Samenvatting BIV IC 2010-06-14

SAMENVATTING LITERATUUR
EXECUTIVE MASTER OF FINANCE AND CONTROL
13
__________________________________________________
Business Controls & Information Systems

BIV-Interne Controle (BIV-IC)
__________________________________________________
Samenvatting Literatuur
BIV-Interne Controle 1
april 2010 juli 2009
Deze samenvatting is gemaakt door de studenten van EMFC 13
Convergentie in denken over Internal Control.................................................................................................4

Titel: Internal Control Integrated Framework Chapters 1-4........................................................................5
Titel: Internal Control Integrated Framework Chapters 5-8......................................................................8
Titel: Inleiding EDP-auditing Hfd. 8.............................................................................................................10
Titel: Inleiding EDP-auditing Hfd. 9.............................................................................................................11
Titel: Inleiding EDP-auditing hoofdstuk 10 technische infrastructuur (paragraaf 10.1-10.6).......................12
Titel: Inleiding EDP auditing Hoofdstuk 11 paragraaf 1-3........................................................................16
Titel: De Betekenis van IT Auditing voor de Jaarrekeningcontrole ontrafeld..............................................18
Titel: ERP - Pakketten ..............................................................................................................................20
Titel: Balanced scorecard in bedrijf.............................................................................................................22
Titel: Het enterprise warehouse van Centraal Boekhuis.............................................................................23
Titel: De beheersing van de XBRL rapportageketen..................................................................................24
Titel: Leiden nieuwe ontwikkelparadigmas ook tot betere software ........................................................25
De volgende personen hebben meegewerkt aan deze samenvatting:
Bas Bonnier
Chantal Moenis
Erwin Vink
Kristian van Zijtveld
Leonie Meijer
Marijn Feddes
Martijn Swaanenburg
Rob van der Steen
Ronald Pikkemaat
Titel: IFAC Internal Control and Current Developments
Auteur:
Samengevat door: Chantal Moenis
Goedgekeurd door:
Datum: 14-6-2010
Internal control pre 2002:

COSO (VS) Zie eerdere samenvattingen mbt COSO
COCO (Canada) 4 groepen control criteria:
- purpose criteria: risico, doelen, kansen, kpis
- Commitment criteria: waarden, HRM, vertrouwen
- Capability criteria: Kennis, vaardigheden en benodigdheden
- Monotoring & learning criteria
Turnbull Guidance (UK) ziet Internal Control als een systeem welke bestaat uit procedures,
processen, taken en gedrag die:
- Efficiente, effectieve operaties bevorderd
- Een bijdrage levert aan de kwaliteit van interne en externe verslaggeving te borgen
- Een bijdrage levert aan het voldoen aan weten regelgeving.
-
Alle drie betreft het een brede benadering van internal control, principle based en IC vormt een integraal onderdeel van
de bedrijfsactiviteiten.
COBIT Referentie raamwerk voor internal control en IT security. Het betreffen algemeen
geaccepteerde IT-control doelstellingen.
SOX Wetgeving met betrekking tot internal control over financile verslaggeving.
Recente Ontwikkelingen:
Turnbull review (2004-2005)
- Algemene conclusie dat Turnbull een positieve bijdrage heeft geleverd aan een verbeterd begrip
en een beter management van risicos en internal control.
- SOX wordt niet wenselijk geacht, de kosten zijn hoger dan de baten.
- Er is geen behoefte aan een grotere rol voor de externe auditor.
- Nieuw opgenomen in Turnbull: het management moet bevestigen dat de nodige acties zijn
genomen om de zwaktes in het internal control systeem te verbeteren.
Introductie van COSO ERM

Enterprise Risk Management Een proces, geffectueerd door de raad van bestuur, het management en
ander personeel, toegepast bij strategieformulering en binnen de organisatie, bedoelt om mogelijke
gebeurtenissen te identificeren die de onderneming kunnen benvloeden, om te zorgen dat het risico
binnen de risk-apetite blijft, en om redelijke zekerheid te geven over het halen van de doelstelling van de
onderneming.
Nieuwe versie van COBIT
In Europa geen voorstander van SOX. Liever alternatieven dan harde wetgeving.
In Nederland: Code Tabaksblat compy or explain waarom je je niet aan de best practices met
betrekking tot corporate governance houdt.
Nieuwe IFAC publicatie: Enterprise Governance (waarom corporate governance in veel organisaties
gefaald heeft en hoe het beter kan) Een set van verantwoordelijkheden en gebruiken, uitgeoefend
door de raad van bestuur, met als doel om strategische richting te geven, borgen dat doelstellingen
worden behaald, het managen van risico en het verantwoord gebruiken van resources.
2 dimensies:
- Conformance focus op aansprakelijkheid en zekerheid
- Performance focus op strategie en waarde creatie
Het is belangrijk om hier een balans tussen te zoeken. Conformance moet niet overbelangrijk gemaakt
worden.
Convergentie in denken over Internal Control
Voorkeur voor principle based, risk focused boven prescriptive en legislative.
Het is belangrijk dat Internal Control in de organisatie is ingebed.
De tone at the top is belangrijk voor een succesvolle implementatie van Internal Control
SOX focust te veel op Internal Control op financile verslaggeving, liever een bredere IC benadering.
Titel: Internal Control Integrated Framework Chapters 1-4
Auteur: COSO
Samengevat door: Marijn Feddes
Goedgekeurd door:
Datum: 14-6-2010
Chapter 1 Definitie
Het COSO-model is ontwikkeld om managers te helpen de (bedrijfs-)activiteiten beter te beheersen. De gehanteerde

definitie voor interne beheersing (IC) in het COSO-model is:
Internal control is a process, effected by an entitys board of directors, management and other personnel, designed to
provide, reasonable assurance regarding the achievement of objectives in the following categories:
Effectiveness and efficiency of operations
Reliability of financial reporting
Compliance with applicable laws and regulations
Centraal in deze definitie zijn de elementen:

1. IC is een proces
2. IC wordt benvloed door mensen
3. IC voorziet in een redelijke mate van zekerheid
4. IC is toegesneden op het bereiken van doelen
Ad1: IC is een proces betekent dat IC niet een eenmalige actie betreft maar continu plaats vindt in samenhang met de
bedrijfsactiviteiten. Het IC proces dient verweven te zijn met de bedrijfsprocessen. Ingebouwde controle zorgt voor
kostenbeheersing en snelle reactietijd van IC.
Ad2: Doelen en controle mechanismen worden uitgevoerd door mensen. Tegelijkertijd worden mensen benvloed door
het IC systeem. Het zorgt voor een verbinding tussen verantwoordelijkheden, uitvoering en organisatiedoelen.
Ad3: IC kan slechts een redelijke mate van zekerheid bieden. Er zijn diverse factoren die onzekerheid met zich
meebrengen en niet uitgesloten kunnen worden door IC zoals: gebrekkige besluitvorming, menselijke fouten, fraude en
samenspanning
Ad4: In het COSO-model wordt IC beschreven in relatie tot drie categorien van doelen: Operaties, financile
verslaggeving en compliance.
Van IC kan men verwachten dat het redelijke zekerheid geeft over het bereiken van de doelen: financile
verslaggeving en compliance. Het bereiken van doelen met betrekking tot operaties kunnen minder goed worden
verzekerd. Immers deze hangen ook af van factoren buiten de invloed van de organisatie.
Het COSO-model bestaat uit vijf componenten:

