• Nieuws
    • Accountancy
    • Fiscaal
    • Vaktechniek
  • Blog
  • Thema
    • AV3: ICT en Kengetallen
    • AV2: Bedrijfsoverdracht
    • Checkpoints
    • Corona
    • AV1: Lifestyle en carrière
  • Partners
  • Software
  • Opleidingen
  • Vacatures
    • Kantoren
  • Kennisdocs
  • Events
    • Nationale salarisdag
  • AV Top 50
    • AV-Top 50 | 2022
    • AV-Top 50 | 2021
  • Over ons
  • Adverteren
  • Vrienden
  • Contact
  • Nieuwsbrief
  • STAP-budget
  • Facebook
  • Twitter
  • LinkedIn
  • Mail
  • Spring naar de hoofdnavigatie
  • Door naar de hoofd inhoud
  • Spring naar de eerste sidebar
  • Spring naar de voettekst
  • Over ons
  • Adverteren
  • Vrienden
  • Contact
  • Nieuwsbrief
  • STAP-budget
Accountancy Vanmorgen

  • Nieuws
    • Accountancy
    • Fiscaal
    • Vaktechniek
  • Blog
  • Thema
    • AV3: ICT en Kengetallen
    • AV2: Bedrijfsoverdracht
    • Checkpoints
    • Corona
    • AV1: Lifestyle en carrière
  • Partners
  • Software
  • Opleidingen
  • Vacatures
    • Kantoren
  • Kennisdocs
  • Events
    • Nationale salarisdag
  • AV Top 50
    • AV-Top 50 | 2022
    • AV-Top 50 | 2021
Home » Robert Johan: De (on)zin van database beveiliging bij beoordeling betrouwbaarheid lijstwerk

Robert Johan: De (on)zin van database beveiliging bij beoordeling betrouwbaarheid lijstwerk

Accountancy, Nieuws

10 januari 2016 door Accountancy Vanmorgen

Accountancy Vanmorgen

Een herkenbare opmerking uit de kwaliteitsonderzoeken van de AFM: de externe accountant heeft geen of onvoldoende werkzaamheden uitgevoerd om de general IT controls en application controls te beoordelen terwijl hij wel volledig steunt op de informatie en het lijstwerk. De opmerking is in feite een waarschuwing. En de duiveltjes zitten hier in de details.

De AFM voert kwaliteitsonderzoeken uit op wettelijke controles bij accountantskantoren. Het kwaliteitsonderzoek richt zich ook op de mate waarin de accountant aandacht heeft besteed aan de General IT Controls. General IT controls zijn interne beheersingsmaatregelen met betrekking tot de geautomatiseerde gegevensverwerking en dienen de betrouwbare werking van deze geautomatiseerde gegevensverwerking te waarborgen. Een herkenbare opmerking uit de kwaliteitsonderzoeken van de AFM betreft dat de externe accountant geen of onvoldoende werkzaamheden heeft uitgevoerd om de general IT controls en application controls te beoordelen terwijl hij wel volledig steunt op de informatie en het lijstwerk. Lijstwerk betreft hierbij de voor de accountantscontrole relevante output uit applicaties. Denk hierbij aan een ouderdomsanalyse debiteuren ten behoeve van het bepalen van de voorziening debiteuren of een overzicht met prijzen per artikel ter controle van de juistheid van de prijzen.

Een van de general IT controls betreft de database beveiliging van applicaties De database beveiliging van een applicatie kan effect hebben voor de betrouwbaarheid van het lijstwerk. Mijn inziens wordt database beveiliging op een onjuiste wijze betrokken bij de accountantscontrole waardoor verkeerde conclusies omtrent de betrouwbaarheid van lijstwerk worden getrokken. 

Om de (on)zin van database beveiliging bij beoordeling van de betrouwbaarheid van het lijstwerk bij een accountantscontrole te kunnen bepalen zal een accountant moeten starten met een adequate inventarisatie van de IT en de database beveiliging. Inventarisatie is noodzakelijk om minimaal vast te stellen welke risico’s voor de betrouwbaarheid van het lijstwerk aanwezig zijn. Vervolgens dient men rekening te houden met de waarschijnlijkheid van manipulatie van de database: bijvoorbeeld in hoeverre kan iemand ongeautoriseerde prijzen in verkoopfacturen wijzigen? Feit is dat bij wijzigingen rechtstreeks in de database de interne beheersingsmaatregelen in de applicatie (application controls) mogelijkerwijs worden omzeild. Denk bij application controls aan geïmplementeerde functiescheidingen aan de hand van autorisatietabellen in de applicatie.

