SOX ITGC Audit: IT General Controls voor Sarbanes-Oxley Compliance

De Sarbanes-Oxley Act (SOX) is een Amerikaanse wet die strenge eisen stelt aan de interne beheersing van beursgenoteerde bedrijven. Hoewel SOX primair gericht is op de betrouwbaarheid van financiele verslaggeving, speelt IT een cruciale rol omdat vrijwel alle financiele processen afhankelijk zijn van informatiesystemen. IT General Controls (ITGC's) vormen het fundament waarop de betrouwbaarheid van deze systemen rust. Een SOX ITGC-audit toetst of deze controls effectief zijn opgezet en werken.

Wat zijn IT General Controls?

IT General Controls zijn de basisbeheersmaatregelen die van toepassing zijn op de gehele IT-omgeving en die de betrouwbare werking van applicatie-specifieke controls ondersteunen. Als de ITGC's niet effectief zijn, kan de auditor geen vertrouwen ontlenen aan de geautomatiseerde controls binnen financiele applicaties. ITGC's omvatten typisch vier domeinen die elk kritieke aspecten van de IT-omgeving afdekken.

De vier ITGC-domeinen

• •Toegangsbeheer (Access to Programs and Data): beheersing van wie toegang heeft tot systemen, applicaties en gegevens. Dit omvat gebruikersbeheer, authenticatie, autorisatie, segregation of duties en periodieke access reviews.
• •Wijzigingsbeheer (Program Changes): beheersing van wijzigingen aan applicaties en systemen. Dit omvat het change management proces, goedkeuringsprocedures, scheiding van ontwikkel-, test- en productieomgevingen en implementatiecontroles.
• •Programmaontwikkeling (Program Development): beheersing van de ontwikkeling van nieuwe systemen en applicaties. Dit omvat projectmethodiek, testprocedures, acceptatiecriteria en documentatie.
• •Computer Operations: beheersing van de dagelijkse IT-operaties, waaronder job scheduling, back-up en recovery, monitoring en incidentbeheer.

Scoping: welke systemen vallen onder SOX?

Niet alle IT-systemen vallen onder de SOX ITGC-audit. De scope wordt bepaald door de financiele significantie: systemen die financiele transacties verwerken, opslaan of rapporteren, vallen in scope. Dit omvat doorgaans het ERP-systeem, financiele applicaties, rapportagetools en de onderliggende infrastructuur zoals databases, besturingssystemen en netwerken. Een zorgvuldige scoping voorkomt dat de audit onnodig breed wordt, maar waarborgt dat alle relevante systemen worden getoetst.

Veelvoorkomende bevindingen

• •Onvoldoende periodieke access reviews waardoor oud-medewerkers of medewerkers met gewijzigde functies nog steeds toegang hebben.
• •Onvoldoende scheiding tussen ontwikkel- en productieomgevingen waardoor ontwikkelaars wijzigingen direct in productie kunnen doorvoeren.
• •Ontbrekende of onvolledige documentatie van het change management proces en goedkeuringsbewijzen.
• •Gedeelde of generieke accounts die de traceerbaarheid van acties ondermijnen.
• •Ontbrekende of ongeteste back-up en recovery procedures voor financiele systemen.

Voorbereiding op de SOX ITGC-audit

Een goede voorbereiding begint met het actualiseren van de control descriptions: documenteer voor elke ITGC precies wat de control inhoudt, wie verantwoordelijk is, hoe vaak deze wordt uitgevoerd en welk bewijs wordt vastgelegd. Voer voorafgaand aan de externe audit een interne walkthrough uit om te verifierien dat controls werken zoals beschreven. Verzamel proactief het benodigde bewijs, zoals access reviews, change tickets en back-uplogs.

Op IT-Audit Directory vindt u auditors met uitgebreide ervaring in SOX ITGC-audits bij zowel Nederlandse als internationale organisaties. Vergelijk aanbieders op ervaring met uw branche en IT-landschap, en plan tijdig een kennismaking in om een soepel auditproces te waarborgen.