Stuvia 279688 Oat Biv Leerstof General en Application Controls

OAT BIV Leerstof General en
application controls
written by
NienkeBeukema
The Marketplace to Buy and Sell your Study Material
On Stuvia you will find the most extensive lecture summaries written by your fellow students. Avoid
resits and get better grades with material written specifically for your studies.
www.stuvia.com
Downloaded by: jarred | jarredoudsten94@hotmail.com

Distribution of this document is illegal
Stuvia.com - The Marketplace to Buy and Sell your Study Material
OAT -‐ Leerstof Accounting

Information Systems, General-‐
en application controls
Hogeschool Utrecht 2016-‐2017
Nienke Beukema

INHOUDSOPGAVE
ALGEMENE VEREISTEN ACCOUNTING INFORMATION SYSTEM (AIS) 3
AIS STAPPEN 3
ALGEMENE AANDACHTSPUNTEN SYSTEEMONTWIKKELING 3
STANDAARD OF MAATWERK 4
SYSTEM DEVELOPMENT METHODOLOGIE 5

BASISSTAPPEN SYSTEEMONTWIKKELING 5
SYSTEM DEVELOPMENT LIFE CYCLE 6

BASISSTAPPEN SYSTEEMONTWIKKELING 6
WAAROM SYSTEEM ONTWIKKELING/VERNIEUWING? 7
RISICO’S SYSTEEM ONTWIKKELING 8
GENERAL EN APPLICATION CONTROLS 10
GENERAL CONTROLS 10
APPLICATION CONTROLS 12
AC/GC BIJ EISEN VAN AIS SYSTEEM 13

VOORBEELD MAATREGELEN CONFIDENTIALITY (VERTROUWELIJK) 14
VOORBEELD MAATREGELEN INTEGRITY (RELEVANT EN BETROUWBAAR) 14
VOORBEELD MAATREGELEN AVAILABILITY (CONTINUE EN OVERAL BESCHIKBAAR) 14
ERP SYSTEEM 15
AANSCHAFFINGSPROCEDURE VAN EEN STANDAARDPAKKET MET ENIG MAATWERK 16
NIEUW STANDAARDPAKKET 16
SIMONS LEVERS OF CONTROL 17

INDELING BEHEERSINGSMECHANISMEN 17
DIAGNOSTIC CONTROL SYSTEMS 17
BOUNDARY SYSTEMS 17
BELIEFS SYSTEMS 17
INTERACTIVE CONTROL SYSTEMS 17
COMPUTER AIDED AUDIT TOOLS AND TECHNIQUES (CAATT) 18

PROCES-MINING 19
2
Algemene vereisten Accounting information system (AIS)

§ Confidentiality (vertrouwelijkheid)
§ Integrity (relevant en betrouwbaar)
§ Availability (continue en overal beschikbaar, tijdig)
AIS stappen
1) Standaard of maatwerk à zie blz. 4
2) Methoden voor systeem ontwikkeling à zie blz. 5
3) Risico’s systeem ontwikkeling à zie blz. 8
4) Algemene uitgangspunten à zie hieronder
5) Generals controls à zie blz. 10
6) Application controls à zie blz. 10
Algemene aandachtspunten systeemontwikkeling

1. Functiescheiding in:
1. Development (ontwikkeling)
2. Acceptatie (testen beheerder en gebruiker)
3. Gebruik
2. Deze uitsplitsing niet alleen bij de verschillende gebruikers, maar ook in de ICT omgeving.
Dus een aparte omgeving voor Development, Acceptatie en Gebruik
3. Inzicht in de wensen van de gebruikers en vooruit denken welke kant je op wilt -> Voorkomen
van spaghetti brij
Opmerking pp docent: Toelichting spaghetti brij: Als bij de implementatie van software niet goed
nagedacht wordt over waar men daadwerkelijk naar toe wilt, wordt bij elke behoefte een nieuw stuk
systeem ´bijgebouwd´ uiteindelijk leidt dit tot een borg spaghetti waarin begin en eind niet duidelijk
zijn, evenals de onderlinge verbanden tussen bijvoorbeeld bestanden. Dit heeft gevolgen voor de
betrouwbaarheid van het de informatie maar ook de continuïteit van het systeem
Hoe voorkomen?
Management betrokkenheid
Informeren gebruikers en betrekken gebruikers bij ontwikkeling en implementatie. Zorg dat je waar
mogelijk wensen en verzoeken van gebruikers implementeert. Maar vooral: Houd het zo makkelijk
mogelijk
3
Standaard of maatwerk
Opmerking pp docent: Aangeven dat er twee soorten software zijn standaard en maatwerk. Bij
maatwerk ook ingaan op de mogelijkheden van SAAS, software as a service. Er zijn diverse
aanbieders die software in de Cloud aanbieden. Dit biedt voor de organisatie ook weer andere risico´s
met zich mee
4
System Development Methodologie

