Hoofdstuk 1
Bestuurlijke informa琀椀everzorging wordt gebruikt voor 3 verschillende zaken:
Informa琀椀e in het kader van het geven van taken en het a昀氀eggen van verantwoording
Informa琀椀e voor het nemen van beslissingen
Informa琀椀e ten behoeve van het doen func琀椀oneren van de organisa琀椀e: het gaat hier om het delen van kennis om:
De organisa琀椀e in staat te stellen de doelstellingen te realiseren.
Het op elkaar afstemmen van ac琀椀viteiten van twee verschillende afdelingen.
Het doorcommuniceren van een genomen beslissing.
Horizontale informa琀椀estromen: hee昀琀 vooral betrekking op het doen func琀椀oneren van eenorganisa琀椀e (op hetzelfde niveau).
Ver琀椀cale informa琀椀estromen hebben betrekking op:
- Het nemen van beslissingen
- Geven van opdrachten aan lagere niveaus
- A昀氀eggen van verantwoording aan hogere niveaus
- Het afstemmen van ac琀椀viteiten
Controller: intermediair tussen werkvloer en management. Rietdijk en andere
onderscheiden:
- Business advocate: sterk gericht op alle niveaus en minder gericht op de 昀椀nanci攃ࠀle
administra琀椀e en de betrouwbaarheid ervan.
- Corporate policeman: ziet zijn rol meer als buitenstaander die slechts
verantwoordelijk is voor de betrouwbaarheid van 昀椀nanci攃ࠀle informa琀椀evoorziening.
- Financieel adviseur: combina琀椀e bovengenoemde. Ondersteunen van het
management op 昀椀nancieel gebied.
Hoofdstuk 2
Controle omvat: terugkijken en cons琀椀tueren.Control omvat: cons琀椀tueren, terugkijken en vooruitkijken.
3 categorie攃ࠀn van doelen van internal control?
- Verslaggeving
- Bedrijfsuitvoering
- Naleving
3 afwijkingen van doelen internal control?
- Informa琀椀e die niet in overeenstemming is met de werkelijkheid
- Wet- en regelgeving worden niet nageleefd
- De bedrijfsvoering is niet e昀昀ec琀椀ef en e昀케ci攃ࠀnt. Geld verlaat ten onrechte de organisa琀椀e.
Verschil inernal control en management-control?
- Bij management control gaat het vooral om het beheersen van het gedrag van werknemers
om de doelstellingen te bereiken. Bij internal control gaat het vooral om het beheersen vande opera琀椀onele processen.
3 oorzaken voor management-controlproblemen?
- Medewerkers weten niet wat van hen verwacht wordt.
- Medewerkers zijn niet gemo琀椀veerd.
- Medewerkers beschikken niet over de gewenste capaciteiten.
4 kwaliteitscriteria:
- Strategie
- Bedrijfsuitvoering
- Informa琀椀e en communica琀椀e
als de inkoopfactuur, bestelorder en orderontvangst gecontroleerd zijn. Wanneer dit niet hetgeval is blokkeert het systeem de betalingen.
- Doorvoerregeling voorwaarts (preven琀椀ef): je tre昀琀 van te voren maatregelen, zodat het proces goed verloopt.
- Doorvoerregeling achterwaarts: het proces is niet naar behoren verlopen. Naar aanleiding hiervan worden achteraf maatregelen getro昀昀en om het proces te verbeteren of te vernieuwen.
Control technische func琀椀escheiding worden 5 func琀椀es onderscheiden:
- Beschikken
- Bewaren
- Registeren
- Controleren
- uitvoeren
Controleprocedures die bijdragen aan een betere beheersing van de organisa琀椀e:
- Detailcontrole, totaalcontrole en deelwaarneming:
Detailcontrole: alles wordt gecontroleerd. Bijvoorbeeld alle crediteuren op de saldilijst.Deelwaarneming: slechts enkele gegevens worden gecontroleerd (steekproef).Totaalcontrole: het totaal van de saldilijst wordt gecontroleerd met behulp van de BETA-formule.
