Professional Documents
Culture Documents
application controls
written by
NienkeBeukema
On Stuvia you will find the most extensive lecture summaries written by your fellow students. Avoid
resits and get better grades with material written specifically for your studies.
www.stuvia.com
INHOUDSOPGAVE
ALGEMENE VEREISTEN ACCOUNTING INFORMATION SYSTEM (AIS) 3
AIS STAPPEN 3
ALGEMENE AANDACHTSPUNTEN SYSTEEMONTWIKKELING 3
STANDAARD OF MAATWERK 4
GENERAL CONTROLS 10
APPLICATION CONTROLS 12
ERP SYSTEEM 15
AANSCHAFFINGSPROCEDURE VAN EEN STANDAARDPAKKET MET ENIG MAATWERK 16
NIEUW STANDAARDPAKKET 16
2
Downloaded by: jarred | jarredoudsten94@hotmail.com
Distribution of this document is illegal
Stuvia.com - The Marketplace to Buy and Sell your Study Material
AIS stappen
1) Standaard of maatwerk à zie blz. 4
2) Methoden voor systeem ontwikkeling à zie blz. 5
3) Risico’s systeem ontwikkeling à zie blz. 8
4) Algemene uitgangspunten à zie hieronder
5) Generals controls à zie blz. 10
6) Application controls à zie blz. 10
Opmerking pp docent: Toelichting spaghetti brij: Als bij de implementatie van software niet goed
nagedacht wordt over waar men daadwerkelijk naar toe wilt, wordt bij elke behoefte een nieuw stuk
systeem ´bijgebouwd´ uiteindelijk leidt dit tot een borg spaghetti waarin begin en eind niet duidelijk
zijn, evenals de onderlinge verbanden tussen bijvoorbeeld bestanden. Dit heeft gevolgen voor de
betrouwbaarheid van het de informatie maar ook de continuïteit van het systeem
Hoe voorkomen?
Management betrokkenheid
Informeren gebruikers en betrekken gebruikers bij ontwikkeling en implementatie. Zorg dat je waar
mogelijk wensen en verzoeken van gebruikers implementeert. Maar vooral: Houd het zo makkelijk
mogelijk
3
Downloaded by: jarred | jarredoudsten94@hotmail.com
Distribution of this document is illegal
Stuvia.com - The Marketplace to Buy and Sell your Study Material
Standaard of maatwerk
Opmerking pp docent: Aangeven dat er twee soorten software zijn standaard en maatwerk. Bij
maatwerk ook ingaan op de mogelijkheden van SAAS, software as a service. Er zijn diverse
aanbieders die software in de Cloud aanbieden. Dit biedt voor de organisatie ook weer andere risico´s
met zich mee
4
Downloaded by: jarred | jarredoudsten94@hotmail.com
Distribution of this document is illegal
Stuvia.com - The Marketplace to Buy and Sell your Study Material
Basisstappen systeemontwikkeling
1. Informatieplanning: ontwikkeling moet passen binnen het informatieplan
2. Definitiestudie (analysefase): uitgangspunten en randvoorwaarden van het project bepaald à
haalbaarheid van het nieuwe systeem
3. Globaal / functioneel ontwerp: ontwerp van de gewenste informatievoorziening samen met
een beschrijving van interne betrouwbaarheidsmaatregelen
4. Detailontwerp: Per deelsysteem aangeven wat je verwacht in detail
5. Realisatie (bouwen en testen): programmeurstest vervolgens Systeem of integratietest (testen
door testers in de testomgeving (gebaseerd op werkelijke omgeving) werkt alles zoals het
moet werken. Gebruikersacceptatietest door gebruikers. Proefdraaien (reeds uitgevoerde
werkzaamheden nog een keer doen), schaduwdraaien (in twee systemen werkzaamheden
uitvoeren), testdraaien.
