220 likes | 433 Vues
Automatisering opsporen bressen in access controls met steekproef als sluitstuk. Crist-Jan Doedens - Rijksauditdienst medeauteurs: Arjan Hassing - Ernst & Young Jacques de Swart - PricewaterhouseCoopers. Inhoud. kader > wat is auditing? > hoe audit je efficiënt veel van hetzelfde?
E N D
Automatisering opsporen bressen in access controls met steekproef als sluitstuk Crist-Jan Doedens - Rijksauditdienst medeauteurs: Arjan Hassing - Ernst & Young Jacques de Swart - PricewaterhouseCoopers 10 juni 2009 - Symposium Statistical Auditing
Inhoud • kader> wat is auditing?> hoe audit je efficiënt veel van hetzelfde? • voorbeeld> opsporen van conflicterende autorisaties over systemen heen • conclusie 10 juni 2009 - Symposium Statistical Auditing
Wat is auditing? auditing meet kwaliteit bij een proces invoer: informatie, goederen en energie procesbewerking door: mensen en kapitaalgoederen uitvoer: informatie, goederen en energie auditing is een toegevoegde, externe, vorm van kwaliteitsbewaking. nodig waar eigen QA tekort schiet 10 juni 2009 - Symposium Statistical Auditing
Hoe audit je efficiënt veel van hetzelfde? • geautomatiseerd met de computer • met een steekproef • het voorbeeld laat een combinatie van beide manieren zien 10 juni 2009 - Symposium Statistical Auditing
Voorbeeld opsporen van conflicterende autorisaties over automatiseringssystemen heen • bij een instelling met 100+ automatiseringssystemen, en 10.000+ medewerkers • scheiding van functies soms afgedwongen per systeem, niet over systemen heen • mogelijkheid dumpen autorisaties per systeem 10 juni 2009 - Symposium Statistical Auditing
Onderwerp van controle? de gecombineerde dumps van autorisaties uit de systemen: de IST-lijst. • 100+ systemen • 1000+ onvergelijkbare rollen • 1.000.000+ toewijzingen van rollen aan medewerkers 10 juni 2009 - Symposium Statistical Auditing
Welke norm moeten we gebruiken? • welke systemen zijn er? • welke rollen zijn er per systeem? • welke muteerrollen zijn per systeem relevant? • welke combinaties van systeem+muteerrol zijn risicovol? 10 juni 2009 - Symposium Statistical Auditing
Uitkomst • een SOLL-matrix • met 100+ rollen • sommige combinaties van deze rollen zijn in 1 persoon samengenomen risicovol 10 juni 2009 - Symposium Statistical Auditing
SOLL-matrix systemen + rollen waar conflicteert staat een nummer voor het type conflict systemen + rollen 10 juni 2009 - Symposium Statistical Auditing
Het plan SOLL-matrix + IST-lijst -> lijst van conflicterende autorisaties per medewerker 10 juni 2009 - Symposium Statistical Auditing
Hoe controle uitvoeren? met een computerprogramma. • 1000 regels SAS • zelfschrijvend: maakt 20.000 regels extra programmacode uit SOLL-matrix • draait ongeveer 4 uur op een PC 10 juni 2009 - Symposium Statistical Auditing
Achter de schermen bouwen vergelijkingscode uit SOLL draaien vergelijkingscode uit SOLL omzetten conflicten naar excel overzichten maken 10 juni 2009 - Symposium Statistical Auditing
Wat komt er uit? • validatie SOLL-matrix • lijst van risicovolle combinaties van rollen • lijst met aantal conflicten per gebruiker • lijst met aantal conflicten per verbodspaar 10 juni 2009 - Symposium Statistical Auditing
Resultaat roept vragen op • kloppen de resultaten, kunnen we vertrouwen op:IST, SOLL, programma? • wat is het frauderisico per combinatie • welke compenserende maatregelen zijn er? • hoe is een risicovolle combinatie onstaan? • wat vindt de onderzochte organisatie? 10 juni 2009 - Symposium Statistical Auditing
Hoe beantwoorden? vraag: hoe evalueer je een groot aantal autorisatieconflicten? antwoord: met een steekproef! getrokken een gestratificeerde maar niet aselecte steekproef 10 juni 2009 - Symposium Statistical Auditing
Vervolgstappen • volledige beoordeling van alle risicovolle combinaties • per kwartaal SOLL en IST confronteren • de SOLL-matrix blijven aanscherpen • meer systemen opnemen in IST 10 juni 2009 - Symposium Statistical Auditing
Conclusie voor dit voorbeeld was de volgende aanpak succesvol: • basisbestand met nagenoeg alle autorisaties, de IST-tabel • risicovolle combinaties van autorisaties benoemen, de SOLL-matrix • confronteren van SOLL en IST • met een steekproef de reden en het risico bepalen voor de massa van gevonden risicovolle combinaties 10 juni 2009 - Symposium Statistical Auditing