- Directe en indirecte controle: Directe controle wordt toegepast op processen, procedures en taakopdrachten (preven琀椀eve controle). Indirecte controle wordt uitgevoerd op de uitkomsten van processen, procedures en taakopdrachten (repressieve controle). Directe controle wordt ook wel ac琀椀on control genoemd en indirecte controle, results control. - Formele en materi攃ࠀle controle: Formele controle: het toetsen van de ist- posi琀椀e aan de procedures (= soll posi琀椀e)hoe zou het moeten gaan? Materi攃ࠀle controle: het toetsen van de ist- posi琀椀e aan de feitelijke toestanden en gebeurtenissen wat gebeurt nu in werkelijkheid? - Nega琀椀eve en posi琀椀eve controle: Nega琀椀eve controle is een controle op volledigheid (kan niet steekproefsgewijs geschieden). Posi琀椀eve controle is gericht op juistheid. Bevoegdheidscontrole: De bevoegdheidscontrole richt zich op het controleren of de func琀椀onarissen de juiste bevoegdheden hebben. Deze controle vindt plaats aan de hand van opgestelde procedures (procesbeschrijvingen). Een bevoegdheidscontrole is daarom al琀椀jd een formele controle. - Voortgangscontrole: De voortgangscontrole is gericht op de con琀椀nu椃ࠀteit van de bedrijfsprocessen. Hierbij wordt
gelet op de 琀椀jdigheid en juistheid van de uitvoering van bedrijfsprocessen. De processenmoeten voldoen aan de gestelde normen. Bij een voortgangscontrole wordt gebruik gemaaktvan een voorwaartse en achterwaartse koppeling:Voorwaarts sturenAchterwaarts bijsturen
En voor bedrijven met een geautoma琀椀seerd systeem:
- Geprogrammeerde controle:
De geprogrammeerde controle is een controle gericht op de gegevensverwerking in eengeautoma琀椀seerd systeem.
- Integriteitcontrole:Integriteitcontroles zijn vergelijkbaar met controles op betrouwbaarheid van informa琀椀e. Eenintegriteitcontrole controleert de integriteit van het informa琀椀esysteem en hee昀琀 betrekkingop de systeemprocedures en de bestaande gegevensverzamelingen.
3 hoofdgroepen van integriteitcontroles:
o Integriteitcontroles op de opzet van het informa琀椀esysteemo Integriteitcontroles op de beveiliging van het informa琀椀esysteem
o Integriteitcontroles op de werking van het informa琀椀esysteem
- Gebruikerscontrole:Controle op de invoer (is de gegevensinvoer juist) en uitvoer (klopt de uitgedraaide factuur met dewerkelijkheid) van gegevens.
- Strategische systemen: zijn erop gericht op het ondersteunen van beslissingen die geen vaste structuur kennen, omdat de beslissingen betrekking hebben op de lange termijn of, omdat ze zich weinig voordoen. Deze systemen worden vooral door het topmanagement gebruikt. Om die reden wordt daarom ook wel gesproken over Execu琀椀ve Informa琀椀on System (EIS) of Execu琀椀ve Support System (ESS).
Aanscha昀琀raject van een geautoma琀椀seerd informa琀椀esysteem:
Oorzaken van het mislukken van automa琀椀seringsprojecten zijn onder andere:1 onduidelijke speci昀椀ca琀椀es
2 te lange en te grote projecten
3 onoverzichtelijke bestaande systemen en erfenisproblemen
4 communica琀椀eproblemen tussen gebruikers en IT-deskundigen
5 slecht projectmanagement.
Stede noemt 4 methodes waarmee beheersingsproblemen kan worden voorkomen:
Automa琀椀sering: hierdoor wordt bepaald gedrag afgedwongen waardoor bijvoorbeeld proceduresbeter worden nageleefd.
Centralisa琀椀e: hierdoor worden beslissingen op 攃Ā攃Ān punt en soms zelfs door 攃Ā攃Ān persoon genomen,waardoor delega琀椀e van bevoegdheden wordt uitgesloten. Hierdoor zal geen noodzaak zijn om vast testellen of een bepaalde medewerker zijn werk wel goed hee昀琀 gedaan, omdat er geen delega琀椀e hee昀琀plaatsgevonden.
Het a昀戀akenen tussen wat in de cloud gebeurt en wat binnen de gebruikersorganisa琀椀e gebeurt is eenbelangrijk afstemmingsproblemen.
Hoofdstuk 5
Informa琀椀ebeveiliging hee昀琀 4 doelen:
- Beschermen van de vertrouwelijkheid van informa琀椀e, zodat alleen personen toegang krijgen
die daartoe bevoegd zijn.
- Waarborgen van de integriteit van informa琀椀e, zodat informa琀椀e juist, accuraat en volledig is.
- Waarborgen van de beschikbaarheid van informa琀椀e.
- Waarborgen van de authen琀椀citeit van informa琀椀e, zodat met een redelijke zekerheid de
herkomst van informa琀椀e kan worden vastgesteld.
10 IT-beheersingsmaatregelen:
An琀椀virusso昀琀ware: signaleert en verwijdert computervirussen. Het programma controleertvoortdurend: bestanden op de harde schijf, binnenkomende e-mails en gedownloade bestanden.