Watervalmethode -> eerst fase geheel afwikkelen voordat naar de volgende fase wordt gegaan. Als er
later een fout wordt ontdekt, zal dit voor veel problemen zorgen door de extra tijd en geld wat er in het
project gestoken moet worden.
Basisstappen systeemontwikkeling
1. Informatieplanning: ontwikkeling moet passen binnen het informatieplan
2. Definitiestudie (analysefase): uitgangspunten en randvoorwaarden van het project bepaald à
haalbaarheid van het nieuwe systeem
3. Globaal / functioneel ontwerp: ontwerp van de gewenste informatievoorziening samen met
een beschrijving van interne betrouwbaarheidsmaatregelen
4. Detailontwerp: Per deelsysteem aangeven wat je verwacht in detail
5. Realisatie (bouwen en testen): programmeurstest vervolgens Systeem of integratietest (testen
door testers in de testomgeving (gebaseerd op werkelijke omgeving) werkt alles zoals het
moet werken. Gebruikersacceptatietest door gebruikers. Proefdraaien (reeds uitgevoerde
werkzaamheden nog een keer doen), schaduwdraaien (in twee systemen werkzaamheden
uitvoeren), testdraaien.
6. Invoering: taakomschrijving, documentatie, opleiden, converteren van gegevens d.m.v.
instructies en handleidingen à personeel vertrouwd gemaakt met systeem
7. Gebruik en beheer: systeem blijvend tegemoet komt aan eisen organisatie d.m.v. richtlijnen à
fase die niet afgerond is maar van toepassing blijft
8. Evalueren en bijstellen: periodiek kijken of systeem nog voldoet aan informatiebehoeften.
5
System Development Life cycle
Basisstappen systeemontwikkeling
1. Systeemanalyse: hier wordt het eerste onderzoek opgesteld en daarbij gekeken of het project
haalbaar is, daarnaast wordt de benodigde informatie opgevraagd en gekeken aan welke
eisen het project moet voldoen zodat het binnen de uitganspunten van het project blijven.
a. Eerste onderzoek
b. Systeem onderzoek
c. Haalbaarheidsonderzoek
d. Bepalen van benodigde informatiebehoeften en eisen
2. Conceptueel ontwerp: er worden verschillen ontwerp opties voorgesteld en daaruit wordt 1
ontwerp gekozen, dit ontwerp zal verder ontwikkeld worden waarin de informatievoorziening
en de interne maatregelen zijn genoemd.
a. Identificeren en evalueren van ontwerp opties
b. Ontwikkelen van ontwerp
c. Conceptueel ontwerp
3. Fysiek ontwerp: het project wordt opgesteld in verschillende procedures waar per procedure
wordt aangegeven wat er verwacht wordt en hoe deze beheerst kan worden.
a. Ontwerp output
b. Ontwerp input
c. Ontwerp database
d. Ontwikkelen van procedures en beheersing
4. Implementatie en conversie: eerst zal het systeem geïmplementeerd worden waarnaar er
verschillende testen plaatsvinden. De beschrijving wordt toegevoegd en het trainen van het
personeel is belangrijk.
a. Implementatie
b. Installeren hard- en software
c. Trainen van het personeel
d. Testen van het systeem
6
e. Beschrijven van de procedures

5. Exploitatie en onderhoud: periodiek wordt er gekeken of het systeem nog voldoet aan de
informatiebehoefte, zo niet wordt dit aangepast en het wordt onderhouden.
a. Afstellen
b. Bedienen van het systeem
c. Wijzigen en onderhouden
Waarom systeem ontwikkeling/vernieuwing?

§ Veranderingen in behoeften
§ Technologische ontwikkelingen
§ Verbeterde processen (meer IC)
§ Concurrentie voordeel
§ Productiviteitswinsten (minder personeel)
§ Systeem integriteit
§ Veroudering systeem
7
Risico’s systeem ontwikkeling
Bladzijde 327 BIV in perspectief
8
9
General en Application controls

