Professional Documents
Culture Documents
13
__________________________________________________
Samenvatting Literatuur
Business Controls & Information Systems
BIV-Interne Controle 1
april 2010 juli 2009
Deze samenvatting is gemaakt door de studenten van EMFC 13
Bas Bonnier
Chantal Moenis
Erwin Vink
Kristian van Zijtveld
Leonie Meijer
Marijn Feddes
Martijn Swaanenburg
Rob van der Steen
Ronald Pikkemaat
Samenvatting Literatuur
Business Controls & Information Systems
BIV-Interne Controle 2
april 2010 juli 2009
Titel: IFAC Internal Control and Current Developments
Auteur:
Samengevat door: Chantal Moenis
Goedgekeurd door:
Datum: 14-6-2010
COBIT Referentie raamwerk voor internal control en IT security. Het betreffen algemeen
geaccepteerde IT-control doelstellingen.
SOX Wetgeving met betrekking tot internal control over financile verslaggeving.
Recente Ontwikkelingen:
Turnbull review (2004-2005)
- Algemene conclusie dat Turnbull een positieve bijdrage heeft geleverd aan een verbeterd begrip
en een beter management van risicos en internal control.
- SOX wordt niet wenselijk geacht, de kosten zijn hoger dan de baten.
- Er is geen behoefte aan een grotere rol voor de externe auditor.
- Nieuw opgenomen in Turnbull: het management moet bevestigen dat de nodige acties zijn
genomen om de zwaktes in het internal control systeem te verbeteren.
In Europa geen voorstander van SOX. Liever alternatieven dan harde wetgeving.
In Nederland: Code Tabaksblat compy or explain waarom je je niet aan de best practices met
betrekking tot corporate governance houdt.
Nieuwe IFAC publicatie: Enterprise Governance (waarom corporate governance in veel organisaties
gefaald heeft en hoe het beter kan) Een set van verantwoordelijkheden en gebruiken, uitgeoefend
door de raad van bestuur, met als doel om strategische richting te geven, borgen dat doelstellingen
worden behaald, het managen van risico en het verantwoord gebruiken van resources.
2 dimensies:
- Conformance focus op aansprakelijkheid en zekerheid
- Performance focus op strategie en waarde creatie
Het is belangrijk om hier een balans tussen te zoeken. Conformance moet niet overbelangrijk gemaakt
worden.
Samenvatting Literatuur
Business Controls & Information Systems
BIV-Interne Controle 3
april 2010 juli 2009
Convergentie in denken over Internal Control
Voorkeur voor principle based, risk focused boven prescriptive en legislative.
Het is belangrijk dat Internal Control in de organisatie is ingebed.
De tone at the top is belangrijk voor een succesvolle implementatie van Internal Control
SOX focust te veel op Internal Control op financile verslaggeving, liever een bredere IC benadering.
Samenvatting Literatuur
Business Controls & Information Systems
BIV-Interne Controle 4
april 2010 juli 2009
Titel: Internal Control Integrated Framework Chapters 1-4
Auteur: COSO
Samengevat door: Marijn Feddes
Goedgekeurd door:
Datum: 14-6-2010
Chapter 1 Definitie
Internal control is a process, effected by an entitys board of directors, management and other personnel, designed to
provide, reasonable assurance regarding the achievement of objectives in the following categories:
Effectiveness and efficiency of operations
Reliability of financial reporting
Compliance with applicable laws and regulations
Ad1: IC is een proces betekent dat IC niet een eenmalige actie betreft maar continu plaats vindt in samenhang met de
bedrijfsactiviteiten. Het IC proces dient verweven te zijn met de bedrijfsprocessen. Ingebouwde controle zorgt voor
kostenbeheersing en snelle reactietijd van IC.
Ad2: Doelen en controle mechanismen worden uitgevoerd door mensen. Tegelijkertijd worden mensen benvloed door
het IC systeem. Het zorgt voor een verbinding tussen verantwoordelijkheden, uitvoering en organisatiedoelen.
Ad3: IC kan slechts een redelijke mate van zekerheid bieden. Er zijn diverse factoren die onzekerheid met zich
meebrengen en niet uitgesloten kunnen worden door IC zoals: gebrekkige besluitvorming, menselijke fouten, fraude en
samenspanning
Ad4: In het COSO-model wordt IC beschreven in relatie tot drie categorien van doelen: Operaties, financile
verslaggeving en compliance.
Van IC kan men verwachten dat het redelijke zekerheid geeft over het bereiken van de doelen: financile
verslaggeving en compliance. Het bereiken van doelen met betrekking tot operaties kunnen minder goed worden
verzekerd. Immers deze hangen ook af van factoren buiten de invloed van de organisatie.
Deze componenten vormen een geheel en benvloeden elkaar in meerdere richtingen. Elk component is van
toepassingen op alle drie de doel categorien. En alle componenten en doelen zijn te vertalen naar de verschillende
lagen in de organisatie.
De effectiviteit van IC kan worden beoordeeld op basis de redelijke mate van zekerheid die ze de directie geeft met
betrekking tot het behalen van de organisatiedoelstelling:
1. zij onderkennen de mate waarin de operationele doelstellingen worden behaald
2. de financiele verslagen zijn betrouwbaar
3. de wet en regelgeving wordt nageleefd
Hoewel IC een proces is, is de effectiviteit van IC een moment opname.