Firewalls: is een so昀琀ware eventueel aangevuld met hardware die de computer beschermt tegenindringers. In een 昀椀rewall kan worden aangegeven welke computers van buiten het netwerk toegangmogen krijgen en ook welke programma’s toegang mogen krijgen tot bronnen buiten het netwerk.
Back-upmaatregelen: van bestanden die zijn opgeslagen wordt een kopie gemaakt. Wanneer er eenstoring is, gaan alleen bestanden verloren tot de laatste back-up. Omdat individuele gebruikers vaakvergeten een back-up te maken, worden bestanden op een centrale server opgeslagen. Deautoma琀椀seringsafdeling zorgt dan voor en regelma琀椀ge back-up van de centrale server, zodatbelangrijke informa琀椀e niet verloren gaat.
Toegangscontrole: dient ervoor dat onbevoegden geen toegang kunnen krijgen tot pc’s, netwerk ofgegevens van een organisa琀椀e. De bekendste toegangcontrole is die van gebruikersnaam +wachtwoord. Ook bestaat een chipkaart die wordt gebruikt om toegang te krijgen tot individuele pc’ste beperken. Een andere vorm van toegangscontrole is met behulp van biometrische gegevens:vingerafdruk, stem of iris om toegang te krijgen.
Encryp琀椀e: een bestand wordt gecodeerd, zodat het niet leesbaar is, totdat het bestand wordtgedecodeerd. Voor het coderen gebruikt de verzender een codeersleutel. De ontvanger moet overdezelfde codeersleutel beschikken om het bestand te kunnen decoderen en te lezen. Een publiekecodeersleutel zorgt ervoor dat je maar 攃Ā攃Ān codeersleutel gebruikt om een bestand aan verschillendeontvangers te versturen, zodat niet voor iedere klant een aparte geheime codeersleutel gebruikthoe昀琀 te worden. Alleen de ontvanger maakt gebruik van een geheime codeersleutel om het bestandte kunnen openen.
Secure servers: voor een website worden wel eens aparte servers gebruikt om bijvoorbeeld af terekenen. De 昀椀nanci攃ࠀle gegevens worden vervolgens alleen op deze streng beveiligde server bewaard,waardoor een organisa琀椀e niet al haar servers even streng hoe昀琀 te beveiligen.
Virtual private networks (vpn): voorheen werd gebruik gemaakt van internet wanneer eenorganisa琀椀e haar interne netwerk wilde aansluiten op netwerken van andere par琀椀jen (klanten enleveranciers). Het risico bestaat dan dat een onbevoegde waar ook ter wereld toegang probeert tekrijgen tot het netwerk. Daarom kunnen organisa琀椀es gebruik maken van vpn’s. Dan kunnen alleenpar琀椀jen die toegang hebben, gebruik maken van het netwerk. Vpn maakt geen gebruik van apartecommunica琀椀elijnen, maar van dezelfde communica琀椀elijnen als internet. Het komt erop neer dat detoegang tot het onderlinge netwerk extra beveiligd is en om die reden is sprake van een virtualnetwerk in plaats van een fysiek netwerk.
Elektronische handtekening en elektronische cer琀椀昀椀caten: eerst was een digitale handtekening nietrechtsgeldig, omdat niet met zekerheid kon worden vastgesteld of de handtekening bij de juistepersoon hoorde. Tegenwoordig is de digitale handtekening wel rechtsgeldig, omdat met behulp vaneen digitaal cer琀椀昀椀caat de echtheid kan worden vastgesteld. Het cer琀椀昀椀caat bevat de naam van dehouder van het cer琀椀昀椀caat, de vervaldatum, een uniek nummer en de digitale handtekening. Decer琀椀昀椀caten worden uitgegeven door banken en creditcardorganisa琀椀es. Zonder cer琀椀昀椀caat is je digitalehandtekening niet geldig.
- Process mining analyseert de hele popula琀椀e en niet slechts een deel ervan.
- De data in de event logs zijn niet ingevoerd door de gecontroleerde, maar zijn ona昀栀ankelijk
van de gecontroleerde tot stand gekomen door de ac琀椀es van de klant.
- Process mining biedt de accountant een e昀昀ec琀椀ever instrument om processen in kaart te
brengen en om daar risico’s aan te koppelen en controle-informa琀椀e over te verzamelen.
- Process mining maakt analyses mogelijk die met de bestaande instrumenten niet kunnen
worden gemaakt, waaronder het in kaart brengen van het feitelijke verloop vanbedrijfsprocessen en het iden琀椀昀椀ceren van interac琀椀es tussen medewerkers.