cloud deployment modellen:
1. Publiek: In de traditionele zin van Cloud computing werkt men publiek of extern. De software en
data staan dan volledig op de servers van de externe dienstverlener en er wordt een generieke
(voor alle afnemers gelijke) functionaliteit geleverd;
2. Privaat: Met private 'Cloud' werkt men op een (virtueel) private ICT-infrastructuur. In dit model
heeft de gebruiker volledige controle over data, beveiliging en kwaliteit van de dienst. De
applicaties die via de Private Cloud beschikbaar worden gemaakt, maken gebruik van
gedeelde infrastructuurcomponenten die worden ingezet voor meerdere afnemers, maar
worden zelf niet gedeeld met andere klanten. De verantwoordelijkheid voor het onderhouden
van de private Cloud ligt bij een professionele leverancier van ICT-diensten. De fysieke locatie
van de infrastructuurcomponenten kan zowel de Cloud leverancier als de klant zelf zijn;
3. Hybride: Als meerdere interne en/of externe Clouds samen worden gebruikt wordt er
gesproken van een hybride Cloud;
4. Community: Betrekt delen van de computerinfrastructuur in de Cloud tussen organisaties van
dezelfde gemeenschap.
3.3 Organisatorische kenmerken en mogelijke risico’s Cloud Computing
De geraadpleegde literatuur11
onderkent samenvattend de volgende organisatorische kenmerken omtrent Cloud Computing:
1. er is nog geen internationale overeenkomst betreffende gemeenschappelijke terminologie;
2. ontwikkeling van de technologie is nog in volle gang;
3. enorme hoeveelheden gegevens worden verzameld en geconcentreerd;
4. de technologie is grenzeloos/grensoverschrijdend;
5. de gegevensverwerking is globaal geworden;
6. transparantie ontbreekt met betrekking tot Cloud leverancier processen en procedures en
werkzaamheden;
7. met inbegrip van het al dan niet uitbesteden van diensten en werkzaamheden aan sub-
leveranciers. En indien dit het geval is, wat daarvan de respectievelijke processen, procedures
en werkzaamheden zijn;
8. gebrek aan transparantie maakt het moeilijk om een goede risicobeoordeling uit te voeren;
9. gebrek aan transparantie maakt het ook moeilijker om regels met betrekking tot de gegevens
bescherming af te dwingen;
10. Cloud leveranciers staan onder grote druk om snel aanzienlijke investeringskosten terug te
verdienen;
11. Cloud klanten staan onder toenemende druk om de kosten te reduceren, waaronder die van
hun gegevens verwerking, als gevolg van de wereldwijde financiële crisis, en
12. om de prijzen laag te houden bieden Cloud leveranciers over het algemeen standaard
voorwaarden en diensten.
11
Een opsomming van de geanalyseerde literatuur staat in bijlage B van dit document.
22
Bovenstaande kenmerken kunnen leiden tot een verhoogd risico op:
a. onopgemerkte inbreuken op informatie (beveiliging) zoals schendingen van de
vertrouwelijkheid, integriteit of beschikbaarheid van (persoon en/of financiële ) gegevens;
b. gegevens die globaal opgeslagen worden, ook in die rechtsgebieden/landen die niet voldoende
bescherming van gegevens hoeven te verstrekken;
c. handelingen in strijd met de wetten en principes voor privacy en gegevensbescherming;
d. het aanvaarden van standaard voorwaarden die de Cloud leverancier te veel speelruimte
geven, met inbegrip van de mogelijkheid dat de Cloud leverancier gegevens kan verwerken op
een manier die niet overeenkomt met de instructies van de eigenaar/beheerder van de
gegevens;
e. het gebruik van gegevens door de Cloud leveranciers of sub leveranciers voor hun eigen
doeleinden zonder medeweten of toestemming van de eigenaar/beheerder van de gegevens;
f. het vervagen of verdwijnen van verantwoording en verantwoordelijkheid in een keten van sub-
leveranciers.
3.3.1 Impact Cloud Computing op (financiële) gegevensverwerking.
De impact op (financiële) gegevens welke worden verwerkt op oplossingen die zich in een Cloud
omgeving bevinden, met inachtneming van bovengenoemde omstandigheden en risico’s wordt
samengevat in het artikel van de Europese Commissie ‘artikel 29 werkgroep’ (gezamenlijke privacy
toezichthouders) (EU werkgroep, 2012);
De impact is op te delen in twee brede categorieën, namelijk gebrek aan controle over de gegevens, en
onvoldoende informatie over de gegevens verwerking operatie zelf (gebrek aan transparantie).
3.3.2 Gebrek aan controle over gegevens
Door het verwerken van gegevens welke worden beheerd door een Cloud leverancier is het mogelijk
dat Cloud klanten niet meer de exclusieve controle over deze gegevens hebben. Als gevolg heeft de
Cloud klant niet de technische en organisatorische maatregelen kunnen implementeren die nodig zijn
om de beschikbaarheid, integriteit, vertrouwelijkheid en transparantie te waarborgen.
Dit gebrek aan controle kan zich als volgt uiten:
1. Gebrek aan beschikbaarheid door gebrek aan interoperabiliteit (vendor lock-in).
o Als de door de Cloud leverancier gebruikte (technologische) oplossing is gebaseerd op
gepatenteerde technologie kan het moeilijk blijken voor een Cloud klant om gegevens en
documenten te verplaatsen tussen verschillende Cloud leveranciers en systemen.
Daarnaast is het mogelijk dat de draagbaarheid/portabiliteit van gegevens afneemt tussen
entiteiten die Cloud services afnemen welke worden beheerd door andere Cloud
leveranciers (interoperabiliteit);
2. Gebrek aan integriteit veroorzaakt door de het delen van middelen (Virtualisatie).
o Een Cloud bestaat uit gedeelde systemen en infrastructuren. Cloud leveranciers verwerken
een breed scala aan gegevens die afkomstig van vele soorten en maten organisaties. De
mogelijkheid bestaat dat er tegenstrijdige belangen en/of verschillende doelstellingen
ontstaan;
3. Gebrek aan geheimhouding (Vertrouwelijkheid) op het gebied van de rechtshandhaving
verzoeken welke rechtstreeks gericht worden tot een Cloud Leverancier.
o Gegevens in de Cloud kunnen worden onderworpen aan de rechtshandhaving verzoeken
van handhavingsinstanties van de EU-lidstaten en de overheden van andere landen zoals
Amerika, waar bijvoorbeeld de ‘Patriot act’ van Bush in oktober 26, 2001 effectief is
geworden. Zoals is gebleken uit een onderzoek (Hoboken, 2011) van het Instituut voor
Informatierecht (IViR) dient realistisch met de mogelijkheid omgegaan te worden dat
gegevens kunnen worden verstrekt aan (buitenlandse) recht handhavende instanties zonder
geldige rechtsgrondslag;
4. Gebrek aan de mogelijkheden tot interventie/tussenkomst vanwege de complexiteit en dynamiek
van de outsourcing keten.
o De aangeboden Cloud dienst kan zijn geproduceerd door het combineren van diensten uit
een reeks van andere aanbieders, welke dynamisch kunnen worden toegevoegd of
verwijderd gedurende de duur van de opdracht van een klant;
5. Gebrek aan de mogelijkheden tot interventie/tussenkomst met betrekking tot (het gebrek aan)
(toegang) rechten van de betrokken klant.