Samenvatting Literatuur
Business Controls & Information Systems
BIV-Interne Controle 5
april 2010 juli 2009
Chapter 2 Control Environment
De controle omgeving is de context waarin IC zich afspeelt. Deze omgeving bestaat onder andere uit de volgende
elementen:
Commitment to competence
Voor elke functie dient een duidelijk profiel met benodigde vaardigheden beschikbaar te zijn.
Organizational structure
De organisatie structuur zorgt voor het raamwerk waarbinnen alle activiteiten worden gepland, ontplooid,
gecontrolleerd en gemonitord. Deze structuur dient te zijn afgestemd op de grote van de organisatie, het soort
activiteiten en de specifieke doelstellingen.
Tot slot is het van belang te beseffen dat binnen een organisatie verschillende control environments kunnen bestaan
tussen divisies, landen etc. De IC moet dus steeds worden afgestemd op de betreffende context.
Er bestaat geen manier om risico volledig uit te sluiten, het management moet besluiten welke risico niveaus
acceptabel zijn.
Risk Assessment begint met de doelstellingen. Het bepalen van de doelen voor de gehele organisatie en de specifieke
activiteiten leidt tot de vaststelling van een set kritische success factoren (KSF). De doelen kan men in de eerder
genoemde drie categorien verdelen.
Vervolgens dient voor ieder doel te worden vastgesteld welke risicos het behalen van deze doelen bedreigen. Het
proces van risico inventarisatie is een continu iteratief proces en een essentieel onderdeel van een IC systeem. Dit
proces wordt vaak gecombineerd met het planningsproces.
Na de identificatie van de risicos op zowel organisatie als activiteiten niveau dient er een risico analyse te worden
gemaakt. Deze bestaat uit de volgende elementen:
estimate of the significance of a risk
assessing the likelihood of the risk occurring
Considering how the risk should be managed
Samenvatting Literatuur
Business Controls & Information Systems
BIV-Interne Controle 6
april 2010 juli 2009
Het is van belang een onderscheid te maken tussen risk assessment, dat een onderdeel is van IC, en het daar uit
voortkomende plan, dat een onderdeel is van de bedrijfsvoering.
Veranderingen in de organisatie of zijn omgeving hebben tot gevolg dat ook de risicos veranderen. Het is dus
noodzakelijk bij veranderingen opnieuw de risicos te identificeren. Belangrijke veranderingen die een impact hebben
op IC zijn:
Changing operating environment
New personnel
New or revamped information systems
Rapid Growth
New Technology
New Lines, Products Activities
Corporate Restructurings
Foreign Operations
Er moeten mechanismen aanwezig zijn die belangrijke veranderingen signaleren en een risico analyse in gang zetten.
Deze mechanismen kijken idealiter vooruit naar veranderingen die gaan komen.
Control Activities zijn regels en procedures die er voor zorgen dat het gedrag dat het management heeft gedentificeerd
als noodzakelijk om de doelstelling te halen ook daadwerkelijk plaats vindt. Ze bestaan normaal gesproken uit twee
delen: een regel die beschrijft wat er wordt verwacht en een procedure die de naleving hiervan garandeert.
Control Activities moeten er op gericht zijn risicos te verkleinen. Daarnaast moeten ze bijdragen aan het behalen van
de organisatiedoelen. De complexiteit van een organisatie en de aard en omvang van de activiteiten, bepaalt in grote
mate welke control activities het best kunnen worden toegepast.
Met betrekking tot informatie systemen zijn er twee specifieke control activities: general controls en application
controls. General controls zijn er op gericht dat informatie systemen naar behoren werken. Application controls dragen
zorg voor het doorlopen van de juiste procedures bij het gebruik van applicaties/informatie systemen.
Samenvatting Literatuur
Business Controls & Information Systems
BIV-Interne Controle 7
april 2010 juli 2009
Titel: Internal Control Integrated Framework Chapters 5-8
Auteur: COSO
Samengevat door: Leonie Meijer
Approved door: Marijn Feddes
Datum: 20-12-2009
Information and communication gaat over het identificeren, verzamelen en verwerken van relevante informatie ten
behoeve van de besturing van de organisatie. Communicatie is vooral gericht op de wijze waarop binnen de organisatie
wordt gecommuniceerd en hoe met de buitenwereld wordt gecommuniceerd.
Externe communicatie
Communicatie met de markt (consumenten behoeften).
Communicatie met toezichthouders/ andere belanghebbenden zoals milieu activisten.
De juiste acties op tijd uitvoeren op basis van deze vergaarde informatie.
Chapter 6 Monitoring
Het gehele bouwwerk van COSO dient gemonitored te worden en daartoe staan evaluatie onderzoeken door
bijvoorbeeld controllers en audits ter beschikking. Monitoring is te onderscheiden naar ongoing en separate evaluaties.
Ongoing monitoring die gebruikt wordt voor de beoordeling van de internal control zijn er in vele vormen. De
monitoring activiteiten die continue plaats vinden zijn bijvoorbeeld; management activiteiten, supervisory activiteiten,
vergelijkingen en financile en niet financile aansluitingen.
Separate evaluatie is een vorm van monitoring waarbij het totale proces inclusief de ongoing monitoring vanuit een
niet bedrijfsblinde oogpunt wordt bekeken. Dat kan plaatst vinden door externe partijen zoals interne/ externe audits,
toezichthouders etc.
