samenvatting_biv_ic_2010-06-22

SAMENVATTING LITERATUUR

EXECUTIVE MASTER OF FINANCE AND CONTROL

13

__________________________________________________

Business Controls & Information SystemsBIV-Interne Controle (BIV-IC)

__________________________________________________

Samenvatting LiteratuurBusiness Controls & Information SystemsBIV-Interne Controle 1 april 2010 – juli 2009

Deze samenvatting is gemaakt door de studenten van EMFC 13

IFAC – Internal Control and Current Developments..........................................................................................................3The Unexpected Benefits of Sarbanes-Oxley.....................................................................................................................5In control verklaringen gebakken lucht of een te koesteren fenomeen?.............................................................................7Internal Control – Integrated Framework Chapters 1-4......................................................................................................8Internal Control – Integrated Framework Chapters 5-8....................................................................................................11COBIT: Opkomst, ondergang en opleving van een raamwerk voor informatiebeheersing..............................................13Inleiding EDP-auditing Hfd. 8..........................................................................................................................................15Inleiding EDP-auditing Hfd. 9..........................................................................................................................................16Inleiding EDP-auditing hoofdstuk 10 technische infrastructuur (paragraaf 10.1-10.6)...................................................17Inleiding EDP auditing – Hoofdstuk 11 paragraaf 1-3.....................................................................................................21Internal Control over Financial Reporting – Guidance for Smaller Public Companies...................................................23De Betekenis van IT Auditing voor de Jaarrekeningcontrole ontrafeld...........................................................................25IT Control Objectives for Sarbanes-Oxley.......................................................................................................................27The rol of IT in the design and control over financial reporting, 2nd edition september 2006........................................27ERP - Pakketten................................................................................................................................................................30Balanced scorecard in bedrijf............................................................................................................................................32Het enterprise warehouse van Centraal Boekhuis.............................................................................................................33De beheersing van de XBRL rapportageketen..................................................................................................................34De Nederlandse corporate governance code (code Tabaksblatt)......................................................................................35“Eisen en richtlijnen aan services”....................................................................................................................................37“Leiden nieuwe ontwikkelparadigma’s ook tot betere software”.....................................................................................38Bijlage 1: Controle Maatregelen.......................................................................................................................................39

De volgende personen hebben meegewerkt aan deze samenvatting:

Bas BonnierChantal MoenisElena PaalvastErwin VinkGabe KorverJohan DijkstraJohan WesselinkJonas RietbergenKristian van ZijtveldLeonie MeijerMarijn FeddesMarnix GoddingMartijn SwaanenburgMathieu LafeberRob van der SteenRonald Pikkemaat


Titel: IFAC – Internal Control and Current DevelopmentsAuteur: Samengevat door: Chantal MoenisGoedgekeurd door:Datum: 14-6-2010

Internal control pre 2002: COSO (VS) Zie eerdere samenvattingen mbt COSO COCO (Canada) 4 groepen control criteria:

- purpose criteria: risico, doelen, kansen, kpi’s- Commitment criteria: waarden, HRM, vertrouwen- Capability criteria: Kennis, vaardigheden en benodigdheden- Monotoring & learning criteria

Turnbull Guidance (UK) ziet Internal Control als een systeem welke bestaat uit procedures, processen, taken en gedrag die:- Efficiente, effectieve operaties bevorderd- Een bijdrage levert aan de kwaliteit van interne en externe verslaggeving te borgen- Een bijdrage levert aan het voldoen aan weten regelgeving. -

Alle drie betreft het een brede benadering van internal control, principle based en IC vormt een integraal onderdeel van de bedrijfsactiviteiten.

COBIT Referentie raamwerk voor internal control en IT security. Het betreffen algemeen geaccepteerde IT-control doelstellingen.

SOX Wetgeving met betrekking tot internal control over financiële verslaggeving.

Recente Ontwikkelingen: Turnbull review (2004-2005)

- Algemene conclusie dat Turnbull een positieve bijdrage heeft geleverd aan een verbeterd begrip en een beter management van risico’s en internal control.

- SOX wordt niet wenselijk geacht, de kosten zijn hoger dan de baten.- Er is geen behoefte aan een grotere rol voor de externe auditor.- Nieuw opgenomen in Turnbull: het management moet bevestigen dat de nodige acties zijn

genomen om de zwaktes in het internal control systeem te verbeteren.

Introductie van COSO ERM Enterprise Risk Management Een proces, geëffectueerd door de raad van bestuur, het management en ander personeel, toegepast bij strategieformulering en binnen de organisatie, bedoelt om mogelijke gebeurtenissen te identificeren die de onderneming kunnen beïnvloeden, om te zorgen dat het risico binnen de risk-apetite blijft, en om redelijke zekerheid te geven over het halen van de doelstelling van de onderneming.

Nieuwe versie van COBIT

In Europa geen voorstander van SOX. Liever alternatieven dan harde wetgeving.

In Nederland: Code Tabaksblat “compy or explain’ waarom je je niet aan de best practices met betrekking tot corporate governance houdt.

Nieuwe IFAC publicatie: Enterprise Governance (waarom corporate governance in veel organisaties gefaald heeft en hoe het beter kan) Een set van verantwoordelijkheden en gebruiken, uitgeoefend door de raad van bestuur, met als doel om strategische richting te geven, borgen dat doelstellingen worden behaald, het managen van risico en het verantwoord gebruiken van resources.2 dimensies:- Conformance focus op aansprakelijkheid en zekerheid- Performance focus op strategie en waarde creatieHet is belangrijk om hier een balans tussen te zoeken. Conformance moet niet overbelangrijk gemaakt worden.

Convergentie in denken over Internal Control


Voorkeur voor principle based, risk focused boven prescriptive en legislative. Het is belangrijk dat Internal Control in de organisatie is ingebed. De tone at the top is belangrijk voor een succesvolle implementatie van Internal Control SOX focust te veel op Internal Control op financiële verslaggeving, liever een bredere IC benadering.


Titel: The Unexpected Benefits of Sarbanes-OxleyAuteur: Stephen Wagner en Lee DittmarSamengevat door: Jonas RietbergenGoedgekeurd door: Johan DijkstraDatum: 22-6-2010

Algemeen

Het artikel geeft weer welke voordelen SOX heeft en geeft hierbij tal van voorbeelden. Deze voorbeelden zijn niet opgenomen in deze samenvatting en zijn waarschijnlijk ook geen tentamenonderdeel.

Het artikel geeft ook een korte samenvatting van SOX zelf en dit is wel opgenomen in deze samenvatting. Eerst wordt SOX besproken, daarna de voordelen hiervan.

SOX samenvattend

Belangrijke secties van de Sarbanes-Oxley Act van 2002 zijn:

Sectie 302 (Titel III – Corporate responsibility). Hierin staat beschreven dat de CEO en CFO tekenen voor het resultaat en dat financial controls geïmplementeerd en geëvalueerd zijn

Sectie 906: Hierin staat dat CEO en CFO tekenen dat het jaarverslag in overeenstemming is met de eisen gesteld door de SEC. Non-compliancy met dit artikel heeft gevangenisstraf of geldboete als resultaat

Sectie 404 is hieronder beschreven:

In SOX sectie 404 wordt ‘internal control structue and procedures’uitgelicht. Internal control betekent dat business processen consistent, veilig, met de juiste autorisatie en conform de instructie worden uitgevoerd. Omdat SOX voornamelijk in het leven is geroepen vanuit verslaglegging zijn de meeste controls binnen SOX geënt op integriteit, actualiteit en accuraatheid van financiële data.

Controls vallen volgens SOX in grofweg twee categoriën:

Preventive controls: het voorkomen van vergissingen, met of zonder intentie

Detective controls: identificeren van fouten en onregelmatigheden

Een essentieel onderdeel van SOX compliance programma is het testen van controles. In eerste instantie testten organisaties een breed scala aan controls, ook in het geval van geen materiële impact op de financiële statements. Veel organisaties hebben door rationalisatie van testen kosten kunnen besparen op SOX.

Voordelen van SOX

In het artikel worden 8 voordelen genoemd van de implementatie van SOX:

Versterken van de Control Environment: organisaties met een sterke governance zorgen voor structuur en discipline, ethische waarden en vertoont gedrag wat de gewenst is. Een goede uitvoering hiervan heeft tevens als effect dat de auditor sneller overtuigd is van een juiste uitvoering

Verbeteren van de documentatie: organisaties hebben vanwege SOX werkinstructies e.d. sterk verfrist. Hierdoor is er betere naleving van richtlijnen en procedures en worden medewerkers ook sneller getraind

Verbeterde Interne Audit commissie: de interne audit commissie heeft dankzij SOX een belangrijkere rol gekregen en is een betere sparring partner geworden van de board

Profiteren van samenkomende mogelijkheden: hiermee doelt de auteur op bijvoorbeeld andere weten regelgeving die door SOX tegelijk geïmplementeerd kon worden


Standaardiseren van processen: door SOX is men is staat om bepaalde inconsistenties te ontdekken en deze op te lossen

Verminderen van de complexiteit

Versterken van zwakke schakels: dit heeft voornamelijk betrekking op de ‘extended enterprise’. SOX is in staat geweest om eventuele risico’s met deze extended enterprise (Joint Ventures e.d.) te identificeren

Minimaliseren van menselijke fouten: auditors zien menselijk handelen als daar waar de grootste foutkans ontstaat. Automatische controles (die juist ingericht zijn) kunnen dit risico beperken

Of organisaties nu de noodzaak zagen voor interne verandering voor SOX of recent plannen hebben gemaakt, te weinig hebben echte business improvements gerealiseerd. Hiervoor worden als redenen genoemd: audit committtees willen niet verder gaan dan strikt noodzakelijk, CEO’s activeren te weinig resources, CFO’s zijn niet creatief genoeg geweest om kansen te zien en hebben ook te weinig samengewerkt met interne audit committees. Volgens het artikel is het tijd dat juiste deze partijen SOX zien als een bondgenoot.


Samenvatting: In control verklaringen gebakken lucht of een te koesteren fenomeen?Auteur: Leen PaapeSamenvatter: Marnix Godding

Paape stelt dat in control verklaringen niet of nauwelijks mogelijk zijn, vanwege de complexiteit van het management control systeem. Als definitie voor in control geeft hij de volgende:Een organisatie is in control als zij beschikt over een Management Control Systeem (MCS) dat haar in staat stelt binnen een een vooraf gedefinieerde periode in x% van de gevallen/tijd binnen een vooraf gedefinieerde risicotolerantie te blijven. Indien buiten die risicotolerantiegrens wordt getreden, stelt het MCS de organisatie in staat dat tijdig te constateren en te herstellen.Dit houdt feitelijk in dat de onderneming probeert het bedrijfsresultaat binnen een vooraf gedefinieerde bandbreedte te houden en eventuele overschrijdingen van die bandbreedte tijdig zal constateren herstellen.Volgens Paape dient voor een in control verklaring afgestapt te worden van een verklaring op een point in time, en moet overgestapt worden naar een periodeperspectief, m.n. om aansluiting te vinden bij de verslagperiode.Het management control systeem is (vaak) te complex om een in control verklaring af te kunnen geven. Het bestaat immers uit vele onderdelen:

1. Missie/Visie/Strategie2. Wijze waarop doelen tot stand komen3. Structuur van de organisatie4. Wijze waarop KPI’s worden bepaald5. Hoe de performance wordt gemeten6. Leiderschapsstijl7. Wijze waarop met beloningen wordt omgegaan8. Cultuur of tone at the top van de organisatie9. Hoe het gedrag van mensen wordt beïnvloed en mensen worden gemotiveerd10. Wijze waarop feedback is georganiseerd11. Gebruik van informatie- en communicatiesystemen12. Hoe monitoring plaatsvindt13. Wat de onderneming doet om de veranderingen in de omgeving te onderkennen en daarop in te spelen (lerend

vermogen)14. Hoe de samenhang tussen de hiervoor genoemde elementen geborgd wordt.