23
o Een Cloud leverancier kan mogelijk niet zorgdragen voor de nodige maatregelen en
instrumenten om de eigenaar van de gegevens in termen van beheer in staat te stellen om
bijvoorbeeld toegang te verlenen tot gegevens of deze te corrigeren en/of te verwijderen;
6. Gebrek aan isolatie, een Cloud leverancier kan zijn fysieke controle over de gegevens van
verschillende klanten gebruiken om gegevens te koppelen.
o Als beheerders worden gefaciliteerd met voldoende toegangsrechten (hoog - risico rollen),
kunnen zij (al dan niet intentioneel) informatie koppelen van verschillende klanten.
3.3.3 Gebrek aan transparantie (betreffende de gegevensverwerking)
Onvoldoende informatie over de gegevensverwerking bij een Cloud dienst brengt risico’s met zich mee
voor de gegevens eigenaren en verwerkers. De gegevens eigenaren en verwerkers zijn zich mogelijk
niet bewust van eventuele bedreigingen en risico's en dientengevolge niet die maatregelen kunnen
implementeren die zij geschikt achten.
Potentiele bedreigingen kunnen zich voordoen als de gegevens eigenaren en verwerkers niet weten
dat:
7. Er keten gegevensverwerking plaatsvindt met meerdere behandelaars en sub leveranciers;
8. Er gegevens worden verwerkt op verschillende geografische locaties met verschillende
wetgevingen omtrent de bescherming van gegevens.
3.4 Deelconclusie
Zoals uiteen is gezet in hoofdstuk twee van deze scriptie wordt er gedurende het proces van uitvoeren
van een jaarrekeningcontrole door de (financieel) accountant, in samenwerking met de IT auditor een
relatie gelegd tussen de balansposten en resultatenrekening in de jaarrekening van een organisatie,
de onderliggende bedrijfsprocessen en ondersteunende applicaties. Op basis van dit inzicht kan de IT
auditor vervolgens de relatie maken naar 1. de bijbehorende onderliggende IT-infrastructuur. 2. De
daaromheen opgebouwde beheers organisatie, om vervolgens 3. Vast te stellen welke maatregelen (IT
General Controls) minimaal moeten functioneren binnen die organisatie.
Juist in de laatste drie stappen zijn de (organisatorische) kenmerken van Cloud Computing een
beperking voor de huidige set aan ITGC’s, namelijk;
1. de bijbehorende onderliggende IT-infrastructuur.
Het ontbreken van inzicht in, en controle over de (geografische) locatie van gegevens en de onderliggende (al dan niet fysieke en/of virtuele) infrastructuur welke zich in de Cloud bevinden;
2. De daaromheen opgebouwde beheers organisatie
Het ontbreken van inzicht in, en controle over Cloud leverancier processen, procedures en werkzaamheden, en
de door de Cloud leverancier uitbesteedde diensten en werkzaamheden aan sub-leveranciers, en hun respectievelijke processen, procedures en werkzaamheden;
3. Vast te stellen welke maatregelen (IT General Controls)
Het ontbreken van inzicht in, en controle over de maatregelen ten behoeve van het voorkomen van inbreuken op informatie (beveiliging) zoals schendingen van de vertrouwelijkheid, integriteit of beschikbaarheid van gegevens;
het vervagen of verdwijnen van verantwoording en verantwoordelijkheid in een keten van (sub) leveranciers.
24
4 Mogelijkheden
Op basis van literatuur onderzoek is de inhoud en zijn de doelstelling van de huidige set aan ITGC’s
zoals deze worden ingezet ten behoeve van de jaarrekeningcontrole ter ondersteuning van de
werkzaamheden van de Register Accountants vastgesteld. Daarnaast zijn de organisatorische
kenmerken van Cloud Computing beschreven en is vastgesteld welke uitdagingen deze Cloud
Computing kenmerken met zich meebrengen voor de inhoud en doelstellingen van de huidige set aan
ITGC’s.
4.1 Empirisch onderzoek
Als vervolgstap hebben er ten behoeve van het empirisch onderzoek
verschillende interviews plaatsgevonden.
Ter inleiding van de interviews is er een context beschreven waarin de
vraagstelling van deze scriptie, de uitkomsten van het literatuur
onderzoek en het bereik (de scope) van het onderzoek uiteen is gezet.
De interviews zijn opgesplitst in twee onderdelen:
1. Validatie van de uitkomsten van het literatuur onderzoek;
2. Inventarisatie van de mogelijke aanvullingen/oplossingen.
De vraagstelling is vanuit drie perspectieven belicht:
1. De Cloud Computing klant, inclusief de interne beheer organisatie en de interne auditor;
2. De Cloud Computing leverancier, inclusief de interne beheer organisatie, service delivery
manager en internal auditor;
3. De (onafhankelijke/externe) Assurance/Audit partijen (Big-4).
De samenvatting van de interview verslagen is terug te vinden in Bijlage A 12
van deze scriptie.
Zonder uitzondering hebben alle geïnterviewde personen de uitkomsten van het literatuur onderzoek
gevalideerd en er zijn verder geen suggesties gedaan tot het doen van aanvullingen.
Gedurende de interviews is met name onderdeel 2 belicht. (Inventarisatie van de mogelijke
aanvullingen/oplossingen)
Op basis van de uitkomsten van het empirisch onderzoek wordt ook een antwoord op deelvraag drie
gegeven. (Deelvraag drie: Welke mogelijke aanvullingen zijn er te onderkennen voor de huidige set van
ITGC’s in relatie tot de kenmerken van Cloud oplossingen?).
Om te identificeren welke aanvullingen
er nodig zijn om het gewenste niveau
van zekerheid te verkrijgen gedurende
het proces van systeemgericht
controleren bij een jaarrekeningcontrole,
is de situatie zoals beschreven in
hoofdstuk drie visueel weergegeven. Zie
afbeelding 11.
De vlakken in het oranje weerspiegelen
die organisatorische kenmerken van
Cloud Computing welke een uitdaging
vormen.
