Afrondend mondeling
Thema D: Accounting information systems and the role
of IT in Control
,Inhoud
Singh, Best, Bogilov & Blunt (2014) ........................................................................................................ 3
Kerr & Murthy (2013) ............................................................................................................................... 6
Baker, Cohanier & Leo (2017) ................................................................................................................. 8
Baader & Kremar ................................................................................................................................... 12
Kort overzicht - Singh et al. (2014) ........................................................................................................ 15
Kort overzicht - Kerr & Murthy (2013) .................................................................................................... 17
Kort overzicht - Baker et al. (2017) ........................................................................................................ 19
Kort overzicht - Baader & Kremar (2018) .............................................................................................. 21
2
, Singh, Best, Bogilov & Blunt (2014)
Continuous Auditing and Continuous Monitoring in ERP Environments: Case Studies
of Application Implementations
Introductie
ERP-systemen zijn in staat om dagelijks duizenden transacties vast te leggen. Dit maakt het moeilijk
om het kleine aantal afwijkende transacties te vinden. Organisaties zijn steeds complexer geworden en
hebben meer geïntegreerde bedrijfsprocessen.
Het primaire doel van continuous auditing en continuous monitoring (CA/CM) is om op (bijna) real-time
basis continue bewaking van transactiedata mogelijk te maken aan de hand van vooraf bepaalde regels.
Op die manier kan er een mate van zekerheid verschaft worden over de informatie kort na publicatie.
Er is al veel onderzoek gedaan naar CA/CM, maar dat onderzoek gaat vaak in op de business case
voor CA/CM of de technische architectuur. Er is behoefte aan case studies naar bestaande succesvolle
toepassingen. In dit artikel wordt daarom het ontwerp en de implementatie van drie verschillende
CA/CM-systemen in de praktijk geëvalueerd:
• SAPSECURE: deze applicatie stelt accountants in staat de SAP beveiliging te evalueren. Er
wordt een snapshot gemaakt van de beveiligingsstatus van het systeem. Deze wordt onttrokken
uit het systeem en verwerkt tot een beveiligingsdatabase die de accountant kan raadplegen
middels SAS-programma’s. De accountant kan de beveiligingsinstellingen, de
inloggeschiedenis van gebruikers en de gebruikersprofielen (voor een juiste functiescheiding)
evalueren en controle hebben over veranderingen in programma’s.
• CAMAP: deze applicatie analyseert financiële data uit een SAP ERP-systeem. De data wordt
geëvalueerd en er worden profielen gecreëerd op basis van vooraf ingestelde regels. Ook
worden de activiteiten van gebruikers en leveranciers geanalyseerd om uitzonderingen te
identificeren. Het profileren van gebruikers kan helpen bij het identificeren van activiteiten die
de functiescheiding doorbreken en die de bedrijfsprocessen schenden. Het profileren van
leveranciers kan helpen bij het identificeren van afwijkende transacties, zoals leveranciers met
meerdere bankrekeningen.
• Bagheera-S: dit is een mechanisme voor het monitoren van bedrijfsprocessen binnen de
organisatie zonder dat de processen beïnvloed worden. Aan de hand van dit mechanisme kan
de interne audit afdeling bijvoorbeeld effectief en efficiënt financiële transacties raadplegen voor
audits en onderzoeken.
CA/CM-applicaties worden over het algemeen ontworpen op basis van een van de volgende
architecturen: (1) embedded audit modules (EAM) of (2) monitoring and control layer (MCL). Beide
hebben voor- en nadelen. De systemen die in dit artikel aan bod komen zijn gebaseerd op de MCL-
architectuur.
Case study 1: SAPSECURE
Het monitoren en evalueren van de beveiligingsinstellingen in een ERP-systeem is een belangrijke taak
die uitgevoerd wordt door een interne audit afdeling of door een IT-auditor. SAP is zo ontworpen dat het
met elkaar samenhangende tabellen bevat. De voordelen hiervan zijn een efficiënte opslag, minimale
redundantie en snelle opvraging van autorisaties. Echter, aangezien het onmogelijk is om te controleren
of gebruikers alle benodigde autorisaties hebben om een bepaalde transactie uit te voeren, is
SAPSECURE ontwikkeld.
Het gebruik van SAPSECURE kent vijf fasen:
1. Beveiligingstabellen exporteren: de accountant neemt een snapshot van de beveiligings-
tabellen in SAP en exporteert deze naar tekstbestanden.
2. Beveiligingstabellen voorbewerken tot een database: de accountant bewerkt de tekstbestanden
tot een set van generieke data. De applicatie genereert vervolgens drie datasets:
- Autorisaties die vereist zijn voor iedere transactie;
- Autorisaties die toegewezen zijn aan iedere gebruiker;
- Gebruikersprofielen die toegewezen zijn aan iedere gebruiker.