Aan de hand van de systeemhiërarchie van Boulding laat Paape zien dat de menselijke vermogens zicht op niveau 3 bevinden (thermostaat) en daarmee in staat zijn te voorspellen wat er gebeurt als er een bepaalde actie wordt uitgevoerd. Een verklaring in control afgeven op het niveau van sociaal systeem (niveau 8) lijkt daarmee irreëel.

Bij in control zijn spelen prestatiebeloningen ter beïnvloeding van menselijk gedrag een belangrijke rol. Echter, zij kunnen disfunctioneel gedrag veroorzaken (bijv. door het manipuleren van verantwoordingen en het nemen van excessieve risico’s).

Het rapporteren over in control zijn heeft positieve invloed gehad op de transparantie over risico’s en beheersingssystemen. Dit heeft ertoe geleid dat een aantal ondernemingen die niet beursgenoteerd zijn in de VS toch een SOX light versie hebben ingevoerd. Echter, de regels voor risico en beheersingsystemen dienen principle-based en niet rules-based te zijn, waarbij het proces belangrijker is dan de in control verklaring zelf.

Door meer transparantie tussen prestatie indicatoren en variabele beloning en door reductie van de totale variabele beloningen kan disfunctioneel gedrag verder worden gereduceerd en het in control zijn worden vergroot.

Het proces van de totstandkoming van de in control verklaring dient transparant te zijn zodat de diverse stakeholders kunnen bepalen of zij aan de onderneming gelieerd willen blijven.


Titel: Internal Control – Integrated Framework Chapters 1-4Auteur: COSOSamengevat door: Marijn FeddesGoedgekeurd door:Datum: 14-6-2010 Chapter 1 – Definitie

Het COSO-model is ontwikkeld om managers te helpen de (bedrijfs-)activiteiten beter te beheersen. De gehanteerde definitie voor interne beheersing (IC) in het COSO-model is:

Internal control is a process, effected by an entity’s board of directors, management and other personnel, designed to provide, reasonable assurance regarding the achievement of objectives in the following categories:

Effectiveness and efficiency of operations Reliability of financial reporting Compliance with applicable laws and regulations

Centraal in deze definitie zijn de elementen:1. IC is een proces2. IC wordt beïnvloed door mensen3. IC voorziet in een redelijke mate van zekerheid4. IC is toegesneden op het bereiken van doelen

Ad1: “IC is een proces” betekent dat IC niet een eenmalige actie betreft maar continu plaats vindt in samenhang met de bedrijfsactiviteiten. Het IC proces dient verweven te zijn met de bedrijfsprocessen. Ingebouwde controle zorgt voor kostenbeheersing en snelle reactietijd van IC.

Ad2: Doelen en controle mechanismen worden uitgevoerd door mensen. Tegelijkertijd worden mensen beïnvloed door het IC systeem. Het zorgt voor een verbinding tussen verantwoordelijkheden, uitvoering en organisatiedoelen.

Ad3: IC kan slechts een redelijke mate van zekerheid bieden. Er zijn diverse factoren die onzekerheid met zich meebrengen en niet uitgesloten kunnen worden door IC zoals: gebrekkige besluitvorming, menselijke fouten, fraude en samenspanning

Ad4: In het COSO-model wordt IC beschreven in relatie tot drie categorieën van doelen: Operaties, financiële verslaggeving en “compliance”.

Van IC kan men verwachten dat het redelijke zekerheid geeft over het bereiken van de doelen: financiële verslaggeving en “compliance”. Het bereiken van doelen met betrekking tot operaties kunnen minder goed worden verzekerd. Immers deze hangen ook af van factoren buiten de invloed van de organisatie.

Het COSO-model bestaat uit vijf componenten:1. Control Environment2. Risk Assessment3. Control Activities4. Information and Communication5. Monitoring

Deze componenten vormen een geheel en beïnvloeden elkaar in meerdere richtingen. Elk component is van toepassingen op alle drie de doel categorieën. En alle componenten en doelen zijn te vertalen naar de verschillende lagen in de organisatie.

De effectiviteit van IC kan worden beoordeeld op basis de redelijke mate van zekerheid die ze de directie geeft met betrekking tot het behalen van de organisatiedoelstelling:

1. zij onderkennen de mate waarin de operationele doelstellingen worden behaald2. de financiele verslagen zijn betrouwbaar3. de wet en regelgeving wordt nageleefd

Hoewel IC een proces is, is de effectiviteit van IC een moment opname.

Chapter 2 – Control Environment


De controle omgeving is de context waarin IC zich afspeelt. Deze omgeving bestaat onder andere uit de volgende elementen:

Integrity and ethical valuesDe effectiviteit van IC is zo goed als de waarden en normen van het management dat ze toepast. Deze worden bepaald door de organisatiecultuur en de “tone at the top”. Uit divers onderzoek blijkt dat er drie factoren zijn die fraudeleus gedrag versterken:

1. “Incentives” zoals onrealistische resultaatdoelen en hoge resultaatafhankelijke bonussen2. “Temptations” zoals afwezigheid van controle en gebrek aan consequenties van fraude3. “Ignorance” veroorzaakt door gebrek aan morele sturing

Commitment to competenceVoor elke functie dient een duidelijk profiel met benodigde vaardigheden beschikbaar te zijn.

Board of Directors or Audit committee De directie* dient zorg te dragen voor een actieve, onafhankelijke en geïnformeerde houding ten aanzien van de interne controle. Bij voorkeur is er een duidelijke onafhankelijke fractie binnen de directie.

Management philosophy and operating styleDit bepaalt in grote mate de wijze waarop de organisatie wordt geleid. De IC dient hierop aan te sluiten (niet aan te passen)

Organizational structureDe organisatie structuur zorgt voor het raamwerk waarbinnen alle activiteiten worden gepland, ontplooid, gecontrolleerd en gemonitord. Deze structuur dient te zijn afgestemd op de grote van de organisatie, het soort activiteiten en de specifieke doelstellingen.

Assignment of authority and responsibilityHet toewijzen van rechten en verantwoordelijkheden aan ieder in de organisatie bepaalt de mate waarin men beslissingsvrijheid heeft. Dit vergt een balans tussen risico en slagkracht.

Human Resource Policies and PracticesHR beleid geeft een signaal af richting medewerkers over de verwachte integriteit, normen en waarden en competenties. Dit heeft onder andere betrekking op aanname, ontslag, training, beoordeling promotie en beloning.

Tot slot is het van belang te beseffen dat binnen een organisatie verschillende control environments kunnen bestaan tussen divisies, landen etc. De IC moet dus steeds worden afgestemd op de betreffende context.

Chapter 3 – Risk Assessments

Er bestaat geen manier om risico volledig uit te sluiten, het management moet besluiten welke risico niveau’s acceptabel zijn.

Risk Assessment begint met de doelstellingen. Het bepalen van de doelen voor de gehele organisatie en de specifieke activiteiten leidt tot de vaststelling van een set kritische success factoren (KSF). De doelen kan men in de eerder genoemde drie categorieën verdelen.

Vervolgens dient voor ieder doel te worden vastgesteld welke risico’s het behalen van deze doelen bedreigen. Het proces van risico inventarisatie is een continu iteratief proces en een essentieel onderdeel van een IC systeem. Dit proces wordt vaak gecombineerd met het planningsproces.

Na de identificatie van de risico’s op zowel organisatie als activiteiten niveau dient er een risico analyse te worden gemaakt. Deze bestaat uit de volgende elementen:

estimate of the significance of a risk assessing the likelihood of the risk occurring Considering how the risk should be managed


Het is van belang een onderscheid te maken tussen risk assessment, dat een onderdeel is van IC, en het daar uit voortkomende plan, dat een onderdeel is van de bedrijfsvoering. Veranderingen in de organisatie of zijn omgeving hebben tot gevolg dat ook de risico’s veranderen. Het is dus noodzakelijk bij veranderingen opnieuw de risico’s te identificeren. Belangrijke veranderingen die een impact hebben op IC zijn:

Changing operating environment New personnel New or revamped information systems Rapid Growth New Technology New Lines, Products Activities Corporate Restructurings Foreign Operations

Er moeten mechanismen aanwezig zijn die belangrijke veranderingen signaleren en een risico analyse in gang zetten. Deze mechanismen kijken idealiter vooruit naar veranderingen die gaan komen.

Chapter 4 – Control Activities

Control Activities zijn regels en procedures die er voor zorgen dat het gedrag dat het management heeft geïdentificeerd als noodzakelijk om de doelstelling te halen ook daadwerkelijk plaats vindt. Ze bestaan normaal gesproken uit twee delen: een regel die beschrijft wat er wordt verwacht en een procedure die de naleving hiervan garandeert.

Control Activities moeten er op gericht zijn risico’s te verkleinen. Daarnaast moeten ze bijdragen aan het behalen van de organisatiedoelen. De complexiteit van een organisatie en de aard en omvang van de activiteiten, bepaalt in grote mate welke control activities het best kunnen worden toegepast.

Met betrekking tot informatie systemen zijn er twee specifieke control activities: general controls en application controls. General controls zijn er op gericht dat informatie systemen naar behoren werken. Application controls dragen zorg voor het doorlopen van de juiste procedures bij het gebruik van applicaties/informatie systemen.


Titel: Internal Control – Integrated Framework Chapters 5-8Auteur: COSOSamengevat door: Leonie MeijerApproved door: Marijn FeddesDatum: 20-12-2009

Chapter 5 – Information and Communication

Information and communication gaat over het identificeren, verzamelen en verwerken van relevante informatie ten behoeve van de besturing van de organisatie. Communicatie is vooral gericht op de wijze waarop binnen de organisatie wordt gecommuniceerd en hoe met de buitenwereld wordt gecommuniceerd.

Informatie kent vele vormen en soorten:Financiële informatieOperationele informatieExterne informatie (markt informatie, branch informatie)Formele en informele informatieStrategische informatieDeze informatie kan op verschillende manieren verzameld, verwerkt en tot stand komen waarbij gebruik wordt gemaakt van een (handmatige of een geautomatiseerd) informatie systeem (bijvoorbeeld een ERP systeem).

De kwaliteit van informatie:De inhoud dient op de juiste plaats beschikbaar te zijnDe informatie is op tijdDe informatie is actueelDe informatie is correctDe informatie is toegankelijk

De doelen van communicatie:Interne communicatieDe doelen en de verantwoordelijkheden van de werknemers dient duidelijk gecommuniceerd te zijn (down stream communicatie).De communicatie middelen/ methoden dienen voor alle lagen van de organisatie duidelijk te zijn (up stream communicatie).Adequate communicatie tussen afdelingen (Horizontale communicatie).

Externe communicatieCommunicatie met de markt (consumenten behoeften).Communicatie met toezichthouders/ andere belanghebbenden zoals milieu activisten.De juiste acties op tijd uitvoeren op basis van deze vergaarde informatie.