Uiteraard zijn er risico’s te bedenken maar deze dienen wel in het juiste kader te worden geplaatst. Ondeskundige manipulatie van een database heeft gevolgen voor de database-integriteit: mismatch tussen diverse verbanden. Deskundige manipulatie kan behoorlijk wat deskundige arbeid vergen, het is daarom niet altijd waarschijnlijk.

Op basis van de inventarisatie en de risico-analyse kan de accountant uiteindelijk komen tot het uitvoeren van de juiste werkzaamheden om de database beveiliging te beoordelen waardoor hij een juiste conclusie kan trekken of hij kan steunen op het lijstwerk.

Introductie database

De huidige applicaties maken tegenwoordig meestal gebruik van een database waarin alle data centraal wordt opgeslagen. Als een gebruiker van een applicatie zoals SAP B1 de prijs van een product wijzigt, dan zal deze wijziging worden doorgevoerd in de onderliggende database in de tabel ’prijzen’.

 

 

 

Niet iedere gebruiker zal prijswijzigingen mogen doorvoeren. In de applicatie worden gebruikers aangemaakt. Deze gebruikers krijgen, eventueel via rollen/groepen, autorisaties. Zo wordt bepaald welke gebruikers prijzen mogen wijzigen.

In sommige gevallen beschikt een applicatie over een adequate audit trail waardoor achteraf inzichtelijk is welke wijzigingen in de autorisaties hebben plaatsgevonden. Op die audit trail moet dan gedocumenteerde interne beheersing zijn toegepast om vast te stellen dat autorisaties conform de vereisten werken.

Na te zijn opgeslagen in de tabel ‘prijzen’ in de database worden er transacties uitgevoerd door medewerkers die daar dan weer de autorisatie voor hebben. Die transacties worden weggeschreven in de database in de tabel ‘factuurdetails’.

Toegang tot de tabellen ‘factuurdetails’ en ‘prijzen’ in de MS SQL database worden op een ander niveau dan de applicatie geregeld, namelijk op de database server. Een gebruiker kan toegang krijgen via specifieke tools.

 

Eens per week, maand of verslagperiode is het vervolgens voor een gebruiker belangrijk om te weten wat de inhoud is van een dergelijke database. Dan wordt een rapport gedraaid, in reviewverslagen ook wel ‘lijstwerk’ genoemd. Dat ‘lijstwerk’ is meestal een algoritme, een commando dat informatie uit de database pakt en die op een voorgeprogrammeerde plaats op een overzicht zet. Een voorbeeld is een overzicht met prijzen per artikel ter controle van de juistheid van de prijzen.

Mogelijke consequenties voor de controle

In reviewverslagen van accountantsdossier door bijvoorbeeld toezichthouders of compliance officers zie ik terugkomen dat er opmerkingen worden gemaakt over de ‘betrouwbaarheid van het lijstwerk’. Deze formulering is van een geaggregeerd niveau en valt uiteen in een aantal deelrisico’s:

  1. Iemand met een onjuiste autorisatie voert een prijswijziging door of voert een transactie uit. Dit betekent dat er een transactie tot stand komt buiten de gewenste bandbreedtes. Die transactie wordt vervolgens weggeschreven naar de database in de tabel ‘factuurdetails’.
  2. Na opname in de tabel ‘factuurdetails’ benadert iemand direct de database en muteert die gegevens. Daarbij dient men rekening te houden met het steeds verdergaand “openzetten” van databases ten behoeve van diverse doeleinden zoals management information tools waarbij medewerkers op een andere wijze dan via de applicatie zelf toegang hebben tot de database.
  3. Bij het ophalen uit de database is het algoritme waarmee de gegevens worden gepresenteerd onjuist.

Ad 1) Onjuiste autorisaties

Ten aanzien van het risico op onjuiste autorisaties geldt, dat onjuiste functiescheiding vaak geen relatie heeft met de traceerbaarheid van een transactie. De functiescheiding in de applicatie regelt alleen de transactie zelf, niet de registratie ervan. Ontbreken van adequate functiescheiding in de applicatie gaat dan niet noodzakelijkerwijs ten koste van de controleerbaarheid achteraf.