1. Control Environment
2. Risk Assessment
3. Control Activities
4. Information and Communication
5. Monitoring
Deze componenten vormen een geheel en benvloeden elkaar in meerdere richtingen. Elk component is van
toepassingen op alle drie de doel categorien. En alle componenten en doelen zijn te vertalen naar de verschillende
lagen in de organisatie.
De effectiviteit van IC kan worden beoordeeld op basis de redelijke mate van zekerheid die ze de directie geeft met
betrekking tot het behalen van de organisatiedoelstelling:
1. zij onderkennen de mate waarin de operationele doelstellingen worden behaald
2. de financiele verslagen zijn betrouwbaar
3. de wet en regelgeving wordt nageleefd
Hoewel IC een proces is, is de effectiviteit van IC een moment opname.
Chapter 2 Control Environment
De controle omgeving is de context waarin IC zich afspeelt. Deze omgeving bestaat onder andere uit de volgende
elementen:
Integrity and ethical values

De effectiviteit van IC is zo goed als de waarden en normen van het management dat ze toepast. Deze worden
bepaald door de organisatiecultuur en de tone at the top. Uit divers onderzoek blijkt dat er drie factoren zijn
die fraudeleus gedrag versterken:
1. Incentives zoals onrealistische resultaatdoelen en hoge resultaatafhankelijke bonussen
2. Temptations zoals afwezigheid van controle en gebrek aan consequenties van fraude
3. Ignorance veroorzaakt door gebrek aan morele sturing
Commitment to competence
Voor elke functie dient een duidelijk profiel met benodigde vaardigheden beschikbaar te zijn.
Board of Directors or Audit committee

De directie* dient zorg te dragen voor een actieve, onafhankelijke en genformeerde houding ten aanzien van
de interne controle. Bij voorkeur is er een duidelijke onafhankelijke fractie binnen de directie.
Management philosophy and operating style

Dit bepaalt in grote mate de wijze waarop de organisatie wordt geleid. De IC dient hierop aan te sluiten (niet
aan te passen)
Organizational structure
De organisatie structuur zorgt voor het raamwerk waarbinnen alle activiteiten worden gepland, ontplooid,
gecontrolleerd en gemonitord. Deze structuur dient te zijn afgestemd op de grote van de organisatie, het soort
activiteiten en de specifieke doelstellingen.
Assignment of authority and responsibility

Het toewijzen van rechten en verantwoordelijkheden aan ieder in de organisatie bepaalt de mate waarin men
beslissingsvrijheid heeft. Dit vergt een balans tussen risico en slagkracht.
Human Resource Policies and Practices

HR beleid geeft een signaal af richting medewerkers over de verwachte integriteit, normen en waarden en
competenties. Dit heeft onder andere betrekking op aanname, ontslag, training, beoordeling promotie en
beloning.
Tot slot is het van belang te beseffen dat binnen een organisatie verschillende control environments kunnen bestaan
tussen divisies, landen etc. De IC moet dus steeds worden afgestemd op de betreffende context.
Chapter 3 Risk Assessments
Er bestaat geen manier om risico volledig uit te sluiten, het management moet besluiten welke risico niveaus
acceptabel zijn.
Risk Assessment begint met de doelstellingen. Het bepalen van de doelen voor de gehele organisatie en de specifieke
activiteiten leidt tot de vaststelling van een set kritische success factoren (KSF). De doelen kan men in de eerder
genoemde drie categorien verdelen.
Vervolgens dient voor ieder doel te worden vastgesteld welke risicos het behalen van deze doelen bedreigen. Het
proces van risico inventarisatie is een continu iteratief proces en een essentieel onderdeel van een IC systeem. Dit
proces wordt vaak gecombineerd met het planningsproces.
Na de identificatie van de risicos op zowel organisatie als activiteiten niveau dient er een risico analyse te worden
gemaakt. Deze bestaat uit de volgende elementen:
estimate of the significance of a risk
assessing the likelihood of the risk occurring
Considering how the risk should be managed
Het is van belang een onderscheid te maken tussen risk assessment, dat een onderdeel is van IC, en het daar uit
voortkomende plan, dat een onderdeel is van de bedrijfsvoering.
Veranderingen in de organisatie of zijn omgeving hebben tot gevolg dat ook de risicos veranderen. Het is dus
noodzakelijk bij veranderingen opnieuw de risicos te identificeren. Belangrijke veranderingen die een impact hebben
op IC zijn:
Changing operating environment
New personnel
New or revamped information systems
Rapid Growth
New Technology
New Lines, Products Activities
Corporate Restructurings
Foreign Operations
Er moeten mechanismen aanwezig zijn die belangrijke veranderingen signaleren en een risico analyse in gang zetten.
Deze mechanismen kijken idealiter vooruit naar veranderingen die gaan komen.
Chapter 4 Control Activities
Control Activities zijn regels en procedures die er voor zorgen dat het gedrag dat het management heeft gedentificeerd
als noodzakelijk om de doelstelling te halen ook daadwerkelijk plaats vindt. Ze bestaan normaal gesproken uit twee
delen: een regel die beschrijft wat er wordt verwacht en een procedure die de naleving hiervan garandeert.
Control Activities moeten er op gericht zijn risicos te verkleinen. Daarnaast moeten ze bijdragen aan het behalen van
de organisatiedoelen. De complexiteit van een organisatie en de aard en omvang van de activiteiten, bepaalt in grote
mate welke control activities het best kunnen worden toegepast.
Met betrekking tot informatie systemen zijn er twee specifieke control activities: general controls en application
controls. General controls zijn er op gericht dat informatie systemen naar behoren werken. Application controls dragen
zorg voor het doorlopen van de juiste procedures bij het gebruik van applicaties/informatie systemen.
Titel: Internal Control Integrated Framework Chapters 5-8
Auteur: COSO
Samengevat door: Leonie Meijer
Approved door: Marijn Feddes
Datum: 20-12-2009
Chapter 5 Information and Communication
Information and communication gaat over het identificeren, verzamelen en verwerken van relevante informatie ten
behoeve van de besturing van de organisatie. Communicatie is vooral gericht op de wijze waarop binnen de organisatie
wordt gecommuniceerd en hoe met de buitenwereld wordt gecommuniceerd.
Informatie kent vele vormen en soorten:

Financile informatie
Operationele informatie
Externe informatie (markt informatie, branch informatie)
Formele en informele informatie
Strategische informatie
Deze informatie kan op verschillende manieren verzameld, verwerkt en tot stand komen waarbij gebruik wordt
gemaakt van een (handmatige of een geautomatiseerd) informatie systeem (bijvoorbeeld een ERP systeem).
De kwaliteit van informatie:

De inhoud dient op de juiste plaats beschikbaar te zijn
De informatie is op tijd
De informatie is actueel
De informatie is correct
De informatie is toegankelijk
De doelen van communicatie:

Interne communicatie
De doelen en de verantwoordelijkheden van de werknemers dient duidelijk gecommuniceerd te zijn (down stream
communicatie).
De communicatie middelen/ methoden dienen voor alle lagen van de organisatie duidelijk te zijn (up stream
communicatie).
Adequate communicatie tussen afdelingen (Horizontale communicatie).
Externe communicatie
Communicatie met de markt (consumenten behoeften).
Communicatie met toezichthouders/ andere belanghebbenden zoals milieu activisten.
De juiste acties op tijd uitvoeren op basis van deze vergaarde informatie.
Chapter 6 Monitoring
Het gehele bouwwerk van COSO dient gemonitored te worden en daartoe staan evaluatie onderzoeken door
bijvoorbeeld controllers en audits ter beschikking. Monitoring is te onderscheiden naar ongoing en separate evaluaties.
Ongoing monitoring die gebruikt wordt voor de beoordeling van de internal control zijn er in vele vormen. De
monitoring activiteiten die continue plaats vinden zijn bijvoorbeeld; management activiteiten, supervisory activiteiten,
vergelijkingen en financile en niet financile aansluitingen.
Separate evaluatie is een vorm van monitoring waarbij het totale proces inclusief de ongoing monitoring vanuit een
niet bedrijfsblinde oogpunt wordt bekeken. Dat kan plaatst vinden door externe partijen zoals interne/ externe audits,
toezichthouders etc.
Reporting Deficiencies
Gebrekkigheden in een control systeem kunnen verschillende oorzaken hebben.
De bronnen van informatie kunnen niet volledig zijn.
De rapportage kan zal onvolledig zijn.
Er kan aan de verkeerde persoon/ afdeling gerapporteerd worden.
Deze richtlijnen betreffende de rapportages dienen ook evalueert te worden om te voorkomen dat de ongoing
monitoring doelmatig te kunnen blijven uitvoeren.
Chapter 7 Limitations of Internal Control
Internal control kan geen redelijke mate van zekerheid geven dat de doelen van de organisatie behaald zullen worden.
Internal control kan geen absolute zekerheid geven betreffende de drie categorien van het COSO model.
De volgende fouten/ missers kunnen niet voorkomen worden:

Judgement (personeel kan een situatie verkeerd in schatten)
Breakdowns (personeel kan de instructies verkeerd begrepen hebben)
Management override
Collusion
Costs versus Benefits
Chapter 8 Roles and Responsibilities
De internal control wordt benvloed door partijen die zowel intern als extern bij de organisatie betrokken zijn. De
verantwoordelijkheden van deze partijen verschilt per rol die deze vervullen.
Interne partijen
Management (alle lagen)
Financial Officers
Raad van ommissarissen
Internal Audit
Werknemers
Vakbonden
Externe partijen
External Audit
Consumenten
Leveranciers
Belasting
Financial analyst
Bond rating agencies
Media
(deze lijst bevat slechts voorbeelden)
Titel: Inleiding EDP-auditing Hfd. 8
Auteur: Jan van Praat, Hans Suerink
Samengevat door: Bas Bonnier
Gecontroleerd door:
Datum: 07 juni 2010
Organisatie van de informatievoorziening
De gebruikersorganisatie is verantwoordelijk voor de kwaliteit van de geautomatiseerde gegevensverwerking. De

organisatie die belast is met het beheer van de informatie- en communicatietechnologie (automatiseringsorganisatie)
heeft een adviserende taak richting het lijnmanagement ten aanzien van de volgende aspecten:
1. De strategiebepaling met betrekking tot de informatie- en communicatietechnologie
2. Het inrichten van bedrijfsprocessen
3. Het realiseren van projecten
4. De wet en regelgeving
Ad 1. De strategiebepaling voor de organisatie van de informatievoorziening (application management) moet

leiden tot een uitgewerkt automatiseringsbeleid en automatiseringsplanning. De volgende processen dienen voor
de beheersing van de ICT-organisatie door gebruikersorganisatie te worden ingericht:
Planning and Control

Cost Management
Quality Management
Service Level Management
De volgende functies moeten bij de organisatie van de informatievoorziening worden vastgelegd:
Systeem eigenaar
Gegevens eigenaar
Functioneel applicatiebeheer
Gegevens- en informatiebeheer
Ad 2. In toenemende mate zullen, door ingebouwde best practises de bedrijfsprocessen beter aangepast kunnen
worden aan het te implementeren informatiesysteem (b.v. ERP-systeem) dan via maatwerk het systeem aan te
passen aan het proces.
Ad 3. Bij het realiseren van projecten staat het bepalen van de prioriteiten gericht op het tijdig voorzien in de
informatiebehoeften centraal. Het doel van programma management is het bepalen van de prioriteiten in relatie
tussen de verschillende ICT-projecten.
Ad. 4. Te allen tijde moet worden voldaan aan de verplichting die wettelijk en contractueel worden opgelegd of
afgesproken. Een belangrijk voorbeeld in deze is de noodzaak tot het opstellen van een in control verklaring.
Indien men onderzoek doet naar de organisatie van de informatievoorziening is het wenselijk de beoordeling te
scheiden in:
Beoordeling van de opzet

Beoordeling van het bestaan
Beoordeling van de werking
Titel: Inleiding EDP-auditing Hfd. 9
Samengevat door: Bas Bonnier
Gecontroleerd door:
Datum: 07 juni 2010
Informatiesystemen en systeemontwikkeling
Informatiesystemen zijn een samenstel van productieprocessen (computerprogrammas) die gegevens (de grondstof)
via bepaalde regels (algoritmes) eventueel met van (wijziging van) gegevens die eerder zijn opgeslagen (het
gegevensmagazijn ofwel de database) omzetten in informatie (het eindproduct).
Een computer programma is een logische opvolging van operaties op gegevens die worden uitgevoerd om ze om te
zetten in informatie.
Het raamwerk van systeemontwikkeling ziet er als volgt uit:

Stap 1: Opstellen organisatiebeleid
Stap 2: Opstellen informatiebeleid
Stap 3: Opstellen automatiseringsbeleid
Stap 4: Opstellen automatiseringsplan
Het informatiebeleid geeft weer welke informatie er benodigd is om de organisatorische doelen te bereiken die
neergelegd zijn in het organisatiebeleid.
Het automatiseringsbeleid geeft weer welke informatie digitaal benodigd is om de doelen te bereiken die neergelegd
zijn in het informatiebeleid.
Het automatiseringsplan geeft een overzicht van de ICT-projecten die in de komende periode gerealiseerd zullen
worden.
Bij de beoordeling van de opzet (de structuur en de aansturing van de organisatie van de systeemontwikkeling) moet
gelet worden of er sprake is van functiescheiding. Binnen de aansturing moet gelet worden op de aanwezigheid van
een adequate projectmanagement structuur zoals bv Prince2.
Bij het beoordelen van het bestaan gaat het erom vast te stellen dat de inrichting overeenkomt met de inrichting zoals
die gepland is en dat de processen zoals die vastgelegd zijn ook worden nageleefd.
Bij het beoordelen van de werking wordt gebruik gemaakt van de vastleggingen die zijn gedaan:
Projectvoorstel
Projectarchief
Project Initiatie Document (PID)
Faseplan
Hoofdpuntenrapport
Fase eindrapport
Project eindrapport
Afwijkingsrapport
Leerpuntenrapport
Projectresultaat
Titel: Inleiding EDP-auditing hoofdstuk 10 technische infrastructuur (paragraaf 10.1-10.6)
Samengevat door: Erwin Vink
Gecontroleerd door:
Datum:
10.1 Organisatie beheer technische infrastructuur

Systeembeheer is het structureren, in stand houden en onderhouden van beheerobjecten (technische infrastructuur)
binnen een geautomatiseerde omgeving om een adequate informatievoorziening te kunnen waarborgen.
Bij inrichting van systeembeer moet rekening worden gehouden met vier inrichtingsaspecten:
1. Inventarisatie en analyse:
Inventariseren en analyseren van de behoeften aan systeembeheer. Goed beheer bestaat uit een combinatie van
organisatorische, procedurele en technische beheersingsmaatregelen. Door de huidige stand van de techniek bestaan al
deze functies niet meer. ICT heeft zelf steeds meer de mogelijkheden om gegevensverwerking te ondersteunen.
Functies die nog nodig kunnen zijn hebben betrekking op outputverwerking, distributie en nabewerking. Om na te
gaan welke functies nodig zijn in een optimale situatie spelen de volgende criteria een rol:
- aantal en omvang van de te beheersen objecten
- mate van integratie van processen binnen de geautomatiseerde informatievoorziening
- mate van decentralisatie van de automatisering
- kwaliteit deskundigheid binnen organisatie op terrein van de te beheersen objecten
- mogelijkheden die ICT biedt om beheer inhoud te geven
2. Functiescheidingen
De volgende functies moeten gescheiden zijn wil er sprake zijn van functiescheiding:
- planning en werkvoorbereiding; verantwoordelijk voor het zo effectief mogelijk gebruikmaken van de
beschikbare mensen, apparatuur en programmatuur.
- operating; verantwoordelijk voor de dagelijkse gegevensverwerking
- distributie en nabewerking; in grote automatiseringsorganisaties kan er een functie onderkend worden waarbij
men belast is met de verstrekking van uitvoer aan gebruikers.
- registratie; functie er erop gericht dat alle activiteiten van de verwerkingsorganisatie vastgelegd worden.
- bewaring; functie heeft betrekking op het bewaren van de gegeven, programmatuur en apparatuur.
3. Inrichting systeembeheer
Om systeembeheer goed in te vullen moet management met volgende zaken rekening houden:
- het zorgen voor een goede opleiding van de beheerders
- opstellen functie- en taakbeschrijvingen en het toewijzen van verantwoordelijkheden aan beheerders.
- Beschikbaar stellen voldoende technische hulpmiddelen voor uitvoering taak
- Opzetten procedures binnen systeembeheer
- Zorgen voor goede communicatiestructuur tussen de diverse beheerders
Systeembeheer bestaat uit de volgende deelgebieden (zie voor voorbeelden p180-185):