Chapter 6 – Monitoring

Het gehele bouwwerk van COSO dient gemonitored te worden en daartoe staan evaluatie onderzoeken door bijvoorbeeld controllers en audits ter beschikking. Monitoring is te onderscheiden naar ongoing en separate evaluaties.

Ongoing monitoring die gebruikt wordt voor de beoordeling van de internal control zijn er in vele vormen. De monitoring activiteiten die continue plaats vinden zijn bijvoorbeeld; management activiteiten, supervisory activiteiten, vergelijkingen en financiële en niet financiële aansluitingen.

Separate evaluatie is een vorm van monitoring waarbij het totale proces inclusief de ongoing monitoring vanuit een niet bedrijfsblinde oogpunt wordt bekeken. Dat kan plaatst vinden door externe partijen zoals interne/ externe audits, toezichthouders etc.


Reporting DeficienciesGebrekkigheden in een control systeem kunnen verschillende oorzaken hebben. De bronnen van informatie kunnen niet volledig zijn. De rapportage kan zal onvolledig zijn.Er kan aan de verkeerde persoon/ afdeling gerapporteerd worden.Deze richtlijnen betreffende de rapportages dienen ook evalueert te worden om te voorkomen dat de ongoing monitoring doelmatig te kunnen blijven uitvoeren.

Chapter 7 – Limitations of Internal Control

Internal control kan geen redelijke mate van zekerheid geven dat de doelen van de organisatie behaald zullen worden. Internal control kan geen absolute zekerheid geven betreffende de drie categorieën van het COSO model.

De volgende fouten/ missers kunnen niet voorkomen worden: Judgement (personeel kan een situatie verkeerd in schatten)Breakdowns (personeel kan de instructies verkeerd begrepen hebben)Management override Collusion Costs versus Benefits

Chapter 8 – Roles and Responsibilities

De internal control wordt beïnvloed door partijen die zowel intern als extern bij de organisatie betrokken zijn. De verantwoordelijkheden van deze partijen verschilt per rol die deze vervullen.Interne partijenManagement (alle lagen)Financial OfficersRaad van ommissarissenInternal AuditWerknemersVakbondenExterne partijenExternal AuditConsumentenLeveranciersBelastingFinancial analystBond rating agenciesMedia(deze lijst bevat slechts voorbeelden)


Titel: COBIT: Opkomst, ondergang en opleving van een raamwerk voor informatiebeheersingAuteur: Roos LindgreenSamengevat door: Johan DijkstraApproved door: Datum: 7 mei 2010

Samenvatting

IT general controls vormen een integraal onderdeel van het raamwerk voor interne beheersing. COBIT biedt een basis voor het inrichten en toetsen van IT gerelateerde beheersingsmaatregelen. Het document “IT Control Objectives for SOX” is afgeleide van COBIT en zorgt voor hernieuwde interesse in COBIT.

1 InleidingOng dient volgens sectie 404 van SOX een raamwerk voor interne beheersing in te richten. IT gerelateerde controles horen hier ook bij. Onderscheid tussen General controls (betrekking op infrastructuur en bijbehorende processen voor ontwikkeling, beheer en beveiliging) en Application controls (betrekking op specifieke toepassingen/ applicaties).Volgende vragen worden beantwoord in de paper:

1. Hoe is COBIT ontstaan?2. Wat is COBIT?3. Wat kunnen we ermee?4. Hoe wordt COBIT in de praktijk gebruikt?

2 AchtergrondISACF (stichting) heeft als doel het ontwikkelen van producten op het gebied van de beheersing en de controle van IT tot doelCOBIT (Control Objectives for Information and related Technology) voor een goede beveiliging en beheersing van IV. COBIT bestaat uit de volgende onderwerpen: een raamwerk, de beheersingsdoelstellingen (control objectives), de controlerichtlijnen, een managementsamenvatting en een leidraad voor het management. De control objectives bevat 34 doelstellingen gegroepeerd in 4 domeinen; Planning&Organisatie, Acquisitie&Implementatie, Levering&Ondersteuning en Monitoring.

3 COBITCOBIT bestaat uit 3 dimensiesDimensie 1: 7 kwaliteitskenmerken

Effectiviteit Efficiency Vertrouwelijkheid Integriteit Beschikbaarheid Naleving Betrouwbaarheid

Dimensie 2: 5 categorieën van informatiemiddelen Gegevens Applicatiesystemen Technologie Faciliteiten Mensen

Dimensie 3: 4 domeinen (waarbinnen beheersingsmaatr. kunnen worden gegroepeerd) P&O A&I L&O MOvereenkomsten met levenscycli van systemen (strategie en planning, ontwikkeling en invoering, en productie en onderhoud). 34 beheersingsdoelstellingen geformuleerd op procesniveau Uitwerking doelstellingen op activiteitenniveau maatregelen.

4 Praktische toepasbaarheidCOBIT voor managers leidraad voor minimum eisen aan inrichting IT Governance.COBIT voor Accountants& operational auditors minder geschikt voor beoordelen IT general controls.COBIT voor IT managers niet geschikt door slechte aansluiting op bestaande processen en werkwijze IT sector.COBIT voor IT auditors vaak nog complex en omvangrijk.


Verdere vereenvoudiging nog noodzakelijk.

5 Toepassingen in de praktijkCOBIT als basis voor het inrichten van het stelsel van informatiebeheersingsmaatregelen= IT governance.COBIT als basis voor self assessments en normenkaders voor IT auditors.Control Objectives IT voor inrichting van general controls tbv efficiënte audit.

6 ConclusiesHet normenkader kan vooral dienen als basis voor het inrichten van de informatiebeheersing nadat het op maat is gesneden en is aangepast aan de specifieke eisen van de organisatie.


Titel: Inleiding EDP-auditing Hfd. 8Auteur: Jan van Praat, Hans SuerinkSamengevat door: Bas BonnierGecontroleerd door:Datum: 07 juni 2010

Organisatie van de informatievoorziening

De gebruikersorganisatie is verantwoordelijk voor de kwaliteit van de geautomatiseerde gegevensverwerking. De organisatie die belast is met het beheer van de informatie- en communicatietechnologie (automatiseringsorganisatie) heeft een adviserende taak richting het lijnmanagement ten aanzien van de volgende aspecten:

1. De strategiebepaling met betrekking tot de informatie- en communicatietechnologie2. Het inrichten van bedrijfsprocessen3. Het realiseren van projecten4. De wet en regelgeving

Ad 1. De strategiebepaling voor de organisatie van de informatievoorziening (application management) moet leiden tot een uitgewerkt automatiseringsbeleid en automatiseringsplanning. De volgende processen dienen voor de beheersing van de ICT-organisatie door gebruikersorganisatie te worden ingericht:

Planning and Control Cost Management Quality Management Service Level Management

De volgende functies moeten bij de organisatie van de informatievoorziening worden vastgelegd:

Systeem eigenaar Gegevens eigenaar Functioneel applicatiebeheer Gegevens- en informatiebeheer

Ad 2. In toenemende mate zullen, door ingebouwde ‘best practises’ de bedrijfsprocessen beter aangepast kunnen worden aan het te implementeren informatiesysteem (b.v. ERP-systeem) dan via maatwerk het systeem aan te passen aan het proces.

Ad 3. Bij het realiseren van projecten staat het bepalen van de prioriteiten gericht op het tijdig voorzien in de informatiebehoeften centraal. Het doel van programma management is het bepalen van de prioriteiten in relatie tussen de verschillende ICT-projecten.

Ad. 4. Te allen tijde moet worden voldaan aan de verplichting die wettelijk en contractueel worden opgelegd of afgesproken. Een belangrijk voorbeeld in deze is de noodzaak tot het opstellen van een ‘in control verklaring’.

Indien men onderzoek doet naar de organisatie van de informatievoorziening is het wenselijk de beoordeling te scheiden in:

Beoordeling van de opzet Beoordeling van het bestaan Beoordeling van de werking


Titel: Inleiding EDP-auditing Hfd. 9Auteur: Jan van Praat, Hans SuerinkSamengevat door: Bas BonnierGecontroleerd door:Datum: 07 juni 2010

Informatiesystemen en systeemontwikkeling

Informatiesystemen zijn ‘een samenstel van productieprocessen (computerprogramma’s) die gegevens (de grondstof) via bepaalde regels (algoritmes) eventueel met van (wijziging van) gegevens die eerder zijn opgeslagen (het gegevensmagazijn ofwel de database) omzetten in informatie (het eindproduct).

Een computer programma is een logische opvolging van operaties op gegevens die worden uitgevoerd om ze om te zetten in informatie.

Het raamwerk van systeemontwikkeling ziet er als volgt uit:Stap 1: Opstellen organisatiebeleidStap 2: Opstellen informatiebeleidStap 3: Opstellen automatiseringsbeleidStap 4: Opstellen automatiseringsplan

Het informatiebeleid geeft weer welke informatie er benodigd is om de organisatorische doelen te bereiken die neergelegd zijn in het organisatiebeleid.

Het automatiseringsbeleid geeft weer welke informatie digitaal benodigd is om de doelen te bereiken die neergelegd zijn in het informatiebeleid.

Het automatiseringsplan geeft een overzicht van de ICT-projecten die in de komende periode gerealiseerd zullen worden.

Bij de beoordeling van de opzet (de structuur en de aansturing van de organisatie van de systeemontwikkeling) moet gelet worden of er sprake is van functiescheiding. Binnen de aansturing moet gelet worden op de aanwezigheid van een adequate projectmanagement structuur zoals bv Prince2.

Bij het beoordelen van het bestaan gaat het erom vast te stellen dat de inrichting overeenkomt met de inrichting zoals die gepland is en dat de processen zoals die vastgelegd zijn ook worden nageleefd.

Bij het beoordelen van de werking wordt gebruik gemaakt van de vastleggingen die zijn gedaan: Projectvoorstel Projectarchief Project Initiatie Document (PID) Faseplan Hoofdpuntenrapport Fase eindrapport Project eindrapport Afwijkingsrapport Leerpuntenrapport Projectresultaat


Titel: Inleiding EDP-auditing hoofdstuk 10 technische infrastructuur (paragraaf 10.1-10.6)Auteur: Jan van Praat, Hans SuerinkSamengevat door: Erwin VinkGecontroleerd door:Datum:

10.1 Organisatie beheer technische infrastructuurSysteembeheer is het structureren, in stand houden en onderhouden van beheerobjecten (technische infrastructuur) binnen een geautomatiseerde omgeving om een adequate informatievoorziening te kunnen waarborgen. Bij inrichting van systeembeer moet rekening worden gehouden met vier inrichtingsaspecten:

1. Inventarisatie en analyse:Inventariseren en analyseren van de behoeften aan systeembeheer. Goed beheer bestaat uit een combinatie van organisatorische, procedurele en technische beheersingsmaatregelen. Door de huidige stand van de techniek bestaan al deze functies niet meer. ICT heeft zelf steeds meer de mogelijkheden om gegevensverwerking te ondersteunen. Functies die nog nodig kunnen zijn hebben betrekking op outputverwerking, distributie en nabewerking. Om na te gaan welke functies nodig zijn in een optimale situatie spelen de volgende criteria een rol:

- aantal en omvang van de te beheersen objecten- mate van integratie van processen binnen de geautomatiseerde informatievoorziening- mate van decentralisatie van de automatisering- kwaliteit deskundigheid binnen organisatie op terrein van de te beheersen objecten- mogelijkheden die ICT biedt om beheer inhoud te geven

2. FunctiescheidingenDe volgende functies moeten gescheiden zijn wil er sprake zijn van functiescheiding:

- planning en werkvoorbereiding; verantwoordelijk voor het zo effectief mogelijk gebruikmaken van de beschikbare mensen, apparatuur en programmatuur.