General IT controls zijn maatregelen die benodigd zijn om CIA van alle servers en alle applicaties te
bewerkstelligen. Ook wel gezegd om de continuïteit van het geautomatiseerde systeem te
waarborgen. = letter à (confidentiality + availability)
Application IT controls; de betrouwbare werking van een applicatie kun je waarborgen door op de
general controls een specifieke set van interne controle maatregelen per applicatie te ontwikkelen.
Ook wel gezegd om de betrouwbaarheid (juistheid en volledigheid) van de informatie te waarborgen. =
letter I (Integrity). Maar hoe zit het dan met de andere eisen? Vertrouwelijkheid: zowel general
als application. = letter à (Integrity + availability)
General controls
DRUIFLF
§ Documentatie (werkinstructies, handelingen, richtlijnen = voor verduidelijking)
§ Recovery and back up (back-up op afgesloten plaats = voor vermindering van het risico van
discontinuïteit van de gegevensverwerking + geen gegevens kwijtraken)
§ Uitwijkmogelijkheden (2e server, beschermen, noodstroomvoorziening)
§ Invoercontroles (ook AC)
§ Functiescheiding (ontwikkeling, beheer, testen en gebruik)
§ Logische toegangsbeveiliging (wachtwoord en gebruikersnaam = competentietabel gekoppeld
aan gebruikersnamen en wachtwoorden (denk aan wachtwoordbeheer))
o Paswoorden worden regelmatig aangepast en bestaan uit voldoende tekens
§ Fysieke toegangsbeveiliging (afgesloten serverruimte, airco, brandveiligheid)
§ Security controls, Virusscanner en firewall (scan, schone software, vaststellen dat het werkt
door procedure te proberen = zodat applicaties en gegevens beschermd worden tegen
verminking)
§ Boundary IT controls (AC ook, = personeel bewaken)
§ Change management procedures aanwezig, zodat niet gewerkt wordt met applicaties of
software die niet door gebruikers zijn geaccepteerd en op betrouwbaarheid zijn getest =
testen van wijzigingen in applicatie
§ Logging, registratie van gebruik van bestanden en programma’s via logging zodat bij poging
tot ongeautoriseerde toegang kan worden onderzocht wat er gebeurd is en wie daarvoor
verantwoordelijk is.
§ Beveiliging gevoelige gegevens via encryptie, maakt risico voor onbevoegde kleiner
§ Echtheidskenmerken (ook AC)
Framework = mitigeren risico’s die de betrouwbare en continue werking negatief kunnen beïnvloeden.
10
Een goede methode om de ICT-beveiliging risico’s te beheersen nadat deze geïnventariseerd zijn, is
toepassen van COSO-ERFM-model.
ERMF-component Toepassing ICT
Internal environment -‐ Welke functionaris is verantwoordelijk
voor de afdeling automatisering?
-‐ Belang dat directie hecht aan
automatisering
-‐ Risicobewustzijn bij medewerkers ten
aanzien van ICT
Objective setting Vooral betrouwbaarheid en continuïteit
Event identification Vele soorten negatieve gebeurtenissen (risico’s)
bijvoorbeeld: brand, wateroverlast, diefstal,
vervuiling, virussen en hackers
Risk assessment Het bepalen van de verwachte waarde van de
risico’s door middel van kans * impact
Risk Response Mogelijke acties ten opzichte van een ICT-risico
zijn:
-‐ Accepteer (lage kans, lage impact)
-‐ Reduceer (gemiddelde kans, beperkte
impact)
-‐ Verzeker (lage kans, hoge impact)
-‐ Vermijd (hoge kans, hoge impact)
Control activities Bijvoorbeeld het hebben van een
rampenherstelplan, het testen van dit
rampenherstelplan, het maken van een back-up
Information & communication Informatie verstrekken over bedreigingen en
welk effect die hebben gehad
Monitoring Naleving van beveiligingsprocedure
11
Application controls
Internal controls uitgevoerd door het systeem:
§ Invoercontroles /data entry controls
o Validatiecheck (vergelijken van reeds ingevulde data opgeslagen in database, inlog)
o Bestaanbaarheidscontroles (bestaat de zaal wel?)
o Range check (zit de invoer binnen een bepaalde range)