12 Zie bijlage A, Samenvatting Interviews
Afbeelding 11, organisatorische kenmerken Cloud Computing
25
Uniformiteit terminologie
Om zorg te dragen voor uniformiteit in de antwoorden is de geïnterviewde personen gevraagd om
indien mogelijk eventuele aanvullingen te relateren aan een overeenkomend Cobit 5 domein
4.1.2 Uitkomsten empirisch onderzoek (in relatie tot de literatuur)
Gebaseerd op de verzamelde input uit alle interviews is de volgende
samenvatting opgesteld en afgestemd met alle geïnterviewde
personen:
Probleem:
Cloud Computing kent een aantal organisatorische kenmerken
welke een impact hebben op het doel van de huidige set van
ITGC’s, namelijk:
1. Faciliterende/ onderliggende IT-infrastructuur.
Het ontbreken van inzicht in, en controle over de (geografische) locatie van gegevens en de onderliggende (al dan niet fysieke en/of virtuele) infrastructuur welke zich in de Cloud bevinden;
2. De interne (IT) beheersingsorganisatie.
Het ontbreken van inzicht in, en controle over Cloud service provider processen, procedures en werkzaamheden, en
de door de Cloud service provider uitbesteedde diensten en werkzaamheden aan sub-leveranciers, en hun respectievelijke processen, procedures en werkzaamheden;
3. Controleerbaarheid van de maatregelen (IT General Controls).
Het ontbreken van inzicht in, en controle over de maatregelen ten behoeve van het voorkomen van inbreuken op informatie (beveiliging) zoals schendingen van de vertrouwelijkheid, integriteit of beschikbaarheid van gegevens;
Het vervagen of verdwijnen van verantwoording en verantwoordelijkheid in een keten van (sub) leveranciers.
Aangedragen oplossingen:
Borgen van ‘keten’ transparantie en controle verplichting in contracten, o.a.
a. Verplichting tot het (laten) uitbrengen van een Third Party Mededeling (TPM), waarmee
(een zekere mate van) ‘Assurance’ kan worden gegeven middels bijvoorbeeld de
NOREA Richtlijn 3000 en Richtlijn 3402 (internationaal bekend als ISAE 3000, 3402).
i. Met minimaal in de scope van de TPM:
1. De voor de jaarrekening relevante ITGC’s;
2. De financiële informatiestromen t.b.v. de jaarrekeningcontrole;
3. De ondersteunende applicaties, databases en onderliggende ICT
infrastructuur;
4. Keten transparantie en controle waarborgen.
b. Right to Audit;
c. Continuous auditing/monitoring;
d. Roles and responsibilities;
e. Accountability.
Borgen ITGC controle domeinen en maatregelen, en het gewenste niveau van transparantie en
controle in SLA’s en Underpinning Contracts
a. (Keten) transparantie en controle;
b. Continuous monitoring/auditing.
Inrichting van de organisatie, van (IT) beheer organisatie naar regie organisatie
a. Kennis, kunde, en competenties van personeel.
26
Wanneer de uitkomsten van het empirisch onderzoek worden geïntegreerd in de visuele weergave (zie
afbeelding 11) uit het literatuur onderzoek kan de situatie als volgt weergegeven kunnen worden. Zie
afbeelding 12.
4.2 Detail uitwerking aanvullingen op ITGC raamwerk
De inhoud van de maatregelen in de huidige set aan ITGC’s
hebben de doelstellingen dat alleen wordt gewerkt met door
de gebruikers goedgekeurde programmatuur, dat de
betrouwbare werking van de programmatuur is gewaarborgd,
dat de integriteit van data is gewaarborgd, dat alle middelen
adequaat zijn beveiligd en tenslotte dat de application
controls (blijvend) betrouwbaar functioneren.
Ten behoeve van het borgen van de controleerbaarheid van
de huidige set aan ITGC’s in een Cloud Computing
omgeving dienen er bij de (interne) beheer organisatie
aanvullende maatregelen geïmplementeerd te zijn en/of door
de (IT) auditor gecontroleerd te worden, deze bestaan uit:
Afbeelding 12, Maatregelen tbv controle & transparantie organisatorische kenmerken Cloud Computing
27
Cobit 5, AP010 Manage suppliers.
De (contracten met) leveranciers en sub-leveranciers (Enablers)
dienen onder meer te borgen dat de doelstellingen van alle
betrokkenen in een keten bijdragen aan de strategische
doelstellingen van de organisatie. Cobit 5 geeft dit als volgt weer. Zie
afbeelding 13.
Naast deze doelstellingen dient bijvoorbeeld contractueel te worden
vastgelegd:
Transparantie en controle in de gehele keten van een Cloud
dienst, in het geval van deze scriptie, met name betreffende
de ITGC’s;
Eisen en afspraken betreffende (transparantie en controle
over) de geografische locatie van gegevens en de
onderliggende (technische) infrastructuur;
Eisen omtrent de inhoud (ITGC’s), scope, periode en mate
van assurance in Third Party Mededeling (TPM);
Right to Audit;
Mogelijkheden tot Continuous Auditing/monitoring;
Roles and responsibilities;
Accountability;
Compliance.
Cobit 5, AP009 Manage service agreements.
Ondanks dat al jaren bekend is (Moonen, 1995) dat het hart van IT beheer processen wordt gevormd
door de afspraken vastgelegd in de Service Level Agreements en de Underpinning Contracts (extern)
en Operating Level Agreement (intern) is het Service level Management geen standaard onderdeel
van de set aan ITGC’s ten behoeve van de jaarrekeningcontrole.
Wanneer (een deel) van de financiële verslaglegging plaatsvindt in een Cloud Computing omgeving, is
het van cruciaal belang om formeel vast te leggen dat de door de leveranciers geïmplementeerde
(ITGC) controle domeinen en maatregelen het gewenste niveau van transparantie en controle bieden,
en rechtstreeks aansluiten op de ITGC’s zoals beschreven in de conclusie van hoofdstuk twee van
deze scriptie. Fijneman geeft dat in zijn boek (Fijneman, Grondslagen IT Auditing, 2005) goed weer in
de onderstaande afbeelding (14):
Afbeelding 13, keten alignement
28
Een ‘richtlijn’ met betrekking tot het opzetten van een (SLA) monitoring systeem wordt uiteengezet door
het European Network and Information Security Agency. (ENISA, 2012)
Cobit 5, MEA02 Monitor, Evaluate and Assess the System of Internal Control
De naam van dit domein kan verwarrend zijn. Het extern plaatsen/afnemen van IT diensten en
dienstverlening in een Cloud Computing omgeving ontslaat een organisatie niet van de
verantwoordelijkheid tot het implementeren en onderhouden van een intern controle systeem dat de
kwaliteit borgt van deze externe IT diensten en dienstverlening.
Het interne controle systeem van een organisatie dient mee te evolueren met de dynamiek van Cloud
Computing en te worden afgestemd en aangepast gebaseerd op de eventuele (andere soort) risico’s
die Cloud Computing met zich meebrengt.
Cobit 5, AP007 Manage human resources.