6. Invoering: taakomschrijving, documentatie, opleiden, converteren van gegevens d.m.v.
instructies en handleidingen à personeel vertrouwd gemaakt met systeem
7. Gebruik en beheer: systeem blijvend tegemoet komt aan eisen organisatie d.m.v. richtlijnen à
fase die niet afgerond is maar van toepassing blijft
8. Evalueren en bijstellen: periodiek kijken of systeem nog voldoet aan informatiebehoeften.
5
Downloaded by: jarred | jarredoudsten94@hotmail.com
Distribution of this document is illegal
Stuvia.com - The Marketplace to Buy and Sell your Study Material
Basisstappen systeemontwikkeling
1. Systeemanalyse: hier wordt het eerste onderzoek opgesteld en daarbij gekeken of het project
haalbaar is, daarnaast wordt de benodigde informatie opgevraagd en gekeken aan welke
eisen het project moet voldoen zodat het binnen de uitganspunten van het project blijven.
a. Eerste onderzoek
b. Systeem onderzoek
c. Haalbaarheidsonderzoek
d. Bepalen van benodigde informatiebehoeften en eisen
2. Conceptueel ontwerp: er worden verschillen ontwerp opties voorgesteld en daaruit wordt 1
ontwerp gekozen, dit ontwerp zal verder ontwikkeld worden waarin de informatievoorziening
en de interne maatregelen zijn genoemd.
a. Identificeren en evalueren van ontwerp opties
b. Ontwikkelen van ontwerp
c. Conceptueel ontwerp
3. Fysiek ontwerp: het project wordt opgesteld in verschillende procedures waar per procedure
wordt aangegeven wat er verwacht wordt en hoe deze beheerst kan worden.
a. Ontwerp output
b. Ontwerp input
c. Ontwerp database
d. Ontwikkelen van procedures en beheersing
4. Implementatie en conversie: eerst zal het systeem geïmplementeerd worden waarnaar er
verschillende testen plaatsvinden. De beschrijving wordt toegevoegd en het trainen van het
personeel is belangrijk.
a. Implementatie
b. Installeren hard- en software
c. Trainen van het personeel
d. Testen van het systeem
6
Downloaded by: jarred | jarredoudsten94@hotmail.com
Distribution of this document is illegal
Stuvia.com - The Marketplace to Buy and Sell your Study Material
7
Downloaded by: jarred | jarredoudsten94@hotmail.com
Distribution of this document is illegal
Stuvia.com - The Marketplace to Buy and Sell your Study Material
8
Downloaded by: jarred | jarredoudsten94@hotmail.com
Distribution of this document is illegal
Stuvia.com - The Marketplace to Buy and Sell your Study Material
9
Downloaded by: jarred | jarredoudsten94@hotmail.com
Distribution of this document is illegal
Stuvia.com - The Marketplace to Buy and Sell your Study Material
Application IT controls; de betrouwbare werking van een applicatie kun je waarborgen door op de
general controls een specifieke set van interne controle maatregelen per applicatie te ontwikkelen.
Ook wel gezegd om de betrouwbaarheid (juistheid en volledigheid) van de informatie te waarborgen. =
letter I (Integrity). Maar hoe zit het dan met de andere eisen? Vertrouwelijkheid: zowel general
als application. = letter à (Integrity + availability)
General controls
DRUIFLF
§ Documentatie (werkinstructies, handelingen, richtlijnen = voor verduidelijking)
§ Recovery and back up (back-up op afgesloten plaats = voor vermindering van het risico van
discontinuïteit van de gegevensverwerking + geen gegevens kwijtraken)
§ Uitwijkmogelijkheden (2e server, beschermen, noodstroomvoorziening)
§ Invoercontroles (ook AC)
§ Functiescheiding (ontwikkeling, beheer, testen en gebruik)
§ Logische toegangsbeveiliging (wachtwoord en gebruikersnaam = competentietabel gekoppeld
aan gebruikersnamen en wachtwoorden (denk aan wachtwoordbeheer))
o Paswoorden worden regelmatig aangepast en bestaan uit voldoende tekens
§ Fysieke toegangsbeveiliging (afgesloten serverruimte, airco, brandveiligheid)
§ Security controls, Virusscanner en firewall (scan, schone software, vaststellen dat het werkt
door procedure te proberen = zodat applicaties en gegevens beschermd worden tegen
verminking)
§ Boundary IT controls (AC ook, = personeel bewaken)
§ Change management procedures aanwezig, zodat niet gewerkt wordt met applicaties of
software die niet door gebruikers zijn geaccepteerd en op betrouwbaarheid zijn getest =
testen van wijzigingen in applicatie
§ Logging, registratie van gebruik van bestanden en programma’s via logging zodat bij poging
tot ongeautoriseerde toegang kan worden onderzocht wat er gebeurd is en wie daarvoor
verantwoordelijk is.