- operating; verantwoordelijk voor de dagelijkse gegevensverwerking- distributie en nabewerking; in grote automatiseringsorganisaties kan er een functie onderkend worden waarbij

men belast is met de verstrekking van uitvoer aan gebruikers.- registratie; functie er erop gericht dat alle activiteiten van de verwerkingsorganisatie vastgelegd worden.- bewaring; functie heeft betrekking op het bewaren van de gegeven, programmatuur en apparatuur.

3. Inrichting systeembeheerOm systeembeheer goed in te vullen moet management met volgende zaken rekening houden:

- het zorgen voor een goede opleiding van de beheerders- opstellen functie- en taakbeschrijvingen en het toewijzen van verantwoordelijkheden aan beheerders.- Beschikbaar stellen voldoende technische hulpmiddelen voor uitvoering taak- Opzetten procedures binnen systeembeheer- Zorgen voor goede communicatiestructuur tussen de diverse beheerders

Systeembeheer bestaat uit de volgende deelgebieden (zie voor voorbeelden p180-185):- beheer van gegevens- beheer van toepassingsprogrammatuur- beheer van apparatuur- beheer van systeemprogrammatuur- beheer van netwerken

4. Besturing van het systeembeheerEen goede organisatorische inkadering van de systeembeheerfunctie is wezenlijk voor een adequaat systeembeheer. Belangrijke aandachtspunten hierbij zijn:

- in het informatie- en automatiseringsplan moet aandacht zijn voor het systeembeheer- het systeembeheer moet zo onpartijdig mogelijk zijn- in de gebruikersorganisatie is het systeembeheer een beschikkende functie op tactisch niveau- er dient een duidelijke functiescheiding te zijn tussen logisch en technisch systeembeheer- er behoren directie communicatiemogelijkheden tussen functioneel en technisch systeembeheer te zijnde organisatie moet voldoende technische hulpmiddelen beschikbaar te stellen- er moeten adequate procedures binnen systeembeheer zijn


10.2 Beoordeling van de organisatie van het beheer van de technische infrastructuurOm een oordeel te kunnen geven over de organisatie van het beheer wordt een onderscheid gemaakt in het beoordelen van de opzet, het bestaan en de werking. Norm voor deze beoordeling zijn de bij punt 4 genoemde aandachtspunten. Doelstelling van de audit is:

Het geven van een oordeel over de kwaliteit van de dienstverlening van de afdeling productie en beheer. Dit oordeel heeft betrekking op de organisatie rond het beheer van de technische infrastructuur over een bepaalde periode.

De auditor zal antwoord willen hebben op de volgende vragen:- In hoeverre is er gegeven de stand van de techniek en gegeven de omvang van de organisatie behoefte aan

afzonderlijke functies met betrekking tot systeembeheer? - Zijn de noodzakelijke functiescheiding op een goede manier uitgewerkt in de organisatorische opzet?- Zijn in de functie- en taakbeschrijvingen de taken voldoende uitgewerkt?

10.3 De processen met betrekking tot het beheer van de technische infrastructuur

Binnen ITIL wordt een groot aantal processen behandeld die betrekking hebben op het beheer. Met betrekking tot het tactische en operationele niveau gaat het om de volgende processen:

Service delivery set (tactisch niveau):- Dienstniveaubeheer: technische infrastructuur moet voldoen aan eisen en wensen afnemers van de ICT-

diensten. Om dit te borgen SLA’s (met daarin functionele beschrijving dienst, technische beschrijving, performance dienst, beschikbaarheid, vertrouwelijkheid, operationeel beheer, capaciteitsbeheer, rapportages, overlegstructuren etc.) afsluiten tussen gebruikersorganisatie en afdeling productie en beheer. Taken:

o Verifieren haalbaarheid eisen en wensen opdrachtgevero Het voorstellen, onderhandelen, overeenkomen en vastleggen niveau van dienstverlening. o Het bepalen, opstellen en vastleggen van de normen voor de ICT-dienstverlening. o Het bewaken van de normen voor de ICT-dienstverleningo Het rapporteren over de geleverde diensten

- Capaciteitsbeheero Capaciteitsplanningo Prestatiebeheero Middelenbeheero Vraagbeheersingo Werklastbeheero Applicatiedimensionering (opstellen specificaties waar infrastructuur aan moet voldoen)o Rapportering (over beschikbare capaciteit, knelpunten etc.)

- Calamiteitenbeheero Uitvoeren van een risicoanalyseo Beheersen van de risico’so Beheren van het calamiteitenplano Informatievoorziening

- Beschikbaarheidsbeheero Opstellen beschikbaarheidsplano Realiseren van de beschikbaarheidseiseno Bewaken van de beschikbaarheido Bewaken van de onderhoudsverplichtingeno Informatievoorziening

- Kostenbeheero Beheersen van de kosteno Verrekenen van de kosteno Informatievoorziening: totale kosten en doorbelaste kosten

Service support set (operationeel niveau)- configuratiebeheer

o identificatie configuratie-itemso beheer van de configuratiedatabaseo statusbewaking van de configuratie-itemso verificatie van de configuratiebeheerdatabase


o informatievoorziening; groei en wijzigingen in technische infrastruur- programmatuurbeheer en distributie

o beheer van de systeemprogrammatuurbibliotheek (bijv. kopieën om te testen)o distribueren en implementeren van de systeemprogrammatuuro informatievoorziening; afwijking planning budget, niet geaccepteerde programmatuuritems, status

licenties en onderhoudscontracten etc. - incidentenbeheer

o detectie en registratieo classificatie en toewijzingo diagnose en oplossingo afsluitingo informatievoorziening; aantal incidenten, gemiddelde storingstijd etc.

- probleembeheero probleemidentificatie en registratieo classificatieo allocatie van mensen en middeleno onderzoek en diagnoseo foutbeheero informatievoorziening; aantal problemen, bestede tijd aan onderzoek en diagnose, planning.

- wijzigingenbeheero acceptatieo classificatieo beoordeling en planningo coördinatie o informatievoorziening; uitgevoerde wijzigingen per categorie, met spoed uitgevoerde wijzigingen

10.4 Beoordeling van de processen met betrekking tot het beheer van de technische infrastructuur

We maken onderscheid tussen beoordeling van de opzet, het bestaan en de werking. Dit gebeurt op basis van normconcretisering (ITIL).

1. Beoordeling van de opzetHierbij zijn een aantal aspecten van belang :

- Overeenkomst: afspraken over het niveau van dienstverlening- Inrichting: vastgelegde afspraken zullen door afdeling productie en beheer vertaald moeten worden naar de

technische infrastructuur. - Procedures: die ervoor moeten zorgen dat op een goede wijze aan het afgesproken niveau van dienstverlening

invulling wordt gegeven. 2. Beoordeling van het bestaanHet gaat hierbij om de volgende aspecten:

- vaststellen of de inrichting van de componenten van de technische infrastructuur overeenkomt met de inrichting zoals die gedefinieerd is naar aanleiding van het SLA.

- Beoordelen of de procedures zoals die vastgelegd zijn in het SLA ook daadwerkelijk bekend zijn in de organisatie.

3. Beoordeling van de werking- aan de hand van rapporten vaststellen of:

o er over de te beoordeling periode daadwerkelijk sprake is geweest van een kwalitatief goede dienstverlening.

o de beweringen in de rapportages over de te beoordelen periode overeenkomen met de werkelijke situatie (middels vastleggingen)

10.5 Producten technische infrastructuur

Technische infrastructuur bestaat uit de volgende componenten:- besturingssystemen- netwerkbesturingssystemen- databasemanagementsystemen


- hulpprogrammatuur

Eindgebruikers stellen eisen aan technische infrastructuur:- adequate beveiliging- bij problemen snel geholpen worden- kosten conform daadwerkelijk gebruik

10.6 Besturingssystemen

Om computersystemen te kunnen laten functioneren vervult het besturingssysteem de volgende functies:- Processorbeheer- Geheugenbeheer- In- en uitvoerbeheer- Opslagbeheer- Werkverdeling

De eisen van de gebruikersorganisatie zijn de normen waaraan de systeemprogrammering moet voldoen. Deze normen worden opgenomen in :

- het informatie- en het automatiseringsbeleid- het informatie- en automatiseringsplan- SLA

Het wijzigingenbeheer van een besturingssysteem bestaat uit:- het implementeren van nieuwe releases (testen, implementeren en goedkeuren)- het wijzigen van de inrichting (parametrisering)

Beoordeling van de opzet van het besturingsysteem. Het gaat hierbij om het vaststellen van de aanwezigheid van :- het informatie- en automatiseringsbeleid- het informatie- en automatiseringsplan- een SLA- een overzicht van de noodzakelijke inrichting

Bij de beoordeling van het bestaan dient nagegaan te worden of de inrichting zoals deze is vastgesteld naar aanleiding van de beoordeling van de opzet ook daadwerkelijk in het geautomatiseerde systeem aanwezig is.

Voor de beoordeling van de werking van het besturingssysteem maakt een auditor gebruik van de loggingfaciliteiten van het besturingssysteem. Om de inhoud van de logging goed te kunnen beoordelen gebruikt hij het SLA als norm. Hij besteedt aandacht aan de procedures rond het implementeren van nieuwe wijzigingen en aan de gang van zaken rond wijzigingen in de parametrisering


Titel: Inleiding EDP auditing – Hoofdstuk 11 paragraaf 1-3Auteur: Jan van Praat, Hans SuerinkSamengevat door: Rob van der SteenGecontroleerd door:Datum:

Samenvattend dienen er maatregelen te zijn die het gemeenschappelijk gebruik van gegevens en informatie niet dwarsbomen mits de bescherming van gegevens en informatie gewaarborgd is. (Bescherming wordt hier bedoelt: vertrouwelijk, integer en beschikbaar)

Hiervoor is een systeem van toegangsbeveiliging nodig. Zo´n systeem is in 3 onderdelen te verdelen:1. Externe (toegangs-)beveiliging: de communicatie van buitenaf beveiligen2. Interne fysieke beveiliging: waarbij vooral de beschikbaarheid van de informatiesystemen gewaarborgd moet

zijn. 3. Interne logische beveiliging: hier is bedoelt om elke functionaris de bevoegdheden toe te wijzen die nodig zijn

voor vervulling van zijn of haar functie. Samengevat niet te veel en ook niet te weinig bevoegdheden zodat alle gegevens voldoende gesplitst zijn met behulp van de juiste views toegekend aan de juiste gebruikers.

Externe beveiliging

Het kunnen inloggen vanuit buitenaf in het geïntegreerd systeem door gebruik van een laptop. Om van buitenaf contact te leggen met de competentietabel waarin de bevoegdheden per medewerker zijn geregeld, moeten de volgende maatregelen worden genomen:

Het inrichten van een firewall waarbij een onafhankelijke functionaris (beheermedewerker) deze inrichting beheert. Je hebt een proxyfirewall (meest veilig) en een stateful inspection firewall (minder veilig)

Het opstellen van toegangsregels voor inrichting van de firewall. Het verstrekken van beveiligingscertificaten aan de gebruikers door de onafhankelijke functionaris op

schriftelijke aanwijzing van personeelszaken of de verantwoord business manager.

