Download - C.A.A.S. versie klanten versie 2.1
ControlasaService(C.a.a.S)INRICHTENENUITBESTEDENVAN2E L INEOFDEFENCE / INTERNECONTROLE
DESNELSTEENGOEDKOOPSTEMANIEROM‘ INCONTROL’ TEKOMEN.
1
UniekedienstverleningvoorSAPKenmerkenvanControlasaService(C.a.a.S.):
ØWijontzorgen uworganisatievoorhet‘incontrol’zijn.
ØDeinvullingvande2nd lineofdefense /onafhankelijkecontrolefunctie.
ØContinuous Monitoringvanhetfinancieelbeheer.
2
WatkrijgtumetC.a.a.S.1. Invullingvande2nd lineofdefence /internecontrole,geheelonafhankelijkvanuworganisatie.
2. Deuitvoeringvanperiodiekcontrolesenrapportage.
3. Vragenalleentijdvanhetmanagementindiennodig(early warnings).
4. Eenuitgebreiddossierwaaruitblijktdatdecontroleszijnuitgevoerd.
5. EenGovernance,RiskenComplianceFrameworkopgezetdoorzeerervarenengecertificeerdeauditors.
6. DesgewenstdeinrichtingvanGRCtooling,metdeopvolgingvansignalen
7. Eenhogematevanstandaardisatievancontroles,waardoorC.a.a.S.tegenbetaalbaretarievenkanwordenaangeboden.
8. Eenvolwaardigegesprekpartnervooruwaccountant.
9. Ondersteuningbijverbeteringvanhetincontrolzijnvandeorganisatie.
10. C.a.a.S.iseengroeimodel:startmetuniverselestandaardcontrolesvoorSAPenbreidendiesamenmetuuit.
3
SAPisalsERPsysteemeengoedekeuzemaarwelveelaandachtspuntenbijimplementatieenbeheer
ØAutorisatieinrichtinginSAPiseen’uitdaging’
Ø(Te)makkelijkomSAP_ALLuittedelenaangebruikersenbeheerders
ØHeelgoedeBusinessControlsteimplementeren,maarØMetbepaaldeSAPtransactiesteomzeilenØMetparametersensettings gestuurd=>sneluitteschakelenwanneerhetchangemanagementprocesnietgoedwordtbeheerd
Ø Steedsmeersteunendopworkflow=>dedicated voorelkeorganisatie,nietgebaseerdopTCodes
ØSAPbiedtveelondersteuningvoorchangemanagement,maarØ TransportmechanismemoetwelbeheerstwordenØOmgevingenmoetennietopenstaanvoorwijzigingen
ØGoedeloggingsmogelijkheden,maarØ Logging isuitteschakelenØ Logfileskunnenverlorengaan=>nietbewaardinSAP
AndereERPpakkettenw.o.OracleEBS,MicrosoftDynamicsmissendemeestedoorSAPstandaardondersteundebusinesscontrols eneentransportmechanisme.
4
Productscope
C.a.a.S.AO/IC
C.a.a.S.Infra
C.a.a.S.SAP
ToetsenopnalevingSecurityBaselines
Standaardcontrolewerkprogramma’s&specials
DatabaseOperatingSystemInfrastructuur
AutorisatieinrichtingChangeManagement
ParametriseringSAPSecurityBaselineSecurityManagement
WorkflowProgrammed Procedures
CustomizationAO/IC
JaarrekeningInControlStatement
5
OnderdelenC.A.A.S.1. Intake IsC.a.a.S.geschiktvooru? inputvoornulmetingenverbeterplan.
2. Nulmeting Hoegoedbentu’incontrol’? ControleProgramma’senverbeterplan.
3. Verbeterplan Ontbrekendebeheersmaatregelenbelangrijkomoptevolgen!
4. Periodiekecontroles OpbasisvanControlProgramma’s,gestandaardiseerd,vastgelegdindossiers.
5. Rapportage+early warnings Rapportagenaar1e lijn,early warnings voorhetmanagement.
6. PeriodiekeanalyseKey Controls Actualiseren&uitbreidingvandeperiodiekecontroles Groeimodel.
7. Verbeterenbeheersmaatregelen Debeheersmaatregelendieudientinterichten/verbetereninuworganisatie.
8. UitbreidenControles AanpassingeninbeheersmaatregelenwijactualiserendeControleProgramma’s.
C.a.a.S.isgeen eenmaligeimplementatie.C.a.a.S isweleenproductwaarmeeu‘incontrol’komtenblijft.
6
HetC.a.a.S.proces
2.Nulmeting
1.Intake
6.AnalyseKey
controls
7
1.IntaketoetsDeintakebestaatuit:o Uworganisatievulteenvragenlijstin.o Interviewsmethetmanagement,SAPbeheerdersenkey users.o EendocumentaironderzoeknaardebeveiligingenhetbeheervanuwSAPsysteem.o Opstellenvaneenverbeterplan.
NadeintakeisduidelijkwelkeC.a.a.S.dienstverleninghetbestebijuworganisatiepast:o Decontroleswaarwedirectmeekunnenstarten.o Deverbetertrajectenwaaruworganisatienogmeeaandeslagmoet.o Hetgroeipaddathetbestebijuworganisatiepast.