- beheer van gegevens
- beheer van toepassingsprogrammatuur
- beheer van apparatuur
- beheer van systeemprogrammatuur
- beheer van netwerken
4. Besturing van het systeembeheer

Een goede organisatorische inkadering van de systeembeheerfunctie is wezenlijk voor een adequaat systeembeheer.
Belangrijke aandachtspunten hierbij zijn:
- in het informatie- en automatiseringsplan moet aandacht zijn voor het systeembeheer
- het systeembeheer moet zo onpartijdig mogelijk zijn
- in de gebruikersorganisatie is het systeembeheer een beschikkende functie op tactisch niveau
- er dient een duidelijke functiescheiding te zijn tussen logisch en technisch systeembeheer
- er behoren directie communicatiemogelijkheden tussen functioneel en technisch systeembeheer te zijn
- de organisatie moet voldoende technische hulpmiddelen beschikbaar te stellen
- er moeten adequate procedures binnen systeembeheer zijn
10.2 Beoordeling van de organisatie van het beheer van de technische infrastructuur
Om een oordeel te kunnen geven over de organisatie van het beheer wordt een onderscheid gemaakt in het beoordelen
van de opzet, het bestaan en de werking. Norm voor deze beoordeling zijn de bij punt 4 genoemde aandachtspunten.
Doelstelling van de audit is:
Het geven van een oordeel over de kwaliteit van de dienstverlening van de afdeling productie en beheer. Dit oordeel
heeft betrekking op de organisatie rond het beheer van de technische infrastructuur over een bepaalde periode.
De auditor zal antwoord willen hebben op de volgende vragen:

- In hoeverre is er gegeven de stand van de techniek en gegeven de omvang van de organisatie behoefte aan
afzonderlijke functies met betrekking tot systeembeheer?
- Zijn de noodzakelijke functiescheiding op een goede manier uitgewerkt in de organisatorische opzet?
- Zijn in de functie- en taakbeschrijvingen de taken voldoende uitgewerkt?
10.3 De processen met betrekking tot het beheer van de technische infrastructuur
Binnen ITIL wordt een groot aantal processen behandeld die betrekking hebben op het beheer. Met betrekking tot het
tactische en operationele niveau gaat het om de volgende processen:
Service delivery set (tactisch niveau):

- Dienstniveaubeheer: technische infrastructuur moet voldoen aan eisen en wensen afnemers van de ICT-
diensten. Om dit te borgen SLAs (met daarin functionele beschrijving dienst, technische beschrijving,
performance dienst, beschikbaarheid, vertrouwelijkheid, operationeel beheer, capaciteitsbeheer, rapportages,
overlegstructuren etc.) afsluiten tussen gebruikersorganisatie en afdeling productie en beheer. Taken:
o Verifieren haalbaarheid eisen en wensen opdrachtgever
o Het voorstellen, onderhandelen, overeenkomen en vastleggen niveau van dienstverlening.
o Het bepalen, opstellen en vastleggen van de normen voor de ICT-dienstverlening.
o Het bewaken van de normen voor de ICT-dienstverlening
o Het rapporteren over de geleverde diensten
- Capaciteitsbeheer
o Capaciteitsplanning
o Prestatiebeheer
o Middelenbeheer
o Vraagbeheersing
o Werklastbeheer
o Applicatiedimensionering (opstellen specificaties waar infrastructuur aan moet voldoen)
o Rapportering (over beschikbare capaciteit, knelpunten etc.)
- Calamiteitenbeheer
o Uitvoeren van een risicoanalyse
o Beheersen van de risicos
o Beheren van het calamiteitenplan
o Informatievoorziening
- Beschikbaarheidsbeheer
o Opstellen beschikbaarheidsplan
o Realiseren van de beschikbaarheidseisen
o Bewaken van de beschikbaarheid
o Bewaken van de onderhoudsverplichtingen
o Informatievoorziening
- Kostenbeheer
o Beheersen van de kosten
o Verrekenen van de kosten
o Informatievoorziening: totale kosten en doorbelaste kosten
Service support set (operationeel niveau)
- configuratiebeheer
o identificatie configuratie-items
o beheer van de configuratiedatabase
o statusbewaking van de configuratie-items
o verificatie van de configuratiebeheerdatabase
o informatievoorziening; groei en wijzigingen in technische infrastruur
- programmatuurbeheer en distributie
o beheer van de systeemprogrammatuurbibliotheek (bijv. kopien om te testen)
o distribueren en implementeren van de systeemprogrammatuur
o informatievoorziening; afwijking planning budget, niet geaccepteerde programmatuuritems, status
licenties en onderhoudscontracten etc.
- incidentenbeheer
o detectie en registratie
o classificatie en toewijzing
o diagnose en oplossing
o afsluiting
o informatievoorziening; aantal incidenten, gemiddelde storingstijd etc.
- probleembeheer
o probleemidentificatie en registratie
o classificatie
o allocatie van mensen en middelen
o onderzoek en diagnose
o foutbeheer
o infromatievoorziening; aantal problemen, bestede tijd aan onderzoek en diagnose, planning.
- wijzigingenbeheer
o acceptatie
o classificatie
o beoordeling en planning
o cordinatie
o informatievoorziening; uitgevoerde wijzigingen per categorie, met spoed uitgevoerde wijzigingen
10.4 Beoordeling van de processen met betrekking tot het beheer van de technische infrastructuur
We maken onderscheid tussen beoordeling van de opzet, het bestaan en de werking. Dit gebeurt op basis van
normconcretisering (ITIL).
1. Beoordeling van de opzet

Hierbij zijn een aantal aspecten van belang :
- Overeenkomst: afspraken over het niveau van dienstverlening
- Inrichting: vastgelegde afspraken zullen door afdeling productie en beheer vertaald moeten worden naar de
technische infrastructuur.
- Procedures: die ervoor moeten zorgen dat op een goede wijze aan het afgesproken niveau van dienstverlening
invulling wordt gegeven.
2. Beoordeling van het bestaan
Het gaat hierbij om de volgende aspecten:
- vaststellen of de inrichting van de componenten van de technische infrastructuur overeenkomt met de
inrichting zoals die gedefinieerd is naar aanleiding van het SLA.
- Beoordelen of de procedures zoals die vastgelegd zijn in het SLA ook daadwerkelijk bekend zijn in de
organisatie.
3. Beoordeling van de werking
- aan de hand van rapporten vaststellen of:
o er over de te beoordeling periode daadwerkelijk sprake is geweest van een kwalitatief goede
dienstverlening.
o de beweringen in de rapportages over de te beoordelen periode overeenkomen met de werkelijke
situatie (middels vastleggingen)
10.5 Producten technische infrastructuur
Technische infrastructuur bestaat uit de volgende componenten:

- besturingssystemen
- netwerkbesturingssystemen
- databasemanagementsystemen
- hulpprogrammatuur
Eindgebruikers stellen eisen aan technische infrastructuur:

- adequate beveiliging
- bij problemen snel geholpen worden
- kosten conform daadwerkelijk gebruik
10.6 Besturingssystemen
Om computersystemen te kunnen laten functioneren vervult het besturingssysteem de volgende functies:

- Processorbeheer
- Geheugenbeheer
- In- en uitvoerbeheer
- Opslagbeheer
- Werkverdeling
De eisen van de gebruikersorganisatie zijn de normen waaraan de systeemprogrammering moet voldoen. Deze normen
worden opgenomen in :
- het informatie- en het automatiseringsbeleid
- het informatie- en automatiseringsplan
- SLA
Het wijzigingenbeheer van een besturingssysteem bestaat uit:

- het implementeren van nieuwe releases (testen, implementeren en goedkeuren)
- het wijzigen van de inrichting (parametrisering)
Beoordeling van de opzet van het besturingsysteem. Het gaat hierbij om het vaststellen van de aanwezigheid van :
- het informatie- en automatiseringsbeleid
- het informatie- en automatiseringsplan
- een SLA
- een overzicht van de noodzakelijke inrichting
Bij de beoordeling van het bestaan dient nagegaan te worden of de inrichting zoals deze is vastgesteld naar aanleiding
van de beoordeling van de opzet ook daadwerkelijk in het geautomatiseerde systeem aanwezig is.
Voor de beoordeling van de werking van het besturingssysteem maakt een auditor gebruik van de loggingfaciliteiten
van het besturingssysteem. Om de inhoud van de logging goed te kunnen beoordelen gebruikt hij het SLA als norm.
Hij besteedt aandacht aan de procedures rond het implementeren van nieuwe wijzigingen en aan de gang van zaken
rond wijzigingen in de parametrisering
Titel: Inleiding EDP auditing Hoofdstuk 11 paragraaf 1-3
Samengevat door: Rob van der Steen
Gecontroleerd door:
Datum:
Samenvattend dienen er maatregelen te zijn die het gemeenschappelijk gebruik van gegevens en informatie niet
dwarsbomen mits de bescherming van gegevens en informatie gewaarborgd is. (Bescherming wordt hier bedoelt:
vertrouwelijk, integer en beschikbaar)
Hiervoor is een systeem van toegangsbeveiliging nodig. Zon systeem is in 3 onderdelen te verdelen:
1. Externe (toegangs-)beveiliging: de communicatie van buitenaf beveiligen
2. Interne fysieke beveiliging: waarbij vooral de beschikbaarheid van de informatiesystemen gewaarborgd moet
zijn.
3. Interne logische beveiliging: hier is bedoelt om elke functionaris de bevoegdheden toe te wijzen die nodig zijn
voor vervulling van zijn of haar functie. Samengevat niet te veel en ook niet te weinig bevoegdheden zodat
alle gegevens voldoende gesplitst zijn met behulp van de juiste views toegekend aan de juiste gebruikers.
Externe beveiliging
Het kunnen inloggen vanuit buitenaf in het gentegreerd systeem door gebruik van een laptop. Om van buitenaf contact
te leggen met de competentietabel waarin de bevoegdheden per medewerker zijn geregeld, moeten de volgende
maatregelen worden genomen:
Het inrichten van een firewall waarbij een onafhankelijke functionaris (beheermedewerker) deze inrichting
beheert. Je hebt een proxyfirewall (meest veilig) en een stateful inspection firewall (minder veilig)
Het opstellen van toegangsregels voor inrichting van de firewall.
Het verstrekken van beveiligingscertificaten aan de gebruikers door de onafhankelijke functionaris op
schriftelijke aanwijzing van personeelszaken of de verantwoord business manager.
Interne beveiliging
Indien medewerkers aanloggen op het systeem is de logische beveiliging zeer belangrijk. Immers het gentegreerd
systeem met authorisaties per medewerker vervangt de in vroegere tijden gehanteerd mechanisme van functiescheiding
omtrent beschikken, bewaren en registreren. Om op een verantwoorde manier de functiescheiding te vervangen zijn 4
groepen van eisen nodig met de daarbij behorende maatregelen:
Identificatie
Om vast te stellen wie welke activiteiten in het systeem heeft verricht, is het belangrijk om te weten wie de gebruiker
is. Hiervoor helpt een userID die een unieke koppeling heeft met elke medewerker die activiteiten in het systeem
verricht. De userID moet automatisch blokkeren na een aantal mislukte aanlog pogingen. Bij uitdiensttreding of geen
gebruik van de userID voor langere periodes dient de userID verwijdert te zijn door de beheermedewerker.
Een beheermedewerker is belast met het toekennen, wijzigen of intrekken van userIDs en kan deze taak alleen
uitvoeren op basis van een schriftelijke mededeling waarvoor ook procedures zijn opgesteld door de organisatie. Een
personeelsadviseur samen met de afdelingshoofden verstrekken de mededeling aan de beheermedewerker.
Authenticatie
Na de identificatie is het aan de gebruiker om aan te tonen dat de gebruiker is wie hij of zij zegt wie de gebruiker is.
Deze authenticatie gebeurt door middel van een wachtwoordsysteem. De technische maatregelen zijn dat
wachtwoorden een minimale lengte hebben, regelmatig en frequent gewijzigd worden, wachtwoorden niet
voorspelbaar zijn of leesbaar op scherm tijdens invoer en gebruikers moeten zelf het wachtwoord wijzigen. En bij de
wetenschap van anderen dat het wachtwoord niet meer persoonlijk is, moet ook het wachtwoord gewijzigd worden.
Zodoende om het wachtwoord persoonlijk te maken en te houden.
Naast de technische maatregelen zijn er ook procedurele en organisatorische maatregelen. Een beheermedewerker is
belast met het beheren van de wachtwoorden zodat alle technische maatregelen worden ingesteld en nageleefd
gebaseerd op het beveiligingsbeleid en procedures. Ook moeten de medewerkers schriftelijk bevestigen dat voor alle
gegevens en het wachtwoord geheimhouding geldt door de medewerker. Dit kan door de personeelsadviseur aan het
arbeidscontract worden bijgevoegd.
Authorisatie
Het systeem moet de gebruiker de bevoegdheden geven die nodig zijn. Welke bevoegdheden een gebruiker nodig
heeft, moet de verantwoordelijk manager of hoofd toekennen en deze schriftelijk doorgeven aan de beheermedewerker
van de automatiseringsafdeling. Deze beheermedewerker kent de rechten toe aan het userID in een competentietabel
van het systeem. Het opstellen van procedures die het opzetten, wijzigen en intrekken van bevoegdheden regelt met
controle op de naleving door de controller.
Rapportering
Controle op het beveiligingssysteem kan alleen gebeuren indien:
Wijzigingen in de identificatie en authenticatiegegevens automatisch gelogd worden in een logbestand
Alle activiteiten van elke gebruikers automatisch gelogd worden in een logbestand met inbegrip van type
activiteit.
Het logbestand moet opgeslagen worden door het systeem en beoordeeld worden door een onafhankelijke
functionaris zoals de controller of de externe accountant indien deze aanwezig is.
Het wijzigen of verwijderen van een logbestand alleen mogelijk is via procedures door een onafhankelijk
functionaris los van technisch of functioneel beheer.
Titel: De Betekenis van IT Auditing voor de Jaarrekeningcontrole ontrafeld
Auteur: Stan van Bommel, Mark van Goor, Lucien Peek en Joop Winterink.
Samengevat door: Ronald Pikkemaat
Gecontroleerd door:
Datum:
In dit artikel wordt beschreven hoe een effectieve vertaalslag kan worden gemaakt om de impact van de IT-
controlebevindingen op de jaarrekeningcontrole te kunnen bepalen. Door een goede samenwerking met en
ondersteuning van een IT auditor zou de accountant de jaarrekeningcontrole veel efficinter kunnen uitvoeren.
Bij de jaarrekeningcontrole wordt in toenemende mate gewerkt met gegevens uit geautomatiseerde
informatiesystemen. Voor het financile verantwoordingsproces is het daarom ook erg belangrijk om de werking en
effectiviteit van de IT controlemaatregelen te kunnen beoordelen. Om dit vervolgens te kunnen doen is specialistische
kennis van IT en IT beheersing nodig. De IT auditor voert de onderzoeken uit naar de General IT-controls en
rapporteert deze aan de accountant. De accountant kan zich tegelijkertijd richten op de User controls en application
controls.
In de praktijk is de samenwerking tussen IT auditor en accountant verre van optimaal en ontbreekt vaak de vertaalslag
van de IT-controlebevindingen naar de betekenis ervan voor de jaarrekeningcontrole. (oorzaak: wederzijds gebrek aan
kennis) (onderliggende oorzaken: ontbreken eenduidige literatuur, definities en terminologie en ook snelle
ontwikkelingen in de praktijk t.o.v. theorie)
De accountant stelt zijn controleaanpak op en samen met de IT auditor stelt hij een overzicht op met de relaties tussen
de jaarrekeningposten, de bedrijfsprocessen, de applicatie en de IT. Op basis hiervan wordt het gerichte onderzoek
vastgesteld zie figuur
Voorbeeld
Post Premies
Significante posten in financile verslagen Functiescheiding & User Controls:
-Verzamelen deelnemersgegevens
Bedrijfsprocessen
-Verwerken in subadministratie en
grootboek
Financieel gerelateerde applicaties Application Controls
-Standaard applicatie Finan. Admin