Interne beveiliging

Indien medewerkers aanloggen op het systeem is de logische beveiliging zeer belangrijk. Immers het geïntegreerd systeem met autorisaties per medewerker vervangt de in vroegere tijden gehanteerd mechanisme van functiescheiding omtrent beschikken, bewaren en registreren. Om op een verantwoorde manier de functiescheiding te vervangen zijn 4 groepen van eisen nodig met de daarbij behorende maatregelen:

IdentificatieOm vast te stellen wie welke activiteiten in het systeem heeft verricht, is het belangrijk om te weten wie de gebruiker is. Hiervoor helpt een userID die een unieke koppeling heeft met elke medewerker die activiteiten in het systeem verricht. De userID moet automatisch blokkeren na een aantal mislukte aanlog pogingen. Bij uitdiensttreding of geen gebruik van de userID voor langere periodes dient de userID verwijdert te zijn door de beheermedewerker.

Een beheermedewerker is belast met het toekennen, wijzigen of intrekken van userID´s en kan deze taak alleen uitvoeren op basis van een schriftelijke mededeling waarvoor ook procedures zijn opgesteld door de organisatie. Een personeelsadviseur samen met de afdelingshoofden verstrekken de mededeling aan de beheermedewerker.


AuthenticatieNa de identificatie is het aan de gebruiker om aan te tonen dat de gebruiker is wie hij of zij zegt wie de gebruiker is. Deze authenticatie gebeurt door middel van een wachtwoordsysteem. De technische maatregelen zijn dat wachtwoorden een minimale lengte hebben, regelmatig en frequent gewijzigd worden, wachtwoorden niet voorspelbaar zijn of leesbaar op scherm tijdens invoer en gebruikers moeten zelf het wachtwoord wijzigen. En bij de wetenschap van anderen dat het wachtwoord niet meer persoonlijk is, moet ook het wachtwoord gewijzigd worden. Zodoende om het wachtwoord persoonlijk te maken en te houden.

Naast de technische maatregelen zijn er ook procedurele en organisatorische maatregelen. Een beheermedewerker is belast met het beheren van de wachtwoorden zodat alle technische maatregelen worden ingesteld en nageleefd gebaseerd op het beveiligingsbeleid en procedures. Ook moeten de medewerkers schriftelijk bevestigen dat voor alle gegevens en het wachtwoord geheimhouding geldt door de medewerker. Dit kan door de personeelsadviseur aan het arbeidscontract worden bijgevoegd.

AutorisatieHet systeem moet de gebruiker de bevoegdheden geven die nodig zijn. Welke bevoegdheden een gebruiker nodig heeft, moet de verantwoordelijk manager of hoofd toekennen en deze schriftelijk doorgeven aan de beheermedewerker van de automatiseringsafdeling. Deze beheermedewerker kent de rechten toe aan het userID in een competentietabel van het systeem. Het opstellen van procedures die het opzetten, wijzigen en intrekken van bevoegdheden regelt met controle op de naleving door de controller.

RapporteringControle op het beveiligingssysteem kan alleen gebeuren indien:

Wijzigingen in de identificatie en authenticatiegegevens automatisch gelogd worden in een logbestand Alle activiteiten van elke gebruikers automatisch gelogd worden in een logbestand met inbegrip van type

activiteit. Het logbestand moet opgeslagen worden door het systeem en beoordeeld worden door een onafhankelijke

functionaris zoals de controller of de externe accountant indien deze aanwezig is. Het wijzigen of verwijderen van een logbestand alleen mogelijk is via procedures door een onafhankelijk

functionaris los van technisch of functioneel beheer.


Titel: Internal Control over Financial Reporting – Guidance for Smaller Public CompaniesAuteur: -Samengevat door: Johan WesselinkGoedgekeurd door:Datum: 18-6-2010

Dit artikel bouwt voort op het standaard COSO model uit 1992 om de internal control te verbeteren. Het “framework” wordt door velen erkend als een geschikt raamwerk voor internal control. Dit artikel gaat over hoe het COSO framework gebruikt kan worden in het “ MKB” .

Kenmerken kleinere ondernemingenKleinere ondernemingen onderscheiden zich van grote ondernemingen door een aantal zaken. Dit zijn o.a.;- Klein aantal business lines en minder producten binnen deze lijnen- Focus van marketing op een kanaal of regio- Management heeft onwnership- Platte organisatie- Processen zijn niet zo complex- Minder personeel met een breder takenpakket- Minder mogelijkheden om voor gespecialiseerd personeel in support staff

Veel kleinere ondernemingen hebben de focus gelegd om te voldoen aan “section 404” en minder de mogelijke opbrengsten van dit proces. Naast een betere toegang tot de kapitaal markt kan ook betrouwbare en tijdige informatie voor het management gezien worden als opbrengst.

Uitdagingen in het opzetten van kosten efficiente Internal ControlKleinere ondernemingen zien het opzetten van een efficiente Internal Control als een uitdaging, helemaal als het management het ziet ale een administratieve last. Een aantal van die uitdagingen bestaan uit; - voldoende middelen, - personeel (a. Management dominantie, b. expertise); - weinig management focus op accounting – toegang tot voldoende it resources.

Veel kleinere ondernemingen worden gedomineerd door de oprichter die heel sturend kan zijn. Dit kan heel positief op de groei van de onderneming als de oprichter weet welke onderdelen noodzakelijk zijn voor de groei van de onderneming en wat dus in de rapportages moet komen te staan. Het kan negatief uitpakken als de oprichter vaak overruled. Doordat de operatie van onderneming redelijk simpel is en de board of directors vaak al lang betrokken is kunnen ze efficient toezicht houden.

Door de beperkte hoeveelheid werknemers is vaak lastig een goede functiescheiding te hebben. IC kan door een goede rapportage en controles hier een ondersteunende rol spelen. De beperkte toegang tot IT resources kan worden gecompenseerd door het aanschaffen van standaard pakketen. Deze pakketen bevatten bijvoorbeeld vaak standaard application controls, rapportage tools en ondersteunen de functiescheiding. De monitoring functie geeft feedback over routine activiteiten en promoot de efficiency.

Behalen van vedere efficientiesEr moet in eerste instantie worden gefocused op een goede set van financiele rapportage doelstellingen. Deze moeten betrouwbaar zijn en een redelijke mate van zekerheid bieden dat ze vrij zijn materiele fouten. De efficiente wordt behaald doordat de doelstellingen direct toe te passen zijn op de onderneming. Risk-based betekent focussen op de kwantitative en kwalitatieve factoren die de betrouwbaarheid van de financiele rapportage kunnen beinvloeden. Het is de bedoeling deze inschatting te maken aan de hand van een lijst van controls die past bij de organisatie (geen standaardlijst).

Documentatie van bedrijfsprocessen wordt ontwikkeld en onderhouden omwille van de consistentie, de communicatie, training en bewijsvoering.

De vijf internal control componenten moeten worden gezien als een geintegreerd proces. Zoals bekend begint het met het stellen van de finanaciele rapportage doelstellingen relevant voor de onderneming. Daarna worden de hiermee verbonden risico’s bepaald, de impact en de manier waarop deze gemanged kan worden. Hierna wordt bepaald hoe de informatie wordt verkregen en hoe deze wordt gecommuniceerd. Dit proces wordt continue gemonitord. Er wordt continue gestreefd naar objectieve en betrouwbare informatie. Elk hierboven besproken component is aanwezig en moet functioneren, alleen de manier waarop en welke mate is afhankelijk van de onderneming.


Op pagina 133 en 134 staan nog 20 principles die toepasbaar zijn bij het opzetten van effectieve internal control.


Titel: De Betekenis van IT Auditing voor de Jaarrekeningcontrole ontrafeldAuteur: Stan van Bommel, Mark van Goor, Lucien Peek en Joop Winterink.Samengevat door: Ronald PikkemaatGecontroleerd door:Datum:

In dit artikel wordt beschreven hoe een effectieve vertaalslag kan worden gemaakt om de impact van de IT-controlebevindingen op de jaarrekeningcontrole te kunnen bepalen. Door een goede samenwerking met en ondersteuning van een IT auditor zou de accountant de jaarrekeningcontrole veel efficiënter kunnen uitvoeren. Bij de jaarrekeningcontrole wordt in toenemende mate gewerkt met gegevens uit geautomatiseerde informatiesystemen. Voor het financiële verantwoordingsproces is het daarom ook erg belangrijk om de werking en effectiviteit van de IT controlemaatregelen te kunnen beoordelen. Om dit vervolgens te kunnen doen is specialistische kennis van IT en IT beheersing nodig. De IT auditor voert de onderzoeken uit naar de General IT-controls en rapporteert deze aan de accountant. De accountant kan zich tegelijkertijd richten op de User controls en application controls.In de praktijk is de samenwerking tussen IT auditor en accountant verre van optimaal en ontbreekt vaak de vertaalslag van de IT-controlebevindingen naar de betekenis ervan voor de jaarrekeningcontrole. (oorzaak: wederzijds gebrek aan kennis) (onderliggende oorzaken: ontbreken eenduidige literatuur, definities en terminologie en ook snelle ontwikkelingen in de praktijk t.o.v. theorie)De accountant stelt zijn controleaanpak op en samen met de IT auditor stelt hij een overzicht op met de relaties tussen de jaarrekeningposten, de bedrijfsprocessen, de applicatie en de IT. Op basis hiervan wordt het gerichte onderzoek vastgesteld zie figuur

De analyse om General IT controls te selecteren gaat top-down, van jaarrekeningpost naar IT (zoals hierboven te zien is). De analyse van de controlebevindingen gaat juist bottom-up (van IT naar jaarrekeningpost).


Voorbeeld Post Premies

-Verzamelen deelnemersgegevens -Verwerken in subadministratie en grootboek

-Standaard applicatie Finan. Admin -Maatwerk applicatie

-Change management -Security Management

Significante posten in financiële verslagen

Bedrijfsprocessen

Financieel gerelateerde applicaties

IT Infrastructuur services-Besturingssysteem-Databases-Netwerkcomponenten

Fysieke Faciliteiten

Functiescheiding & User Controls:

Application Controls

General IT Controls

- Significatieposten jaarrekening

- Onderliggende posten en processen

- Bedrijfsprocessen

- Deelprocessen

- Applicaties

- IT infrastructuur services

- Fysieke Faciliteiten

De kritieke componenten en stappen in de vastgestelde processen zullen in het bijzonder door zowel de IT auditor als de accountant worden bekeken. Door de bevindingen te interpreteren naar de gevolgen voor de applicaties en vervolgens voor het proces, kan een afgewogen oordeel worden gegeven op het niveau van de jaarrekeningpostenVoorbeeld 1: Change mgtDoordat wijzigingen niet gestructureerd, getest en geautoriseerd zijn vastgelegd volgens het change mgt proces kan de juiste werking van applicaties niet worden gewaarborgd. Hierdoor kan de volledigheid en betrouwbaarheid van de pensioen administratie niet worden gegarandeerd. Met als gevolg dat de post (pensioen)premies onjuist kan zijn. Wellicht extra werkzaamheden door standenregisters te vergelijken (verbandcontrole van user controls)Voorbeeld 2 : Security mgtOm de integriteit van data te kunnen waarborgen is de detectieve controle van logging erg belangrijk. Logging van gebruikers, en autorisaties. Kortom ongeautoriseerde en onrechtmatige activiteiten worden door logging vastgesteld. Betekent wel dat de logging periodiek gecontroleerd moet worden (hiervoor zal een proces ingericht moeten zijn)

Belangrijke bevindingen leiden meestal tot aanvullende werkzaamheden en onderzoeken. Maar ook juist een controle mix kan de accountant helpen om als nog de betrouwbaarheid van de informatie en de uiteindelijks jaarrekeningposten te kunnen vaststellen.Kortom werking van General IT controls en het onderzoek er naar hebben een grote toegevoegde waarde voor het accountantsverslag en management letter. Echter tot op heden worden ze niet of nauwelijks benoemd. Er zijn zo nog geen voorbeelden te vinden in de praktijk waarbij men niet tot een goedkeurende accountantsverklaring is gekomen door ernstige IT controlebevindingen.Kortom IT auditing is enerzijds om een volledig risicobeeld te krijgen en anderzijds het effectief en efficiënt kunnen uitvoeren van de jaarrekeningcontrole.