Ad 2) Mutaties in database
Ten aanzien van het risico op ongeautoriseerde mutaties in de database geldt dat dit vaak wel kan, maar technisch bijzonder complex is. Manipulatie van een database vergt:

  • kennis van het datamodel;
  • kennis van commando’s om mutaties te kunnen uitvoeren;
  • de juiste toegang tot de databases.

Bovendien is een database dusdanig complex dat het muteren van een bestaand record vaak de relatie verstoort met een controlegetal in een andere tabel (van de soms duizenden tabellen).  Zo zal een geboekte factuur waarvan de prijs is gemanipuleerd een mismatch vertonen met:

  • openstaand bedrag in de tabel debiteurenposten;
  • verkoopbedrag in de tabel goederentransactie;
  • BTW-bedrag in tabel BTW-posten

Daarnaast bestaat de mogelijkheid om gegevens te verwijderen uit een database, bijvoorbeeld een log regel (registratie van een wijziging in autorisaties) of een transactie regel, bijvoorbeeld factuurdetail. Voor wat betreft het verwijderen van een transactie: hierbij moet specifieke kennis aanwezig zijn om te weten in welke andere tabellen dan ook regels verwijderd moeten worden (zie voorbeeld eerder). 

Manipulatie van transacties in een database met onvoldoende kennis van het datamodel zal resulteren in gevolgen voor de integriteit van de database zoals het niet sluiten van bijvoorbeeld een openstaande debiteurenpost met het saldo op grootboekkaart Debiteuren. In het ergste geval kan ondeskundige manipulatie resulteren in het niet meer in balans zijn van het grootboek. Daarnaast hanteert een beetje volwassen database een oplopend nummering (recordID). Let op, een recordID is iets anders dan een factuurnummer! Het verwijderen van een regel zal opvallen aangezien er een “gap” ontstaat in de oplopende nummeringen. Een beetje slimme beheerder zal dit weten, maar zal zich ook realiseren dat het omnummeren (handmatig) een behoorlijke klus kan zijn.

Ad 3) Manipulatie query lijstwerk

Ten aanzien van het risico op manipulatie van de query van lijstwerk geldt dat het bij standaard lijstwerken in generieke pakketten vrijwel alleen mis kan gaan bij instelling van het lijstwerk. Bij een instelling kun je denken aan een datumafbakening. De code waarmee de informatie wordt opgehaald is veelal simpel en de broncode om het lijstwerk te manipuleren is vaak niet bij de cliënt beschikbaar. Risicovol wordt deze laatste stap eigenlijk voornamelijk bij datawarehouses die naast de productieapplicaties draaien en waaruit vervolgens met eigen queries overzichten worden gemaakt of bij maatwerk omgevingen met “op maat gemaakte” lijswerken.

Werkprogramma accountant

Autorisaties. Vaak constateert een IT auditor dat de audit trail van wijzigingen niet betrouwbaar is, of de accountant constateert dat de wijzigingen in autorisaties niet door interne beheersing zijn gedekt. In dat geval moet de accountant dus nadenken over wat medewerkers met onjuiste autorisaties zouden gaan doen. Welke prikkel hebben ze en welke gelegenheid bieden de te ruimte autorisatie. Op basis van die afweging kan een accountant vervolgens gericht op zoek gaan naar transacties waar dat van toepassing lijkt te zijn in de database met gegevens.

Databasemutaties. Gebruikers van een systeem hebben vrijwel nooit direct toegang tot de database of zijn niet voldoende ge-equipeert om rechtstreeks in een database te muteren. Degene die dat vaak wel is, is vaak dezelfde persoon die de logging van directe mutaties in de database weet uit te zetten. Uiteraard dient het toekennen van toegang tot de database op een dusdanige wijze te gebeuren dat deze medewerkers alleen die autorisaties hebben die strikt noodzakelijk zijn. 

 

Mutaties van gegevens is echter niet gelijk aan verwijderen. De gegevens zijn nog wel opgenomen in de database. Manipulatie zou dan kunnen worden onderkend door gegevensgerichte werkzaamheden op de gegevens opgenomen in lijstwerken.

