Skip to main content

Themes

Audit & Assurance
Governance Risk & Compliance

Productcatalogus

Softwarecertificering

Sinds het Amerikaanse AICPA in 1982 Statement on Auditing Standards No.44, Special-Purpose Reports on Internal Accounting Controls at Service Organizations uitbracht, zijn er door diverse beroepsregelgevende instanties en standaardisatielichamen regels en protocollen gepubliceerd voor de uitvoering van TPM-onderzoeken. Een aantal hiervan wordt in deze reeks artikelen behandeld.

Klik hier voor een inleiding op de reeks artikelen en een overzicht van de artikelen.

Inleiding

Softwareleveranciers hebben vaak moeite om hun klanten te overtuigen van de hoge kwaliteit van hun softwarepakket. Op basis van een softwarecertificeringsonderzoek kan een softwareleverancier de kwaliteit van zijn softwarepakket aan derden aantoonbaar maken. Nadat een certificeringsonderzoek is afgerond en het pakket als voldoende is beoordeeld, ontvangt de softwareleverancier een certificaat. Met dit certificaat kan aan klanten gemakkelijk aantoonbaar worden gemaakt dat het pakket beschikt over voldoende internecontrolemaatregelen. Daarbij kan de softwareleverancier zich onderscheiden van zijn concurrenten die geen certificaat hebben.

Betrokken partijen

Door de grote accountantsorganisaties zijn inmiddels diverse certificaten bij softwarepakketten afgegeven. Uit de praktijk blijkt dat vooral de leveranciersmarkt van boekhoudsystemen geïnteresseerd is in het verkrijgen van een certificaat.

De opdrachten worden uitgevoerd door ICT-auditors die kennis hebben van de functionaliteit van het te onderzoeken pakket. Deze kennis is benodigd om een pakketspecifieke normenset te kunnen opstellen en op een efficiënte wijze de toetsing te kunnen uitvoeren.

Onderzoek

Tijdens de opdrachtformulering is afgesproken welke modules van het softwarepakket worden beoordeeld en welke kwaliteitscriteria van toepassing zijn. Daarbij gaat het meestal om de volgende (kwaliteits)aspecten:

  • integriteit: biedt het pakket voldoende internecontrolemaatregelen om de juistheid, volledigheid en tijdigheid van de geautomatiseerde gegevensverwerking te kunnen waarborgen;
  • exclusiviteit: biedt het pakket voldoende internecontrolemaatregelen, zodat vertrouwelijke informatie kan worden afgeschermd (van reguliere gebruikers);
  • controleerbaarheid: biedt het pakket voldoende internecontrolemaatregelen om achteraf te kunnen vaststellen hoe één of meer transacties door het systeem zijn verwerkt (bijvoorbeeld audit trail en het netwerk van controletotalen).

Het onderzoek heeft als doel te toetsen of het pakket voldoende internecontrolemaatregelen bevat, zodat een betrouwbare gegevensverwerking kan worden gerealiseerd. De benodigde internecontrolemaatregelen worden bepaald op basis van een risicoanalyse en komen tot uitdrukking in de normenset. Tijdens het onderzoek wordt door middel van een aantal testgevallen aantoonbaar gemaakt of aan een norm wordt voldaan. Kortom, door deze wijze van opdrachtuitvoering worden opzet en bestaan beoordeeld.

Zoals reeds vermeld richt het onderzoek zich op een aantal modules van het softwarepakket. Het object van onderzoek betreft dan deze modules van één bepaalde release. Belangrijk is dat het object van onderzoek goed met de softwareleverancier wordt besproken, omdat dit ook in het certificaat wordt vermeld. In principe geldt dat het certificaat niet van toepassing is op andere releases van hetzelfde pakket. Natuurlijk kan via onder andere releasenotes worden vastgesteld hoeveel inspanning benodigd is om een update van het onderzoek uit te voeren. De update zal altijd minder inspanning vergen dan de initiële opdracht.

Beperking

Indien tot een positief oordeel wordt gekomen, betekent dit niet dat iedere implementatie (van het pakket) ook voldoet aan de normenset. Dit wordt veroorzaakt doordat vele internecontrolemaatregelen kunnen worden geïnactiveerd door het wijzigen van instellingen (parameters). De waarde van een certificeringsonderzoek is dat vastgesteld is welke internecontrolemaatregelen in het softwarepakket aanwezig zijn of kunnen worden geactiveerd. Dit wordt geïllustreerd met een voorbeeld.

De norm is: Het pakket ondersteunt functiescheiding tussen de invoer van journaalboekingen en de verwerking van boekingen.

In het certificeringsonderzoek wordt getoetst of de softwarefuncties invoer en verwerking aan twee afzonderlijke medewerkers kunnen worden toegewezen.

Het toewijzen van deze softwarefuncties aan medewerkers vindt plaats door een autorisatie-instelling en functiescheiding hoeft dus niet aanwezig te zijn bij iedere implementatie. Kortom, de waarde van het certificaat is dat functiescheiding mogelijk is.

Uitkomsten

Het resultaat van het onderzoek is een rapport waarin het uitgevoerde onderzoek wordt beschreven inclusief de normenset, bevindingen en de conclusie. Desgewenst kan ook een certificaat worden verkregen dat de belangrijkste uitkomsten van het onderzoek weergeeft, en dat volledigheidshalve ook verwijst naar het rapport.