o Check digit (Rekenkundige controles, bijvoorbeeld 11 proof)
o Field check (alleen cijfers/letters)
o Sign check (juiste waarde, datum verleden of negatief bedrag)
o Limit check (maximaal aan het in te vullen aantal, b.v. maximaal 4 kaartjes tegelijk,
onder bepaalde waarde)
o Redelijksheidscontrole (op het aantal geschreven uren, ligt het bedrag binnen een
bepaalde marge)
o Size check (maximaal karakter telefoonnummer)
o Verplichten invoervelden voordat je verder kan gaan in het systeem
o Preformatting ddmmjjjj à opzoeken alleen letters of cijfers
o Transmissiecontrole: Controle op de communicatie tussen 2 punten. Door encryptie of
checkdigits.
o Blokkade van slecht betaalde debiteuren
o Promting (vast te stellen dat je geen robot bent)
§ Procescontroles (transmissiecontroles vertrouwelijk http// sleuteltje zichtbaar)
o Doornummeren, controlegetallen, meesturen sleutel
o Koppeling toeslag aan uren na x tijd dat de toeslag geldt
o Automatische controle in systeem: na 19.00 uren registreren toeslag koppelen
o Batchtotals en hashtotals: controlegetal, manier om integriteit van het systeem te
bewaren
o Batchtotal à Betekenisvolle getallen
§ Serie met bijv. saldo’s op rekeningnummers. Het zegt iets, dus het
totaal van saldo op alle rekeningen
o Hashtotal à Getallen zonder betekenis
§ Totaal van aantal getallen die eigenlijk geen enkele betekenis heeft,
bijv. de rekeningnummers. Bij elkaar zegt dit niets
o Concurrent update controls (leesrechter als document 2 keer wordt geopend)
§ Datacontroles en opslagcontroles
o Stamgegevens beschermen d.m.v. encryptie
o Transactiegegevens ↔ Has Totals
o Security-bestanden à encryptie
o Bestandsconversie controles
o Uitzonderingsrapportage (kun je instellen zodat alleen bijzondere gevallen leiden tot
een print of email naar een bepaalde persoon. Voorbeeld: Bij prijswijzigingen waarbij
een prijs meer dan 30% verlaagd wordt standaard email naar controller die kan
checken of het klopt. Kan ook iets anders zijn bv het feit dat iemand tussen:00 en 6:00
inlogt op je systeem)
o Data matching (na invoeren productnummer automatisch naam en afbeelding van
product) à vergelijken data (three way match)
o Data transmissie controls (data veilig is overgekomen)
§ Uitvoercontroles
o Bij reserveringen/kortingen boven een bepaalde norm, gaat een verplichte mail naar
het hoofd van administratie Laatste versie en dan datum erbij, zodat gebruiker weet
dat hij de juiste heeft.
o File labels: Ook bladzijde # van totaal ## bladzijdes kan de gebruiker laten weten dat
hij het gehele document heeft (proces controls)
o Audittrail (alle wijzigingen in de content worden geregistreerd)
o Validatiecheck postcode
o Proef bankrekeningnummer
o Matching pakbon aan inkoopfactuur
o Verplichte output (papier, email) bij nieuwe boeking, verzonden aan bv. hoofden
12
§ IT boundary controles
o Toegangscontrole wachtwoord
o Zijn er IC maatregelen die ervoor zorgen dat applicatie afgegrensd is tegen
ongeoorloofd gebruik?
o Letten op slordig omgaan met wachtwoorden, zo kan control zijn dat je het
wachtwoord elke maand laat veranderen.
o Door middel van competentietabellen kan achterhaalt worden wie waarvoor bevoegd
is en of dit ook nageleefd wordt kan dat accountant checken via het systeem.
o De rechten van supireurs gebruikers moet ook beschermd worden.
§ Objectbeheerder krijgt dagelijks melding: controle van de per object door medewerkers
geschreven uren
§ Na matching van gemaakte uren met het aantal te maken schoonmaakuren volgens het
contract kunnen uren pas worden verantwoordt.
§ Verwerkingscontroles
o Projectbestand status ingepland > status onderhanden + nog niet in uitvoering >
opgeleverd + nog in uitvoering
§ Commutatiecontroles
o Maatregelen om betrouwbare vastlegging van uren op locatie mogelijk te maken
AC/GC bij eisen van AIS systeem

