• Nieuws
    • Accountancy
    • Fiscaal
    • Vaktechniek
  • Blog
  • Thema
    • AV3: ICT en Kengetallen
    • AV2: Bedrijfsoverdracht
    • Checkpoints
    • Corona
    • AV1: Lifestyle en carrière
  • Partners
  • Software
  • Opleidingen
  • Vacatures
    • Kantoren
  • Kennisdocs
  • Events
    • Nationale salarisdag
  • AV Top 50
    • AV-Top 50 | 2022
    • AV-Top 50 | 2021
  • Over ons
  • Adverteren
  • Vrienden
  • Contact
  • Nieuwsbrief
  • STAP-budget
  • Facebook
  • Twitter
  • LinkedIn
  • Mail
  • Spring naar de hoofdnavigatie
  • Door naar de hoofd inhoud
  • Spring naar de eerste sidebar
  • Spring naar de voettekst
  • Over ons
  • Adverteren
  • Vrienden
  • Contact
  • Nieuwsbrief
  • STAP-budget
Accountancy Vanmorgen

  • Nieuws
    • Accountancy
    • Fiscaal
    • Vaktechniek
  • Blog
  • Thema
    • AV3: ICT en Kengetallen
    • AV2: Bedrijfsoverdracht
    • Checkpoints
    • Corona
    • AV1: Lifestyle en carrière
  • Partners
  • Software
  • Opleidingen
  • Vacatures
    • Kantoren
  • Kennisdocs
  • Events
    • Nationale salarisdag
  • AV Top 50
    • AV-Top 50 | 2022
    • AV-Top 50 | 2021
Home » Nieuwe IT-toegangsbeveiligingen: eenvoudiger en doeltreffender dan user name/password

Nieuwe IT-toegangsbeveiligingen: eenvoudiger en doeltreffender dan user name/password

Accountancy, Blog

17 juli 2015 door Accountancy Vanmorgen

Accountancy Vanmorgen

Een adequate, logische toegangsbeveiliging tot de geautomatiseerde systemen is nog steeds een onvervangbare maatregel van interne beheersing. Niet alleen in de audit- maar ook in de samenstelpraktijk is dit een aandachtspunt, immers ook daar lopen ondernemers digitale risico’s. Kortom ondernemingen – en accountants moeten daar goed op letten – moeten hier opnieuw de puntjes op de i zetten. En dat is geen rocket science.

Bij de meeste bedrijven heeft een controller of een systeembeheerder alle rechten binnen een applicatie, simpelweg omdat het functioneel is. Bedrijven kiezen voor zo’n functionele benadering van authenticatie en autorisatie. Daarbij stellen zij zich vaak niet de vraag: welke risico’s lopen we? Er is immers vooral behoefte aan voor de business werkbare oplossingen. Als je dan als accountant of IT-auditor aankomt met formele managementletterpunten waarin wordt gepleit voor een strakke logische toegangsbeveiliging dan is dat een bijna kansloze missie. Zeker als dat betekent dat een controller zijn rechten (lees status) moet afstaan.

Hierdoor is een systeemgerichte controle leuke theorie maar in praktijk nauwelijks uitvoerbaar. Als je een stap verder gaat zou je zelfs vraagtekens kunnen zetten bij de betrouwbaarheid van de transactieverwerking als zodanig. Immers, wie kan nog de garantie geven dat er niet gerommeld is met de transacties als een controller alles kan en mag in een financiële applicatie? Daarmee leggen we gelijk een bommetje onder de theorie dat met data-analyse de voortdurende werking van logische toegangsbeveiliging kan worden vastgesteld. Zonder een goed wijzigingsbeheer op uitgifte en inname van accounts, wachtwoorden en rechten weten we niet of de geregistreerde medewerker bij de transactie wel daadwerkelijk degene is die de bewerking heeft uitgevoerd. Dit riekt inderdaad naar de directe route richting een controleverklaring met oordeelonthouding zoals die inmiddels soms ook al door toetsers wordt gepropageerd.

Procesvolwassenheid

De betrouwbaarheid van een proces wordt, gelukkig voor accountants, door veel meer factoren bepaald dan alleen de logische toegangsbeveiliging. De PDCA (plan-do-check-act) cyclus van Deming is al enige jaren geleden onderdeel geworden van CoBIT (Control Objectives for Information and Related Technologies) en biedt een overzichtelijke manier om de volwassenheid van een proces en daarmee de mogelijke verwachting omtrent de controleerbaarheid ervan vooraf vast te kunnen stellen.

Aan de hand van gerichte vragen over de werking van de PDCA cyclus kan die verwachting vervolgens aan de werkelijkheid worden getoetst.