-Maatwerk applicatie
IT Infrastructuur services
-Besturingssysteem
General IT Controls
-Databases
-Netwerkcomponenten
-Change management
-Security Management
Fysieke Faciliteiten
De analyse om General IT controls te selecteren gaat top-down, van jaarrekeningpost naar IT (zoals hierboven te zien
is). De analyse van de controlebevindingen gaat juist bottom-up (van IT naar jaarrekeningpost).
- Significatieposten jaarrekening
- Onderliggende posten en processen Accountant
- Bedrijfsprocessen
- Deelprocessen
- Applicaties
IT auditor
- IT infrastructuur services
- Fysieke Faciliteiten
De kritieke componenten en stappen in de vastgestelde processen zullen in het bijzonder door zowel de IT auditor als
de accountant worden bekeken. Door de bevindingen te interpreteren naar de gevolgen voor de applicaties en
vervolgens voor het proces, kan een afgewogen oordeel worden gegeven op het niveau van de jaarrekeningposten
Voorbeeld 1: Change mgt
Doordat wijzigingen niet gestructureerd, getest en geautoriseerd zijn vastgelegd volgens het change mgt proces kan de
juiste werking van applicaties niet worden gewaarborgd. Hierdoor kan de volledigheid en betrouwbaarheid van de
pensioen administratie niet worden gegarandeerd. Met als gevolg dat de post (pensioen)premies onjuist kan zijn.
Wellicht extra werkzaamheden door standenregisters te vergelijken (verbandcontrole van user controls)
Voorbeeld 2 : Security mgt
Om de integriteit van data te kunnen waarborgen is de detectieve controle van logging erg belangrijk. Logging van
gebruikers, en autorisaties. Kortom ongeautoriseerde en onrechtmatige activiteiten worden door logging vastgesteld.
Betekent wel dat de logging periodiek gecontroleerd moet worden (hiervoor zal een proces ingericht moeten zijn)
Belangrijke bevindingen leiden meestal tot aanvullende werkzaamheden en onderzoeken. Maar ook juist een controle
mix kan de accountant helpen om als nog de betrouwbaarheid van de informatie en de uiteindelijks jaarrekeningposten
te kunnen vaststellen.
Kortom werking van General IT controls en het onderzoek er naar hebben een grote toegevoegde waarde voor het
accountantsverslag en management letter. Echter tot op heden worden ze niet of nauwelijks benoemd. Er zijn zo nog
geen voorbeelden te vinden in de praktijk waarbij men niet tot een goedkeurende accountantsverklaring is gekomen
door ernstige IT controlebevindingen.
Kortom IT auditing is enerzijds om een volledig risicobeeld te krijgen en anderzijds het effectief en efficint kunnen
uitvoeren van de jaarrekeningcontrole.
Titel: ERP - Pakketten
Auteur: Ronald A. Jonger RE RA
Samengevat door: Leonie Meijer
Goedgekeurd door:
Datum: 13 juni 2010
Het ERP systeem wordt door Jonker gedefinieerd als:
Standaardsoftwarepakketten met bedrijfsbrede procesondersteunende functionaliteiten, die in staat stellen om

binnen een bedrijfsfunctie ingevoerde gegevens voor hergebruik binnen andere bedrijfsfuncties aan te wenden.
In de tabel hieronder is weergegeven in welke punten Een ERP systeem zich onderscheidt van een traditioneel divers
systeemlandschap.
Traditioneel systeemlandschap ERO systeem

Gericht op de functies die binnen een afdeling moeten Procesondersteunende functionaliteiten en daarom
worden uitgevoerd afdelingsoverstijgend
Maatwerkapplicaties of best of breed- pakket Standaard pakket
Expliciete koppeling tussen applicaties nodig, hetzij Hergebruik van gegevens wordt afgedwongen binnen
handmatig, het geautomatiseerd het systeem
Veelal ondersteund door meerdere platformen van Ondersteund door n platform van Operating Systeem
Operating Systemen en DBMS-en en DBMS
Voordelen van het ERP systeem ten opzichte van traditionele systeemlandschappen:
Gegevens die binnen een bedrijfsproces in het ERP-systeem worden vastgelegd kunnen ook binnen andere
bedrijfsprocessen worden gebruikt.
Binnen het ERP systeem zijn geen geautomatiseerde koppelingen meer nodig.
Het functionele beheer kan efficinter worden opgezet.
Bij een systeemlandschap van specifieke applicaties komt het veel voor dat deze applicaties ieder voor zich
specifieke eisen stellen aan de technische architectuur.
Er is slechts n leverancier waarmee de beheerorganisatie in contact staat.
Het gebruik van ERP-systemen brengt nieuwe functionaliteiten in toekomstige nieuwe releases van het
systeem onder handbereik.
Nadelen van het ERP systeem ten opzichte van traditionele systeemlandschappen:
De afhankelijk van de leverancier is groter ten opzichte van maatwerkapplicaties
ERP systemen zijn qua functionaliteit minder flexibel dan maatwerksystemen.
Erp-implementatietrajecten hebben een hoge faalkans.
Nieuwe ontwikkelingen van ERP systemen.