§ Beveiliging gevoelige gegevens via encryptie, maakt risico voor onbevoegde kleiner
§ Echtheidskenmerken (ook AC)
Framework = mitigeren risico’s die de betrouwbare en continue werking negatief kunnen beïnvloeden.
10
Downloaded by: jarred | jarredoudsten94@hotmail.com
Distribution of this document is illegal
Stuvia.com - The Marketplace to Buy and Sell your Study Material
Een goede methode om de ICT-beveiliging risico’s te beheersen nadat deze geïnventariseerd zijn, is
toepassen van COSO-ERFM-model.
ERMF-component Toepassing ICT
Internal environment -‐ Welke functionaris is verantwoordelijk
voor de afdeling automatisering?
-‐ Belang dat directie hecht aan
automatisering
-‐ Risicobewustzijn bij medewerkers ten
aanzien van ICT
Objective setting Vooral betrouwbaarheid en continuïteit
Event identification Vele soorten negatieve gebeurtenissen (risico’s)
bijvoorbeeld: brand, wateroverlast, diefstal,
vervuiling, virussen en hackers
Risk assessment Het bepalen van de verwachte waarde van de
risico’s door middel van kans * impact
Risk Response Mogelijke acties ten opzichte van een ICT-risico
zijn:
-‐ Accepteer (lage kans, lage impact)
-‐ Reduceer (gemiddelde kans, beperkte
impact)
-‐ Verzeker (lage kans, hoge impact)
-‐ Vermijd (hoge kans, hoge impact)
Control activities Bijvoorbeeld het hebben van een
rampenherstelplan, het testen van dit
rampenherstelplan, het maken van een back-up
Information & communication Informatie verstrekken over bedreigingen en
welk effect die hebben gehad
Monitoring Naleving van beveiligingsprocedure
11
Downloaded by: jarred | jarredoudsten94@hotmail.com
Distribution of this document is illegal
Stuvia.com - The Marketplace to Buy and Sell your Study Material
Application controls
Internal controls uitgevoerd door het systeem:
§ Invoercontroles /data entry controls
o Validatiecheck (vergelijken van reeds ingevulde data opgeslagen in database, inlog)
o Bestaanbaarheidscontroles (bestaat de zaal wel?)
o Range check (zit de invoer binnen een bepaalde range)
o Check digit (Rekenkundige controles, bijvoorbeeld 11 proof)
o Field check (alleen cijfers/letters)
o Sign check (juiste waarde, datum verleden of negatief bedrag)
o Limit check (maximaal aan het in te vullen aantal, b.v. maximaal 4 kaartjes tegelijk,
onder bepaalde waarde)
o Redelijksheidscontrole (op het aantal geschreven uren, ligt het bedrag binnen een
bepaalde marge)
o Size check (maximaal karakter telefoonnummer)
o Verplichten invoervelden voordat je verder kan gaan in het systeem
o Preformatting ddmmjjjj à opzoeken alleen letters of cijfers
o Transmissiecontrole: Controle op de communicatie tussen 2 punten. Door encryptie of
checkdigits.
o Blokkade van slecht betaalde debiteuren
o Promting (vast te stellen dat je geen robot bent)
§ Procescontroles (transmissiecontroles vertrouwelijk http// sleuteltje zichtbaar)
o Doornummeren, controlegetallen, meesturen sleutel
o Koppeling toeslag aan uren na x tijd dat de toeslag geldt
o Automatische controle in systeem: na 19.00 uren registreren toeslag koppelen
o Batchtotals en hashtotals: controlegetal, manier om integriteit van het systeem te
bewaren
o Batchtotal à Betekenisvolle getallen
§ Serie met bijv. saldo’s op rekeningnummers. Het zegt iets, dus het
totaal van saldo op alle rekeningen
o Hashtotal à Getallen zonder betekenis
§ Totaal van aantal getallen die eigenlijk geen enkele betekenis heeft,
bijv. de rekeningnummers. Bij elkaar zegt dit niets
o Concurrent update controls (leesrechter als document 2 keer wordt geopend)
§ Datacontroles en opslagcontroles
o Stamgegevens beschermen d.m.v. encryptie
o Transactiegegevens ↔ Has Totals
o Security-bestanden à encryptie
o Bestandsconversie controles
o Uitzonderingsrapportage (kun je instellen zodat alleen bijzondere gevallen leiden tot
een print of email naar een bepaalde persoon. Voorbeeld: Bij prijswijzigingen waarbij
een prijs meer dan 30% verlaagd wordt standaard email naar controller die kan
checken of het klopt. Kan ook iets anders zijn bv het feit dat iemand tussen:00 en 6:00
inlogt op je systeem)
o Data matching (na invoeren productnummer automatisch naam en afbeelding van
product) à vergelijken data (three way match)
o Data transmissie controls (data veilig is overgekomen)
§ Uitvoercontroles
o Bij reserveringen/kortingen boven een bepaalde norm, gaat een verplichte mail naar
het hoofd van administratie Laatste versie en dan datum erbij, zodat gebruiker weet
dat hij de juiste heeft.