Om u op weg te helpen delen we deze vragen (gebaseerd op CoBIT 5) graag met u aan het einde van dit artikel.

 

Deze vragen kunt u op bijna elk proces toepassen om de volwassenheid snel in kaart te brengen. Uiteraard wordt er ook gekeken naar autorisatie (Do-fase tweede vraag) maar er zijn veel meer en soms zelfs betere aanknopingspunten voor de betrouwbaarheid van een proces. Je zou bijna zeggen dat logische toegangsbeveiliging overgewaardeerd is binnen de accountantscontrole. Dit is niet helemaal waar natuurlijk. Maar om te stellen dat er zonder een adequate logische toegangsbeveiliging geen goedkeurende verklaring mogelijk is, daar kunnen we met elkaar vraagtekens bij zetten.

Praktisch werkbare oplossingen voor logische toegangsbeveiliging

Dit neemt niet weg dat een goede logische toegangsbeveiliging nog steeds een waardevol stukje extra controlezekerheid  biedt. Alleen al om die reden is het goed om te zoeken naar werkbare oplossingen waarmee ook kleinere controleklanten uit de voeten kunnen.
De techniek anno nu komt ons hierbij steeds meer te hulp. Wat zou u samen met u klant kunnen doen om logische toegangsbeveiliging op een werkbare manier in te richten voor zowel business als auditor?

  • Om te beginnen kunt u de klant attenderen op twee fasen authenticatie waarbij bijvoorbeeld gebruik wordt gemaakt van een app op een smartphone als extra slot op de deur. Hierdoor wordt de authenticatie vraag (bent uw wie u zegt dat u bent?) in een keer getackeld. Immers het uitwisselen van wachtwoorden is in een klap zinloos geworden.
    Hiermee voorkomt u ook dat medewerkers maandelijks hun wachtwoord moeten wijzigen, wat de garantie is voor een vast en dus makkelijker hackbaar patroon in wachtwoordstructuren, of (nog erger) geeltjes onder het toetsenbord.
  • Verder kan er gedacht worden aan een oplossing die in de SAP wereld al lang bekend staat onder te term Firefighter account. Een apart account waarmee bijzonder beheertaken op een systeem kunnen worden uitgevoerd en wat dient als vervanging voor de noodzaak om alle rechten toe te kennen aan de controller of systeembeheerder. Typisch kenmerken van een dergelijk account zijn:
    • Permanente logging van alle activiteiten
    • Geen mogelijkheid om rechtenbeheer uit te voeren
    • Een aparte aanvraagprocedure om het wachtwoord van het account te verkrijgen
    • Directe wijziging van het wachtwoord na gebruik
    • Beperkte toegangsduur op het account.
  • Nog net iets verder van ons bed zijn de biometrische beveiligingsopties zoals de vingerafdrukscanner. Maar het zal niet lang meer duren of deze zullen het traditionele aanloggen met een wachtwoord (geheel of gedeeltelijk) vervangen.
  • Echt interessant wordt het als processmining als aanvullend controlemiddel om de hoek komt kijken als manier om de voortdurende werking van een klantproces mee vast te kunnen stellen. Immers dan zien we niet alleen hoe het proces zich werkelijk heeft voltrokken, maar is in één keer de vraag wie er steeds afwijkt van de procedures veel makkelijker te beantwoorden.

 

Kortom het moment dat we de discussie mogen gaan starten over logische toegangsbeveiliging als wellicht zelfs (deels) vervangbare maatregel van interne beheersing is wat mij betreft aangebroken en gegeven steeds verdergaande integratie tussen proces en IT ook hard nodig.

Jack van Crooij MSc.

Directeur Refl@ction

 

Categorie: Accountancy, Blog Tags: audit, ICT, samenstellen

Tags: audit, ICT, samenstellen

Gerelateerde artikelen

9 januari 2023

EY spekt overnamekas adviestak met ruim 2 miljard

22 september 2022

AV3 2022 | ICT-compliance in de accountancy: 5 grootste valkuilen

20 september 2022

AV3 2022 | ‘Maak jezelf immuun voor inflatie door efficiënter te werken en je processen te automatiseren’

20 september 2022

AV3 2022 | De digitale accountancy langs de meetlat

Geef een antwoord Reactie annuleren

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Meest gelezen

  • Limburgse bakker niet blij met Flynth: ‘maken zich druk over aardbeien in de winter’
  • NOB adviseert ook bezwaar tegen nieuwe definitieve aanslagen box 3
  • Vennoten voldoende gewaarschuwd voor risico’s oplopende rekening-courantschuld
  • ‘Als je zindelijk bent, word je aangenomen’