Accountant

IT auditor

Titel: IT Control Objectives for Sarbanes-Oxley The rol of IT in the design and control over financial reporting, 2nd edition september 2006

Auteur:Samengevat door: Elena PaalvastGecontroleerd door:Datum:

This document gives gidelines for using different IT controls to follow Compliance and IT govenance. The alignment with COSO, COBIT, SAS and using of IT controls is explained in this article. The purpose of this article is to share lessons learned from companies and provide additional guidance on how to improve the efficiency and effectiveness of compliance using a risk-based approach.

Executive summaryStrong internal control program within IT helps to:

Gain competitive advantage through more efficient and effective operations

Enhance risk management

Enhance IT governance

Optimize operations

Enable better business decisions by providing higher-quality more timely information

Contribute to the compliance

Align project initiatives with business requirements

Prevent loss of intellectual assets and the possibility of system breach.

A summary of enhancements to the publication: Focus on scoping and risk assessment to assist companies in applying a top-down, risk-based approach and to

assist in performing an IT risk assessment for Sarbanes-Oxley.

Prioritization of relevant controls (appendix C)

Insights into cultural and people management issues

Guidance on application controls – to assist companies in identifying and addressing various types of applica-tion controls and providing a business case for using application controls.

Approach for spreadsheets

Simplification of the readiness road map to simplify the process.

Cross-reference to Cobit 4.0 processes.

Lessons learned – to share the compliance experiences of companies.

Issues in and approach for using SAS 70 examination reports

Enhanced guidance on segregation of duties for significant applications.

In 2006 COSO has issued a Guidance for Smaller Public Companies Reporting on Internal Control over Financial Re-porting. For a small company is important not to take a one-size fits-all strategy but to implement only necessary IT controls. The organization is free to use a number of IT controls. The Sarbanes-Oxley Act makes corporate executives explicitly responsible for establishing, evaluating and monitoring the effectiveness of internal control over financial reporting. Role of IT is crucial to achieve this objective. IT controls include controls over:


IT control environment includes the IT governance process, monitoring and reporting. The IT governance process includes the information systems strategic plan, the IT risk management process, compliance and reg-ulatory management, and IT policies, procedures and standards. The IT governance structure should be de-signed so that IT adds value to the business and IT risks are mitigated.

Computer operations. These include controls over the definition, acquisition, installation, configuration, in-tegration and maintenance of the IT infrastructure. Ongoing controls over operations address the day-to-day delivery of information services, system availability, customer relationship management, configuration and system management, problem and incident management, operations management scheduling, and facilities management.

Access to programs & data. Adequate access control activities, such as secure passwords, Internet fire-walls, data encryption and cryptographic keys, can be effective methods of preventing unauthorized access.

Program development and program change, the acquisition and implementation process of new applica-tions (system development & quality assurance) and the maintenance of existing applications (testing, user retraining, rewriting of the procedures).

Managing the human element of changeThere are some factors in assessing the current state:

Culture

Extent of change – the more significant is change, the less likely that success will result.

Impact on people (positive of negative)

Bench strength – the ability of the organization to adapt to change is proportionate to its skills and experience.

Lessons learned from the companies:1. Communicate: understand the pain points, determine the best medium for communication, obtain feedback.

2. Train

3. Motivate.

Applying COSO to ITFor Sarbanes-Oxley compliance efforts it is important to demonstrate how IT controls support the COSO framework. An organization should have IT control competency in all five of the components COSO identifies as essential for ef-fective internal control:

Control environment. IT is mistakenly regarded as a separate organization with separate control environ-ment. IT is complex and requires specialized skills and reliance on third parties. Ownership of IT controls can be unclear, especially for application controls.

Risk assessment involves management’s identification and analysis of relevant risks to achieving predeter-mined objectives, which form the basis for determining control activities. Risk assessment is possible at the entity level or at the activity level.

Control activities. These are policies, procedures and practices put into place so that business objectives are achieved and risk mitigation strategies are carried out. Control activities are developed to specifically address each control objective to mitigate the risks identified. COSO recognizes two groups of control activities: gen-eral controls and application controls. General controls are data center operation controls, system software controls, access security controls, application system development and maintenance controls. Application controls are embedded within software programs to prevent or detect unauthorized transactions.


Information and communication . Information has to be appropriate (right), timely, current, accurate, ac-cessible. At the entity level information and communication includes development and communication of corporate policies, reporting requirements and financial information. At the activity level the following activi-ties may be expected: development and communication of standards to achieve corporate policy, identifica-tion and timely communication of information to assist in achieving business objectives, reporting of security violations.

Monitoring covers the oversight of internal control by management through continuous and point-in-time assessment processes. There are two types of monitoring: continuous monitoring and separate evaluations. At entity level: centralized continuous monitoring of computer operations, security, IT internal audit reviews. At the activity level: defect identification and management, local monitoring of computer operations of security, supervision of local IT personnel.

There are a lot of tables and matrixes in the attachments to this document. It was for me not sufficient to make a sum-mary of them. If you want to know more about these topics I suggest you still to look into the original document.

Appendix A Sarbanes-Oxley PrimerAppendix B COSO and CobiTAppendix C IT general controlsAppendix D Application controlsAppendix E Sample application and technology layers inventoryAppendix F Project estimating toolAppendix G Inherent risk assesment and controlprioritization gridAppendix H Sample control documentation and testing templateAppendix I Sample deficiency evaluation decision treeAppendix J Sample Approach for spreadsheetsAppendix K Lessons learnedAppendix L Issues in using SAS 70 examination reportsAppendix M Segregation of duties in significant accounting applicationsAppendix N List of figures


Titel: ERP - PakkettenAuteur: Ronald A. Jonger RE RASamengevat door: Leonie MeijerGoedgekeurd door:Datum: 13 juni 2010

Het ERP systeem wordt door Jonker gedefinieerd als:

Standaardsoftwarepakketten met bedrijfsbrede procesondersteunende functionaliteiten, die in staat stellen om binnen een bedrijfsfunctie ingevoerde gegevens voor hergebruik binnen andere bedrijfsfuncties aan te wenden.

In de tabel hieronder is weergegeven in welke punten Een ERP systeem zich onderscheidt van een traditioneel divers systeemlandschap.

Traditioneel systeemlandschap ERO systeemGericht op de functies die binnen een afdeling moeten worden uitgevoerd

Procesondersteunende functionaliteiten en daarom afdelingsoverstijgend

Maatwerkapplicaties of ‘best of breed’- pakket Standaard pakketExpliciete koppeling tussen applicaties nodig, hetzij handmatig, het geautomatiseerd

Hergebruik van gegevens wordt afgedwongen binnen het systeem

Veelal ondersteund door meerdere platformen van Operating Systemen en DBMS-en

Ondersteund door één platform van Operating Systeem en DBMS

Voordelen van het ERP systeem ten opzichte van traditionele systeemlandschappen: Gegevens die binnen een bedrijfsproces in het ERP-systeem worden vastgelegd kunnen ook binnen andere

bedrijfsprocessen worden gebruikt. Binnen het ERP systeem zijn geen geautomatiseerde koppelingen meer nodig. Het functionele beheer kan efficiënter worden opgezet. Bij een systeemlandschap van specifieke applicaties komt het veel voor dat deze applicaties ieder voor zich

specifieke eisen stellen aan de technische architectuur. Er is slechts één leverancier waarmee de beheerorganisatie in contact staat. Het gebruik van ERP-systemen brengt nieuwe functionaliteiten in toekomstige nieuwe releases van het

systeem onder handbereik.

Nadelen van het ERP systeem ten opzichte van traditionele systeemlandschappen: De afhankelijk van de leverancier is groter ten opzichte van maatwerkapplicaties ERP systemen zijn qua functionaliteit minder flexibel dan maatwerksystemen. Erp-implementatietrajecten hebben een hoge faalkans.

Nieuwe ontwikkelingen van ERP systemen.Ketenintegratie, het ERP systeem van een organisatie ook beschikbaar gesteld aan toeleverancier, afnemers en distributeurs, zodat de goederenstroom verder kan worden geoptimaliseerd buiten de grenzen van de eigen organisatie.Web-based functionaliteitenVerhuur van ERP systemen door de dienstverleners.


Consequenties van de ontwikkeling en de implementatie van ERP systemen voor de beheersing van de gegevensverwerking.Configureerbaarheid van het ERP systeem

Het ERP pakket aanpassen aan het bedrijfsproces of het bedrijfsproces aanpassen aan het ERP pakket?

Geïntegreerdheid van het ERP systeemDeze geïntegreerdheid impliceert dat meerdere bedrijfsfuncties gebruikers zijn van dezelfde data. Vanuit elke bedrijfsfunctie worden verschillende eisen aan deze data gesteld. Het ERP systeem ondersteunt deze eisen door middel van een complexe datastructuur die hoge eisen stelt aan betrouwbaarheid, actualiteit en consistentie.

Onvoldoende kennis bij implementatie consultantsMeestal is de aandacht voor de interne controle bij de consultants beperkt. Hun aandacht blijft beperkt tot het werkend krijgen van het pakket.

Online real-time verwerkingEen online real-time informatiesysteem, zoals een ERP applicatie, betekent voor de meeste bedrijven een grote verandering ten opzichte van hun huidige informatiesystemen. Waar bij batch gewijze verwerking de invoer achteraf nog kan worden gecorrigeerd voord at verdere verwerking plaatsvindt, is dit bij real-time verwerking nauwelijks mogelijk.

Discipline en kennis van eindgebruikers bij operationeel gebruikProcedures en werkinstructies en training daarin moeten de eindgebruiker daarbij ondersteunen.

Integratie ERP systeem en technische infrastructuurDe beheersing van de gegevensverwerking in een door een ERP systeem ondersteund proces is mede afhankelijk van de kwaliteit van het beheer en de inrichting van het onderliggende besturingssysteem en databasemanagementsysteem.

Conceptueel model van beheersobjecten in een ERP-omgeving

De projectfasen bij het ontwerpen en implementeren van business controls: Initiatie Blauwdruk Inrichting Testen en pre-implementatie Operationeel gebruik

Voor een uitgebreide beschrijving van de projectactiviteiten en de business control activiteiten zie pagina 192 in de reader.