Dit betreft een rand voorwaardelijk controle domein. Wanneer een IT beheer-organisatie verandert in
een IT regie organisatie wordt de personele invulling regelmatig onderbelicht. Regie is wezenlijk anders
dan beheer. Een regie organisatie vraagt om personeel met aanvullende competenties en
vaardigheden naast de technisch inhoudelijke kennis.
De inhoud van de werkzaamheden in een regie functie (over uitbesteedde IT dienstverlening zoals
Cloud Computing oplossingen) wordt door Cobit 5 uiteengezet in DSS01.02 Manage Outsourced IT
services.
Afbeelding 14, SLM in het hart van de Beheer processen
29
Cobit 5, DSS01.02 Manage Outsourced IT services
Continuous auditing/monitoring
Naast het organiseren, vaststellen, vastleggen en controleren van diensten en dienstenniveaus schrijft
ENISA (ENISA, 2012), in haar stuk ‘A guide to monitoring of security service levels in Cloud Contracts’
over ‘Real Time Monitoring Information’ gebaseerd op van te voren vastgestelde normen en waarden
(KPI’s13
).
Gedurende de interviews gehouden ten behoeve van deze scriptie is deze ontwikkeling ook ter sprake
gekomen. Continuous auditing/monitoring kan bij dragen aan controle en transparantie over
dienstverlening in een Cloud Computing omgeving met keten leveranciers.
De definitie van Continuous auditing wordt door Coderre als volgt beschreven (Coderre, 2005)
‘a method used to perform control and risk assessments automatically on a more frequent basis.
Technology is key to enabling such an approach. Continuous auditing changes the audit paradigm from
periodic reviews of a sample of transaction to ongoing audit testing of 100% of transactions. (..) with
automated, frequent analyses of data they are able to perform control and risk assessments in real time
or near real time’. Alles geeft dit als volgt weer: (Alles, 2008) Zie afbeelding 15.
‘Continuous auditing = continuous control monitoring (testen van internal controls) + continuous data
assurance (diepgaande data testing inclusief analytische procedures)’.
Continuous monitoring en Continuous auditing richten zich op transparantie, monitoring en logging van
transactieverwerking, functiescheiding in systemen, eventueel aangevuld met monitoring van
(financiële) stam data en de werking van applicatiecontroles. Het implementeren van deze mogelijkheid tot (real-time) Continuous auditing kan een Cloud leverancier besluiten. Indien de Cloud leverancier er voor kiest deze informatie te ontsluiten naar de klant en op deze manier transparantie kan bieden over (een deel) van zijn interne controle systeem kan een bijdrage leveren het borgen van ITGC’s in een Cloud Computing omgeving, echter niet alle controls zijn middels Continuous auditing te testen, waardoor nog steeds aanvullende maatregelen nodig zijn.
13 Key Performance Indicators
Afbeelding 15, Continuous Auditing, monitoring & Assurance
30
Right to audit
Het toevoegen van een zogenaamde ‘Right to audit’ clausule in contracten, waarbij het van belang is
om vast te leggen dat:
Een onafhankelijke externe Assurance/Audit partij de werkzaamheden mag uitvoeren;
Er op geplande en onaangekondigde momenten audit werkzaamheden uitgevoerd mogen
worden;
De scope waarbinnen deze werkzaamheden uitgevoerd morgen worden de financiële
informatiestromen t.b.v. de jaarrekeningcontrole betreft inclusief de ondersteunende
applicaties, databases en onderliggende ICT infrastructuur;
De eventuele keten van (sub) leveranciers ook is afgedekt door deze clausule. De
verantwoording voor het borgen van dit ‘Right to audit’ in de UC’s welke de Cloud leverancier
heeft met zijn (sub) leveranciers ligt bij de Cloud leverancier zelf.
4.3 Deelconclusie
Gezien de (organisatorische) kenmerken van Cloud Computing zijn er aanvullingen te onderkennen op
de huidige set aan ITGC’s ten behoeve van de jaarrekeningcontrole.
De inhoud van de maatregelen in de huidige set aan ITGC’s hebben de doelstellingen dat alleen wordt
gewerkt met door gebruikers goedgekeurde programmatuur, dat de betrouwbare werking van de
programmatuur is gewaarborgd, dat de integriteit van data is gewaarborgd, dat alle middelen adequaat
zijn beveiligd en tenslotte dat de application controls (blijvend) betrouwbaar functioneren.
Ten behoeve van het borgen van de controleerbaarheid van de huidige set aan ITGC’s in een Cloud
Computing omgeving dienen er bij de (interne) beheer organisatie aanvullende maatregelen
geïmplementeerd te zijn en door de (IT) auditor gecontroleerd te worden, deze bestaan uit:
AP009 Manage service agreements;
AP010 Manage suppliers;
MEA02 Monitor, Evaluate and Assess the System of Internal Control;
AP007 Manage human resources;
DSS01.02 Manage Outsourced IT services.
Het doel dat deze aanvullende set aan maatregelen dient is enerzijds, dat een organisatie zich bewust
is van de kenmerken van een Cloud Computing omgeving, wat dit betekent voor de
interne (controle & beheer) organisatie en voldoende controle heeft en/of kan uitoefenen
over de financiële gegevens ten behoeve van de jaarrekeningcontrole als deze zich
bevinden in een Cloud Computing omgeving. En anderzijds biedt Cobit 5 een set aan
maatregelen welke het mogelijk maakt voor de (IT) auditor zich een oordeel te vormen
over de opzet, bestaan en werking van de maatregelen in de (controle & beheer) laag
tussen de afnemer van Cloud diensten en de Cloud Leverancier.
31
5 Eind conclusie
Historie en doel
Bij de jaarrekeningcontrole is het doel een oordeel te geven of de financiële jaarverslaggeving van een
organisatie een ‘getrouw beeld’ weergeeft, dit in overeenstemming met algemeen aanvaarde
grondslagen voor financiële verslaggeving en voldoet aan de wettelijke bepalingen betreffende de
jaarrekening.
De huidige set van ITGC’s hebben als doel een oordeel te kunnen geven betreffende de
betrouwbaarheid en continuïteit van geautomatiseerde gegevensverwerking en zijn historisch gezien
afgestemd op een (veelal interne) ICT infrastructuur welke volledig onder controle is door een interne IT
beheer organisatie.
Uitdagingen Cloud Computing ten opzichte van de Jaarrekeningcontrole
Cloud Computing kent een aantal organisatorische kenmerken welke een impact hebben op het doel
van de huidige set van ITGC’s, namelijk;
1. faciliterende/ onderliggende IT-infrastructuur.