Partnercarrousel

Bezwaar en beroep instellen tegen NOW loont vaak – maar niet altijd
Exact logo
Compliancy moet, maar tegen welke prijs?
7 tips om het jaar goed te starten met je bedrijf
AV-Top 50 | Boekhoudsoftware met een ziel
PSD2, wat moet je ermee?
Yuki logo 042021
Met datagedreven management het personeelstekort te lijf
Caseware nieuw aug 2022
CaseWare komt met nieuw product AUDIT+
Het einde van de schoenendoos?
De cloud maakt het werk van de accountant écht leuker
Visma Pinkweb logo
Wat staat er in een ICT-calamiteitenplan?
Vijf backoffice-tools voor het moderne administratiekantoor
Add-on in KING Software maakt bestandsuitwisseling tussen accountant en klant eenvoudiger
Het Cloud document management systeem, speciaal voor de accountancy

Loket.nl de meest betrouwbare online applicatie voor HR en …  

Vier salarissoftware trends voor 2023
Oriënteert je klant zich op nieuwe software? Alarmbellen!

Met Hyarchis Comply zijn we al 12 jaar actief in de …  

Klop & Partners is opgericht in het jaar 1982 als …  

Een tekort aan medewerkers, hoe los je dat op? | 5 tips
Hé accountant, hoe staat het met jouw Cybersecurity?
Meer dan 80% van de accountants heeft onvoldoende kennis van cybersecurity en NIS2-regelgeving
Sdu

GAC is leverancier van Microsoft Dynamics 365 …  

Loondoorbetaling zieke AOW’er van 13 naar 6 weken: het wat en waarom
Uitbreiding NT Middelgroot faciliteert aanleveren van één dataset aan KvK en bank voor middelgrote ondernemingen
Gijzelsoftware grijpt accountantskantoren (zo verklein je de kans op een aanval)
Hoe Rijkse Accountants & Adviseurs zichzelf en ondernemers helpt met WeFact
Uw accountantskantoor altijd alle cijfers bij de hand
Fiscount en Markus Verbeek Praehep gaan opleidingsaanbod combineren
Als accountant afscheid nemen van ‘uurtje-factuurtje’?
Deadline renseigneringsverplichting nadert: nog veel onduidelijkheid
Hoe krijg je als controller grip op de uitdagingen van de huidige arbeidsmarktcrisis?
Ondernemers verwachten meer van hun adviseur, is ‘dropshipping’ de oplossing?
Spannende tijden voor zelfstandigen in de accountancysector: de laatste stand van zaken
Koen Scheepers adviseur bij Credion
De valkuilen bij een turboliquidatie