Business Controls

IT BeheerSysteem administratieChange managementProblem managementBeschikbaarheidOperations

BedrijfsprocessenEindgebruikerscontroles

Configuratiecontrols

BeveiligingApplicatie beveiligingInfrastructuur beveiligingMonitoren en detectie

Data integriteitData conversie

Interfaces

Titel: Balanced scorecard in bedrijfAuteur: T. de GrootSamengevat door: Martijn SwaanenburgApproved door:Datum: 05-05-2010

Problemen bij de invoering en het gebruik van de BSC:1. Voor verschillende onderdelen in de organisatie zullen aangepaste BSC moeten worden gemaakt2. Relaties tussen niet-financiële en financiële indicatoren kunnen buitengewoon complex zijn3. Managers hebben in het algemeen moeite om bij hun plannings- en beheersingsbeslissingen goed rekening te

houden met de verschillende dimensies van de BSC

De BSC is bedoeld om op een gestructureerde wijze de strategie van de onderneming te vertalen in concrete doelen (goals) en de mate waarin deze doelen worden bereikt periodiek te meten (measures). De BSC is een afbeelding van de causale relaties in een bedrijf. In het ontwerp van een BSC moeten de causale relaties worden geëxpliciteerd, zodat ze gemeten en beheerst kunnen worden

De balans in de BSC wordt simultaan op 5 gebieden gezocht:1. De 4 aandachtsgebieden van de BSC2. Interne en externe prestatiemaatstaven3. Financiële en niet-financiële maatstaven4. Leading en lagging indicatoren5. Korte en lange termijn perspectief

Bij het invoeren van de BSC in een organisatie moeten de gebruikers beslissen over:1. Wanneer gebruikt men systemen als de BSC

Een onderneming in een onzekere situatie gebruikt meer informatie. Deze informatie is meer prospectief, levert meer informatie over de omgeving en is meer subjectief van aard. Naarmate beslissingen een kortere tijdshorizon hebben neemt het gewicht van financiële informatie in de beslissing af

2. De relatie tussen niet-financiële en financiële prestatiesNiet-financiële indicatoren worden vooral gebruikt indien met ervan overtuigd is dat zij goede voorspellers zijn van financiële prestaties. Een indicator kan te maken hebben met een vertragingseffect. Bovendien kunnen er ook causale relaties binnen 1 BSC dimensie bestaan

3. Het gebruik van de BSCToepassing van de BSC kan worden onderzocht op individueel niveau en op organisatieniveauVoor de individuele beslisser presenteert de BSC 2 soorten informatie: gemeenschappelijke informatie (komt in gelijkaardige vorm voor in prestatieoverzichten van meerdere eenheden) en unieke informatie (komt in een enkele eenheid voor en kan alleen in de context van die eenheid worden geïnterpreteerd). Managers kennen aan gemeenschappelijke informatie een groter gewicht toe


Titel: Het enterprise warehouse van Centraal BoekhuisAuteur: E. van BockelSamengevat door: Martijn SwaanenburgApproved door:Datum: 05-05-2010

Een goede informatiearchitectuur is het fundament voor elk informatiesysteem, zo ook voor een datawarehouse

Datawarehouse: een gegevensverzameling voor informatieverstrekking over onderwerpen van de business en is faciliterend naar de gehele organisatie. De centrale organisatie is de eigenaar.Datamart: een gegevensverzameling over een bepaald onderwerp specifiek voor een afdeling voor beslissingsondersteuning van die afdeling. De afdeling is de eigenaar.A datawarehouse is the union of all datamarts.

Om datawarehouse en datamart onafhankelijk van elkaar te kunnen laten opereren wordt gebruik gemaakt van een operational datastore (ods). Dit is een tijdelijke ruimte waarin de operationele systemen gegevens klaar zetten waarmee vervolgens het datawarehouse aan de slag kan.

Records die niet kloppen leiden in een operationeel systeem niet direct tot problemen. In een datawarehouse kan dit soort “vuile” data grote gevolgen hebben.Datacleaning is het proces waarbij data worden opgeschoond. Het is hierbij belangrijker om classificaties (bv klanttype) op orde te hebben dan detailgegevens. De focus ligt op classificaties met de hoogste informatiewaarde.

Datawarehousing is een continu dynamisch proces binnen de organisatie. Het stopt niet zodra het eerste project is opgeleverd. Inzichten van een organisatie zijn aan verandering onderhevig.Hoe beter het datawarehouse is ingericht, des te makkelijker datamarts eruit kunnen worden ontsloten.


Titel: De beheersing van de XBRL rapportageketenAuteur: M. van HilvoordeSamengevat door: Martijn SwaanenburgApproved door:Datum: 05-05-2010

XBRL is een standaard voor de uitwisseling van gegevens tussen computersystemen die wordt gebruikt om digitaal te rapporteren.XBRL: eXtensible Business Reporting LanguageDe XBRL standaard zorgt voor een exact gedefinieerde, voorspelbare structuur (syntax) voor het beschrijven of representeren van zakelijke feiten, op een manier die computersystemen kunnen verwerken en gebruiken. Met op XBRL aangepaste software is het voor verzenders en ontvangers van bedrijfsgegevens mogelijk om gegevens uit te wisselen, zonder de noodzaak overeenstemming te bereiken over een vaste datastructuur.De communicatie van bedrijfsgegevens vindt plaats via een XBRL instance, een elektronisch bestand dat voldoet aan de eisen zoals beschreven in de XBRL specificatie.

Typen gegevens gecommuniceerd met XBRL:1. Geaggregeerde financiële en bedrijfsgegevens, bv jaarrekening2. Financiële transactiegegevens, bv journaalposten3. Operationele gegevens, bv facturen

Benaderingen bij het communiceren van gegevens1. Van systeem naar systeem: gegevenscommunicatie tussen en binnen organisaties2. Van systeem naar gebruiker of persoon: iedere gebruiker krijgt zijn eigen rapportage

Praktijkvoorbeelden van toepassingen van XBRL1. Nederlandse ondernemingen kunnen een gedeelte van hun aangifte aan de Belastingdienst doen in XBRL2. SEC test XBRL voor aangiften3. Het bedrijf Wacoal heeft XBRL gebruikt om de gegevensuitwisseling tussen bedrijfsonderdelen te

standaardiseren. Hiermee was de introductie van 1 ERP systeem voor alle bedrijfsonderdelen niet nodig

XBRL rapportageproces1. Kiezen van de juiste (standaard) taxonomie2. Maken van een eigen (extensie) taxonomie3. Verzamelen en identificeren van de brongegevens4. Koppelen van gegevens aan de taxonomie elementen5. Creëren van de instance6. Valideren en controleren van de instance7. Verzenden van de instanceIn het XBRL rapportageproces spelen Internal Control maatregelen als juistheid, volledigheid en tijdigheid een rol


Titel: De Nederlandse corporate governance code (code Tabaksblatt)Auteur: Commissie Corporate goverananceSamengevat door: Mathieu LafeberGoedgekeurd door:Datum: 19-6-2010

De Nederlandse Corporate Governance code is gepubliceerd in 2003 en is de vervanging van het rapport van de commissie Peters. De code is van toepassing op alle beursgenoteerde vennootschappen. Het doel van de code is om een richtlijn te geven, en daarbij een normering te voegen, voor wat ‘deugdelijk ondernemingsbestuur’ inhoudt.

De code beslaat 5 belangrijke onderwerpen die betrekking hebben op corporate goverance. Elk hoofdstuk beschrijft een aantal principes en concrete bepaling die gehanteerd zouden moeten worden. Deze principes en bepalingen zijn verder concreet uitgewerkt in een aantal ‘best practices’.

Deze samenvatting zal voor elk van de 5 hoofdstukken de kern van de principes uitwerken en een aantal voorbeelden geven van best practices die bij dit principe horen.

I Naleving en handhaving van de code

Principe: Het bestuur en de raad van commissarissen zijn verantwoordelijk voor de naleving van de code en rapporteren hierover aan de aandeelhouders.

Best practice vb: In het jaarverslag wordt gerapporteerd in hoeverre men aan de richtlijnen uit de code voldoet.

II Het bestuur

Principe: Het bestuur is verantwoordelijk voor het realiseren van de doelstellingen van de onderneming en rapporteert hierover aan de RvC en AVA. In de realisatie hiervan handelt zij in het belang van de vennootschap, echter de belangen van stakeholders afwegende.

Best practice vb: Het bestuur rapporteert in het jaarverslag de gevoeligheid van de resultaten ten aanzien van externe omstandigheden en variabelen.

Principe: De hoogte van de bezoldiging van bestuurders is zodanig dat competente bestuurders kunnen worden aangetrokken. Het variabele deel van de bezoldiging is gekoppeld aan vooraf bepaalde, meetbare en beïnvloedbare doelen die zowel op de korte als op de lange termijn zijn gericht.

Principe: De structuur van de beloning leidt er nimmer toe dat de bestuurder het eigen belang voor het vennootschapsbelang laat gaan.

Best practice vb: De RvC stelt een reglement op met regels ten aanzien van transacties van aandelen door bestuurders.

Principe: De RvC stelt de beloningen van de bestuurders vast, op voorstel van de renumeratiecommissie (verkozen uit het midden van de RvC) en binnen het door de AVA vastgestelde beleid.

Best practice vb: Er wordt een renumeratierapport gepubliceerd waarin de toepassing van het beleid wordt toegelicht, de prestatiecriteria die zijn gehanteerd en het belang van vast en variabele beloning worden toegelicht.

Principe: Elke vorm van tegenstrijdige belangen tussen bestuurder en vennootschap dient te worden vermeden.

III De Raad van Commissarissen (RvC)

Principe: De RvC houdt toezicht op het beleid van het bestuur .Hierbij handelt zijn vanuit het belang van de vennootschapmaar weegt de belangen van alle stakeholders daarbij af.

Best practice: Het toezicht van de RvC bestaat oa. uit de controle op het behalen van de doelstellingen, de strategie en de risico’s verbonden met de ondernemingsactiviteiten, opzet en werking van risicomanagement, financiële verslaggevingproces, de naleving van weten regelgeving. Principe: De samenstelling van de RvC is zodanig dat zij onafhankelijk en kritisch kunnen opereren.


Best practice vb: Een lid van de RvC is minimaal 5 jaar voorafgaande aan zijn/haar benoeming geen bestuurder of werknemer geweest van de vennootschap.

Principe: De RvC wordt samengesteld uit competente mensen.

Best practice vb: Er wordt een profielschets opgesteld van de omvang en samenstelling van de RvC.

Principe: indien de RvC uit meer dn 4 personen bestaat wordt uit hun midden een auditcommissie, een renumeratiecommissie en selectie- en benoemingscommissie samengesteld.

Principe: Elke vorm van belangenverstrengeling tussen die RvC en de vennootscha wordt vermeden.

Best practice vb: Een commissaris neemt geen deel aan een discussie waarin hij/ een tegenstrijdig belang heeft.

Principe: De bezoldiging van een commissaris is niet afhankelijk van de resultaten van de onderneming.

IV De Algemene vergadering van aandeelhouders (AVA)

Principe: Er wordt verondersteld dat de aandeelhouders actief deelnemen aan de besluitvorming in de AVA.

Best practice vb: Het voorstel tot uitkeren van dividend wordt als apart agendapunt in de AVA behandeld.

Principe: Certificering van aandelen worden niet als beschermingsconstructie gebruikt.

Best practice vb: Het administratiekantoor verleent elke aandeelhouder die daarom vraagt zonder beperking stemvolmachten.

Principe: Het bestuur/RvC zal alle aandeelhouders gelijktijdig informeren over zaken die invloed kunnen hebben op de koers van het aandeel.