§ Confidentiality (vertrouwelijkheid)
1. GC: user id password
2. AC: user id gekoppeld aan autorisatiematrix/competentietabel
3. GC/AC: encryptie op lijn (met name betalingen)
4. GC: beveiliging tegen hackers, firewall
§ Integrity (relevant en betrouwbaar)
1. AC: databasecontrols
2. AC: batch- en hashtotals
3. AC: alle vormen van invoercontrols à bestaanbaarheid van klantnummer,
productnummer, preformatting van datum, plausibiliteitscontrole op aantal.
§ Availability (continue en overal beschikbaar, tijdig)
1. AC: systeem dubbel uitgevoerd, mirroring
2. GC: fysieke beveiliging, afgescheiden ruimte
3. AC: brandbeveiliging m.b.t. zuurstofverdrijver
4. AC: ups, generator
5. GC: security controls à firewall, virusscan
13
Voorbeeld maatregelen Confidentiality (vertrouwelijk)

§ General controls, fysieke en logische toegangsbeveiliging
§ Identificatie: Wie bent u
§ User ID
§ Authenticatie: Bent u het echt?
§ 3 methoden:
§ Kennis (password, Pincode)
§ Nadeel: gemakkelijk kopieerbaar / deelbaar
§ Bezit (sleutels, pasjes, )
§ Soms kopieerbaar (magneetstrip)
§ Soms moeilijk kopieerbaar (Chipknip)
§ Soms toch kopieerbaar (OV-chip, paspoortchip)
§ Biometrie (Irisscan, gezichtskenmerken, vingerafdruk)
§ Soms ook kopieerbaar (vingerafdruk!)
§ Electronic banking: Combinatie van kennis en bezit
§ Autorisatie: Dan heeft u toegang tot ……
§ Competentietabel
§ Encryptie
Voorbeeld maatregelen Integrity (relevant en betrouwbaar)

1. General controls, fysieke en logische toegangsbeveiliging
2. Geprogrammeerde controles
§ Input controls
§ Bestaanscontroles
§ Plausibiliteitscontroles (waarschijnlijkheidscontrole/ redelijkheidscontrole)
§ Field check => zijn alle velden wel ingevuld
§ Processingcontrols
§ Controletotalen
§ Outputcontrols =>
§ Alleen gegevens zichtbaar die voor gebruiker bestemd zijn.
§ Batchverwerking (totalen verschillende bestanden aansluiten)
3. Virusscans en firewalls
4. Logging: registratie van gebruik van bestanden en programma’s via logging zodat bij poging tot
ongeautoriseerde toegang kan worden onderzocht wat gebeurd is en wie daarvoor
verantwoordelijk is.
Voorbeeld maatregelen Availability (continue en overal beschikbaar)

§ Business continuatie planning: What if ….
§ IT systeem is niet beschikbaar
§ Gebouw is niet beschikbaar
§ Medewerkers zijn niet beschikbaar
§ Telecom is niet beschikbaar
§ Maatregelen:
§ Back-up
§ Periode? Per dag / uur / minuut
§ Uitwijk
§ Beschikbaar binnen .. Tijd
§ Noodprocedures
§ Testen!
§ Manual work arounds
§ Als het systeem uitvalt over op handbediening.
Database controls
Database controls => interne controlemaatregelen gericht beschikbaar houden en integer houden van
de database en dat alleen geoorloofd gebruik plaatsvindt. Wordt aangestuurd door het database
management systeem (DBMS)
Opmerking pp docent: Wie weet het verschil tussen beide?

General controls => Benodigd om de ICT draaiende te houden
Application controls => Geautomatiseerde controles binnen een applicatie die anders een
medewerker handmatig uit zou voeren
14
ERP systeem
Voordelen:
• 1 leverancier voor vragen praat je met 1 partij
• ERP is geïntegreerd zodat de samenhang tussen processen wordt ondersteund
• Gegevens hoeven maar eenmalig te worden vastgesteld
• Iedereen die daartoe gerechtigd is kan de gegevens gebruiken
• Minder inconsistenties door eenmalige vastlegging
Vraag OAT:
De directie van de holding, de heren Jansen en de Vrede, wenst eind 2012 te beschikken over een
inventarisatie van relevante strategische aandachtspunten.
Stel deze inventarisatie samen. De inventarisatie dient 10 verschillende strategische

aandachtspunten te bevatten. Geef hierbij telkens uw motivatie om het genoemde
aandachtspunt als strategisch relevant aan te merken.
Een belangrijke taak van de topleiding van een organisatie is ervoor te zorgen dat de afstemming met
de omgeving zo goed is, dat daardoor de continuïteit van de organisatie gewaarborgd is. Voor deze
taak zal de leiding wensen te beschikken over onderstaande strategische informatie.
Economische ontwikkelingen
Motivering: de economische crisis is een feit en de directie verwacht dat het nog wel enige jaren zal
duren.
Wat zijn de economische gevolgen hiervan voor BTG?
• Overheidsbeleid bouwplannen en -vergunningen plaatselijke overheden;
overheidsmaatregelen ter bestrijding van de crisis.
Motivering: nieuwe opdrachten zullen afhankelijk zijn van vergunningen van de overheden. Plus
allerlei overheidsmaatregelen kunnen de bedrijfsactiviteiten stimuleren. Het is zaak hier tijdig op in te
spelen.
• Personeelsbeleid behouden van deskundig en bekwaam personeel. Als er medewerkers het
bedrijf verlaten is het wel noodzakelijk dat er voldoende deskundig personeel met de nodige
ervaring beschikbaar blijft; fiscale/sociale verplichtingen m.b.t. ZZP-ers;
opleidingsmogelijkheden.
Motivering: beschikken over de juiste personeelsleden op de juiste plaats (opleiding, motivatie).

