• No results found

Provincie Utrecht wil stappen voorwaarts zetten inzake IT beheersing

N/A
N/A
Protected

Academic year: 2022

Share "Provincie Utrecht wil stappen voorwaarts zetten inzake IT beheersing"

Copied!
17
0
0

Bezig met laden.... (Bekijk nu de volledige tekst)

Hele tekst

(1)

Provincie Utrecht wil

stappen voorwaarts zetten inzake IT beheersing

Financiële Audit Commissie

(2)

Page 2

Agenda

Doelstelling

Achtergrond

Beheersing / controle maatregelen

Actie

10/04/2018 Provincie Utrecht

(3)

Wat is de doelstelling?

Status anno 2018

Overgang naar SAP Civision (Civision) in 2015

EY heeft 0-, 1- en 2- meting uitgevoerd waarbij rollen/

rechten in Civision zijn beoordeeld

Provincie heeft interne controle framework (ICF) opgezet om risico’s t.a.v. inrichting functiescheiding in Civision te mitigeren

EY voert gegevensgerichte jaarrekeningcontrole uit Advies EY: aanscherping rollen/ rechten in Civision en toetsing ICF

Actie: Wie, wat, waar en hoe stappen voorwaarts te zetten

(4)

Achtergrond

(5)

Achtergrond

Streven van de provincie om de IT beheersing op hoger niveau te krijgen.

Naar aanleiding hiervan heeft EY afstemming gehad met de ambtelijke organisatie.

Actie:

-

Toets Rollen en rechten zijn nog gelijk aan de 2-meting.

-

In afstemming met de organisatie ICF te beoordelen (schil

buitenom)

(6)
(7)

Achtergrond

Controle strategieën intern en extern

Gegevensgerichte controle

Posten binnen de jaarrekening worden gegevensgericht gecontroleerd => Grote arbeidsintensiteit

Procesgerichte controle

Aan de hand van risico’s, relevant ten aanzien de betrouwbare totstandkoming van de post, controls toetsen welke dit risico terugbrengen => Vaak efficiënter dan gegevensgericht

Bij effectieve controls, minder gegevensgerichte werkzaamheden benodigd => altijd minimale gegevensgerichte werkzaamheden vereist

Data-analyse

IT beheersing dient ook aan aantal vereisten te voldoen => Vaak efficiënter dan proces / gegevensgericht mits aan voorwaarden voldaan

(8)

Beheersmaatregelen

(9)

IT Beheersmaatregelen

Manage Access

Is er een redelijke mate van zekerheid dat gebruiker XYZ ook persoon XYZ is

Rollen en rechten borgen in voldoende mate functiescheiding

Gebruikers met hoge rechten beperkt tot de juiste groep

Normale gebruikers kunnen geen conflicterende taken uitvoeren

Manage Change

Er is functiescheiding binnen het wijzigingsproces, waardoor het risico dat ongewenste wijzigingen op de productieomgeving in voldoende mate wordt beperkt en de geautomatiseerde controls blijven werken zoals bedoeld

Manage Operations

Met name focus op continuïteit van de gegevensverwerking

(10)

Page 10

Type controls: nadere uitleg

(IT) Beheersmaatregelen (controls)

Manual controls

De control wordt manueel uitgevoerd

IT Application controls

Een in de applicatie ingerichte, geautomatiseerde control, waarbij geen gebruikersinterventie van toepassing is

IT Dependent Manual controls

Een manuele control waarbij lijstwerk uit de applicatie wordt gebruikt

Invoer van parameters in het systeem

10/04/2018 Provincie Utrecht

(11)

Type control: invloed op efficiency controle

Manual Controls

Test van 25 benodigd om effectieve werking vast te stellen

IT Application / IT Dependent Manual controls

Werking hoeft slechts één maal per jaar te worden getoetst

Voor IT Dependent Manual controls het geautomatiseerde aspect één maal per jaar toetsen, manuele aspect conform Manual

Controls

Belangrijke randvoorwaarde is: IT Beheersmaatregelen moeten effectief zijn en functioneren zonder dat ICF buitenom nodig is.