Best practice vb: Analistenbijeenkomsten worde niet gehouden net voor het uitbrengen van de reguliere financiële informatie (kwartaal, halfjaar en jaarcijfers)

V Financiële verslaglegging

Principe: Het bestuur is verantwoordelijk voor de kwaliteit en de volledigheid van openbaar gemaakt financiële berichten. De RvC iet erop toe dat het bestuur deze functie vervult.

Principe: De externe accountant wordt benoemd door de AVA

Principe: De externe accountant woont de RvC vergadering bij waarin de de jaarrekening wordt vastgesteld of goedgekeurd.


Titel: “Eisen en richtlijnen aan services” Auteur: Danny Greefhorst, Jan Miedema, Hans RijksSamengevat / gecopied door: Gabe KorverApproved door:Datum:

Service oriented architecture is een visie op architectuur waarbij applicaties netjes van elkaar ontkoppeld zijn. Door het invoeren van een service oriented architecture kunnen kosten worden bespaard en kan de time-to market van nieuwe processen en applicaties worden verkort. Het definiëren van goede services is uiteindelijk een belangrijke sleutel voor het slagen van de architectuur. De auteurs beschrijven in dit artikel welke eisen er gesteld worden aan goede services en geven richtlijnen om aan deze eisen te voldoen. Dit artikel is tot stand gekomen naar aanleiding van een discussie in de werkgroep service oriented architecture.

Service oriented architectureHet streven van service oriented architecture (soa) is om elke functionaliteit maar door één service aan te laten bieden waardoor alle redundantie in het applicatielandschap wordt geëlimineerd. Het verhoogt de flexibiliteit in het applicatielandschap, waardoor nieuwe applicaties snel kunnen worden toegevoegd en bestaande applicaties snel aan elkaar kunnen worden gekoppeld door gebruik te maken van bestaande services.

Soorten software services (top down)Workflowservices: Services die verantwoordelijk zijn voor het aansturen van langlopende bedrijfsprocessenApplicatie services: Het proces maakt typisch gebruik van deze services die specifieke use-cases ondersteunenBedrijfslogica services: Beschrijven de essentie van de bedrijfsvoeringGegevensservices: Bieden toegang tot de bedrijfsgegevensTechnische services: Services die door de software en infrastructuur worden geboden

Eisen aan servicesServices bepalen voor een groot deel de kwaliteit van de service oriented architecture. Maar waar voldoet een goede service aan:

1. Aansluiting op de bedrijfsvoering: Deze eis is vooral van belang voor de workflowservices2. Hergebruik: Services dienen bruikbaar te zijn in de processen van verschillende gebruikende partijen3. Stabiel: Services dienen zodanig gedefinieerd te zijn dat hun interface niet of zeer weinig wijzigt4. Eenduidig gedefinieerd: Heldere definitie voor aanbieder en afnemer van de service5. Kwaliteit: Moet voldoen aan de kwaliteitseisen van de afnemer (performance, beschikbaarheid etc)

Eisen zijn te vertalen naar richtlijnen1. Het top-down afleiden van services: Dit om services goed aan te laten sluiten bij de processen2. Granulariteit: Het gemeenschappelijke deel is over het algemeen klein3. Gehele bedrijfsobjecten: Streven om services te laten communiceren op dit niveau (bijv klant)4. Multi-grained services: Gebruik van meerdere gegevens dynamisch bepalen tbv performance5. Domeinspecifieke standaarden: Standaard proces of gegevensmodellen voor een bepaald domein6. Uitbreidbaarheid van services: Met name voor gegevens (bijvoorbeeld XML)7. Het realiseren van meerdere implementaties van services: Dit ten behoeve van kosten/ performance8. Toestandloos: Is een service die niets van de procescontext onthoudt nadat hij is aangeroepen9. Het verbergen van de implementatie: Afnemers zouden geen kennis moeten hebben van implementatie10. De kwaliteit van de service: Kwaliteit van de service dient bewaakt te worden11. Governance-structuur: Een service oriented architecture vraagt om expliciet organisatorische aandacht

ConclusieDe kwaliteit van service oriented architecture staat of valt met de kwaliteit van services. In dit artikel is een overzicht gegeven van de eisen die gesteld zouden moeten worden aan services. Daarnaast zijn richtlijnen gepresenteerd waarmee aan de eisen kan worden voldaan. Aangezien zowel de eisen als de richtlijnen voor een deel conflicteren, is het helder dat er geen volledige automatische vertaling bestaat van bedrijfsdoelen naar services. Het definiëren van goede services is vooral een kwestie van het toepassen van de juiste richtlijnen en het afwegen van verschillende krachten die daarbij een rol spelen. Slechte services zullen gewoonweg niet of onvoldoende worden hergebruikt, waardoor de initiële investering niet wordt gerechtvaardigd. De kwaliteit van een service oriented architecture staat of valt daarmee met de kwaliteit van de ontwerpers en het gebruik van de services.


Titel: “Leiden nieuwe ontwikkelparadigma’s ook tot betere software” Auteur: de heer drs. GreefhorstSamengevat door: Kristian van ZijtveldApproved door:Datum:

Dit artikel gaat over ontwikkelparadigma’s ten behoeve van softwaresystemen. Een systeem met een bepaalde functionaliteit kan worden verdeeld in kleine samenwerkende eenheden. De basis van een methode waarop naar softwaresystemen wordt gekeken is zogenaamde gehanteerde ontwikkelparadigma. Paradigma’s verschillen in de manier waarop dit gebeurd, en het gehanteerde paradigma bepaalt dan ook in sterke mate de architectuur van het softwaresysteem. Softwaresystemen dienen zich steeds aan te passen aan nieuwe technologieën.

In dit artikel wordt inzicht gegeven in de evolutie van ontwikkelparadigma’s en hun relatie met kwaliteitseigenschappen. Hierbij wordt onderscheid gemaakt tussen de procedurele, objectgeoriënteerde, aspectgeoriënteerde, componentgebaseerde en servicegeoriënteerde paradigma’s.

Procedurele paradigma’s zijn gesloten paradigma’s geschreven in een programmeertaal en niet erg gericht aan het voldoen van open standaarden en het integreren met andere systemen. Bij objectgeorienteerde paradigma’s wordt software gemodelleerd als objecten in de werkelijke wereld. Bij aspectgeorienteerde paradigma’s wordt een meer generieke benadering van de werkelijke wereld gemodelleerd. Het componentgebaseerde paradigma biedt primair een mechanisme om de complexiteit van een systeem te reduceren door het in beter onderhoudbare componenten onder te verdelen. Servicegeorienteerde paradigma’s zijn primair gericht op het op grotere schaal kunnen hergebruiken van functionaliteit en het voorkomen van redundante koppelingen tussen systemen.

In het artikel (tabel 1) worden de vijf vorengenoemde ontwikkelparadigma’s vergeleken op basis van de functionaliteit, betrouwbaarheid, efficiency, onderhoudbaarheid en portabiliteit.Men kan uit de tabel concluderen dat nieuwere componentgebaseerde en servicegeorienteerde ontwikkelparadigma’s goed scoren op eigenschappen als onderhoudbaarheid, schaalbaarheid, portabiliteit en interoperabiliteit. Hierdoor zijn ze beter geschikt voor het ontwikkelen van grotere en complexere softwaresystemen.

Sevicegeorienteerde ontwikkelparadigma’s zijn vooral geschikt in situaties waarbij heterogene softwaresystemen geïntegreerd moeten worden. Belangrijke eigenschappen als tijdgedrag en betrouwbaarheid zorgen voor extra uitdagingen voor het typisch gedistribueerde karakter van systemen die volgens deze paradigma’s worden ontwikkeld. Deze eigenschappen vragen dus om extra aandacht, zowel tijdens ontwikkeling als beheer. De performance van systemen wordt gewaarborgd door nieuwere en snellere hardware. Betrouwbaarheid zal echter moeten worden ingebouwd en worden bewaakt in de beheerfase.

De auteur beargumenteerd dat nieuwe ontwikkelparadigma’s niet per definitie leiden tot betere systemen, maar afhangt van de context. Voor een relatief kleinschalig systeem waarbij performance en betrouwbaarheid een belangrijke rol spelen, is het procedurele ontwikkelparadigma het meest geschikt. En systemen waarbij een goede representatie van de werkelijkheid van belang is kunnen prima objectgeoriënteerd ontwikkeld worden (simulatiesoftware). Servicegeorienteerde en componentgebaseerde systemen op het laagste niveau zijn uiteindelijk ook procedureel en objectgeoriënteerd. De kwaliteit van systemen wordt uiteindelijk voor een groot deel bepaald door organisatiefactoren, zoals ervaring, organisatorische inrichting en technische omgeving.


Titel: Bijlage 1: Controle Maatregelen Auteur: Samengevat door: Bas BonnierApproved door:Datum:

Disclaimer: Deze sheets zijn tot stand gekomen tijdens het college BIV-IC waar studenten (EMFC 13 groep 3) in rondgang langs flip-overs door de collegezaal maatregelen opschreven. De juistheid en volledigheid van de data is niet gegarandeerd.

General Controls:Definitie: Controls in IT-processen om een betrouwbare IT-omgeving te hebben

• Netwerkbeveiliging• Backup & Recovery• Software controls• Hardware controls• Data beveiliging• Verbandcontroles tussen systemen• Code of conduct + controle op naleving• ITIL• Functiescheiding

Application/General Controls DatatransmissieDefinitie: Controls tbv veiligheid, volledigheid, juistheid en tijdigheid van gegevens uitwisseling

• Loggingfile (fout meldingen)• Back-up file• Integriteitscontrole (totaal telling beide systemen)• Encryptie• Beheer metadata (heldere definitie)• Reconciliatie controls• Conversion controls• Batch controls / Hash totals• Certificaten• Ontvangstbevestiging

User ControlsDefinitie: Handmatige controls o.b.v. output van het Informatie Systeem

• Verbandcontroles• 4-ogen principe / redundantie• Debiteuren afloop controle• Volledigheidscontroles• Kwaliteitscontroles• Rechtmatigheidcontroles• Werving & Selectie• Training• Functiescheiding


Application Invoer ControlsDefinitie: Controls tbv juistheid, volledigheid en tijdigheid van ingevoerde data

• Validatie juistheid• Volledigheidscontrole• Bestaanscontrole• Redelijkheidscontrole• Authorisatie controle• Plausibiliteitscontrole• Totaalcontroles• Tijdigheidscontroles• Ophalen data uit subsystemen bv postcode• Volgorde check• Ontwerp data formulier• Voorgedefinieerde lijst

Application Controles op VerwerkingDefinitie: Controls tbv juistheid, volledigheid en tijdigheid van het verwerkingsprocess

• Functiescheiding• Reconciliatie procedure (verband tussen systemen)• Externe data reconciliatie• Exception reporting• Data matching• Data conversion controls• Database controls• Meta data management• Verbandscontroles• Audit trail• Periodieke automatische verwerking

Application Output ControlesDefinitie: Controls tbv juistheid, volledigheid & tijdigheid van de informatie

• Standaard output format• Automatische bevestiging• Validatie en verificatie check input-output• Limieten / Range• Voorgeprogrammeerde queries• Procedures en controle op de naleving• Selectie criteria query afdrukken op rapport• Unieke code• Metadata management• User-controls


samenvatting_biv_ic_2010-06-22

Documents

ifac internal control

internal control pre

control doelstellingen

control objectives

groepen control criteria

betekenis van

en gedrag

auditing voor