Ketenintegratie, het ERP systeem van een organisatie ook beschikbaar gesteld aan toeleverancier, afnemers en
distributeurs, zodat de goederenstroom verder kan worden geoptimaliseerd buiten de grenzen van de eigen organisatie.
Web-based functionaliteiten
Verhuur van ERP systemen door de dienstverleners.
Consequenties van de ontwikkeling en de implementatie van ERP systemen voor de beheersing van de gegevensverwerking.
Configureerbaarheid van het ERP systeem
Het ERP pakket aanpassen aan het bedrijfsproces of het bedrijfsproces aanpassen aan het ERP pakket?
Gentegreerdheid van het ERP systeem

Deze gentegreerdheid impliceert dat meerdere bedrijfsfuncties gebruikers zijn van dezelfde data. Vanuit elke
bedrijfsfunctie worden verschillende eisen aan deze data gesteld. Het ERP systeem ondersteunt deze eisen
door middel van een complexe datastructuur die hoge eisen stelt aan betrouwbaarheid, actualiteit en
consistentie.
Onvoldoende kennis bij implementatie consultants

Meestal is de aandacht voor de interne controle bij de consultants beperkt. Hun aandacht blijft beperkt tot het
werkend krijgen van het pakket.
Online real-time verwerking

Een online real-time informatiesysteem, zoals een ERP applicatie, betekent voor de meeste bedrijven een
grote verandering ten opzichte van hun huidige informatiesystemen. Waar bij batch gewijze verwerking de
invoer achteraf nog kan worden gecorrigeerd voord at verdere verwerking plaatsvindt, is dit bij real-time
verwerking nauwelijks mogelijk.
Discipline en kennis van eindgebruikers bij operationeel gebruik

Procedures en werkinstructies en training daarin moeten de eindgebruiker daarbij ondersteunen.
Integratie ERP systeem en technische infrastructuur

De beheersing van de gegevensverwerking in een door een ERP systeem ondersteund proces is mede
afhankelijk van de kwaliteit van het beheer en de inrichting van het onderliggende besturingssysteem en
databasemanagementsysteem.
Conceptueel model van beheersobjecten in een ERP-omgeving
IT Beheer Bedrijfsprocessen
Systeem administratie Eindgebruikerscontroles
Change management Configuratiecontrols
Problem management
Beschikbaarheid
Operations Business
Controls
Beveiliging Data integriteit

Applicatie beveiliging Data conversie
Infrastructuur beveiliging Interfaces
Monitoren en detectie
De projectfasen bij het ontwerpen en implementeren van business controls:

Initiatie
Blauwdruk
Inrichting
Testen en pre-implementatie
Operationeel gebruik
Voor een uitgebreide beschrijving van de projectactiviteiten en de business control activiteiten zie pagina 192 in de
reader.
Titel: Balanced scorecard in bedrijf
Auteur: T. de Groot
Samengevat door: Martijn Swaanenburg
Approved door:
Datum: 05-05-2010
Problemen bij de invoering en het gebruik van de BSC:

1. Voor verschillende onderdelen in de organisatie zullen aangepaste BSC moeten worden gemaakt
2. Relaties tussen niet-financile en financile indicatoren kunnen buitengewoon complex zijn
3. Managers hebben in het algemeen moeite om bij hun plannings- en beheersingsbeslissingen goed rekening te
houden met de verschillende dimensies van de BSC
De BSC is bedoeld om op een gestructureerde wijze de strategie van de onderneming te vertalen in concrete doelen
(goals) en de mate waarin deze doelen worden bereikt periodiek te meten (measures).
De BSC is een afbeelding van de causale relaties in een bedrijf. In het ontwerp van een BSC moeten de causale relaties
worden gexpliciteerd, zodat ze gemeten en beheerst kunnen worden
De balans in de BSC wordt simultaan op 5 gebieden gezocht:

1. De 4 aandachtsgebieden van de BSC
2. Interne en externe prestatiemaatstaven
3. Financile en niet-financile maatstaven
4. Leading en lagging indicatoren
5. Korte en lange termijn perspectief
Bij het invoeren van de BSC in een organisatie moeten de gebruikers beslissen over:
1. Wanneer gebruikt men systemen als de BSC
Een onderneming in een onzekere situatie gebruikt meer informatie. Deze informatie is meer prospectief, levert
meer informatie over de omgeving en is meer subjectief van aard. Naarmate beslissingen een kortere tijdshorizon
hebben neemt het gewicht van financile informatie in de beslissing af
2. De relatie tussen niet-financile en financile prestaties
Niet-financile indicatoren worden vooral gebruikt indien met ervan overtuigd is dat zij goede voorspellers zijn
van financile prestaties. Een indicator kan te maken hebben met een vertragingseffect. Bovendien kunnen er ook
causale relaties binnen 1 BSC dimensie bestaan
3. Het gebruik van de BSC
Toepassing van de BSC kan worden onderzocht op individueel niveau en op organisatieniveau
Voor de individuele beslisser presenteert de BSC 2 soorten informatie: gemeenschappelijke informatie (komt in
gelijkaardige vorm voor in prestatieoverzichten van meerdere eenheden) en unieke informatie (komt in een enkele
eenheid voor en kan alleen in de context van die eenheid worden genterpreteerd). Managers kennen aan
gemeenschappelijke informatie een groter gewicht toe
Titel: Het enterprise warehouse van Centraal Boekhuis
Auteur: E. van Bockel
Approved door:
Datum: 05-05-2010
Een goede informatiearchitectuur is het fundament voor elk informatiesysteem, zo ook voor een datawarehouse
Datawarehouse: een gegevensverzameling voor informatieverstrekking over onderwerpen van de business en is

faciliterend naar de gehele organisatie. De centrale organisatie is de eigenaar.
Datamart: een gegevensverzameling over een bepaald onderwerp specifiek voor een afdeling voor
beslissingsondersteuning van die afdeling. De afdeling is de eigenaar.
A datawarehouse is the union of all datamarts.
Om datawarehouse en datamart onafhankelijk van elkaar te kunnen laten opereren wordt gebruik gemaakt van een
operational datastore (ods). Dit is een tijdelijke ruimte waarin de operationele systemen gegevens klaar zetten waarmee
vervolgens het datawarehouse aan de slag kan.
Records die niet kloppen leiden in een operationeel systeem niet direct tot problemen. In een datawarehouse kan dit
soort vuile data grote gevolgen hebben.
Datacleaning is het proces waarbij data worden opgeschoond. Het is hierbij belangrijker om classificaties (bv
klanttype) op orde te hebben dan detailgegevens. De focus ligt op classificaties met de hoogste informatiewaarde.
Datawarehousing is een continu dynamisch proces binnen de organisatie. Het stopt niet zodra het eerste project is
opgeleverd. Inzichten van een organisatie zijn aan verandering onderhevig.
Hoe beter het datawarehouse is ingericht, des te makkelijker datamarts eruit kunnen worden ontsloten.
Titel: De beheersing van de XBRL rapportageketen
Auteur: M. van Hilvoorde
Approved door:
Datum: 05-05-2010
XBRL is een standaard voor de uitwisseling van gegevens tussen computersystemen die wordt gebruikt om digitaal te
rapporteren.
XBRL: eXtensible Business Reporting Language
De XBRL standaard zorgt voor een exact gedefinieerde, voorspelbare structuur (syntax) voor het beschrijven of
representeren van zakelijke feiten, op een manier die computersystemen kunnen verwerken en gebruiken. Met op
XBRL aangepaste software is het voor verzenders en ontvangers van bedrijfsgegevens mogelijk om gegevens uit te
wisselen, zonder de noodzaak overeenstemming te bereiken over een vaste datastructuur.
De communicatie van bedrijfsgegevens vindt plaats via een XBRL instance, een elektronisch bestand dat voldoet aan
de eisen zoals beschreven in de XBRL specificatie.
Typen gegevens gecommuniceerd met XBRL:

1. Geaggregeerde financile en bedrijfsgegevens, bv jaarrekening
2. Financile transactiegegevens, bv journaalposten
3. Operationele gegevens, bv facturen
Benaderingen bij het communiceren van gegevens

1. Van systeem naar systeem: gegevenscommunicatie tussen en binnen organisaties
2. Van systeem naar gebruiker of persoon: iedere gebruiker krijgt zijn eigen rapportage
Praktijkvoorbeelden van toepassingen van XBRL