Samenvatting Literatuur
Business Controls & Information Systems
BIV-Interne Controle 8
april 2010 juli 2009
Reporting Deficiencies
Gebrekkigheden in een control systeem kunnen verschillende oorzaken hebben.
De bronnen van informatie kunnen niet volledig zijn.
De rapportage kan zal onvolledig zijn.
Er kan aan de verkeerde persoon/ afdeling gerapporteerd worden.
Deze richtlijnen betreffende de rapportages dienen ook evalueert te worden om te voorkomen dat de ongoing
monitoring doelmatig te kunnen blijven uitvoeren.
Internal control kan geen redelijke mate van zekerheid geven dat de doelen van de organisatie behaald zullen worden.
Internal control kan geen absolute zekerheid geven betreffende de drie categorien van het COSO model.
De internal control wordt benvloed door partijen die zowel intern als extern bij de organisatie betrokken zijn. De
verantwoordelijkheden van deze partijen verschilt per rol die deze vervullen.
Interne partijen
Management (alle lagen)
Financial Officers
Raad van ommissarissen
Internal Audit
Werknemers
Vakbonden
Externe partijen
External Audit
Consumenten
Leveranciers
Belasting
Financial analyst
Bond rating agencies
Media
(deze lijst bevat slechts voorbeelden)
Samenvatting Literatuur
Business Controls & Information Systems
BIV-Interne Controle 9
april 2010 juli 2009
Titel: Inleiding EDP-auditing Hfd. 8
Auteur: Jan van Praat, Hans Suerink
Samengevat door: Bas Bonnier
Gecontroleerd door:
Datum: 07 juni 2010
Systeem eigenaar
Gegevens eigenaar
Functioneel applicatiebeheer
Gegevens- en informatiebeheer
Ad 2. In toenemende mate zullen, door ingebouwde best practises de bedrijfsprocessen beter aangepast kunnen
worden aan het te implementeren informatiesysteem (b.v. ERP-systeem) dan via maatwerk het systeem aan te
passen aan het proces.
Ad 3. Bij het realiseren van projecten staat het bepalen van de prioriteiten gericht op het tijdig voorzien in de
informatiebehoeften centraal. Het doel van programma management is het bepalen van de prioriteiten in relatie
tussen de verschillende ICT-projecten.
Ad. 4. Te allen tijde moet worden voldaan aan de verplichting die wettelijk en contractueel worden opgelegd of
afgesproken. Een belangrijk voorbeeld in deze is de noodzaak tot het opstellen van een in control verklaring.
Indien men onderzoek doet naar de organisatie van de informatievoorziening is het wenselijk de beoordeling te
scheiden in:
Samenvatting Literatuur
Business Controls & Information Systems
BIV-Interne Controle 10
april 2010 juli 2009
Titel: Inleiding EDP-auditing Hfd. 9
Auteur: Jan van Praat, Hans Suerink
Samengevat door: Bas Bonnier
Gecontroleerd door:
Datum: 07 juni 2010
Informatiesystemen en systeemontwikkeling
Informatiesystemen zijn een samenstel van productieprocessen (computerprogrammas) die gegevens (de grondstof)
via bepaalde regels (algoritmes) eventueel met van (wijziging van) gegevens die eerder zijn opgeslagen (het
gegevensmagazijn ofwel de database) omzetten in informatie (het eindproduct).
Een computer programma is een logische opvolging van operaties op gegevens die worden uitgevoerd om ze om te
zetten in informatie.
Het informatiebeleid geeft weer welke informatie er benodigd is om de organisatorische doelen te bereiken die
neergelegd zijn in het organisatiebeleid.
Het automatiseringsbeleid geeft weer welke informatie digitaal benodigd is om de doelen te bereiken die neergelegd
zijn in het informatiebeleid.
Het automatiseringsplan geeft een overzicht van de ICT-projecten die in de komende periode gerealiseerd zullen
worden.
Bij de beoordeling van de opzet (de structuur en de aansturing van de organisatie van de systeemontwikkeling) moet
gelet worden of er sprake is van functiescheiding. Binnen de aansturing moet gelet worden op de aanwezigheid van
een adequate projectmanagement structuur zoals bv Prince2.
Bij het beoordelen van het bestaan gaat het erom vast te stellen dat de inrichting overeenkomt met de inrichting zoals
die gepland is en dat de processen zoals die vastgelegd zijn ook worden nageleefd.
Bij het beoordelen van de werking wordt gebruik gemaakt van de vastleggingen die zijn gedaan:
Projectvoorstel
Projectarchief
Project Initiatie Document (PID)
Faseplan
Hoofdpuntenrapport
Fase eindrapport
Project eindrapport
Afwijkingsrapport
Leerpuntenrapport
Projectresultaat
Samenvatting Literatuur
Business Controls & Information Systems
BIV-Interne Controle 11
april 2010 juli 2009
Titel: Inleiding EDP-auditing hoofdstuk 10 technische infrastructuur (paragraaf 10.1-10.6)
Auteur: Jan van Praat, Hans Suerink
Samengevat door: Erwin Vink
Gecontroleerd door:
Datum:
1. Inventarisatie en analyse:
Inventariseren en analyseren van de behoeften aan systeembeheer. Goed beheer bestaat uit een combinatie van
organisatorische, procedurele en technische beheersingsmaatregelen. Door de huidige stand van de techniek bestaan al
deze functies niet meer. ICT heeft zelf steeds meer de mogelijkheden om gegevensverwerking te ondersteunen.
