Skip to the content

Wat vindt de auditor van autorisaties in standaard Dynamics?

Auditor en autorisaties

Dynamics 365 Business Central en voorganger Dynamics NAV zijn krachtige en flexibele ERP-systemen. Ook 2-Control gebruikt Dynamics 365 Business Central voor haar administratie. Maar als IT-auditors zijn we ontevreden over de standaard inrichting en functionaliteit van het pakket, vooral over de ingebakken functiescheiding. Creëren van tegengestelde belangen en deze verantwoordelijkheden apart beleggen is juist een reden om een ERP-systeem te gebruiken.

Implementatie Dynamics 365

Vaak zien we dat implementaties sterk gericht zijn op functionaliteit, niet op – zoals auditors en accountants dat noemen – betrouwbaarheid van de informatievoorziening en cijfers. Kennis is de eerste stap naar bewustzijn, daarom heb ik een kort lijstje gemaakt van punten die ik mis in standaard Dynamics NAV en Dynamics 365 Business Central.

  • Alle in- en verkoopdocumenten zijn gecombineerd in vier tabellen: respectievelijk in- en verkoopkop en -regel. Als een gebruiker een inkooporder mag wijzigen, mag die ook een offerte, factuur, credit nota, retour order en raamcontract wijzigen. Met name tussen offerte en order vs. factuur en credit nota is een onderscheid sterk gewenst.
  • Op het betaalvoorstel kun je handmatig een IBAN-code invoeren als bestemmingsrekening. Dit is alleen bij aanmaken van de regel gelinkt aan het stamgegeven leverancier, daarna kan de gebruiker het wijzigen.
  • Standaard Dynamics kent geen vierogen principe bij (de)blokkeren van een stamgegeven als artikel, klant en leverancier. Dit kan met dezelfde rechten als wijzigen van de omschrijving, boekingsgroep of een eenheidsprijs, terwijl je daar juist de blokkade op wilt hebben.

Inefficiënt autorisatiebeheer

  • Beheer van autorisaties kan alleen met SUPER- of SECURITY-rechten. (voor gebruik van SECURITY moet de gebruiker ook de rechten hebben die hij toekent, toekennen van rechten zonder ze zelf te hebben is niet mogelijk). Met andere woorden: degene die autorisaties beheert heeft altijd meer rechten dan gewenst.
  • Rechten toekennen die automatisch weer verwijderd worden is niet mogelijk (bijv. vanwege projecttaken of verlof). Daarnaast is de interface van gebruikersgroepen erg onhandig.
  • In- en uitdienst proces wordt niet ondersteund. Voor aanmaken en verwijderen van accounts zijn handmatige handelingen op meerdere plaatsen nodig: gebruikerskaart met machtigingensets, gebruikersinstellingen per bedrijf en evt. Magazijnwerknemers.

Functiescheiding Dynamics 365 Business Central

Geen inzicht in functiescheiding

  • Dynamics 365 Business Central kent geen manier om inzicht te geven in ingerichte autorisaties, zeker niet voor de combinatie van inrichting uit net genoemde tabellen.
  • Alle rechten uit alle toegekende machtigingensets worden gecombineerd, wat tot ongewenste situaties kan leiden. Je kunt dus alleen opgeven wat gebruikers wél mogen, niet alsnog rechten weghalen.
  • De standaard machtigingensets bieden weinig functiescheiding tussen bijvoorbeeld beheer stamgegevens en aanmaken/boeken documenten.

In praktijk verschilt de impact van deze punten tussen projecten, organisaties en de branche-oplossing van de Microsoft Dynamics partners.

Bewustwording blijft hier van groot belang en is de eerste stap naar verandering. Bent u leverancier van Dynamics 365 Business Central of gaat u de applicatie zelf gebruiken, neem dan de benoemde zaken mee in het implementatieproces. Meer weten over onze oplossingen voor Dynamics NAV of Dynamics 365 Business Central en hoe wij klanten hiermee helpen? Ik ga graag met u in gesprek.

Gertjan Scholten

Contact

Vragen over onze IT-audit diensten of autorisatiesoftware voor Dynamics? Wij beantwoorden ze graag.