Het verwijderen van gegevens is niet altijd te onderkennen door gegevensgerichte werkzaamheden, niet ieder systeem houdt onder water Record ID’s bij.

Als een team van oordeel is dat verwijderen van records door de Databasebeheerder (in opdracht van de leiding van de huishouding) waarschijnlijk is, dan zijn gegevensgerichte werkzaamheden moeilijk. Het moet dan al mogelijk zijn om vanuit een andere gegevensbron (bijvoorbeeld de bank) een integrale afstemming te maken om te zoeken naar de verwijderde transacties. En anders is het niet te detecteren. Sommige versies van databases ondersteunen het loggen van database wijzigingen. Deze logging zal veelal niet ingericht zijn, naast het feit dat de inrichting van een logging de nodige expertise vereist.

De lijst zelf

Ten aanzien van de lijst zelf zouden de werkzaamheden van de accountant ten minste aandacht moeten besteden aan de opbouw en de oorsprong van een lijst. Is het een standaard lijstwerk uit een gekochte applicatie of is het een management information toepassing die put uit een datawarehouse dat naast de operationele database wordt gebruikt voor sneller rapporteren. In het geval dat het een standaard lijst betreft zouden werkzaamheden beperkt kunnen blijven tot het vaststellen dat de juiste peildatum of periode is gekozen in combinatie met het vaststellen dat sprake is van release beheer rondom wijzigingen. In het geval dat het een management information toepassing betreft dienen de werkzaamheden uitgebreid te worden met het maken van een totaalaansluiting tussen het datawarehouse en het operationele systeem in combinatie met het lezen van de code van de query.

Afsluitend

Met dit artikel wil ik een richting aangeven hoe de accountant databasebeveiliging dient te betrekken bij de accountantscontrole en hoe de accountant het effect van de bevindingen op de betrouwbaarheid van het lijstwerk kan bepalen. 

Robert Johan is register EDP-auditor en directeur bij Soll-IT. Hij ondersteunt accountantskantoren in het op de juiste wijze betrekken van de automatisering van organisaties in het controleren van de jaarrekening. Met dank aan Tom Koning die het onderwerp bij Robert Johan heeft aangedragen hetgeen uiteindelijk heeft geresulteerd in dit artikel. 

Categorie: Accountancy, Nieuws Tags: AFM, ICT

Tags: AFM, ICT

Gerelateerde artikelen

12 januari 2023

AFM legt extra nadruk op duurzaamheidsrapportage en fraudedetectie

2 januari 2023

JPA daagt AFM voor rechter na boete en schorsing in zelfde zaak

15 december 2022

Meeste niet-OOB-accountantskantoren hebben cliëntacceptatie niet op orde

13 december 2022

Vraagtekens VEB over onafhankelijkheid Raad van State bij kritiek op Wet toe­komst ac­coun­tan­cy­sec­tor

Geef een antwoord Reactie annuleren

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Meest gelezen

  • Limburgse bakker niet blij met Flynth: ‘maken zich druk over aardbeien in de winter’
  • NOB adviseert ook bezwaar tegen nieuwe definitieve aanslagen box 3
  • Vennoten voldoende gewaarschuwd voor risico’s oplopende rekening-courantschuld
  • ‘Als je zindelijk bent, word je aangenomen’

Partnercarrousel

Bezwaar en beroep instellen tegen NOW loont vaak – maar niet altijd
Exact logo
Compliancy moet, maar tegen welke prijs?
7 tips om het jaar goed te starten met je bedrijf
AV-Top 50 | Boekhoudsoftware met een ziel
PSD2, wat moet je ermee?
Yuki logo 042021
Met datagedreven management het personeelstekort te lijf
Caseware nieuw aug 2022
CaseWare komt met nieuw product AUDIT+
Het einde van de schoenendoos?
De cloud maakt het werk van de accountant écht leuker
Visma Pinkweb logo
Wat staat er in een ICT-calamiteitenplan?
Vijf backoffice-tools voor het moderne administratiekantoor
Add-on in KING Software maakt bestandsuitwisseling tussen accountant en klant eenvoudiger
Het Cloud document management systeem, speciaal voor de accountancy

Loket.nl de meest betrouwbare online applicatie voor HR en …  

Vier salarissoftware trends voor 2023
Oriënteert je klant zich op nieuwe software? Alarmbellen!