Functies die nog nodig kunnen zijn hebben betrekking op outputverwerking, distributie en nabewerking. Om na te
gaan welke functies nodig zijn in een optimale situatie spelen de volgende criteria een rol:
- aantal en omvang van de te beheersen objecten
- mate van integratie van processen binnen de geautomatiseerde informatievoorziening
- mate van decentralisatie van de automatisering
- kwaliteit deskundigheid binnen organisatie op terrein van de te beheersen objecten
- mogelijkheden die ICT biedt om beheer inhoud te geven
2. Functiescheidingen
De volgende functies moeten gescheiden zijn wil er sprake zijn van functiescheiding:
- planning en werkvoorbereiding; verantwoordelijk voor het zo effectief mogelijk gebruikmaken van de
beschikbare mensen, apparatuur en programmatuur.
- operating; verantwoordelijk voor de dagelijkse gegevensverwerking
- distributie en nabewerking; in grote automatiseringsorganisaties kan er een functie onderkend worden waarbij
men belast is met de verstrekking van uitvoer aan gebruikers.
- registratie; functie er erop gericht dat alle activiteiten van de verwerkingsorganisatie vastgelegd worden.
- bewaring; functie heeft betrekking op het bewaren van de gegeven, programmatuur en apparatuur.
3. Inrichting systeembeheer
Om systeembeheer goed in te vullen moet management met volgende zaken rekening houden:
- het zorgen voor een goede opleiding van de beheerders
- opstellen functie- en taakbeschrijvingen en het toewijzen van verantwoordelijkheden aan beheerders.
- Beschikbaar stellen voldoende technische hulpmiddelen voor uitvoering taak
- Opzetten procedures binnen systeembeheer
- Zorgen voor goede communicatiestructuur tussen de diverse beheerders
Samenvatting Literatuur
Business Controls & Information Systems
BIV-Interne Controle 12
april 2010 juli 2009
10.2 Beoordeling van de organisatie van het beheer van de technische infrastructuur
Om een oordeel te kunnen geven over de organisatie van het beheer wordt een onderscheid gemaakt in het beoordelen
van de opzet, het bestaan en de werking. Norm voor deze beoordeling zijn de bij punt 4 genoemde aandachtspunten.
Doelstelling van de audit is:
Het geven van een oordeel over de kwaliteit van de dienstverlening van de afdeling productie en beheer. Dit oordeel
heeft betrekking op de organisatie rond het beheer van de technische infrastructuur over een bepaalde periode.
10.3 De processen met betrekking tot het beheer van de technische infrastructuur
Binnen ITIL wordt een groot aantal processen behandeld die betrekking hebben op het beheer. Met betrekking tot het
tactische en operationele niveau gaat het om de volgende processen:
Samenvatting Literatuur
Business Controls & Information Systems
BIV-Interne Controle 13
april 2010 juli 2009
o informatievoorziening; groei en wijzigingen in technische infrastruur
- programmatuurbeheer en distributie
o beheer van de systeemprogrammatuurbibliotheek (bijv. kopien om te testen)
o distribueren en implementeren van de systeemprogrammatuur
o informatievoorziening; afwijking planning budget, niet geaccepteerde programmatuuritems, status
licenties en onderhoudscontracten etc.
- incidentenbeheer
o detectie en registratie
o classificatie en toewijzing
o diagnose en oplossing
o afsluiting
o informatievoorziening; aantal incidenten, gemiddelde storingstijd etc.
- probleembeheer
o probleemidentificatie en registratie
o classificatie
o allocatie van mensen en middelen
o onderzoek en diagnose
o foutbeheer
o infromatievoorziening; aantal problemen, bestede tijd aan onderzoek en diagnose, planning.
- wijzigingenbeheer
o acceptatie
o classificatie
o beoordeling en planning
o cordinatie
o informatievoorziening; uitgevoerde wijzigingen per categorie, met spoed uitgevoerde wijzigingen
10.4 Beoordeling van de processen met betrekking tot het beheer van de technische infrastructuur
We maken onderscheid tussen beoordeling van de opzet, het bestaan en de werking. Dit gebeurt op basis van
normconcretisering (ITIL).
Samenvatting Literatuur
Business Controls & Information Systems
BIV-Interne Controle 14
april 2010 juli 2009
- hulpprogrammatuur
10.6 Besturingssystemen
De eisen van de gebruikersorganisatie zijn de normen waaraan de systeemprogrammering moet voldoen. Deze normen
worden opgenomen in :
- het informatie- en het automatiseringsbeleid
- het informatie- en automatiseringsplan
- SLA
Beoordeling van de opzet van het besturingsysteem. Het gaat hierbij om het vaststellen van de aanwezigheid van :
- het informatie- en automatiseringsbeleid
- het informatie- en automatiseringsplan
- een SLA
- een overzicht van de noodzakelijke inrichting
Bij de beoordeling van het bestaan dient nagegaan te worden of de inrichting zoals deze is vastgesteld naar aanleiding
van de beoordeling van de opzet ook daadwerkelijk in het geautomatiseerde systeem aanwezig is.
Voor de beoordeling van de werking van het besturingssysteem maakt een auditor gebruik van de loggingfaciliteiten
van het besturingssysteem. Om de inhoud van de logging goed te kunnen beoordelen gebruikt hij het SLA als norm.
