[Whitepaper] IT general controls versus application controls

[Whitepaper] IT general controls versus application controls

Application controls verwijzen naar de transacties en gegevens met betrekking tot elk op een computer gebaseerd applicatie-systeem; daarom zijn ze specifiek voor elke toepassing. IT general controls (ITGC) zorgen voor de juiste ontwikkeling en implementatie van applicaties, evenals de integriteit van programma's, databestanden en computerbewerkingen.

Het is van belang om de algemene IT-randvoorwaarden goed op orde te hebben voordat een accountant überhaupt kan gaan beoordelen of er in de jaarcontrole gesteund kan worden op de controlemaatregelen die de software voor digitale factuurverwerking biedt. IT General Controls (ITGC) zijn dus essentieel voor de effectiviteit van application controls.

IT general controls uitgelicht

Er zijn allerlei verschillende ITGC te bedenken. Om een idee te schetsen worden hieronder drie sprekende voorbeelden belicht waarbij het in de praktijk flink misging:

  • Logische toegangsbeveiliging tot de applicatie;
  • Wijzigingsbeheer;
  • Continuïteit in de vorm van back-up en recovery.

 

Logische toegangsbeveiliging
Niet iedere werknemer hoeft toegang nodig tot de salarisadministratie. Sterker nog, het is misschien maar beter dat niet alle salarissen intern openbaar zijn. Maar het is bijvoorbeeld ook niet nodig dat iedere werknemer toegang heeft tot alle sales documenten, zoals offertes en dergelijke.

Met logische toegangsbeveiliging wordt bedoeld dat het duidelijk is welke medewerker er welke actie mag nemen in het systeem. Hierbij is het van belang om vast te stellen wat de identiteit is van de gebruiker; Dat wordt opgelost door een eigen account per gebruiker. Om vervolgens te verifiëren dat daadwerkelijk de juiste persoon is ingelogd op het systeem wordt gebruikgemaakt van een password policy. Uiteindelijk krijgt iedere gebruiker enkel rechten toegekend om binnen het systeem te navigeren naar relevante data, dat is de autorisatie.

Tot nu toe geen rocket science en waarschijnlijk meer dan logisch.

Wat gaat er weleens mis met toegangsbeveiliging?

  • Alle gebruikers binnen de organisatie hebben hetzelfde wachtwoord;
  • Facturen worden geautoriseerd met groep gebruiker-accounts, waarbij meerdere medewerkers gebruikmaken van hetzelfde account om de facturen goed te keuren;
  • Medewerkers kunnen zowel facturen scannen als autoriseren;
  • Na uitdiensttreding van een medewerker wordt de betreffende account nog steeds gebruik om facturen goed te keuren.

 

Wijzigingsbeheer
Wijzigingsbeheer is een tweeledige control.

Allereerst mogen updates en upgrades de werking van de software niet beïnvloeden. Met andere woorden, de koppeling met het financieel systeem en alle instellingen mogen niet worden beïnvloed door updates.

Ten tweede moet het middels logging inzichtelijk zijn welke wijzigingen er worden doorgevoerd in de functionele inrichting van het systeem. Denk daarbij aan aanpassingen in de autorisatiestructuur. Deze mogen alleen worden toegepast door daartoe bevoegde personen. Ook moet achteraf inzichtelijk zijn welke functionele aanpassingen zijn gedaan en door wie.

Wat gaat er weleens mis met wijzigingsbeheer?

  • Updates van de software hebben impact op de werking van de koppeling;
  • Door updates worden instellingen gewijzigd/terug gezet naar de beginstand;
  • Het is niet inzichtelijk welke medewerker welke wijzigingen in de autorisaties doorvoert.

 

Continuïteit middels back-up en recovery
Het is voor de accountant noodzakelijk om vast te stellen dat de continuïteit van de applicatie is geborgd middels de juiste back-up en recovery procedures. In een cloud-omgeving wordt dit door de leverancier geregeld, maar bij een on-premise oplossing neemt de organisatie deze verantwoordelijkheid zelf op de schouders.

Wat gaat er weleens mis bij back-up en recovery?

  • Er worden niet vaak genoeg back-ups gemaakt, waardoor er toch data verloren gaat wanneer een back-up wordt teruggezet;
  • De back-up staat fysiek op dezelfde plek als de productiedatabase, waardoor bij brand alle data verloren gaat.

 

In de whitepaper Compliance met purchase-to-pay automatisering zetten we de bril van de externe account op. Daarmee kijken we naar de risico’s en mogelijke systeemcontroles binnen purchase-to-pay systemen die helpen om in control te zijn.

[Whitepaper] Compliance met
purchase-to-pay automatisering

In deze whitepaper behandelen we o.a. de volgende onderwerpen:

  • IT general controls versus applications controls
  • Welke application controls worden verwacht in software voor factuurverwerking?
  • Vaak gemiste functionaliteit in software voor factuurverwerking

Alle artikelen