(12)

Page 12

Situatie IT beheersing bij de Provincie Utrecht

Autorisatie-inrichting Civison

De aan gebruikers toegekende rollen en rechten borgen niet in voldoende mate functiescheiding af binnen de processen

Interne Controle Framework

De Provincie Utrecht heeft een ICF opgesteld waarbij de (manuele) controls in kaart zijn gebracht die de risico’s ten

aanzien van te ruime rechten van gebruikers in Civision mitigeren

10/04/2018 Provincie Utrecht

(13)
(14)

Page 14

Actie

Randvoorwaarden voor verbetertraject

Autorisatie-inrichting Civison

Om de efficiency van de interne beheersing, alsmede van de controle, verder te verbeteren is het noodzakelijk om:

De autorisatie-inrichting voor de belangrijkste processen op te schonen:

Privileged access;

Inkoopproces;

Personeelsproces;

Subsidieproces.

Te bepalen of de controls uit het ICF met voldoende diepgang worden uitgevoerd

Te beoordelen in welke mate de opzet en het bestaan van IT Beheersmaatregelen toereikend is

10/04/2018 Provincie Utrecht

(15)

Actie

Plan van aanpak

Autorisatie-inrichting Civison

Op basis van uitkomsten 2-meting:

Aangeven benodigde aanpassingen:

privileged access;

Inkoopproces;

Personeelsproces;

Subsidieproces.

Uitvoeren onderzoek toereikendheid opzet en bestaan beheersmaatregelen ICF

Uitvoeren onderzoek vervangbaarheid Manual Controls in ICF door IT Application Controls

Uitvoeren onderzoek toereikendheid opzet en bestaan huidige IT Beheersmaatregelen

(16)

Page 16

Actie

Streven = gewenste uitkomst

Gewenste uitkomst:

Beheerste processen

IT (SAP/ Civision) is effectief en voor zover niet zijn er effectieve aanvullende beheersmaatregelen

Welke handmatige controles kunnen geautomatiseerd worden

Stelsel van periodieke actualisatie en verbetering van de

processen o.b.v. verbijzonderde interne controle is bij provincie ingericht

Van gegevensgerichte controle naar een systeemgerichte controle.

10/04/2018 Provincie Utrecht

(17)

Vragen?

Referenties

GERELATEERDE DOCUMENTEN

Wijzigingsvoorstellen met een middelgrote impact, zoals een inhoudelijke wijziging van een 

Van elke werknemer die wordt opgeleid voor een functie moet worden bijgehouden hoe ver hij is binnen de functiegerichte opleiding.. In het IFO-boekje wordt door de mentor bij elk

Het doopsel is de start van het christelijk leven, de eerste communie is de eerste innige ontmoeting met Christus in de eucharistie en het vormsel is de bevestiging door de

Er wordt ontheffing gevraagd van de verbodsbepalingen genoemd in artikel 3.5, van de wet voor wat betreft de gewone dwergvleermuis (Pipistrellus pipistrellus), ruige

Tevens zijn gedurende de afvangperiode van rugstreeppadden op locatie Snellerpoort Roche geen rugstreeppadden gevangen (zie logboek ecologische begeleiding voor locatie

Als u vragen heeft over de inhoud van deze brief kunt u contact opnemen met het Servicebureau, bereikbaar via bovengenoemd e-mailadres en

Mocht het zo zijn dat u de sterke verontreinigingen met asbest op korte termijn wilt gaan saneren, dan is het voor ons voldoende om op de locatie een nader onderzoek voor uit te

Deze vaststelling wordt bij voorkeur op een voor de bewaarder onverwacht moment uitgevoerd, opdat deze niet de gele- genheid heeft om de hoeveelheid goederen of geldmiddelen