Hij besteedt aandacht aan de procedures rond het implementeren van nieuwe wijzigingen en aan de gang van zaken
rond wijzigingen in de parametrisering
Samenvatting Literatuur
Business Controls & Information Systems
BIV-Interne Controle 15
april 2010 juli 2009
Titel: Inleiding EDP auditing Hoofdstuk 11 paragraaf 1-3
Auteur: Jan van Praat, Hans Suerink
Samengevat door: Rob van der Steen
Gecontroleerd door:
Datum:
Samenvattend dienen er maatregelen te zijn die het gemeenschappelijk gebruik van gegevens en informatie niet
dwarsbomen mits de bescherming van gegevens en informatie gewaarborgd is. (Bescherming wordt hier bedoelt:
vertrouwelijk, integer en beschikbaar)
Hiervoor is een systeem van toegangsbeveiliging nodig. Zon systeem is in 3 onderdelen te verdelen:
1. Externe (toegangs-)beveiliging: de communicatie van buitenaf beveiligen
2. Interne fysieke beveiliging: waarbij vooral de beschikbaarheid van de informatiesystemen gewaarborgd moet
zijn.
3. Interne logische beveiliging: hier is bedoelt om elke functionaris de bevoegdheden toe te wijzen die nodig zijn
voor vervulling van zijn of haar functie. Samengevat niet te veel en ook niet te weinig bevoegdheden zodat
alle gegevens voldoende gesplitst zijn met behulp van de juiste views toegekend aan de juiste gebruikers.
Externe beveiliging
Het kunnen inloggen vanuit buitenaf in het gentegreerd systeem door gebruik van een laptop. Om van buitenaf contact
te leggen met de competentietabel waarin de bevoegdheden per medewerker zijn geregeld, moeten de volgende
maatregelen worden genomen:
Het inrichten van een firewall waarbij een onafhankelijke functionaris (beheermedewerker) deze inrichting
beheert. Je hebt een proxyfirewall (meest veilig) en een stateful inspection firewall (minder veilig)
Het opstellen van toegangsregels voor inrichting van de firewall.
Het verstrekken van beveiligingscertificaten aan de gebruikers door de onafhankelijke functionaris op
schriftelijke aanwijzing van personeelszaken of de verantwoord business manager.
Interne beveiliging
Indien medewerkers aanloggen op het systeem is de logische beveiliging zeer belangrijk. Immers het gentegreerd
systeem met authorisaties per medewerker vervangt de in vroegere tijden gehanteerd mechanisme van functiescheiding
omtrent beschikken, bewaren en registreren. Om op een verantwoorde manier de functiescheiding te vervangen zijn 4
groepen van eisen nodig met de daarbij behorende maatregelen:
Identificatie
Om vast te stellen wie welke activiteiten in het systeem heeft verricht, is het belangrijk om te weten wie de gebruiker
is. Hiervoor helpt een userID die een unieke koppeling heeft met elke medewerker die activiteiten in het systeem
verricht. De userID moet automatisch blokkeren na een aantal mislukte aanlog pogingen. Bij uitdiensttreding of geen
gebruik van de userID voor langere periodes dient de userID verwijdert te zijn door de beheermedewerker.
Een beheermedewerker is belast met het toekennen, wijzigen of intrekken van userIDs en kan deze taak alleen
uitvoeren op basis van een schriftelijke mededeling waarvoor ook procedures zijn opgesteld door de organisatie. Een
personeelsadviseur samen met de afdelingshoofden verstrekken de mededeling aan de beheermedewerker.
Samenvatting Literatuur
Business Controls & Information Systems
BIV-Interne Controle 16
april 2010 juli 2009
Authenticatie
Na de identificatie is het aan de gebruiker om aan te tonen dat de gebruiker is wie hij of zij zegt wie de gebruiker is.
Deze authenticatie gebeurt door middel van een wachtwoordsysteem. De technische maatregelen zijn dat
wachtwoorden een minimale lengte hebben, regelmatig en frequent gewijzigd worden, wachtwoorden niet
voorspelbaar zijn of leesbaar op scherm tijdens invoer en gebruikers moeten zelf het wachtwoord wijzigen. En bij de
wetenschap van anderen dat het wachtwoord niet meer persoonlijk is, moet ook het wachtwoord gewijzigd worden.
Zodoende om het wachtwoord persoonlijk te maken en te houden.
Naast de technische maatregelen zijn er ook procedurele en organisatorische maatregelen. Een beheermedewerker is
belast met het beheren van de wachtwoorden zodat alle technische maatregelen worden ingesteld en nageleefd
gebaseerd op het beveiligingsbeleid en procedures. Ook moeten de medewerkers schriftelijk bevestigen dat voor alle
gegevens en het wachtwoord geheimhouding geldt door de medewerker. Dit kan door de personeelsadviseur aan het
arbeidscontract worden bijgevoegd.
Authorisatie
Het systeem moet de gebruiker de bevoegdheden geven die nodig zijn. Welke bevoegdheden een gebruiker nodig
heeft, moet de verantwoordelijk manager of hoofd toekennen en deze schriftelijk doorgeven aan de beheermedewerker
van de automatiseringsafdeling. Deze beheermedewerker kent de rechten toe aan het userID in een competentietabel
van het systeem. Het opstellen van procedures die het opzetten, wijzigen en intrekken van bevoegdheden regelt met
controle op de naleving door de controller.