Het ontbreken van inzicht in, en controle over de (geografische) locatie van gegevens en de onderliggende (al dan niet fysieke en/of virtuele) infrastructuur welke zich in de Cloud bevinden;
2. de interne (IT) beheersingsorganisatie
Het ontbreken van inzicht in, en controle over Cloud service provider processen, procedures en werkzaamheden, en
de door de Cloud service provider uitbesteedde diensten en werkzaamheden aan sub-leveranciers, en hun respectievelijke processen, procedures en werkzaamheden;
3. controleerbaarheid van de maatregelen (IT General Controls)
Het ontbreken van inzicht in, en controle over de maatregelen ten behoeve van het voorkomen van inbreuken op informatie (beveiliging) zoals schendingen van de vertrouwelijkheid, integriteit of beschikbaarheid van gegevens;
het vervagen of verdwijnen van verantwoording en verantwoordelijkheid in een keten van (sub) leveranciers.
Benodigde aanvullingen op huidige set van ITGC’s
Dientengevolge dienen er voor de Accountant, om te kunnen steunen op de geautomatiseerde
gegevensverwerking, aanvullende maatregelen gecontroleerd te worden binnen de (IT) beheer
organisatie. Het doel van de aanvullende maatregelen is het mogelijk te maken voor de (IT) auditor
zich een oordeel te vormen over de beheer laag tussen de afnemer van Cloud diensten en de Cloud
leverancier. Deze maatregelen richten zich op de vraag of de beheer organisatie controle heeft geborgd
over die ITGC’s die als doel hebben een oordeel te geven betreffende de betrouwbaarheid en
continuïteit van geautomatiseerde gegevensverwerking.
Deze aanvullende maatregelen zijn te groeperen in de volgende Cobit 5 domeinen:
AP009 Manage service agreements;
AP010 Manage suppliers;
MEA02 Monitor, Evaluate and Assess the System of Internal Control;
AP007 Manage human resources;
DSS01.02 Manage Outsourced IT services;
Concluderend, het huidige ITGC’s controle raamwerk dient te worden uitgebreid met de bovenstaande
COBIT 5 beheers domeinen en wordt als volgt weergegeven. Zie afbeelding 16.
Afbeelding 16, conceptueel model ITGC kader tbv jaarrekeningcontrole in een Cloud Computing omgeving
32
Het doel dat dit nieuwe raamwerk dient is enerzijds, faciliteren dat een organisatie zich bewust is van
de kenmerken van een Cloud Computing omgeving en welke gevolgen dit met zich meebrengt voor de
interne (controle & beheer) organisatie. Daarnaast dat de (beheer) organisatie inzicht en (een zekere
mate van) controle heeft en kan uitoefenen over de financiële gegevens ten behoeve van de
jaarrekeningcontrole wanneer deze zich bevinden in een Cloud Computing omgeving.
Anderzijds biedt dit raamwerk een set aan te controleren maatregelen welke het mogelijk te maken
voor de (IT) auditor zich een oordeel te vormen over de beheer laag tussen de afnemer van Cloud
diensten en de Cloud Leverancier. Deze maatregelen richten zich op de vraag of de beheer organisatie
controle heeft geborgd over die ITGC’s die als doel hebben een oordeel te geven betreffende de
betrouwbaarheid en continuïteit van geautomatiseerde gegevensverwerking.
Als het oordeel van de (IT) auditor betreft dat deze beheer laag niet ‘in control is’ kan er door de
Accountant niet gesteund worden op de geautomatiseerde gegevensverwerking (een systeemgerichte
controleaanpak) en zal deze zijn toevlucht moeten nemen tot de (arbeidsintensieve en tijdrovende)
gegevensgerichte manier van controleren.
Levend voorstel in een veranderende omgeving Zoals aangegeven is het bovenstaande raamwerk deels in de praktijk getoetst. Uit de resultaten van de interviews blijkt dat er geen behoefte is aan een statisch raamwerk, maar een raamwerk dat continue in ontwikkeling dient te zijn. Ontwikkelingen in strengere wet- en regelgeving, toenemende informatiebehoeftes van organisaties en de klanteisen, maar ook nieuwe audit methodes, Assurance raamwerken, certificering mogelijkheden en technologie maken dat dit een onderwerp is wat continue op de agenda zou moeten staan van de Cloud klanten, Cloud Computing leveranciers, in/externe accountants en auditors.
6 Reflectie
Reflectie op scriptie inhoud
Deze scriptie is van toegevoegde waarde voor de literatuur binnen het vakgebied IT auditing, omdat
het laat zien dat er een hiaat is ontstaan op het gebied van systeemgericht controleren ten behoeve
van een jaarrekeningcontrole.
Gedurende het literatuur onderzoek werd al snel duidelijk dat de kenmerken van Cloud Computing
impact hebben op de huidige set aan ITGC’s zoals deze vandaag de dag worden gebruikt ter
ondersteuning van het proces van een jaarrekeningcontrole.
De huidige set van ITGC’s zijn historisch gezien afgestemd op een ICT infrastructuur welke zich veelal
in-house bevindt en welke door een eigen IT beheer organisatie wordt onderhouden. Dientengevolge
zijn zij niet in staat om de vereiste zekerheid te bieden betreffende de getrouwheid van de financiële
verslaglegging als er geen aanvullende maatregelen worden gecontroleerd gedurende dit proces.
De focus van deze aanvullende maatregelen ligt met name op de (controle & beheer) organisatie die de
transparantie en controle over (financiële) gegevens in een Cloud Computing omgeving dient te
borgen.
Het borgen van deze transparantie en controle kan een aantal (positieve) neveneffecten met zich
meedragen omdat juist deze elementen een bijdrage leveren aan de (compliance) vraagstukken van
vandaag de dag, bijvoorbeeld de Payment Card Security standaard PCI/DSS en Privacy wetgeving
(Wet Bescherming Persoonsgegevens).
Reflectie eigen ervaring
Gedurende mijn gesprekken met de verschillende betrokkenen in dit proces werd al snel duidelijk dat
men zich veelal niet bewust is van de (risico’s van) organisatorische kenmerken van Cloud Computing.
De verassing bij het (IT) management op het moment van doorvragen gedurende de interviews, dat
standaard contracten en afspraken met Cloud leveranciers vaak niet voldoende expliciet zijn om
Beschikbaarheid, Integriteit, Vertrouwelijkheid en Controle te kunnen borgen over hun (financiële)
gegevens spreekt voor zich zelf. Ook de transitie van beheer naar regie organisatie en de impact op het
betrokken personeel is een onderwerp wat vaak onderbelicht wordt.
Bij Cloud leveranciers, maar ook bij commerciële Assurance partijen is men zich inmiddels bewust van
de commerciële voordelen van het bieden van transparantie en controle over Cloud Computing. Er zijn
bij beide technologische en organisatorische initiatieven gestart die hierin kunnen faciliteren.
33
Uit de gesprekken met de (IT) auditors is inderdaad gebleken dat het toetsen van ITGC’s geen
populaire werkzaamheid is, een van de hoofd redenen is het ontbreken van tijd. Gezien het
commerciële belang hebben jaarrekeningcontrole opdrachten vaak een beperkt aantal uren
beschikbaar om de werkzaamheden uit te voeren. De balans tussen prijs x tijd x kwaliteit maakt dat het
in de praktijk voor een externe (IT) auditor niet altijd mogelijk is om zijn/haar werkzaamheden met
voldoende bereik en diepgang uit te voeren.