o File labels: Ook bladzijde # van totaal ## bladzijdes kan de gebruiker laten weten dat
hij het gehele document heeft (proces controls)
o Audittrail (alle wijzigingen in de content worden geregistreerd)
o Validatiecheck postcode
o Proef bankrekeningnummer
o Matching pakbon aan inkoopfactuur
o Verplichte output (papier, email) bij nieuwe boeking, verzonden aan bv. hoofden
12
Downloaded by: jarred | jarredoudsten94@hotmail.com
Distribution of this document is illegal
Stuvia.com - The Marketplace to Buy and Sell your Study Material
§ IT boundary controles
o Toegangscontrole wachtwoord
o Zijn er IC maatregelen die ervoor zorgen dat applicatie afgegrensd is tegen
ongeoorloofd gebruik?
o Letten op slordig omgaan met wachtwoorden, zo kan control zijn dat je het
wachtwoord elke maand laat veranderen.
o Door middel van competentietabellen kan achterhaalt worden wie waarvoor bevoegd
is en of dit ook nageleefd wordt kan dat accountant checken via het systeem.
o De rechten van supireurs gebruikers moet ook beschermd worden.
§ Objectbeheerder krijgt dagelijks melding: controle van de per object door medewerkers
geschreven uren
§ Na matching van gemaakte uren met het aantal te maken schoonmaakuren volgens het
contract kunnen uren pas worden verantwoordt.
§ Verwerkingscontroles
o Projectbestand status ingepland > status onderhanden + nog niet in uitvoering >
opgeleverd + nog in uitvoering
§ Commutatiecontroles
o Maatregelen om betrouwbare vastlegging van uren op locatie mogelijk te maken
13
Downloaded by: jarred | jarredoudsten94@hotmail.com
Distribution of this document is illegal
Stuvia.com - The Marketplace to Buy and Sell your Study Material
Database controls
Database controls => interne controlemaatregelen gericht beschikbaar houden en integer houden van
de database en dat alleen geoorloofd gebruik plaatsvindt. Wordt aangestuurd door het database
management systeem (DBMS)
14
Downloaded by: jarred | jarredoudsten94@hotmail.com
Distribution of this document is illegal
Stuvia.com - The Marketplace to Buy and Sell your Study Material
ERP systeem
Voordelen:
• 1 leverancier voor vragen praat je met 1 partij
• ERP is geïntegreerd zodat de samenhang tussen processen wordt ondersteund
• Gegevens hoeven maar eenmalig te worden vastgesteld
• Iedereen die daartoe gerechtigd is kan de gegevens gebruiken
• Minder inconsistenties door eenmalige vastlegging
Vraag OAT:
De directie van de holding, de heren Jansen en de Vrede, wenst eind 2012 te beschikken over een
inventarisatie van relevante strategische aandachtspunten.
Een belangrijke taak van de topleiding van een organisatie is ervoor te zorgen dat de afstemming met
de omgeving zo goed is, dat daardoor de continuïteit van de organisatie gewaarborgd is. Voor deze
taak zal de leiding wensen te beschikken over onderstaande strategische informatie.
Economische ontwikkelingen
Motivering: de economische crisis is een feit en de directie verwacht dat het nog wel enige jaren zal
duren.
Wat zijn de economische gevolgen hiervan voor BTG?
• Overheidsbeleid bouwplannen en -vergunningen plaatselijke overheden;
overheidsmaatregelen ter bestrijding van de crisis.
Motivering: nieuwe opdrachten zullen afhankelijk zijn van vergunningen van de overheden. Plus
allerlei overheidsmaatregelen kunnen de bedrijfsactiviteiten stimuleren. Het is zaak hier tijdig op in te
spelen.