Rapportering
Controle op het beveiligingssysteem kan alleen gebeuren indien:
Wijzigingen in de identificatie en authenticatiegegevens automatisch gelogd worden in een logbestand
Alle activiteiten van elke gebruikers automatisch gelogd worden in een logbestand met inbegrip van type
activiteit.
Het logbestand moet opgeslagen worden door het systeem en beoordeeld worden door een onafhankelijke
functionaris zoals de controller of de externe accountant indien deze aanwezig is.
Het wijzigen of verwijderen van een logbestand alleen mogelijk is via procedures door een onafhankelijk
functionaris los van technisch of functioneel beheer.
Samenvatting Literatuur
Business Controls & Information Systems
BIV-Interne Controle 17
april 2010 juli 2009
Titel: De Betekenis van IT Auditing voor de Jaarrekeningcontrole ontrafeld
Auteur: Stan van Bommel, Mark van Goor, Lucien Peek en Joop Winterink.
Samengevat door: Ronald Pikkemaat
Gecontroleerd door:
Datum:
In dit artikel wordt beschreven hoe een effectieve vertaalslag kan worden gemaakt om de impact van de IT-
controlebevindingen op de jaarrekeningcontrole te kunnen bepalen. Door een goede samenwerking met en
ondersteuning van een IT auditor zou de accountant de jaarrekeningcontrole veel efficinter kunnen uitvoeren.
Bij de jaarrekeningcontrole wordt in toenemende mate gewerkt met gegevens uit geautomatiseerde
informatiesystemen. Voor het financile verantwoordingsproces is het daarom ook erg belangrijk om de werking en
effectiviteit van de IT controlemaatregelen te kunnen beoordelen. Om dit vervolgens te kunnen doen is specialistische
kennis van IT en IT beheersing nodig. De IT auditor voert de onderzoeken uit naar de General IT-controls en
rapporteert deze aan de accountant. De accountant kan zich tegelijkertijd richten op de User controls en application
controls.
In de praktijk is de samenwerking tussen IT auditor en accountant verre van optimaal en ontbreekt vaak de vertaalslag
van de IT-controlebevindingen naar de betekenis ervan voor de jaarrekeningcontrole. (oorzaak: wederzijds gebrek aan
kennis) (onderliggende oorzaken: ontbreken eenduidige literatuur, definities en terminologie en ook snelle
ontwikkelingen in de praktijk t.o.v. theorie)
De accountant stelt zijn controleaanpak op en samen met de IT auditor stelt hij een overzicht op met de relaties tussen
de jaarrekeningposten, de bedrijfsprocessen, de applicatie en de IT. Op basis hiervan wordt het gerichte onderzoek
vastgesteld zie figuur
Voorbeeld
Post Premies
Significante posten in financile verslagen Functiescheiding & User Controls:
-Verzamelen deelnemersgegevens
Bedrijfsprocessen
-Verwerken in subadministratie en
grootboek
Financieel gerelateerde applicaties Application Controls
Fysieke Faciliteiten
De analyse om General IT controls te selecteren gaat top-down, van jaarrekeningpost naar IT (zoals hierboven te zien
is). De analyse van de controlebevindingen gaat juist bottom-up (van IT naar jaarrekeningpost).
Samenvatting Literatuur
Business Controls & Information Systems
BIV-Interne Controle 18
april 2010 juli 2009
- Significatieposten jaarrekening
- Bedrijfsprocessen
- Deelprocessen
- Applicaties
IT auditor
- IT infrastructuur services
- Fysieke Faciliteiten
De kritieke componenten en stappen in de vastgestelde processen zullen in het bijzonder door zowel de IT auditor als
de accountant worden bekeken. Door de bevindingen te interpreteren naar de gevolgen voor de applicaties en
vervolgens voor het proces, kan een afgewogen oordeel worden gegeven op het niveau van de jaarrekeningposten
Voorbeeld 1: Change mgt
Doordat wijzigingen niet gestructureerd, getest en geautoriseerd zijn vastgelegd volgens het change mgt proces kan de
juiste werking van applicaties niet worden gewaarborgd. Hierdoor kan de volledigheid en betrouwbaarheid van de
pensioen administratie niet worden gegarandeerd. Met als gevolg dat de post (pensioen)premies onjuist kan zijn.
Wellicht extra werkzaamheden door standenregisters te vergelijken (verbandcontrole van user controls)
Voorbeeld 2 : Security mgt
Om de integriteit van data te kunnen waarborgen is de detectieve controle van logging erg belangrijk. Logging van
gebruikers, en autorisaties. Kortom ongeautoriseerde en onrechtmatige activiteiten worden door logging vastgesteld.
Betekent wel dat de logging periodiek gecontroleerd moet worden (hiervoor zal een proces ingericht moeten zijn)
Belangrijke bevindingen leiden meestal tot aanvullende werkzaamheden en onderzoeken. Maar ook juist een controle
mix kan de accountant helpen om als nog de betrouwbaarheid van de informatie en de uiteindelijks jaarrekeningposten
te kunnen vaststellen.
Kortom werking van General IT controls en het onderzoek er naar hebben een grote toegevoegde waarde voor het
accountantsverslag en management letter. Echter tot op heden worden ze niet of nauwelijks benoemd. Er zijn zo nog
geen voorbeelden te vinden in de praktijk waarbij men niet tot een goedkeurende accountantsverklaring is gekomen
door ernstige IT controlebevindingen.