8
2.NulmetingBijdenulmetinglichtenwijuSAPsysteemdoor:o Debelangrijkstebeveiligingsinstellingen.o Debeheerprocessen.o Deautorisatieinrichting.o VoordeSAPinstellingenenbeheerprocessendiewijtoereikendhebbenbevonden,stellenwijcontroleprogramma’sop.
oWijidentificerenwaarverbeteringennodigzijnenleggenditvastinhetverbeterplan.
Denulmetingishetvertrekpuntvoordeperiodiekecontroles.
9
3.VerbeterplanInhetVerbeterplanstaandebeveiligingsinstellingenenbeheerprocessendieverbeterdzoudenmoetenwordenom ‘incontrol’tezijn.
Hetverbeterplandatwevooru opstelleniseendynamischplandatop- enbijgesteldwordtopbasisvan:o Onzeconstateringenvanuitdeintake.o Onzeconstateringenvanuitdenulmeting.o Onzeconstateringenvanuitdeperiodiekecontrole.o DeanalysevandeKey controls,wanneerblijktdatdezenietgetroffenzijn.o Dedoorgevoerdeverbeteringeninbeveiligingsinstellingenen/ofdebeheerprocessen.
HetisbelangrijkdathetmanagementperiodiekaandachtbesteedaanhetVerbeterplanenzorgdraagtvoorhetdoorvoerenvandeverbeteringen.
Desgewenstkunnenwebijhetdoorvoerenvandeverbeteringenondersteunen.
10
4.PeriodiekecontrolesDeperiodiekecontroleswordenuitgevoerdopbasisvanControleProgramma’sdieinvoorgaandefaseszijnopgesteld.o Uverstrektonsmaandelijksdevoorafgevraagdegegevens.oWijcontrolerendegegevensenbepalendedeelwaarnemingen.oWijvragenaanvullendeinformatieop,waaronderdeinformatieoverdedeelwaarnemingen.oWijverwerkendeinformatie,voerenhetcontroleprogrammauitenleggendeuitgevoerdewerkzaamhedenvastineendigitaaldossier.
HetdigitaaldossierwordtveiligopgeslagenopuweigenvertrouwdenetwerkofbijeenCloudproviderdieaanstrengesecurityeisenvoldoetengedurendetenminste7jaarbewaard.
11
5.RapportagesMaandelijksontvangtuvanonseenrapportage:o Overdeuitgevoerdewerkzaamheden.o Debelangrijkstebevindingen.o Deaanvullendeuitgevoerdewerkzaamhedenendaaraanverbondenkosten.o Overdevoortgangvanverbeteringenwaarwijbijbetrokkenzijn.
Wijnemenslechtscontactopmethetmanagement,indienmanagementaandachtnoodzakelijkis.
12
6.(Periodieke)analysekey controlsPeriodiekgaanwesamenmetuworganisatiedeKey Controlsidentificeren:o DeKey Controlszijndebeheersmaatregelendievoordebedrijfsprocessenvandeondernemingvanessentieelbelangzijn.
o SamenmetubepalenweopbasisvaneenrisicoanalysederelevanteKey Controls.o DeKey ControlsbetreffenzowelmaatregeleninSAP,hetITbeheer,indeAOofIC.o DeKey Controlskunnenalzijningeregeldofnogontbrekenenmoetendanwordeningericht.o VoordeKey Controlsdiezijningeregeld,stellenweControleProgramma’sop.o DeKey Controlsdienognietzijningeregeld,voegenwetoeaanhetVerbeterplan.o DeKey Controlszijngeenvervanging,maareenaanvullingopdecontrolesdiewestandaardopSAPenindienafgesprokenopinfrastructuurniveauhebbeningeregeld.
13
ProductWerkzaamheden Standaardproduct Plus
Intake +
Nulmeting +
Verbeterplan +
Periodieke controles + +
Periodieke rapportages + +
Managementinformatie(early warnings) + +
Ondersteuningverbeteringen +
Periodieke analyseKey Controls +
14
VoordelenvooruØ Debelangrijkstebeheerprocessen&debelangrijksterisico’sinSAPwordenmaandelijksgemonitordopbasisvaneenstandaardsetvancontrols.
Ø Tijdigsignalerenvanrisico’senverbeterpuntennaarmanagementen1e lijn.
Ø GRCframework,tooling,bemensing2e lijnwordtuuithandengenomen.
Ø BetereuitkomstenuitITenFinancialaudits.
Ø 2e lijns achtervang,dieondersteuntbijdeverbeteringendebeheersingvanSAP.
Ø Kostenreductieomdatgebruikgemaaktwordtvaneenstandaardaanpakenbestpractices.
Ø Focusopkey-risks en-controls;geenstandaardlijstjesmeteenoneindigaantalbeheersmaatregelen.
ØMinderkostenverbondenaandeaccountantscontroleomdathij/zijkansteunenoponzewerkzaamheden.
15
Bentugeïnteresseerd?Website:control-as-a-service.eu
Mail:[email protected]
C.a.a.S.wordtuaangebodendoor:
[email protected]://www.sonke.net
RA’Quel06-22538735http://www.ra-quel.nl
16
Terinfo:Threelines ofDefence Structure
17