IT Controls
In 2017 rondde ik mijn opleiding tot Register Controller (EMFC) af. Samenvattingen en artikelen die ik maakte deel ik hier. Voor mij een handig naslagwerk, en voor jou hopelijk ook! In dit artikel: IT Controls in relatie tot Bestuurlijke Informatievoorziening (BIV).
- Wat zijn preventieve maatregelen?
Preventieve maatregelen zijn die maatregelen die vooraf, ofwel voor het optreden van een mogelijk risico, door of namens de leiding of toezichthouders zijn getroffen.
Voorbeelden zijn:
- Begroting, normen en tarieven
- Functiescheiding
- Procedures en richtlijnen
- Beveiliging van zaken
- Preventieve IT controles (beveiliging)
- Wat zijn repressieve maatregelen?
Repressieve maatregelen zijn activiteiten die achteraf door of namens de leiding worden genomen om vast te stellen dat de preventieve maatregelen hebben gewerkt.
Voorbeelden zijn:
- Cijferbeoordelingen
- Verbandcontroles
- Detailcontrole
- Waarneming ter plaatse
- Repressieve IT controls
Maatregelen van internal control bestaan uit preventieve en repressieve maatregelen.
- Wat is de rol van de controller bij IT controls?
- Integraal – gedurende het gehele traject betrokken
- Projectrisico’s in kaart brengen (risk assessment)
- Toets vooraf – focus op ontwerp voor controls vooraf
- Post implementatie; achteraf kijken of de controls voldoende zijn ingeregeld.
- Wat is the relatie van BIV met IT controls?
De controls an sich, specifiek application controls, die gericht zijn op volledigheid van opbrengsten en de juistheid van kosten.
- IT beheersingsmaatregelen vallen onder de volgende regels:
- Het vastleggen van verantwoordelijkheden van essentiële bedrijfsprocessen;
- Het garanderen van de continuïteit van essentiële bedrijfsprocessen;
- Het organiseren van adequate training op het gebied van informatiebeveiliging;
- Het rapporteren van informatie beveiligingsproblemen.
- Wat zijn de doelstellingen van informatiebeveiliging?
- Vertrouwelijkheid – alleen toegang voor gerechtigden;
- Integriteit – juist, accuraat en volledige informatie;
- Beschikbaarheid – beschikbaar wanneer nodig;
- Authenticiteit – kunnen vaststellen van de herkomst.
- Wat zijn application controls?
Application controls zijn controles die ingebouwd zijn in de applicatie zelf of de onderliggende database; geldt voor specifieke applicaties.
Voorbeelden zijn:
- Logische toegangsbeveiliging (autorisatiematrix van toegang tot applicaties)
- Invoercontroles
- Hoe is het bestaan van application controls vast te stellen?
- Inspectie (instellingen in systeem; configuration settings)
- Waarneming (aanwezig; live omgeving, live data)
- Externe bevestiging (ISAE 3402)
- Herberekening
- Redundantie
- Cijferanalyse
- Verzoeken om inlichtingen (geeft richting, weinig zekerheid)
- Wat is het voordeel van Application Controls?
Application controls zijn geautomatiseerd; je hoeft ze maar 1 keer goed te implementeren en daarna zullen ze consistent dezelfde controle uitvoeren.
- Wat is COBIT?
COBIT = Control Objectives for Information and related Technology. Het idee achter COBIT: beheersen van IT activiteiten is een noodzakelijke voorwaarde voor de realisatie van organisatiedoelstellingen. Er is een directe link tussen organisatiedoelstellingen en IT. COBIT is een framework voor het gestructureerd inrichten en beoordelen van een IT-beheeromgeving.
COBIT onderscheidt 4 typen IT activiteiten:
- Planning en organisatie
- Acquisitie en implementatie
- Levering en ondersteuning
- Bewaking goede werking
- Welke IT beheersingsmaatregelen ken je?
- Geprogrammeerde controles (application controls)
- Gebruikerscontroles
- Integriteitcontroles
- Noem een aantal concrete IT beheersingsmaatregelen:
- Antisoftware
- Firewalls
- Back-up en recovery maatregelen
- Toegangscontroles
- Encryptie
- Fysieke maatregelen ( tegen brand, inbraak en wateroverlast bijv.)
- Wat zijn IT General controls?
IT General Controls zijn de algemene beheersmaatregelen die van belang zijn om de betrouwbaarheid van de geautomatiseerde gegevensverwerking te kunnen waarborgen. De maatregelen hebben o.a. betrekking op de continuïteit (back-up en recovery), beveiliging, capaciteits- en performance management, change management en ondersteuning. ITGC’s gelden voor alle applicaties.