Wij willen via dit verzoek aandacht vragen voor het huidige gedrag binnen Zenya waarbij testhistorie niet zichtbaar is wanneer een ITGC of control tijdelijk wordt uitgeschakeld; hoewel dit “by design” is, sluit dit naar onze mening niet aan bij de behoeften vanuit risicomanagement en audit, waar juist een volledige en consistente historische audittrail essentieel is om aantoonbaar te maken dat beheersmaatregelen over een langere periode effectief zijn geweest. Het tijdelijk uitschakelen van een control doet immers niets af aan de waarde van eerdere testresultaten, en het feit dat deze historie in de huidige situatie verdwijnt en later weer verschijnt, zorgt voor verwarring, verminderde transparantie en potentiële interpretatieproblemen bij gebruikers en auditors. Wij pleiten er daarom voor dat testhistorie altijd zichtbaar blijft, ongeacht de status van een control of test, eventueel aangevuld met een duidelijke statusindicatie (bijvoorbeeld “inactief”), zodat zowel de context als de historische evidence behouden blijft en Zenya beter aansluit bij audit- en compliance-eisen.
Testhistorie verdwijnt bij uitzetten ITGC’s / inconsistent gedrag bij heractiveren
+1- Zenya Product Owner
Beste
- Bedoel je met 'uitschakelen' dat de Control gearchiveerd wordt? Al zij het tijdelijk? Of wat is de expliciete status van de control wanneer je het over 'uitgeschakeld' hebt?
- In welk(e) overzicht(en) mis je dan 'inactieve' Control en gerelateerde informatie?
Ik hoor graag!
Hoi
Bedankt voor je bericht! Ik heb hier even 4 screenshots gemaakt met wat ik precies bedoel.
Ik heb hieronder een ITGC Control erbij gepakt op de test omgeving.
In het eerste afbeelding zie je dat ik de “Perform Control Tests” button heb ingeschakeld.
In het tweede afbeelding kan ik bij het tab Control de test historie terug zien.
Daarna heb ik in het derde afbeelding de button “Perform Control Tests” uitgeschakeld.
Vervolgens ga ik in de vierde afbeelding terug naar het tab Control en dan merk ik dat de historie nergens meer terug te zien is. Dat is waar het om gaat.
Nu heb ik even 2 verschillende controls als voorbeeld gebruikt maar dit geldt dus eigenlijk voor alles.
+1- Zenya Product Owner
Beste
De 'Control effectiveness' bestaat semantisch niet wanneer Control Testing uitgeschakeld is. Een Control kan niet effectief zijn wanneer je geen testen uitvoert op dat moment en staat dat ook los van de historie. Dat een Control in het verleden effectief is geweest zegt namelijk niets over of de Control op dit moment effectief is. In bepaalde gevallen kán het natuurlijk zo zijn dat een Control Test nog geldig is wanneer hij tijdelijk uitgeschakeld wordt, maar dat is één van de scenario's. Overigens zegt dat inderdaad niets over de waarde van eerdere testen, maar het zegt wel degelijk iets over de huidige effectiviteit.
Om jullie situatie beter te begrijpen mis ik denk ik nog wat context. Wat is de use case voor het (tijdelijk) pauzeren van een Control Test? Wat is het doel hiervan? En wanneer gaan de Control Tests weer aan in zo'n situatie?
Beste Auke,
Dank voor je toelichting. het punt over de semantiek van ‘current control effectiveness’ is helder en daar zijn we het in principe ook mee eens: wanneer testing is uitgeschakeld, kun je geen uitspraak doen over de huidige effectiviteit van een control.
Ons punt zit echter op een ander aspect, namelijk de beschikbaarheid en consistentie van historische testinformatie, los van de actuele effectiviteitsbeoordeling.
Vanuit risk management en auditperspectief is het cruciaal dat:
- uitgevoerde testen en resultaten altijd zichtbaar en raadpleegbaar blijven,
- ongeacht de huidige status van een control of test (actief/inactief/gepauzeerd).
Het tijdelijk uitschakelen van een control test betekent in onze optiek namelijk:
- dat er geen nieuwe metingen plaatsvinden,
- maar niet dat eerdere evidence minder relevant of “niet-bestaand” wordt.
Wanneer deze historie tijdelijk niet zichtbaar is:
- ontstaat verwarring bij gebruikers (“is er nooit getest of is het verborgen?”),
- wordt de audit trail feitelijk inconsistent in de tijd,
- en wordt het lastiger om richting auditors aan te tonen dat controls over een langere periode effectief hebben gefunctioneerd.
Use case (zoals gevraagd):
Wij zien het pauzeren van control tests o.a. in de volgende situaties:
- tijdelijke proceswijzigingen of systeemmigraties
- gecontroleerde buitengebruikstelling van een systeem/component
- onderhoudsperiodes waarin de control tijdelijk niet relevant of uitvoerbaar is
- overgangsperiodes (bijv. redesign van een control)
Doel hiervan is dus niet om de control ‘te ontkennen’, maar om:
- te voorkomen dat irrelevante of foutieve testresultaten worden vastgelegd,
- terwijl de historische context behouden blijft.
Na de tijdelijke situatie worden control tests weer geactiveerd en hervat.
Waar onze behoefte zit: Wij zouden graag zien dat:
- historische testresultaten altijd zichtbaar blijven,
- met een duidelijke context, bijvoorbeeld:
- status: inactive / paused
- en expliciet onderscheid tussen:
- current effectiveness: not assessed
- historical results: beschikbaar
Op die manier blijft zowel de semantiek correct en de audittrail compleet en transparant.
Wij denken dat deze benadering beter aansluit bij audit- en compliance-eisen zonder af te doen aan de inhoudelijke logica van het model.
Graag horen we hoe jullie hiertegen aankijken.
Met vriendelijke groet,
Azad Yildiz
Word lid van de Zenya Community
Heb je al een account? Log in
Welkom!
Nog geen lid van de community? Maak hier een account aan
Inloggen met sociaal netwerk
Inloggen met Facebook Inloggen met LinkedInEnter your E-mail address. We'll send you an e-mail with instructions to reset your password.