1. Nederlandse ondernemingen kunnen een gedeelte van hun aangifte aan de Belastingdienst doen in XBRL
2. SEC test XBRL voor aangiften
3. Het bedrijf Wacoal heeft XBRL gebruikt om de gegevensuitwisseling tussen bedrijfsonderdelen te
standaardiseren. Hiermee was de introductie van 1 ERP systeem voor alle bedrijfsonderdelen niet nodig
XBRL rapportageproces
1. Kiezen van de juiste (standaard) taxonomie
2. Maken van een eigen (extensie) taxonomie
3. Verzamelen en identificeren van de brongegevens
4. Koppelen van gegevens aan de taxonomie elementen
5. Creren van de instance
6. Valideren en controleren van de instance
7. Verzenden van de instance
In het XBRL rapportageproces spelen Internal Control maatregelen als juistheid, volledigheid en tijdigheid een rol
Titel: Leiden nieuwe ontwikkelparadigmas ook tot betere software
Auteur: de heer drs. Greefhorst
Samengevat door: Kristian van Zijtveld
Approved door:
Datum:
Dit artikel gaat over ontwikkelparadigmas ten behoeve van softwaresystemen. Een systeem met een bepaalde
functionaliteit kan worden verdeeld in kleine samenwerkende eenheden. De basis van een methode waarop naar
softwaresystemen wordt gekeken is zogenaamde gehanteerde ontwikkelparadigma. Paradigmas verschillen in de
manier waarop dit gebeurd, en het gehanteerde paradigma bepaalt dan ook in sterke mate de architectuur van het
softwaresysteem. Softwaresystemen dienen zich steeds aan te passen aan nieuwe technologien.
In dit artikel wordt inzicht gegeven in de evolutie van ontwikkelparadigmas en hun relatie met
kwaliteitseigenschappen. Hierbij wordt onderscheid gemaakt tussen de procedurele, objectgeorinteerde,
aspectgeorinteerde, componentgebaseerde en servicegeorinteerde paradigmas.
Procedurele paradigmas zijn gesloten paradigmas geschreven in een programmeertaal en niet erg gericht aan het
voldoen van open standaarden en het integreren met andere systemen.
Bij objectgeorienteerde paradigmas wordt software gemodelleerd als objecten in de werkelijke wereld. Bij
aspectgeorienteerde paradigmas wordt een meer generieke benadering van de werkelijke wereld gemodelleerd. Het
componentgebaseerde paradigma biedt primair een mechanisme om de complexiteit van een systeem te reduceren door
het in beter onderhoudbare componenten onder te verdelen. Servicegeorienteerde paradigmas zijn primair gericht op
het op grotere schaal kunnen hergebruiken van functionaliteit en het voorkomen van redundante koppelingen tussen
systemen.
In het artikel (tabel 1) worden de vijf vorengenoemde ontwikkelparadigmas vergeleken op basis van de
functionaliteit, betrouwbaarheid, efficiency, onderhoudbaarheid en portabiliteit.
Men kan uit de tabel concluderen dat nieuwere componentgebaseerde en servicegeorienteerde ontwikkelparadigmas
goed scoren op eigenschappen als onderhoudbaarheid, schaalbaarheid, portabiliteit en interoperabiliteit. Hierdoor zijn
ze beter geschikt voor het ontwikkelen van grotere en complexere softwaresystemen.
Sevicegeorienteerde ontwikkelparadigmas zijn vooral geschikt in situaties waarbij heterogene softwaresystemen

gentegreerd moeten worden. Belangrijke eigenschappen als tijdgedrag en betrouwbaarheid zorgen voor extra
uitdagingen voor het typisch gedistribueerde karakter van systemen die volgens deze paradigmas worden ontwikkeld.
Deze eigenschappen vragen dus om extra aandacht, zowel tijdens ontwikkeling als beheer. De performance van
systemen wordt gewaarborgd door nieuwere en snellere hardware. Betrouwbaarheid zal echter moeten worden
ingebouwd en worden bewaakt in de beheerfase.
De auteur beargumenteerd dat nieuwe ontwikkelparadigmas niet per definitie leiden tot betere systemen, maar afhangt
van de context. Voor een relatief kleinschalig systeem waarbij performance en betrouwbaarheid een belangrijke rol
spelen, is het procedurele ontwikkelparadigma het meest geschikt. En systemen waarbij een goede representatie van de
werkelijkheid van belang is kunnen prima objectgeorinteerd ontwikkeld worden (simulatiesoftware).
Servicegeorienteerde en componentgebaseerde systemen op het laagste niveau zijn uiteindelijk ook procedureel en
objectgeorinteerd. De kwaliteit van systemen wordt uiteindelijk voor een groot deel bepaald door organisatiefactoren,
zoals ervaring, organisatorische inrichting en technische omgeving.

Samenvatting BIV IC 2010-06-14

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Samenvatting BIV IC 2010-06-14

Uploaded by

Copyright:

Available Formats

SAMENVATTING LITERATUUR

EXECUTIVE MASTER OF FINANCE AND CONTROL

Business Controls & Information Systems

Convergentie in denken over Internal Control.................................................................................................4

De volgende personen hebben meegewerkt aan deze samenvatting:

Internal control pre 2002:

Introductie van COSO ERM

Nieuwe versie van COBIT

Het COSO-model is ontwikkeld om managers te helpen de (bedrijfs-)activiteiten beter te beheersen. De gehanteerde

Centraal in deze definitie zijn de elementen:

Het COSO-model bestaat uit vijf componenten:

Integrity and ethical values

Board of Directors or Audit committee

Management philosophy and operating style

Assignment of authority and responsibility

Human Resource Policies and Practices

Chapter 3 Risk Assessments

Chapter 4 Control Activities

Chapter 5 Information and Communication

Informatie kent vele vormen en soorten:

De kwaliteit van informatie:

De doelen van communicatie:

Chapter 7 Limitations of Internal Control

De volgende fouten/ missers kunnen niet voorkomen worden:

Chapter 8 Roles and Responsibilities

Organisatie van de informatievoorziening

De gebruikersorganisatie is verantwoordelijk voor de kwaliteit van de geautomatiseerde gegevensverwerking. De

Ad 1. De strategiebepaling voor de organisatie van de informatievoorziening (application management) moet

Planning and Control

Beoordeling van de opzet

Het raamwerk van systeemontwikkeling ziet er als volgt uit:

10.1 Organisatie beheer technische infrastructuur

Systeembeheer bestaat uit de volgende deelgebieden (zie voor voorbeelden p180-185):

4. Besturing van het systeembeheer

De auditor zal antwoord willen hebben op de volgende vragen:

Service delivery set (tactisch niveau):

1. Beoordeling van de opzet

10.5 Producten technische infrastructuur

Technische infrastructuur bestaat uit de volgende componenten:

Eindgebruikers stellen eisen aan technische infrastructuur:

Om computersystemen te kunnen laten functioneren vervult het besturingssysteem de volgende functies:

Het wijzigingenbeheer van een besturingssysteem bestaat uit:

-Standaard applicatie Finan. Admin

- Onderliggende posten en processen Accountant

Het ERP systeem wordt door Jonker gedefinieerd als:

Standaardsoftwarepakketten met bedrijfsbrede procesondersteunende functionaliteiten, die in staat stellen om

Traditioneel systeemlandschap ERO systeem

Nieuwe ontwikkelingen van ERP systemen.

Gentegreerdheid van het ERP systeem

Onvoldoende kennis bij implementatie consultants

Online real-time verwerking

Discipline en kennis van eindgebruikers bij operationeel gebruik

Integratie ERP systeem en technische infrastructuur

Conceptueel model van beheersobjecten in een ERP-omgeving

Beveiliging Data integriteit

De projectfasen bij het ontwerpen en implementeren van business controls:

Problemen bij de invoering en het gebruik van de BSC:

De balans in de BSC wordt simultaan op 5 gebieden gezocht:

Datawarehouse: een gegevensverzameling voor informatieverstrekking over onderwerpen van de business en is

Typen gegevens gecommuniceerd met XBRL:

Benaderingen bij het communiceren van gegevens

Praktijkvoorbeelden van toepassingen van XBRL

Sevicegeorienteerde ontwikkelparadigmas zijn vooral geschikt in situaties waarbij heterogene softwaresystemen