IT Governance en de accountant
IT Governance en de accountant
Samenvatting
In deze managementsamenvatting wordt de inhoud van dit rapport beknopt weergegeven. Het onderwerp, alsmede de probleemstelling en het doel van dit onderzoek zullen nader worden toegelicht. Bovendien zullen de belangrijke bevindingen en conclusies, die uit dit onderzoek naar voren zijn gekomen, nader worden toegelicht. Ten slotte zullen de aanbevelingen, die uit dit onderzoek voortvloeien, worden besproken. Onderwerpsafbakening en probleemstelling: De informatietechnologie (IT) speelt al een hele grote rol in ons dagelijks leven en die rol zal in de komende jaren alleen maar groter worden (Bolland, 2011; Fijneman, 2005). IT is echter kostbaar en zal naar alle waarschijnlijkheid in de toekomst alleen maar duurder worden (Bolland, 2011). Hierin schuilt het gevaar, dat veel MKB-bedrijven hierdoor geneigd zijn om te weinig aandacht te schenken aan IT beheer, met alle gevolgen van dien. Dit blijkt ook vaak het geval te zijn. De laatste jaren lukt het hackers namelijk regelmatig om IT systemen binnen te komen en allerlei gegevens te ontvreemden. Een adequate informatiebeveiliging is hier enorm van belang en dat zal in de komende jaren alleen maar groter worden. Aan de hand van beheermethodieken en kwaliteitsnormen, als ITIL, ISO 20.000 en COBIT, kunnen bedrijven IT beheersbaar maken (Noë, 2006). In de praktijk, zijn deze bronnen voor IT normen echter voornamelijk geschikt voor grote bedrijven en in mindere mate voor MKB-bedrijven. De enorm hoge kosten voor de implementatie en het feit dat het implementeren hiervan een enorm complex proces is, zijn de redenen waarom het MKB hier weinig gebruik van maakt (Bolland, 2011). Daarnaast besteden ook accountants, waaronder de accountants die werkzaam zijn bij MTH te Hoevelaken, door gebrek aan kennis, vaak te weinig aandacht aan het IT beheer bij klanten. Doel: Het doel van dit onderzoek, is om een beheermethodiek met algemene IT-beheersmaatregelen te ontwikkelen voor het inrichten, beheersen en verbeteren van IT-processen, met betrekking tot informatiebeveiliging, die speciaal is gericht op MKB-bedrijven. Hiervoor zullen allereerst de meest voorkomende zwakheden, met betrekking tot IT, bij MKB-bedrijven, in kaart moeten worden gebracht. Deze zwakheden hebben in dit onderzoek betrekking op informatiebeveiliging en verzwakken uiteindelijk de kwaliteit van de AO/IC. Het uiteindelijke resultaat is een top 10 lijst met IT-zwakheden bij MKB-bedrijven, met voor elke IT-zwakheid in ieder geval één passende IT-beheersmaatregel. Met behulp van deze zelf ontwikkelde beheermethodiek, kunnen MKB-bedrijven een fatsoenlijk en correct IT beheer realiseren. Dit kan zowel voordelen opleveren voor het bedrijf zelf, als voor de accountant. Bedrijven kunnen aan de hand van deze beheermethodiek, eventueel adequate maatregelen nemen om een correct en fatsoenlijk IT beheer te realiseren, met als gevolg dat de bedrijfsdoelstellingen sneller en gemakkelijker kunnen worden gerealiseerd. Bovendien kunnen accountants, waaronder de werkzame accountants bij MTH te Hoevelaken, deze zelf ontwikkelde beheermethodiek met algemene IT-beheersmaatregelen voorleggen aan klanten, om nu en in de toekomst minder aanvullende gegevensgerichte controlewerkzaamheden uit te hoeven voeren (Wildschut, 2013). Uit het verlengde van deze doelstelling, is de volgende hoofdvraag geformuleerd: ‘’Op welke wijze kunnen organisaties in het MKB, veel voorkomende zwakheden met betrekking tot IT, die tot gevolg hebben dat de accountant tijdens de controle niet kan steunen op de AO/IB, beheersen?’’ Om een antwoord te krijgen op deze hoofdvraag, zijn een viertal theoretische deelvragen en een tweetal empirische deelvragen opgesteld. De antwoorden op deze deelvragen zijn verkregen door het afnemen van een aantal interviews, het verrichten van observaties in een aantal controledossiers en het doen van literatuuronderzoek, waarbij de beheermethodieken en kwaliteitsnormen: ITIL, ISO 20.000 en COBIT, zijn beschreven en onderling met elkaar zijn vergeleken. Hieronder worden de belangrijke bevindingen en conclusies uit dit onderzoek nader toegelicht. Belangrijkste bevindingen en conclusies: Uit dit onderzoek, blijkt dat IT zowel de kwaliteit van de AO/IC bij MKB-bedrijven versterkt, als de kwaliteit van de AO/IC verzwakt. Bij de controle van MKB-bedrijven, treffen accountants veelal de volgende problemen aan, die de kwaliteit van de AO/IC verzwakken: Ontbreken van een formeel opgesteld IT beleid: binnen het MKB wordt IT te vaak als bijzaak gezien en de normen en inrichting worden vaak bepaald op basis van gebruikersgemak; Softwarematige fouten in de IT-infrastructuur; Beperkt gebruik van proces- en/of systeemdocumentatie bij de invoering van nieuwe systemen/pakketten: binnen het MKB gebeurt het regelmatig dat wijzigingen in systemen/pakketten ongecontroleerd tot stand