Gebaseerd op de inzichten die ik verkregen heb gedurende de uitvoering van deze scriptie rijst de
vraag of het momenteel mogelijk is voor de externe Accountant/Auditor om een oordeel te geven over
de getrouwheid van de financiële verslaglegging als deze zich in een Cloud Computing omgeving
bevindt. In de praktijk ben ik tegengekomen dat veel organisaties zich in een hybride positie bevinden,
een deel van het (IT) beheer, gegevens en infrastructuur in huis, en een deel hiervan in een Cloud
Computing omgeving. De volledige regie organisatie ben ik in mijn loopbaan nog niet tegengekomen.
De externe Accountant die ten behoeve van de jaarrekening controle werkzaamheden voldoende tijd,
mensen en middelen tot zijn beschikking heeft om de vereiste diepgang en scope te toetsen in relatie
tot Cloud Computing lijkt, op basis van persoonlijke ervaring en de gesprekken gevoerd gedurende en
buiten deze scriptie zeer zeldzaam te zijn.
7 Suggestie voor verder onderzoek
Gedurende deze scriptie ben ik een aantal interessante onderwerpen tegengekomen welke een
bijdrage kunnen leveren aan de literatuur en de praktijk van ons (IT) audit vakgebied als hier
aanvullend (vervolg) onderzoek naar gedaan wordt.
Deze onderwerpen zijn geïdentificeerd gedurende het literatuur en het empirisch onderzoek. Zie
afbeelding 17.
A. Onderwerpen uit literatuur onderzoek.
Internationale overeenkomst betreffende gemeenschappelijke terminologie met betrekking tot
Cloud Computing.
Internationale overeenkomst betreffende een gemeenschappelijke controle standaard en/of
raamwerk betreffende de Beschikbaarheid, Integriteit, Vertrouwelijkheid en Controleerbaarheid
van gegevens en diensten in een Cloud Computing omgeving.
De impact van Cloud Computing technologie op de controle maatregelen betreffende de
Beschikbaarheid, Integriteit, Vertrouwelijkheid en Controleerbaarheid van gegevens en
diensten in een Cloud Computing omgeving.
Afbeelding 17, identificeren mogelijkheden tot vervolgonderzoek
34
Impact van Cloud Computing op compliance aan nationale en internationale wetgeving op het
gebied van privacy.
De (strategische) gevolgen van interoperabiliteit voor organisaties waarvan de bedrijfsvoering
geheel of gedeeltelijk bij één Cloud Computing leverancier plaatsvindt.
B. Onderwerpen uit empirisch onderzoek
De (on) mogelijkheden en commerciële toepassing van continuous auditing, continuous
monitoring en continuous assurance voor Cloud Computing leveranciers en externe
Assurance/Audit organisaties.
De (on) mogelijkheden en commerciële toepassing van data encryptie in relatie tot Cloud
Computing oplossingen.
35
8 Referentielijst
(ISO), I. O. (1996). www.iso.org. Opgehaald van www.iso.org:
http://standards.iso.org/ittf/PubliclyAvailableStandards/s020269_ISO_IEC_7498-1_1994(E).zip
Alles, M. K. (2008). Putting continuous auditing theory into practice: Lessons from two pilot implementations. .
Journal of Information Systems, Volume 22, no 2.
Berger. (2003). Learning to read Financial Statements.
BW. (boek 2, artikel 393, lid 4). Wetboek, Burgerlijk, boek 2, artikel 393, lid 4.
Byers, E. (2005). An Introduction into General Computer Controls. ISACA.
Coderre, D. (2005). Continuous auditing: implications for assurance, monitoring, and risk assessment. . Global
Technology Audit Guide (GTAG).
COSO. (sd). COSO. Opgehaald van http://www.coso.org/resources.html : http://www.coso.org/resources.html
Deckers, F. (2002). Elementaire theorie accountantscontrole. NIVRA.
E&Y. (sd). ITGC walktrough, Y&Y Global audit methodology.
Eijck, J. (1982). Filosofie een inleiding. Boom.
ENISA. (2012). A guide to monitoring of security service levels in cloud contracts. Procure Secure.
EU werkgroep, E. A. (2012, juli 1). http://ec.europa.eu/justice/data-protection/. Opgehaald van
http://ec.europa.eu/justice/data-protection/: http://ec.europa.eu/justice/data-protection/article-
29/documentation/opinion-recommendation/files/2012/wp196_en.pdf
Fijneman, R. (2005). Grondslagen IT Auditing.
Fijneman, R. (2006). IT Auditing en de praktijk. SDU Uitgevers.
Groen, P. ( 2006, november). Application controls in een breed perspectief. Dossier Application Controls.
Groen, P. (2006, Oktober). Application_controls_in_een_breed_perspectief_nr_6_2006[1]. Dossier Application
Controls, PWC.
Groen, P. (november 2006). Application controls in een breed perspectief. Informatiebeveiliging.
Hoboken, D. J. (2011, september). http://www.ivir.nl. (I. v. Informatierecht, Red.) Opgehaald van http://www.ivir.nl:
http://surfsites.nl/cloud/download/Clouddiensten_in_HO_en_USA_Patriot_Act.pdf
IAASB. (2009). International Standards on Auditing.
IBM. (2010). Expertpaper Cloud Computing.
IWGDPT. (2012, april 24). http://datenschutz-
berlin.de/attachments/873/Sopot_Memorandum_Cloud_Computing.pdf. Opgehaald van
http://datenschutz-berlin.de/: http://datenschutz-
berlin.de/attachments/873/Sopot_Memorandum_Cloud_Computing.pdf
IWGDPT. (2012, april 24). http://datenschutz-
berlin.de/attachments/873/Sopot_Memorandum_Cloud_Computing.pdf. Opgehaald van
http://datenschutz-berlin.de/: http://datenschutz-
berlin.de/attachments/873/Sopot_Memorandum_Cloud_Computing.pdf
Jenkins, P. Q. (1986). An audit approach to computers.
Joosten, R. (2011). NOREA, De risico's van Cloud computing. De IT Auditor, 3e uitgave.
KPMG. (08/09). FSA IT GENERAL CONTROLS PROGRAM. KPMG.
Kvale, S. (1996). Interviews: An Introduction to Qualitative Research Interviewing. Sage.
Mancham, D. P. (2008). Computable. Opgehaald van
http://www.computable.nl/artikel/opinie/systeembeheer/2460661/1277800/grip-houden-op-de-
itcontrols.html
Moonen, H. (1995). Normatieve maatregelen voor de geautomatiseerde gegevensverwerking in het kader van de
jaarrekeningcontrole. NIVRA.