Met Hyarchis Comply zijn we al 12 jaar actief in de …  

Klop & Partners is opgericht in het jaar 1982 als …  

Een tekort aan medewerkers, hoe los je dat op? | 5 tips
Hé accountant, hoe staat het met jouw Cybersecurity?
Meer dan 80% van de accountants heeft onvoldoende kennis van cybersecurity en NIS2-regelgeving
Sdu

GAC is leverancier van Microsoft Dynamics 365 …  

Loondoorbetaling zieke AOW’er van 13 naar 6 weken: het wat en waarom
Uitbreiding NT Middelgroot faciliteert aanleveren van één dataset aan KvK en bank voor middelgrote ondernemingen
Gijzelsoftware grijpt accountantskantoren (zo verklein je de kans op een aanval)
Hoe Rijkse Accountants & Adviseurs zichzelf en ondernemers helpt met WeFact
Uw accountantskantoor altijd alle cijfers bij de hand
Fiscount en Markus Verbeek Praehep gaan opleidingsaanbod combineren
Als accountant afscheid nemen van ‘uurtje-factuurtje’?
Deadline renseigneringsverplichting nadert: nog veel onduidelijkheid
Hoe krijg je als controller grip op de uitdagingen van de huidige arbeidsmarktcrisis?
Ondernemers verwachten meer van hun adviseur, is ‘dropshipping’ de oplossing?
Spannende tijden voor zelfstandigen in de accountancysector: de laatste stand van zaken
Koen Scheepers adviseur bij Credion
De valkuilen bij een turboliquidatie