komen, met verwarring bij gebruikers en IT medewerkers als gevolg; Onvoldoende periodieke monitoring van de kwaliteit van systemen; Onvoldoende back-uppen van gegevensdragers met behulp van een data back-up systeem; Niet goed ingeregelde competenties (autorisatie): gebruikers/medewerkers hebben vaak te veel bevoegdheden, doordat veel MKB-bedrijven ‘’gebruikersgemak’’ als uitgangspunt hanteren bij het bepalen van de normen en inrichting met betrekking tot IT. IT systemen moeten immers een inrichting hebben die praktisch is; Tekortkomingen in de authenticatie: regelmatig komt het bij MKB-bedrijven voor dat er gebreken zijn in het versleutelen/coderen tegen bedreigingen, waarbij het regelmatig voorkomt dat meerdere gebruikers/medewerkers hetzelfde wachtwoord gebruiken, met ongeautoriseerde toegang tot informatiesystemen of bepaalde vertrouwelijke informatie als gevolg; Beperkt gebruik van proces- en/of systeemdocumentatie met betrekking tot informatiebeveiliging: binnen het MKB gebeurt het regelmatig dat gebruikers/medewerkers niet weten welke acties zij moeten verrichten, op het moment dat er zich ernstige incidenten of storingen voordoen met betrekking tot de IT systemen; Gebreken in de inrichting van de logische toegangsbeveiliging; Gebreken in de inrichting van de fysieke beveiliging en beveiliging van de omgeving: het gebeurt regelmatig dat er onverwachte/illegale componenten op een netwerk zijn aangesloten. Tevens komt het regelmatig voor dat een server in de bezemkast onvoldoende wordt gekoeld, met brandgevaar of elektriciteitsonderbreking als gevolg. De in dit rapport besproken bronnen voor IT normen: ITIL, ISO 20.000 en COBIT, kunnen worden gebruikt om voor deze in kaart gebrachte problemen, met betrekking tot informatiebeveiliging, passende IT-beheermaatregelen te treffen. Hoewel deze bronnen voor IT normen in de praktijk weinig worden gebruikt door MKB-bedrijven, zijn deze beheermethodieken en kwaliteitsnormen toch zeker interessant voor het MKB. Het gebruik van deze beheermethodieken en kwaliteitsnormen draagt immers bij aan het realiseren van een correct en fatsoenlijk IT beheer en zorgt ervoor dat MKB-bedrijven in ieder geval bezig zijn met ‘’IT Governance’’ en hier dus voldoende aandacht aan schenken. Zowel ITIL, als ISO 20.000 en COBIT, geven in de processen invulling aan informatiebeveiliging, waarbij de algemene informatiebeveiligingsmaatregelen veelal zijn gebaseerd op ISO 27.002: Code voor Informatiebeveiliging (Elsinga, 2014). Echter, blijkt dat de invulling aan informatiebeveiliging, bij deze beheermethodieken en kwaliteitsnormen, beperkt is. ITIL, ISO 20.000 en COBIT zijn voor een groot deel gericht op IT beheer. Informatiebeveiliging gaat echter veel verder dan alleen IT beheer. Aanbevelingen: Zoals hierboven al is gemeld, maken MKB-bedrijven relatief weinig gebruik van bronnen voor IT normen. De redenen hiervoor zijn reeds besproken. MKB-bedrijven hebben echter zeker wel wat aan deze beheermethodieken en kwaliteitsnormen en zouden deze bronnen voor IT normen kunnen gebruiken, door niet alle processen integraal over te nemen maar een selectie te maken van de processen, die van belang zijn voor het bedrijf. Doordat ITIL, ISO 20.000 en COBIT, met betrekking tot de verschillende processen, waaronder informatiebeveiliging, elkaar aanvullen, is het tevens aan te raden, om als MKB-bedrijf, deze bronnen voor IT normen naast elkaar te gebruiken. Het volledig toepassen van één van deze beheermethodieken en kwaliteitsnormen zal niet voldoende zijn. Voor de in kaart gebrachte problemen, met betrekking tot informatiebeveiliging, bij MKB-bedrijven, kunnen een aantal IT-beheersmaatregelen worden getroffen. De volgende IT-beheersmaatregelen kunnen worden getroffen, om de in kaart gebrachte problemen, met betrekking tot informatiebeveiliging, bij MKB-bedrijven, op te lossen dan wel in de toekomst te voorkomen: Opstellen van een lange termijn IT beleid; Toepassing van de ITIL-processen ‘’Request Management’’ en ‘’Problem Management’’; Gebruik van proces- en/of systeemdocumentatie bij de invoering van nieuwe systemen/pakketten; Periodieke monitoring van de kwaliteit van systemen; Periodiek back-uppen van gegevensdragers met behulp van een data back-up systeem; Ingeregelde competenties (autorisatie); Ingeregelde authenticatie; Gebruik van proces- en/of systeemdocumentatie met betrekking tot informatiebeveiliging; Geregelde logische toegangsbeveiliging; Geregelde fysieke beveiliging en beveiliging van de omgeving. Deze IT-beheersmaatregelen, zijn tezamen met de meest voorkomende problemen, met betrekking tot informatiebeveiliging, bij MKB-bedrijven, ondergebracht in een zelf ontwikkelde beheermethodiek, die in dit rapport is opgenomen.
Organisatie | Hogeschool Utrecht |
Opleiding | Accountancy |
Afdeling | Business Economics |
Partner | MTH Hoevelaken |
Jaar | 2014 |
Type | Bachelor |
Taal | Nederlands |