• Markt/concurrentie marktaandeel van de bouwbedrijven en Materiaal BV; wie zijn de
belangrijkste concurrenten? hoe gaat de concurrentie om met de economische crisis?
Motivering: bepaling van de positie in de markt en ten opzichte van de concurrentie.

• Technologische ontwikkelingen wat verwachten beoogde klanten van ons bouwproduct en
materialen die wij verhuren: met welke technische ontwikkelingen kunnen wij ons
onderscheiden van de concurrenten en inspelen op de wensen van de klanten.
Motivering: efficiency van de bedrijfsvoering, het aanbod van producten zo interessant mogelijk maken
voor de klanten.
• Investeringen en financieringsmogelijkheden mogelijkheden voor uitbreiding van de
verhuuractiviteiten; financieringsmogelijkheden, mede in het kader van de financiële crisis.
Motivering: zijn de verhuuractiviteiten wel te financieren en voor de bouwprojecten zal ook de

financiering een punt zijn.
• Na de overname van Maribo-Timber NV heeft de afdeling Automatisering een plan opgesteld
om ook Maribo-Timber NV aan te sluiten op het ERP systeem. De directie vraagt aan de
afdeling Finance en Control met welke risico’s BTG rekening moet houden als dit plan wordt
uitgevoerd. Kortom: wat kan er allemaal mis gaan?
15
5 risico’s waarmee rekening moet worden gehouden bij het besluit om ook Maribo-Timber NV
aan te sluiten op het ERP systeem.
personeel het personeel van Maribo-Timber is niet voldoende deskundig waardoor er

allerlei zaken fout gaan
programma’s de programma’s die lokaal worden geïnstalleerd werken niet goed
hardware de lokale hardware is niet geschikt
processen de lokale procedures zijn niet goed waardoor bijvoorbeeld data te laat wordt
ingevoerd
extern door lokale storingen werkt internet niet goed
kosten de kosten voor implementatie wijken significant af van de begroting
tijd de implementatie kost meer tijd dan gepland
Aanschaffingsprocedure van een standaardpakket met enig maatwerk

1. Hanteren van een beproefde systeemontwikkelingsmethode
2. De operatie hanteren als een project
3. Het opstellen van functionele, technische en organisatorische eisen en wensen
4. Betrekken van de gebruikers in de systeemeisen en gebruikersacceptatietest
5. Selectie van betrouwbare leveranciers van de software
6. Opstellen en versturen van offerteaanvragen
7. Opstellen van een testset, op basis waarvan de pakketten kunnen worden getest
8. Beoordelen van de ontvangen offertes en de bijgewoonde demonstraties alsmede het maken
van een keuze. Hierbij ontstaat tevens een indruk over het nog te verrichten maatwerk
9. Opstellen van een contract, goeder contractenprocedure hanteren. SLA à Service Level
Agreement
Nieuw standaardpakket
Continuïteit
De financiële gegevensverwerking zal meer afhankelijk worden van de beschikbaarheid van het
systeem en de functie van de systeembeheerder. De rol van de systeembeheerder zal in belang
toenemen. Dit geldt voor de kwaliteit (op de hoogte zijn van de werking van het systeem en
softwarepakket) en voor de beschikbaarheid (reactietijd bij systeemproblemen).
Interne beheersingsmaatregelen t.a.v. dit risico zijn:
§ goede systeemdocumentatie en gebruikershandleidingen
§ back-up en recoverymogelijkheden
§ opleiding van de systeembeheerder (inzicht in het pakket)
§ sec. functiescheiding tussen administrateur en systeembeheerder met
helpdeskfunctie
§ FS tussen ontwikkeling, testen en gebruiker
Betrouwbaarheid
De risico’s m.b.t. de betrouwbaarheid van de gegevensverwerking zijn te vinden in:
§ fouten in de input, verwerking en output van mutatiegegevens (variabele gegevens)
§ fouten in de bestanden (stam- of vaste gegevens)
De beheersingsmaatregelen gericht op het voorkomen en ontdekken van fouten zullen verschuiven
van repressieve handmatige beheersingsmaatregelen naar preventieve systeemgerichte
beheersingsmaatregelen.
In belang zullen toenemen de:

§ competentietabel (user id’s en paswoorden)
§ systeem-en applicatiecontroles (controletotalen, verbandcontroles en controleregisters,
bestaanbaarheidscontroles, redelijkheidscontroles)
§ de gebruikerscontroles in het kader van foutenrapportage, analyse en afwerking hiervan
§ een ter beschikking staande systeembeheerder
16
Simons Levers of control