Checkpoints van Fiscount en AV

Abonneer nieuwsbrief AV

Vacatures

Meewerkstage Accountancy
Flynth
Senior accountant relatiebeheerder mkb in Rotterdam.
Moore DRV
Vacature gevorderd assistent accountant
WEA Deltaland
Relatiebeheerder / Accountant MKB
Moore MTH
Intern Controller/ Auditor
Gemeente Heerde
Manager audit
Moore MTH
Data-Scientist (medior)
Coney Minds
Financieel administratief medewerker
Scab
Ervaren assistent-accountants samenstelpraktijk (dit betreft meerdere vacatures)
WEA Gouda
Zelfstandig assistent accountant
CROP
Belastingadviseur BTW – Venlo
Flynth
Supervisor Assurance – Amersfoort
CROP
Ervaren Assistent-Accountant (32 – 40 uur)
Jongejan & Partners
Senior external auditor/aankomend vennoot
Klop
Assistent Accountant Audit
HLB Witlox Van den Boomen
Adviseur Corporate Finance (32-40 uur) – Alkmaar
De Hooge Waerder
Junior Tax Consultant | Employer Tax Advisory Services. – Amersfoort, Arnhem, Ede, Hoofddorp of Utrecht
CROP
Controleleider Audit
Flynth
Vennotabel AA/RA manager te Aalsmeer
Klop & Partners
Medewerker Belastingadvies
Flynth
Beginnend assistent-accountant MKB duaal
Moore MTH
Assistent-Accountant (gevorderd) / aankomend adviseur mkb – Zwolle
KRC Van Elderen
Gevorderd assistent Accountant Samenstelpraktijk (min. 24 uur per week) – Amersfoort, Ede, Hoofddorp en Utrecht
CROP
Relatiebeheerder MKB
Moore MTH
Supervisor audit in Oud-Beijerland
Moore DRV
ASSISTENT-ACCOUNTANT (24 – 40 uur)
Jongejan & Partners
Relatiebeheerder Accountancy & Advies | 24-40 uur per week
CROP
(Senior) Manager Accountancy & Advies
HLB Witlox Van den Boomen
Relatiebeheerder/teamleider agro • Kesteren
WEA Deltaland
Director accountancy & advies
Baker Tilly
Accountant manager audit in Rotterdam
Moore DRV
Werkperiode Junior assistent accountant samenstelpraktijk
Scab
Relatiebeheerder / Accountant MKB
Moore MTH
Staff Assurance | WO starter- Amersfoort
CROP
Gevorderd assistent-accountant MKB
Moore MTH
Belastingadviseur Agro
Flynth
Senior Assistent Accountant Audit
HLB Witlox Van den Boomen
(zelfstandig) Assistent-accountant
van de Kamp & van Gelder
Externe Accountant
Coney Minds
Vennotabel RA external auditor te Amsterdam
Klop & Partners
Officemanager
van Helder
Assistent-Accountant (gevorderd) – Wezep
KRC Van Elderen
Vacature Manager Assurance
CROP
Assistent Accountant (24 – 40 uur)
Flynth
Gevorderd Assistent Accountant
Moore MTH
Fiscalist (24-40 uur) – Alkmaar
De Hooge Waerder
Controleleider Audit (Zwolle)
KRC Van Elderen
Tax Consultant | Employer Tax Advisory Services – Amersfoort, Arnhem, Ede, Hoofddorp of Utrecht
CROP
Senior assistant audit in Zeeland
Moore DRV
Medewerker Facturatie
Flynth
Supervisor audit in Brabant
Moore DRV
Voorzitter en een lid Raad van Commissarissen Countus Groep B.V.
Countus Groep B.V.
Staff Assurance- Amersfoort, Ede en Utrecht
CROP
Accountant RA (Nijmegen)
Konings & Meeuwissen
Accountant Agro
Flynth
Docent Accountancy (1,0 fte)
Hogeschool van Amsterdam
Senior accountant relatiebeheerder mkb in Bergen op Zoom
Moore DRV
Manager Accountancy en Advies
HLB Witlox Van den Boomen
Assistent Accountant
Marshoek
Opdrachtmanager Accountancy & Advies
Witlox van den Boomen
Junior Assistent Accountant Samenstelpraktijk ( min. 24 uur per week)- Amersfoort, Ede, Hoofddorp en Utrecht
CROP
Vaktechnisch Profesional – Amersfoort
CROP
Beginnend Belastingadviseur (32-40 uur) – Beverwijk of Haarlem
De Hooge Waerder
Senior Assistent Accountant Audit
Flynth
Senior manager Accountancy general practice samenstelpraktijk te Arnhem
Klop
Werkstudent accountancy MKB
Moore MTH
Assistent Accountant (24 – 40 uur)
Flynth
Controleleider
WEA Gouda
Cost Accountant
Top Onions
Assistent Accountant Agro
Flynth
Accountant AA (Nijmegen)
Konings & Meeuwissen
Vennotabel Directeur audit RA
Klop
Assistent Accountancy en Advies
HLB Witlox
Manager audit
Moore MTH
Vacature accountant
WEA Deltaland
Senior Manager Samenstelpraktijk
RSM
Senior financial auditor
Gemeente Haarlem
Senior Supervisor Assurance- Amersfoort, Arnhem, Hoofddorp en Utrecht
CROP
Relatiebeheerder / Accountant MKB
Moore MTH
(senior) Medewerker aangiftepraktijk
Scab
Ondernemende Belastingadviseur (32-40 uur)
Boon Accountants Belastingadviseurs/ Boon Registeraccountants
Director accountancy & advies
Baker Tilly

Accountancy Vanmorgen (AV) is het platform voor accountants en iedereen die geïnteresseerd is in nieuws, trends, ontwikkelingen, achtergronden en wetenswaardigheden in en rond accountancy en ondernemerschap.

Accountancy Vanmorgen is een uitgave van MOCuitgevers.

 

Categorie

  • Nieuws
  • Blog
  • Partners
  • Software
  • Opleidingen
  • Vacatures
  • AV-events

Info

  • Over ons
  • Adverteren
  • Vrienden
  • Contact
  • Shop
  • Algemene voorwaarden MOCuitgevers
  • Annuleringsvoorwaarden
  • Privacybeleid
  • Facebook
  • Twitter
  • LinkedIn
  • Mail
Cookies
Om u beter van dienst te kunnen zijn, maakt Accountancy Vanmorgen gebruik van cookies. Klik op instellingen om de cookie instellingen te wijzigen.
  • Ik ga akkoord
  • Instellingen
  • Functionele cookies zijn noodzakelijk voor de werking van deze website.
  • We gebruiken Google Analytics, netjes geanonimiseerd.
  • We gebruiken de marketing cookies om gepersonaliseerde advertenties te tonen.
  • Annuleren
  • Ik ga akkoord

Instellingen