Kortom IT auditing is enerzijds om een volledig risicobeeld te krijgen en anderzijds het effectief en efficint kunnen
uitvoeren van de jaarrekeningcontrole.
Samenvatting Literatuur
Business Controls & Information Systems
BIV-Interne Controle 19
april 2010 juli 2009
Titel: ERP - Pakketten
Auteur: Ronald A. Jonger RE RA
Samengevat door: Leonie Meijer
Goedgekeurd door:
Datum: 13 juni 2010
In de tabel hieronder is weergegeven in welke punten Een ERP systeem zich onderscheidt van een traditioneel divers
systeemlandschap.
Voordelen van het ERP systeem ten opzichte van traditionele systeemlandschappen:
Gegevens die binnen een bedrijfsproces in het ERP-systeem worden vastgelegd kunnen ook binnen andere
bedrijfsprocessen worden gebruikt.
Binnen het ERP systeem zijn geen geautomatiseerde koppelingen meer nodig.
Het functionele beheer kan efficinter worden opgezet.
Bij een systeemlandschap van specifieke applicaties komt het veel voor dat deze applicaties ieder voor zich
specifieke eisen stellen aan de technische architectuur.
Er is slechts n leverancier waarmee de beheerorganisatie in contact staat.
Het gebruik van ERP-systemen brengt nieuwe functionaliteiten in toekomstige nieuwe releases van het
systeem onder handbereik.
Nadelen van het ERP systeem ten opzichte van traditionele systeemlandschappen:
De afhankelijk van de leverancier is groter ten opzichte van maatwerkapplicaties
ERP systemen zijn qua functionaliteit minder flexibel dan maatwerksystemen.
Erp-implementatietrajecten hebben een hoge faalkans.
Samenvatting Literatuur
Business Controls & Information Systems
BIV-Interne Controle 20
april 2010 juli 2009
Consequenties van de ontwikkeling en de implementatie van ERP systemen voor de beheersing van de gegevensverwerking.
Configureerbaarheid van het ERP systeem
Het ERP pakket aanpassen aan het bedrijfsproces of het bedrijfsproces aanpassen aan het ERP pakket?
IT Beheer Bedrijfsprocessen
Systeem administratie Eindgebruikerscontroles
Change management Configuratiecontrols
Problem management
Beschikbaarheid
Operations Business
Controls
Samenvatting Literatuur
Business Controls & Information Systems
BIV-Interne Controle 21
april 2010 juli 2009
Titel: Balanced scorecard in bedrijf
Auteur: T. de Groot
Samengevat door: Martijn Swaanenburg
Approved door:
Datum: 05-05-2010
De BSC is bedoeld om op een gestructureerde wijze de strategie van de onderneming te vertalen in concrete doelen
(goals) en de mate waarin deze doelen worden bereikt periodiek te meten (measures).
De BSC is een afbeelding van de causale relaties in een bedrijf. In het ontwerp van een BSC moeten de causale relaties
worden gexpliciteerd, zodat ze gemeten en beheerst kunnen worden
Bij het invoeren van de BSC in een organisatie moeten de gebruikers beslissen over:
1. Wanneer gebruikt men systemen als de BSC
Een onderneming in een onzekere situatie gebruikt meer informatie. Deze informatie is meer prospectief, levert
meer informatie over de omgeving en is meer subjectief van aard. Naarmate beslissingen een kortere tijdshorizon
hebben neemt het gewicht van financile informatie in de beslissing af
2. De relatie tussen niet-financile en financile prestaties
Niet-financile indicatoren worden vooral gebruikt indien met ervan overtuigd is dat zij goede voorspellers zijn
van financile prestaties. Een indicator kan te maken hebben met een vertragingseffect. Bovendien kunnen er ook
causale relaties binnen 1 BSC dimensie bestaan
3. Het gebruik van de BSC
Toepassing van de BSC kan worden onderzocht op individueel niveau en op organisatieniveau
Voor de individuele beslisser presenteert de BSC 2 soorten informatie: gemeenschappelijke informatie (komt in
gelijkaardige vorm voor in prestatieoverzichten van meerdere eenheden) en unieke informatie (komt in een enkele
eenheid voor en kan alleen in de context van die eenheid worden genterpreteerd). Managers kennen aan
gemeenschappelijke informatie een groter gewicht toe
Samenvatting Literatuur
Business Controls & Information Systems
BIV-Interne Controle 22
april 2010 juli 2009
Titel: Het enterprise warehouse van Centraal Boekhuis
Auteur: E. van Bockel
Samengevat door: Martijn Swaanenburg
Approved door:
Datum: 05-05-2010
Een goede informatiearchitectuur is het fundament voor elk informatiesysteem, zo ook voor een datawarehouse
Om datawarehouse en datamart onafhankelijk van elkaar te kunnen laten opereren wordt gebruik gemaakt van een
operational datastore (ods). Dit is een tijdelijke ruimte waarin de operationele systemen gegevens klaar zetten waarmee
vervolgens het datawarehouse aan de slag kan.
Records die niet kloppen leiden in een operationeel systeem niet direct tot problemen. In een datawarehouse kan dit
soort vuile data grote gevolgen hebben.
Datacleaning is het proces waarbij data worden opgeschoond. Het is hierbij belangrijker om classificaties (bv
klanttype) op orde te hebben dan detailgegevens. De focus ligt op classificaties met de hoogste informatiewaarde.