How new top managers use control systems as levers of innovation
Indeling beheersingsmechanismen
Onder de voorwaarde dat de interne controle aan bepaalde minimumeisen voldoet:
§ Diagnostic control systems (harde control)
§ Boundary systems (harde control)
§ Beliefs systems (soft control)
§ Interactive control systems (soft control)
Diagnostic Control systems

Om uitkomsten van bedrijfsprocessen te evalueren, toetsen aan vooraf gedefinieerde normen en
eventueel bijstuderende maatregelen te treffen.
§ Norm, meting, vergelijking, ingrijpen Diagnostic
§ Meetbare performance Critical Control
§ ROI, RI, EVA, employee and customer satisfaction Performance Systems
Variables
Waarom diagnostic systems?
§ Om een effectieve allocatie van schaarse middelen te bewerkstelligen
§ Om doelstellingen te definiëren
§ Om te motiveren
§ Om richtlijnen vast te stellen voor correctieve maatregelen
§ Om evaluatie mogelijk te maken
§ Om het management de ruimte te geven voor andere activiteiten dan het in de greep houden
van het personeel
Boundary systems
Formele regels, grenzen en voorschriften waarvan afwijking tot sancties leidt.
§ Code of conduct Boundary
§ Actions off-limit (passend en niet passend) Systems
Risks to be
§ Gedragscode Avoided
Waarom boundary systems
§ Om individuele creativiteit mogelijk te maken binnen vastgestelde grenzen
§ Bijvoorbeeld: gedragscodes, inkoopsystemen etc.
Beliefs systems
Een expliciete set van geloofsovertuigingen die de basiswaarden van een organisatie definieert: het
gaat over hoe waarde wordt gecreëerd, het gewenste prestatieniveau en menselijke relaties.
§ Moeilijk om te veranderen
Beliefs Systems
Waarom belief systems?

§ Om richtsnoer te geven voor mogelijkheden zoekend gedrag Core Values
§ Bijvoorbeeld: mission statements, credo’s
Interactive control systems

Beheersingssystemen die door managers worden gebruik om zich persoonlijk en regelmatig te
mengen in de besluitvormingsactiviteiten van hun ondergeschikten.
§ Traceren strategische onzekerheden
§ Niet alleen één richtingsverkeer maar ook beide kanten Strategic
§ Op lager niveau ook nadenken over strategie (imergense Interactive Uncertainties
strategy, het komt van beneden) en dat je eens per week Control
bijvoorbeeld aan elk project mag werken die je wilt. Systems
Directie pakt de goede ideeën van onderen op.
Waarom interactive control systems?

§ Om de aandacht van de organisatie te richten op strategische onzekerheden en nieuwe
initiatieven en strategieën.
§ Ervoor zorgen dat output van informatiesystemen tot een terugkerend thema wordt tijdens
besprekingen met ondergeschikten, de buitenlandse vestigingen worden bezocht,
mededelingshoofden worden gelezen etc.
17
Computer Aided Audit Tools and techniques (CAATT)

Verzamelnaam voor tools en technieken die:
a) Worden gebruikt om de interne logica van de applicatie te beoordelen en/of
b) de data te onderzoeken die door een applicatie worden verwerkt (accountant)
Voordeel à Vergroten van zekerheid, verkleinen accountantscontrole risico doordat 100% van de
gegevens gecontroleerd kan worden
Let op: IT controls moeten wel werken!
Is een data-analyse à gericht op de output. Accountant kan dit bij de interim controle (kan ook
eindejaarscontrole) zijn bevindingen onderbouwen door deze cijfers. Hierdoor staan ze sterken en
kunnen ze aantonen dat iets ook gebeurd zoals ze dachten.
CAATT kunnen gebruikt worden bij:

§ Inspectie – bijvoorbeeld voor het selecteren van items bij steekproeven en het selecteren van
items die voldoen aan specifieke criteria
§ Herberekening – Voor het controleren van de rekenkundige juistheid van facturen,
afschrijvingen etc.
§ Cijferanalyses – Datamining, vergelijkingen tussen financiële en niet financiële informatie en
verbandlegging tussen verschillende data stromen
§ Externe confirmaties – Voor het selecteren van debiteuren of andere posten waarvan je een
externe bevestiging wilt opvragen
Bij welke klanten?

§ Middelgroot tot groot
§ Voldoende ‘basis’ hygiëne rondom beheer van ICT
§ Meer dan gemiddeld ICT landschap
§ Erp plus ondersteunde applicaties
§ Klant staat open voor feedback over audit- en business risks
Wat doe je?