NIST. (sd). NIST. Opgehaald van http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf
PwC. (2013). Audit Manual. PwC.
Rijsenbrij, D. (1995). IT-toepassingen in bedrijven. ICT in business,
http://home.kpn.nl/~daanrijsenbrij/vision/nl/vis330h2.htm.
36
Bijlages
A. Samenvatting Interviews
Context & scope interview:
De scope van dit gesprek betreft de financiële gegevens ten behoeve jaarrekening controle die zich
(deels) bevinden in een Cloud Computing oplossing.
De focus ligt op het controleren van maatregelen (de IT General Controls) die als doelstelling hebben
een oordeel te geven betreffende de betrouwbaarheid en continuïteit van de geautomatiseerde
verwerking van deze financiële gegevens.
De huidige set van ITGC’s bestaat uit de volgende controle domeinen:
Information Security/ Access to Programs and data;
Operations;
Change management and control;
System/Program development and maintenance.
De vraag is of de huidige set van ITGC’s ten behoeve van jaarrekeningcontrole werkzaamheden,
voldoende mogelijkheid biedt om een oordeel te kunnen geven betreffende de betrouwbaarheid en
continuïteit van geautomatiseerde gegevensverwerking, als (een deel) van de aan de financiële
processen ten grondslag liggende ICT diensten/infrastructuur zich bevind in een Cloud oplossing?
Gebaseerd op de literatuur zijn de organisatorische kenmerken van Cloud Computing als volgt weer te
geven.
De vlakken in het oranje weerspiegelen die organisatorische kenmerken van Cloud Computing welke
volgens de theorie een uitdaging vormen.
Interview vraag 1.
Validatie uitkomsten literatuur onderzoek. Welke beperkingen zijn er te onderkennen betreffende de
huidige set van ITGC’s in relatie tot de kenmerken van Cloud Computing ?
Interview vraag 2.
Inventarisatie mogelijke aanvullingen/oplossingen. Welke mogelijke aanvullingen zijn er te onderkennen
voor de huidige set van ITGC’s in relatie tot de kenmerken?
37
Uniformiteit terminologie
Om zorg te dragen voor uniformiteit in de antwoorden is de geïnterviewde personen gevraagd om
indien mogelijk eventuele aanvullingen te relateren aan een overeenkomend Cobit 5 domein.
COBIT 5 Enabling, Process reference Model
38
Samenvatting feedback uit de gesprekken:
Aan alle personen en organisaties die hebben meegewerkt aan de interviews is anonimiteit toegezegd.
Er zijn interviews gehouden met: 1. Cloud Computing klant (o.a. NS);
a. IT manager
b. Service manager
c. Contract manager
d. Internal Auditors
2. Cloud Computing leverancier (o.a. KPN);
a. Service delivery manager
b. Internal Auditor verantwoordelijk voor de externe verantwoording.
3. External Auditors BIG 4 (o. a. PwC, EY, Deloitte).
1. Samenvatting gesprekken vanuit Cloud Computing klant perspectief:
Men onderkent en herkent het gebrek aan controle en transparantie, dit uit zich met name
gedurende incidenten;
Men is zich veelal niet bewust van de risico’s die gebrek aan transparantie en controle met zich
meebrengen;
Men is zich niet altijd bewust van de mogelijkheid dat een Cloud leverancier op zijn beurt ook
weer sub leveranciers heeft, en ook niet wat dit betekent voor het privacy en security
vraagstuk;
Rollen en verantwoordelijkheden, maar zeker ook verplichtingen zijn wazig. Helemaal in een
keten van leveranciers;
Contracten en de verwante Service Level Agreements (SLA) bieden niet voldoende diepgang
en detail om iets te kunnen zeggen over de (effectiviteit van) maatregelen die Beschikbaarheid,
Integriteit, Volledigheid en Controleerbaarheid van gegevens in een Cloud Computing
omgeving dienen te garanderen;
Third Party Mededelingen van Cloud Computing leveranciers zijn moeilijk te interpreteren.
Het is moeilijk om te bepalen of het bereik (de scope) van de ten behoeve van de TPM
uitgevoerde werkzaamheden een deel, of de gehele IT infrastructuur betreft die
gerelateerd is aan de financiële processen ten grondslag liggende applicaties,
databases etc.;
De ITGC’s zoals in de context van de interviews benoemd zijn niet expliciet benoemd
in de TPM’s;
Vaak zijn de sub leveranciers niet opgenomen in de TPM, waardoor er geen
Assurance over de keten wordt gegeven;
Opgehangen aan o.a. de privacy wetgeving gaat de Cloud Computing leverancier volgens de
klant vaak niet akkoord met het opnemen van een ‘right to audit’ clausule in het contract.
Ten behoeve van het verbeteren van interne controle over de diensten van een Cloud Computing
leverancier zijn de volgende Cobit 5 domeinen aangedragen door de geïnterviewde personen:
AP009 Manage service agreements;
AP010 Manage suppliers;
MEA02 Monitor, Evaluate and Assess the System of Internal Control;
AP007 Manage human resources;
DSS01.02 Manage Outsourced IT services.
Een aanvulling die werd aangedragen die niet te relateren is aan een Cobit 5 domein is;
Right to audit: Het toevoegen van een zogenaamde ‘Right to audit’ clausule in contracten.
2. Samenvatting gesprekken vanuit Cloud Computing leverancier perspectief:
De geïnterviewde personen onderkennen de kenmerken van Cloud Computing die op basis
van de literatuur zijn beschreven in deze scriptie;
39
Pas sinds kort zijn Cloud Computing leveranciers zelf initiatieven aan het opstarten om
meer controle en transparantie over de dienstverlening te bieden, dit heeft met name te
maken met de commerciële mogelijkheden die dit biedt (met name het onderscheiden in de
markt);
Men wijst er op dat de inhoud van de contracten en SLA’s ook de verantwoordelijkheid is
van de Cloud Computing klant. Als leverancier leveren zij met name gestandaardiseerde
oplossingen conform standaard contracten en SLA’s, indien een klant expliciete wensen en
(controle maatregelen) eisen heeft dan is de klant er voor verantwoordelijk dat dit wordt
opgenomen in de overeengekomen contracten. Dit kan wel extra kosten met zich
meebrengen;
Waar mogelijk worden afspraken omtrent service levels en controle maatregelen geborgd
in de keten, of deze keten zich in of extern bevindt maakt in dat geval niet uit, echter wijst
de praktijk uit dat zelfs intern niet altijd processen, procedures en werkzaamheden op
elkaar zijn afgestemd waardoor controle over deze keten een punt van aandacht is;
Een van de recente ontwikkelingen om (keten) transparantie te borgen is de (technische)
implementatie van continuous monitoring. Momenteel wordt er onderzocht bij de
organisatie van een van de geïnterviewde of deze monitoring informatie kan worden
ontsloten naar de Cloud Computing klant en/of naar een externe assurance verlener ten
behoeve van continuous auditing.
