Het mysterie rondom IT General Controls; welke zijn het?

Heeft jou accountanthet ook over generieke IT beheermaatregelen of IT General Controls (ITGCs) diezij willen beoordelen? Als je wilt weten welk framework wordt gebruikt of vraagtnaar een lijstje van de IT beheermaatregelen is een antwoord ver te zoeken. Hetis een geheime lijst die kennelijk iedere IT auditor en vele accountantskennen, maar hoe en wat is onbekend. De International Federation of Accountants(IFAC) onthult de geheimen rondom de ITGCs.

Waarvoor zijn de ITGeneral Controls?

ITGCs - generieke IT beheermaatregelenom de betrouwbaarheid van IT systemen te bepalen. Zijn dit de systemen die voorhet bedrijf van belang zijn? Niet altijd, want het gaat vooral om systemen dievoor de accountant belangrijk zijn. Kan je wel stellen dat je IT systemenveilig zijn en de IT op orde is als je ongeschonden door de IT audit komt? Nee,ook dat kan je niet zo stellen.

ITGCs zijn beheermaatregelendie de IT auditor relevant acht in het IT beheerproces, waarbij de meestbelangrijke risico’s - risico’s die betrekking hebben op de jaarrekening - wordenafgedicht. Het gaat dan om risico’s als ongeautoriseerde toegang tot data watkan leiden tot onjuiste data, waaronder niet bestaande transacties of onjuistevastlegging van transacties die in de financiële verslaglegging terechtkomen.Ook risico’s met betrekking tot functiescheidingsconflicten, risico’s metbetrekking tot het doorvoeren van wijzigingen in het IT systeem en risico’s metbetrekking tot de beschikbaarheid van data. Het is onwenselijk dat automatischeboekingsgangen opeens anders verlopen of dat data niet te herstellen is dooreen gebrek aan back-up en recovery beheermaatregelen. ITGCs zijn dus generiekeIT beheermaatregelen die de IT auditor of accountant identificeert om tebegrijpen welke belangrijke risico’s in de IT systemen worden beheerst in hetkader van de jaarrekening.

Welke beheermaatregelen moeten zijn geïmplementeerd?

DeIFAC heeft een lijst opgesteld met voorbeelden van generieke IT beheermaatregelendie de auditor in overweging kan nemen bij het bepalen van de ITGCs (Bijlage 6; ISA 315; IFAC). Het isgeen kant-en-klare lijst van beheermaatregelen die je moet implementeren. Hetklinkt vaag, maar deze lijst is een houvast die accountants en IT auditors veelgebruiken. Deze beheermaatregelen/ITGCs zie je bij alle accountantskantoren welterug (zoals Deloitte, die heeft hierover een paper geschreven), ,echter moeten auditors altijd de vrijheid hebben om op zoek te gaan naar meerderebeheermaatregelen als zij de risico’s in het kader van de jaarrekeningcontrolein kaart brengen. De beheermaatregelen genoemd in de International Standard onAuditing 315 zijn wel de basis waar altijd naar gekeken wordt (zie figuur 1).Deze beheermaatregelen worden vaak getoetst op applicatie niveau, maar ookwordt een subset van deze beheermaatregelen getoetst op database, operatingsystem en netwerk niveau.

Deze lijst met beheermaatregelenwerkt dus voor de accountant als een mooie basis. Vaak wordt er gekeken of beheermaatregelendie de klant heeft geïmplementeerd hiermee overeenkomen óf worden er beheermaatregelenniet getoetst omdat deze geen risico afdichten welke van toegevoegde waarde isvoor de jaarrekeningcontrole. Het is dus geen standaard voorgeschreven lijst eniedere auditor heeft zijn eigen variatie erop. Wel is het heel handig om tegebruiken en een goede leidraad waar IT auditors en accountants op zoek naarzijn!

Heb je iets aan ITGCs?

De IT audit in het kadervan de jaarrekeningcontrole waarin ITGCs worden getoetst zijn vooral relevantvoor de accountant. Wel kan gezegd worden dat deze set aan beheermaatregelen eenbasis vormt voor betrouwbaarheid van de IT omgeving. De beheermaatregelentoepassen op de gehele IT omgeving is daarom zeker aan te raden. Er zijnnatuurlijk wel meer uitgebreide frameworks om te helpen deinformatiebeveiliging op orde te krijgen (denk hierbij aan ISO 27001/27002) enCOBIT voor de beheersing van de algehele IT omgeving.