Checkpoints van Fiscount en AV

Abonneer nieuwsbrief AV

Vacatures

Senior financial auditor
Gemeente Haarlem
(senior) Medewerker aangiftepraktijk
Scab
Gevorderd assistent Accountant Samenstelpraktijk (min. 24 uur per week) – Amersfoort, Ede, Hoofddorp en Utrecht
CROP
Accountant RA (Nijmegen)
Konings & Meeuwissen
Accountant AA (Nijmegen)
Konings & Meeuwissen
Fiscalist (24-40 uur) – Alkmaar
De Hooge Waerder
Beginnend Belastingadviseur (32-40 uur) – Beverwijk of Haarlem
De Hooge Waerder
Supervisor audit in Oud-Beijerland
Moore DRV
Docent Accountancy (1,0 fte)
Hogeschool van Amsterdam
Relatiebeheerder MKB
Moore MTH
Senior manager Accountancy general practice samenstelpraktijk te Arnhem
Klop
Ondernemende Belastingadviseur (32-40 uur)
Boon Accountants Belastingadviseurs/ Boon Registeraccountants
Junior Assistent Accountant Samenstelpraktijk ( min. 24 uur per week)- Amersfoort, Ede, Hoofddorp en Utrecht
CROP
Assistent-Accountant (gevorderd) – Wezep
KRC Van Elderen
Werkstudent accountancy MKB
Moore MTH
(zelfstandig) Assistent-accountant
van de Kamp & van Gelder
Medewerker Belastingadvies
Flynth
Director accountancy & advies
Baker Tilly
Gevorderd Assistent Accountant
Moore MTH
Assistent-Accountant (gevorderd) / aankomend adviseur mkb – Zwolle
KRC Van Elderen
Vennotabel Directeur audit RA
Klop
Externe Accountant
Coney Minds
Assistent Accountant (24 – 40 uur)
Flynth
Staff Assurance- Amersfoort, Ede en Utrecht
CROP
Senior external auditor/aankomend vennoot
Klop
Staff Assurance | WO starter- Amersfoort
CROP
Senior Assistent Accountant Audit
Flynth
Voorzitter en een lid Raad van Commissarissen Countus Groep B.V.
Countus Groep B.V.
Beginnend assistent-accountant MKB duaal
Moore MTH
Werkperiode Junior assistent accountant samenstelpraktijk
Scab
(Senior) Manager Accountancy & Advies
HLB Witlox Van den Boomen
Manager audit
Moore MTH
Senior Assistent Accountant Audit
HLB Witlox Van den Boomen
Relatiebeheerder / Accountant MKB
Moore MTH
Controleleider Audit (Zwolle)
KRC Van Elderen
Intern Controller/ Auditor
Gemeente Heerde
Vacature accountant
WEA Deltaland
Accountant manager audit in Rotterdam
Moore DRV
ASSISTENT-ACCOUNTANT (24 – 40 uur)
Jongejan & Partners
Senior Supervisor Assurance- Amersfoort, Arnhem, Hoofddorp en Utrecht
CROP
Relatiebeheerder Accountancy & Advies | 24-40 uur per week
CROP
Assistent Accountant Audit
HLB Witlox Van den Boomen
Relatiebeheerder / Accountant MKB
Moore MTH
Cost Accountant
Top Onions
Data-Scientist (medior)
Coney Minds
Meewerkstage Accountancy
Flynth
Vaktechnisch Profesional – Amersfoort
CROP
Officemanager
van Helder
Supervisor audit in Brabant
Moore DRV
Senior accountant relatiebeheerder mkb in Rotterdam.
Moore DRV
Zelfstandig assistent accountant
CROP
Senior assistant audit in Zeeland
Moore DRV
Assistent Accountant (24 – 40 uur)
Flynth
Supervisor Assurance – Amersfoort
CROP
Vacature gevorderd assistent accountant
WEA Deltaland
Vacature Manager Assurance
CROP
Assistent Accountancy en Advies
HLB Witlox
Director accountancy & advies
Baker Tilly
Manager audit
Moore MTH
Financieel administratief medewerker
Scab
Gevorderd assistent-accountant MKB
Moore MTH
Belastingadviseur BTW – Venlo
Flynth
Accountant Agro
Flynth
Senior Manager Samenstelpraktijk
RSM
Tax Consultant | Employer Tax Advisory Services – Amersfoort, Arnhem, Ede, Hoofddorp of Utrecht
CROP
Belastingadviseur Agro
Flynth
Senior accountant relatiebeheerder mkb in Bergen op Zoom
Moore DRV
Relatiebeheerder / Accountant MKB
Moore MTH
Manager Accountancy en Advies
HLB Witlox Van den Boomen
Vennotabel AA/RA manager te Aalsmeer
Klop & Partners
Assistent Accountant
Marshoek
Opdrachtmanager Accountancy & Advies
Witlox van den Boomen
Adviseur Corporate Finance (32-40 uur) – Alkmaar
De Hooge Waerder
Relatiebeheerder/teamleider agro • Kesteren
WEA Deltaland
Vennotabel RA external auditor te Amsterdam
Klop & Partners
Junior Tax Consultant | Employer Tax Advisory Services. – Amersfoort, Arnhem, Ede, Hoofddorp of Utrecht
CROP
Controleleider Audit
Flynth
Assistent Accountant Agro
Flynth
Controleleider
WEA Gouda
Ervaren assistent-accountants samenstelpraktijk (dit betreft meerdere vacatures)
WEA Gouda
Ervaren Assistent-Accountant (32 – 40 uur)
Jongejan & Partners
Medewerker Facturatie
Flynth

Accountancy Vanmorgen (AV) is het platform voor accountants en iedereen die geïnteresseerd is in nieuws, trends, ontwikkelingen, achtergronden en wetenswaardigheden in en rond accountancy en ondernemerschap.

Accountancy Vanmorgen is een uitgave van MOCuitgevers.

 

Categorie

  • Nieuws
  • Blog
  • Partners
  • Software
  • Opleidingen
  • Vacatures
  • AV-events

Info

  • Over ons
  • Adverteren
  • Vrienden
  • Contact
  • Shop
  • Algemene voorwaarden MOCuitgevers
  • Annuleringsvoorwaarden
  • Privacybeleid
  • Facebook
  • Twitter
  • LinkedIn
  • Mail
Cookies
Om u beter van dienst te kunnen zijn, maakt Accountancy Vanmorgen gebruik van cookies. Klik op instellingen om de cookie instellingen te wijzigen.
  • Ik ga akkoord
  • Instellingen
  • Functionele cookies zijn noodzakelijk voor de werking van deze website.
  • We gebruiken Google Analytics, netjes geanonimiseerd.
  • We gebruiken de marketing cookies om gepersonaliseerde advertenties te tonen.
  • Annuleren
  • Ik ga akkoord

Instellingen