3. Queries toepassen op de database: de accountant gebruikt programma’s op queries toe te
passen op de data en zo de beveiliging te evalueren. De accountant kan bijvoorbeeld:
3
Thema D: Accounting information systems and the role
of IT in Control
,Inhoud
Singh, Best, Bogilov & Blunt (2014) ........................................................................................................ 3
Kerr & Murthy (2013) ............................................................................................................................... 6
Baker, Cohanier & Leo (2017) ................................................................................................................. 8
Baader & Kremar ................................................................................................................................... 12
Kort overzicht - Singh et al. (2014) ........................................................................................................ 15
Kort overzicht - Kerr & Murthy (2013) .................................................................................................... 17
Kort overzicht - Baker et al. (2017) ........................................................................................................ 19
Kort overzicht - Baader & Kremar (2018) .............................................................................................. 21
2
, Singh, Best, Bogilov & Blunt (2014)
Continuous Auditing and Continuous Monitoring in ERP Environments: Case Studies
of Application Implementations
Introductie
ERP-systemen zijn in staat om dagelijks duizenden transacties vast te leggen. Dit maakt het moeilijk
om het kleine aantal afwijkende transacties te vinden. Organisaties zijn steeds complexer geworden en
hebben meer geïntegreerde bedrijfsprocessen.
Het primaire doel van continuous auditing en continuous monitoring (CA/CM) is om op (bijna) real-time
basis continue bewaking van transactiedata mogelijk te maken aan de hand van vooraf bepaalde regels.
Op die manier kan er een mate van zekerheid verschaft worden over de informatie kort na publicatie.
Er is al veel onderzoek gedaan naar CA/CM, maar dat onderzoek gaat vaak in op de business case
voor CA/CM of de technische architectuur. Er is behoefte aan case studies naar bestaande succesvolle
toepassingen. In dit artikel wordt daarom het ontwerp en de implementatie van drie verschillende
CA/CM-systemen in de praktijk geëvalueerd:
• SAPSECURE: deze applicatie stelt accountants in staat de SAP beveiliging te evalueren. Er
wordt een snapshot gemaakt van de beveiligingsstatus van het systeem. Deze wordt onttrokken
uit het systeem en verwerkt tot een beveiligingsdatabase die de accountant kan raadplegen
middels SAS-programma’s. De accountant kan de beveiligingsinstellingen, de
inloggeschiedenis van gebruikers en de gebruikersprofielen (voor een juiste functiescheiding)
evalueren en controle hebben over veranderingen in programma’s.
• CAMAP: deze applicatie analyseert financiële data uit een SAP ERP-systeem. De data wordt
geëvalueerd en er worden profielen gecreëerd op basis van vooraf ingestelde regels. Ook
worden de activiteiten van gebruikers en leveranciers geanalyseerd om uitzonderingen te
identificeren. Het profileren van gebruikers kan helpen bij het identificeren van activiteiten die
de functiescheiding doorbreken en die de bedrijfsprocessen schenden. Het profileren van
leveranciers kan helpen bij het identificeren van afwijkende transacties, zoals leveranciers met
meerdere bankrekeningen.
• Bagheera-S: dit is een mechanisme voor het monitoren van bedrijfsprocessen binnen de
organisatie zonder dat de processen beïnvloed worden. Aan de hand van dit mechanisme kan
de interne audit afdeling bijvoorbeeld effectief en efficiënt financiële transacties raadplegen voor
audits en onderzoeken.
CA/CM-applicaties worden over het algemeen ontworpen op basis van een van de volgende
architecturen: (1) embedded audit modules (EAM) of (2) monitoring and control layer (MCL). Beide
hebben voor- en nadelen. De systemen die in dit artikel aan bod komen zijn gebaseerd op de MCL-
architectuur.
Case study 1: SAPSECURE
Het monitoren en evalueren van de beveiligingsinstellingen in een ERP-systeem is een belangrijke taak
die uitgevoerd wordt door een interne audit afdeling of door een IT-auditor. SAP is zo ontworpen dat het
met elkaar samenhangende tabellen bevat. De voordelen hiervan zijn een efficiënte opslag, minimale
redundantie en snelle opvraging van autorisaties. Echter, aangezien het onmogelijk is om te controleren
of gebruikers alle benodigde autorisaties hebben om een bepaalde transactie uit te voeren, is
SAPSECURE ontwikkeld.
Het gebruik van SAPSECURE kent vijf fasen:
1. Beveiligingstabellen exporteren: de accountant neemt een snapshot van de beveiligings-
tabellen in SAP en exporteert deze naar tekstbestanden.
2. Beveiligingstabellen voorbewerken tot een database: de accountant bewerkt de tekstbestanden
tot een set van generieke data. De applicatie genereert vervolgens drie datasets:
- Autorisaties die vereist zijn voor iedere transactie;
- Autorisaties die toegewezen zijn aan iedere gebruiker;
- Gebruikersprofielen die toegewezen zijn aan iedere gebruiker.
3. Queries toepassen op de database: de accountant gebruikt programma’s op queries toe te
passen op de data en zo de beveiliging te evalueren. De accountant kan bijvoorbeeld:
3