§ Inlezen audit file van de klant in audit software – IDEA, ACL, Excel
§ Uitvoeren vooraf bepaalde analyses
Enkele voorbeelden analyses

§ Opgestelde creditfacturen
§ Memoriaalboekingen
§ Ontbrekende periodes
§ Selectie van artikelsoorten en perioden waarin de brutowinstmarges buiten de
geprogrammeerde norm vallen
§ Selectie van alle verkopen met een afwijkend BTW percentage
§ Selectie van alle kortingen > x%
§ Per voorraadartikel omloopsnelheid berekenen, alles > 100 dagen apart zichtbaar maken
§ Vergelijking van data met externe beschikbare info (bv concurrenten of CBS)
Uitdagingen van data-analyse

§ Hoe krijg ik de juiste gegevens?
§ Welke analyses ga ik uitvoeren?
§ Welke data- analyses bewaar in het dossier?
§ Waarborgen van de story of the audit (NV COS 230)
§ Herkomst van de gegevensbestanden
§ Aansluiten tussen gegevensbestanden en de administratie/ jaarrekening vastleggen
in het dossier
§ Vastleggen welke bewerkingen en analyses je hebt uitgevoerd op de bestanden en
welke formules daarbij zijn gebruikt
§ Vastleggen uitkomsten van de analyse
§ Vastleggen wie het heeft uitgevoerd en wanneer
§ Vastleggen wie het heeft beoordeeld en wanneer
§ Duidelijk onderscheidt PBC en zelf opgestelde gegeven
18
Proces-mining
Processtappen digitaal volgen en visualiseren a.d.h.v. eventlogs
Nagaan waar afwijkingen zijn ten opzichte van de norm:

§ Andere medewerker voert werkzaamheden uit;
§ Bepaalde order krijgt nog de status van factuur
§ Bepaalde order blijft meer dagen dan gebruikelijk in het proces
§ Medewerker A verwerkt 10 orders per dag, Medewerker B maar 5
à bron van het proces
19
Powered by TCPDF (www.tcpdf.org)

Stuvia 279688 Oat Biv Leerstof General en Application Controls

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Stuvia 279688 Oat Biv Leerstof General en Application Controls

Uploaded by

Copyright:

Available Formats

OAT BIV Leerstof General en

The Marketplace to Buy and Sell your Study Material

Downloaded by: jarred | jarredoudsten94@hotmail.com

OAT -­‐ Leerstof Accounting

Downloaded by: jarred | jarredoudsten94@hotmail.com

SYSTEM DEVELOPMENT METHODOLOGIE 5

SYSTEM DEVELOPMENT LIFE CYCLE 6

RISICO’S SYSTEEM ONTWIKKELING 8

GENERAL EN APPLICATION CONTROLS 10

AC/GC BIJ EISEN VAN AIS SYSTEEM 13

SIMONS LEVERS OF CONTROL 17

COMPUTER AIDED AUDIT TOOLS AND TECHNIQUES (CAATT) 18

Algemene vereisten Accounting information system (AIS)

Algemene aandachtspunten systeemontwikkeling

System Development Methodologie

System Development Life cycle

e. Beschrijven van de procedures

Waarom systeem ontwikkeling/vernieuwing?

Risico’s systeem ontwikkeling

Bladzijde 327 BIV in perspectief

General en Application controls

AC/GC bij eisen van AIS systeem

Voorbeeld maatregelen Confidentiality (vertrouwelijk)

Voorbeeld maatregelen Integrity (relevant en betrouwbaar)

Voorbeeld maatregelen Availability (continue en overal beschikbaar)

Opmerking pp docent: Wie weet het verschil tussen beide?

Stel deze inventarisatie samen. De inventarisatie dient 10 verschillende strategische

Motivering: beschikken over de juiste personeelsleden op de juiste plaats (opleiding, motivatie).

Motivering: bepaling van de positie in de markt en ten opzichte van de concurrentie.

Motivering: zijn de verhuuractiviteiten wel te financieren en voor de bouwprojecten zal ook de

personeel het personeel van Maribo-Timber is niet voldoende deskundig waardoor er

Aanschaffingsprocedure van een standaardpakket met enig maatwerk

In belang zullen toenemen de:

Simons Levers of control

Diagnostic Control systems

Waarom belief systems?

Interactive control systems

Waarom interactive control systems?

Computer Aided Audit Tools and techniques (CAATT)

Let op: IT controls moeten wel werken!

CAATT kunnen gebruikt worden bij:

Bij welke klanten?

Wat doe je?

Enkele voorbeelden analyses

Uitdagingen van data-analyse

Nagaan waar afwijkingen zijn ten opzichte van de norm:

à bron van het proces

You might also like

OAT -‐ Leerstof Accounting