Ook bij deze groep van geïnterviewde personen zijn ten behoeve van het verbeteren van controle
over de diensten van een Cloud Computing leverancier en ook over de controle in een keten van
sub leveranciers de volgende Cobit 5 domeinen aangedragen:
AP009 Manage service agreements;
AP010 Manage suppliers;
MEA02 Monitor, Evaluate and Assess the System of Internal Control;
AP007 Manage human resources;
DSS01.02 Manage Outsourced IT services.
Een aanvulling die werd aangedragen die niet te relateren is aan een Cobit 5 domein is;
Continuous monitoring/auditing.
3. Samenvatting gesprekken vanuit het perspectief van de External Auditors (BIG 4):
Men geeft aan dat de inhoud van de ITGC controle raamwerken en werkprogramma’s
welke worden gebruikt bij de jaarrekeningcontrole werkzaamheden al jaren onveranderd
zijn;
Als financiële gegevens en/of systemen in een Cloud Computing omgeving staan worden
er geen aanvullende controle maatregelen gedefinieerd, soms wordt de scope van de te
‘auditen’ infrastructuur iets uitgebreid, maar meestal, door het ontbreken van controle en
transparantie over de infrastructuur die door de Cloud Computing leverancier wordt
beheerd betreft het object van onderzoek vaak alleen maar de financiële applicatie of (deel
van) een database. Het betreft vrijwel nooit de gehele aan een financieel systeem ten
grondslag liggende (technische) infrastructuur;
Er is door het krappe budget beschikbaar voor de IT auditor ten behoeve van de ITGC
testwerkzaamheden weinig kans om kritisch te kijken naar de scope en inhoud van de uit
te voeren test werkzaamheden. Dit is een van de redenen dat vaak standaard
werkprogramma’s worden gebruikt;
Het uitvoeren van de ITGC opdrachten wordt als saai beschouwd, men ‘leert niets nieuws’
en het heersende gevoel is dat de werkzaamheden altijd snel en oppervlakkig
plaatsvinden. Een term die onafhankelijk door de geïnterviewde personen vaak wordt
gebruikt is ’scratching the surface’;
Men gaf wel aan dat er ten behoeve van het borgen van de controleerbaarheid van de
huidige set aan ITGC’s in een Cloud Computing omgeving er aanvullende maatregelen
gecontroleerd dienen te worden bij de (interne) beheer organisatie, omdat zij
eindverantwoordelijk zijn voor een getrouwe weergave van de werkelijkheid op basis van
hun financiële gegevens.
40
Afstemmen resultaat interviews:
Gebaseerd op de verzamelde input uit alle interviews is de volgende samenvatting en visuele weergave
opgesteld en afgestemd met alle geïnterviewde personen:
Probleem:
Cloud Computing kent een aantal organisatorische kenmerken welke een impact hebben op het doel
van de huidige set van ITGC’s, namelijk:
1. Faciliterende/ onderliggende IT-infrastructuur
Het ontbreken van inzicht in, en controle over de (geografische) locatie van gegevens en de onderliggende (al dan niet fysieke en/of virtuele) infrastructuur welke zich in de Cloud bevinden;
2. De interne (IT) beheersingsorganisatie
Het ontbreken van inzicht in, en controle over Cloud service provider processen, procedures en werkzaamheden, en
de door de Cloud service provider uitbesteedde diensten en werkzaamheden aan sub-leveranciers, en hun respectievelijke processen, procedures en werkzaamheden;
3. Controleerbaarheid van de maatregelen (IT General Controls)
Het ontbreken van inzicht in, en controle over de maatregelen ten behoeve van het voorkomen van inbreuken op informatie (beveiliging) zoals schendingen van de vertrouwelijkheid, integriteit of beschikbaarheid van gegevens;
Het vervagen of verdwijnen van verantwoording en verantwoordelijkheid in een keten van (sub) leveranciers.
Aangedragen oplossingen:
Borgen van ‘keten’ transparantie en controle verplichting in contracten, o.a.
a. Verplichting tot het (laten) uitbrengen van een Third Party Mededeling (TPM), waarmee
(een zekere mate van) ‘Assurance’ kan worden gegeven middels bijvoorbeeld de
NOREA Richtlijn 3000 en Richtlijn 3402 (internationaal bekend als ISAE 3000, 3402).
i. Met minimaal in de scope van de TPM:
1. De voor de jaarrekening relevante ITGC’s;
2. De financiële informatiestromen t.b.v. de jaarrekeningcontrole;
3. De ondersteunende applicaties, databases en onderliggende ICT
infrastructuur;
4. Keten transparantie en controle waarborgen.
b. Right to Audit;
c. Continuous auditing/monitoring;
d. Roles and responsibilities;
e. Accountability.
Borgen ITGC controle domeinen en maatregelen, en het gewenste niveau van transparantie en
controle in SLA’s en Underpinning Contracts
a. (Keten) transparantie en controle;
b. Continuous monitoring/auditing.
Inrichting van de organisatie, van (IT) beheer organisatie naar regie organisatie
b. Kennis, kunde, en competenties van personeel.
41
B. Geraadpleegde literatuur ten behoeve van het vaststellen van de organisatorische kenmerken
van Cloud Computing.
ENISA Cloud Computing: Benefits, Risks and
Recommendations for Information Security.
https://www.enisa.europa.eu/activities/risk-
management/files/deliverables/cloud-computing-risk-
assessment.
ENISA Cloud Computing Information
Assurance Framework.
http://www.enisa.europa.eu/activities/risk-
management/files/deliverables/cloud-computing-
information-assurance-framework.
ENISA Security and Resilience in
Governmental Clouds.
http://www.enisa.europa.eu/activities/risk-
management/emerging-and-future-
risk/deliverables/security-and-resilience-in-governmental-
clouds/.
ENISA Survey and analysis of security
parameters in cloud SLAs across the
European public sector.
http://www.enisa.europa.eu/activities/application-
security/test/survey-and-analysis-of-security-parameters-in-
cloud-slas-across-the-european-public-sector.
CSA Cloud Security Alliance Cloud Controls
Matrix
https://cloudsecurityalliance.org/research/ccm/.
ISO Guidelines on information security
controls for the use of cloud computing
services
http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue
_detail.htm?csnumber=43757.
NIST definition of Cloud Computing http://csrc.nist.gov/publications/nistpubs/800-145/SP800-
145.pdf
NOREA de risico’s van Cloud Computing http://www.norea.nl/readfile.aspx?ContentID=69509&Object
ID=958522&Type=1&File=0000036581_Risc%20Cloud%20
computing.pdf
IWGDPT Sopot Memorandum Cloud
Computing
http://datenschutz-berlin.de/: http://datenschutz-
berlin.de/attachments/873/Sopot_Memorandum_Cloud_Co
mputing.pdf