Datawarehousing is een continu dynamisch proces binnen de organisatie. Het stopt niet zodra het eerste project is
opgeleverd. Inzichten van een organisatie zijn aan verandering onderhevig.
Hoe beter het datawarehouse is ingericht, des te makkelijker datamarts eruit kunnen worden ontsloten.
Samenvatting Literatuur
Business Controls & Information Systems
BIV-Interne Controle 23
april 2010 juli 2009
Titel: De beheersing van de XBRL rapportageketen
Auteur: M. van Hilvoorde
Samengevat door: Martijn Swaanenburg
Approved door:
Datum: 05-05-2010
XBRL is een standaard voor de uitwisseling van gegevens tussen computersystemen die wordt gebruikt om digitaal te
rapporteren.
XBRL: eXtensible Business Reporting Language
De XBRL standaard zorgt voor een exact gedefinieerde, voorspelbare structuur (syntax) voor het beschrijven of
representeren van zakelijke feiten, op een manier die computersystemen kunnen verwerken en gebruiken. Met op
XBRL aangepaste software is het voor verzenders en ontvangers van bedrijfsgegevens mogelijk om gegevens uit te
wisselen, zonder de noodzaak overeenstemming te bereiken over een vaste datastructuur.
De communicatie van bedrijfsgegevens vindt plaats via een XBRL instance, een elektronisch bestand dat voldoet aan
de eisen zoals beschreven in de XBRL specificatie.
XBRL rapportageproces
1. Kiezen van de juiste (standaard) taxonomie
2. Maken van een eigen (extensie) taxonomie
3. Verzamelen en identificeren van de brongegevens
4. Koppelen van gegevens aan de taxonomie elementen
5. Creren van de instance
6. Valideren en controleren van de instance
7. Verzenden van de instance
In het XBRL rapportageproces spelen Internal Control maatregelen als juistheid, volledigheid en tijdigheid een rol
Samenvatting Literatuur
Business Controls & Information Systems
BIV-Interne Controle 24
april 2010 juli 2009
Titel: Leiden nieuwe ontwikkelparadigmas ook tot betere software
Auteur: de heer drs. Greefhorst
Samengevat door: Kristian van Zijtveld
Approved door:
Datum:
Dit artikel gaat over ontwikkelparadigmas ten behoeve van softwaresystemen. Een systeem met een bepaalde
functionaliteit kan worden verdeeld in kleine samenwerkende eenheden. De basis van een methode waarop naar
softwaresystemen wordt gekeken is zogenaamde gehanteerde ontwikkelparadigma. Paradigmas verschillen in de
manier waarop dit gebeurd, en het gehanteerde paradigma bepaalt dan ook in sterke mate de architectuur van het
softwaresysteem. Softwaresystemen dienen zich steeds aan te passen aan nieuwe technologien.
In dit artikel wordt inzicht gegeven in de evolutie van ontwikkelparadigmas en hun relatie met
kwaliteitseigenschappen. Hierbij wordt onderscheid gemaakt tussen de procedurele, objectgeorinteerde,
aspectgeorinteerde, componentgebaseerde en servicegeorinteerde paradigmas.
Procedurele paradigmas zijn gesloten paradigmas geschreven in een programmeertaal en niet erg gericht aan het
voldoen van open standaarden en het integreren met andere systemen.
Bij objectgeorienteerde paradigmas wordt software gemodelleerd als objecten in de werkelijke wereld. Bij
aspectgeorienteerde paradigmas wordt een meer generieke benadering van de werkelijke wereld gemodelleerd. Het
componentgebaseerde paradigma biedt primair een mechanisme om de complexiteit van een systeem te reduceren door
het in beter onderhoudbare componenten onder te verdelen. Servicegeorienteerde paradigmas zijn primair gericht op
het op grotere schaal kunnen hergebruiken van functionaliteit en het voorkomen van redundante koppelingen tussen
systemen.
In het artikel (tabel 1) worden de vijf vorengenoemde ontwikkelparadigmas vergeleken op basis van de
functionaliteit, betrouwbaarheid, efficiency, onderhoudbaarheid en portabiliteit.
Men kan uit de tabel concluderen dat nieuwere componentgebaseerde en servicegeorienteerde ontwikkelparadigmas
goed scoren op eigenschappen als onderhoudbaarheid, schaalbaarheid, portabiliteit en interoperabiliteit. Hierdoor zijn
ze beter geschikt voor het ontwikkelen van grotere en complexere softwaresystemen.
De auteur beargumenteerd dat nieuwe ontwikkelparadigmas niet per definitie leiden tot betere systemen, maar afhangt
van de context. Voor een relatief kleinschalig systeem waarbij performance en betrouwbaarheid een belangrijke rol
spelen, is het procedurele ontwikkelparadigma het meest geschikt. En systemen waarbij een goede representatie van de
werkelijkheid van belang is kunnen prima objectgeorinteerd ontwikkeld worden (simulatiesoftware).
Servicegeorienteerde en componentgebaseerde systemen op het laagste niveau zijn uiteindelijk ook procedureel en
objectgeorinteerd. De kwaliteit van systemen wordt uiteindelijk voor een groot deel bepaald door organisatiefactoren,
zoals ervaring, organisatorische inrichting en technische omgeving.
Samenvatting Literatuur
Business Controls & Information Systems
BIV-Interne Controle 25
april 2010 juli 2009