• Personeelsbeleid behouden van deskundig en bekwaam personeel. Als er medewerkers het
bedrijf verlaten is het wel noodzakelijk dat er voldoende deskundig personeel met de nodige
ervaring beschikbaar blijft; fiscale/sociale verplichtingen m.b.t. ZZP-ers;
opleidingsmogelijkheden.
Motivering: efficiency van de bedrijfsvoering, het aanbod van producten zo interessant mogelijk maken
voor de klanten.
• Investeringen en financieringsmogelijkheden mogelijkheden voor uitbreiding van de
verhuuractiviteiten; financieringsmogelijkheden, mede in het kader van de financiële crisis.
15
Downloaded by: jarred | jarredoudsten94@hotmail.com
Distribution of this document is illegal
Stuvia.com - The Marketplace to Buy and Sell your Study Material
5 risico’s waarmee rekening moet worden gehouden bij het besluit om ook Maribo-Timber NV
aan te sluiten op het ERP systeem.
Nieuw standaardpakket
Continuïteit
De financiële gegevensverwerking zal meer afhankelijk worden van de beschikbaarheid van het
systeem en de functie van de systeembeheerder. De rol van de systeembeheerder zal in belang
toenemen. Dit geldt voor de kwaliteit (op de hoogte zijn van de werking van het systeem en
softwarepakket) en voor de beschikbaarheid (reactietijd bij systeemproblemen).
Interne beheersingsmaatregelen t.a.v. dit risico zijn:
§ goede systeemdocumentatie en gebruikershandleidingen
§ back-up en recoverymogelijkheden
§ opleiding van de systeembeheerder (inzicht in het pakket)
§ sec. functiescheiding tussen administrateur en systeembeheerder met
helpdeskfunctie
§ FS tussen ontwikkeling, testen en gebruiker
Betrouwbaarheid
De risico’s m.b.t. de betrouwbaarheid van de gegevensverwerking zijn te vinden in:
§ fouten in de input, verwerking en output van mutatiegegevens (variabele gegevens)
§ fouten in de bestanden (stam- of vaste gegevens)
De beheersingsmaatregelen gericht op het voorkomen en ontdekken van fouten zullen verschuiven
van repressieve handmatige beheersingsmaatregelen naar preventieve systeemgerichte
beheersingsmaatregelen.
16
Downloaded by: jarred | jarredoudsten94@hotmail.com
Distribution of this document is illegal
Stuvia.com - The Marketplace to Buy and Sell your Study Material
Indeling beheersingsmechanismen
Onder de voorwaarde dat de interne controle aan bepaalde minimumeisen voldoet:
§ Diagnostic control systems (harde control)
§ Boundary systems (harde control)
§ Beliefs systems (soft control)
§ Interactive control systems (soft control)
Boundary systems
Formele regels, grenzen en voorschriften waarvan afwijking tot sancties leidt.
§ Code of conduct Boundary
§ Actions off-limit (passend en niet passend) Systems
Risks to be
§ Gedragscode Avoided
Waarom boundary systems
§ Om individuele creativiteit mogelijk te maken binnen vastgestelde grenzen
§ Bijvoorbeeld: gedragscodes, inkoopsystemen etc.
Beliefs systems
Een expliciete set van geloofsovertuigingen die de basiswaarden van een organisatie definieert: het
gaat over hoe waarde wordt gecreëerd, het gewenste prestatieniveau en menselijke relaties.
§ Moeilijk om te veranderen
Beliefs Systems
17
Downloaded by: jarred | jarredoudsten94@hotmail.com
Distribution of this document is illegal
Stuvia.com - The Marketplace to Buy and Sell your Study Material
Voordeel à Vergroten van zekerheid, verkleinen accountantscontrole risico doordat 100% van de
gegevens gecontroleerd kan worden
Is een data-analyse à gericht op de output. Accountant kan dit bij de interim controle (kan ook
eindejaarscontrole) zijn bevindingen onderbouwen door deze cijfers. Hierdoor staan ze sterken en
kunnen ze aantonen dat iets ook gebeurd zoals ze dachten.
18
Downloaded by: jarred | jarredoudsten94@hotmail.com
Distribution of this document is illegal
Stuvia.com - The Marketplace to Buy and Sell your Study Material
Proces-mining
Processtappen digitaal volgen en visualiseren a.d.h.v. eventlogs
19
Downloaded by: jarred | jarredoudsten94@hotmail.com
Distribution of this document is illegal
Powered by TCPDF (www.tcpdf.org)