stuvia 23hoofdlijnen bestuurlijke informatiesystemen
TRANSCRIPT
-
8/19/2019 Stuvia 23hoofdlijnen bestuurlijke informatiesystemen
1/46
Hoofdlijnen bestuurlijkeinformatieverzorging
door
frederiksa
De Marktplaats voor het Kopen en Verkopen van je Studiemateriaal
Koop en Verkoop al je samenvattingen, aantekeningen, onderzoeken, scripties, collegedictaten, en
nog veel meer..
www.stuvia.com
http://www.stuvia.com/user/frederiksahttp://www.stuvia.com/http://www.stuvia.com/http://www.stuvia.com/http://www.stuvia.com/user/frederiksa
-
8/19/2019 Stuvia 23hoofdlijnen bestuurlijke informatiesystemen
2/46
-
8/19/2019 Stuvia 23hoofdlijnen bestuurlijke informatiesystemen
3/46
Door: A. Frederiks 2
InhoudHoofdstuk 1 – Organisatie en informatie ........................................................................................................ 4
1.1 Bestuurlijke informatie.......................................................................................................................... 4
1.2 Informatie- en communicatietechnologie ............................................................................................ 5
1.3 Informatiesystemen en decentralisatie ................................................................................................ 5
1.4 Informatieverzorging en strategie ........................................................................................................ 6
1.5 Besturen van organisaties ..................................................................................................................... 6
1.6 Het besturingsparadigma ...................................................................................................................... 7
1.7 Managementcyclus ............................................................................................................................... 7
1.8 Rol van accountant, controller en informatiemanager ......................................................................... 7
Hoofdstuk 2 – Interne beheersing en informatie ............................................................................................ 8
2.1 Beheersingsbegrippen........................................................................................................................... 8
2.2 Kwaliteit en kwaliteitscriteria ................................................................................................................ 9
2.3 Belang van interne beheersing ........................................................................................................... 12
2.5 De COSO- rapporten ............................................................................................................................ 12
2.7 Pijlers van bestuurlijke informatievoorziening ................................................................................... 14
2.8 Instrumentarium van de interne beheersing en administratieve organisatie .................................... 17
2.9 Corporate governance ........................................................................................................................ 18
Hoofdstuk 4 – Informatiesystemen ............................................................................................................... 20
4.1 Het begrip informatiesysteem ............................................................................................................ 20
4.2 Onderdelen van een informatiesysteem ............................................................................................ 20
4.3 Indelingen van informatiesystemen ................................................................................................... 23
4.4 Managementinformatiesystemen ...................................................................................................... 24
4.5 Integratie van informatiesystemen ..................................................................................................... 24
Hoofdstuk 5 – IT- control ............................................................................................................................... 26
5.1 Risico’s en IT (informatietechnologie)................................................................................................. 26
5.2 IT- governance ..................................................................................................................................... 265.3 IT- risicomanagement ......................................................................................................................... 27
5.4 IT- beheersingsmaatregelen en informatiebeveiliging ....................................................................... 29
5.5 Risicobeheersing in een geïntegreerde informatieomgeving ............................................................. 30
5.6 Valkuilen bij IT- beveiliging .................................................................................................................. 31
Hoofdstuk 7 – Het inkoopproces ................................................................................................................... 32
7.1 Risico’s, attentiepunten en beheersingsmaatregelen van het inkoopproces ..................................... 32
7.2 Het geven van inkoopopdrachten ....................................................................................................... 33
7.3 Uitvoering van inkoopopdrachten ...................................................................................................... 34
Stuvia.com - De Marktplaats voor het Kopen en Verkopen van je Studiemateriaal
-
8/19/2019 Stuvia 23hoofdlijnen bestuurlijke informatiesystemen
4/46
Door: A. Frederiks 3
7.4 Ontvangst van goederen ..................................................................................................................... 34
7.5 Controle van de inkoopfacturen ......................................................................................................... 35
7.6 Crediteurenadministratie .................................................................................................................... 36
7.7 Betaling van de inkoopfacturen .......................................................................................................... 36
Hoofdstuk 8 – Het voorraadproces ............................................................................................................... 36
8.1 Risico’s, attentiepunten en beheersingsmaatregelen ten aanzien van het voorraadproces ............. 36
8.2 Ontvangst van goederen ..................................................................................................................... 38
8.3 Registratie van de goederen ............................................................................................................... 38
8.4 Opslag van goederen ........................................................................................................................... 39
8.5 Afgifte van goederen ........................................................................................................................... 40
8.6 Inventarisatie van de goederenvoorraad ............................................................................................ 40
Hoofdstuk 10 – Het verkoopproces............................................................................................................... 41
10.1 Risico’s, attentiepunten en beheersingsmaatregelen ten aanzien van het verkoopproces ............. 41
10.2 Samenstellen van offertes ................................................................................................................ 42
10.3 Orderontvangst en orderacceptatie ................................................................................................. 43
10.4 Factureren van de order ................................................................................................................... 43
10.5 Afgifte van goederen ......................................................................................................................... 44
10.6 Debiteurenadministratie ................................................................................................................... 44
10.7 verkopen tegen contante betaling .................................................................................................... 45
Hoofdstuk 12 – Typologie inleiding ............................................................................................................... 45
12.1 Typologie van organisaties ................................................................................................................ 45
Stuvia.com - De Marktplaats voor het Kopen en Verkopen van je Studiemateriaal
-
8/19/2019 Stuvia 23hoofdlijnen bestuurlijke informatiesystemen
5/46
Door: A. Frederiks 4
Hoofdstuk 1 – Organisatie en informatie
1.1 Bestuurlijke informatie
Het doel van bestuurlijke informatieverzorging is het op efficiënte wijze verstrekken van relevante en
betrouwbare informatie.Informatie is pas bestuurlijk als deze gebruikt wordt voor de realisatie van de ondernemingsdoelstellingen.
Bestuurlijke informatieverzorging maakt onder andere gebruik van de boekhouding (financiële
administratie).
Bestuurlijke informatieverzorging wordt gebruikt voor 3 verschillende zaken:
1. Informatie in het kader van het delegeren van taken en het afleggen van verantwoording:
wanneer het takenpakket van een functionaris om een doelstelling te bereiken zo omvangrijk is
dat hij de taken niet meer alleen kan uitvoeren dan moet hij taken gaan delegeren. De
gedelegeerde taken hebben een subdoelstelling die de hoofddoelstelling ondersteunen. De
mensen aan wie de taken zijn gedelegeerd moeten met behulp van informatie, verantwoordingafleggen aan een hoger niveau over het behalen van de subdoelstellingen.
2. Informatie voor het nemen van beslissingen: op basis van relevante en betrouwbare informatie
kunnen beslissingen worden genomen.
3. Informatie ten behoeve van het doen functioneren van de organisatie: het gaat hier om het delen
van kennis om:
a.
De organisatie in staat te stellen de doelstellingen te realiseren.
b.
Het op elkaar afstemmen van activiteiten van twee verschillende afdelingen.
c.
Het doorcommuniceren van een genomen beslissing.
Definitie van Starreveld over bestuurlijke informatieverzorging:
Alle activiteiten met betrekking tot het systematisch verzamelen, vastleggen en verwerken van gegevens,
gericht op het verstrekken van informatie ten behoeve van het besturen, doen functioneren en het
beheersen van een huishouding, en ten behoeve van de verantwoording die daarover moet worden
afgelegd.
Horizontale informatiestromen: heeft vooral betrekking op het doen functioneren van een organisatie (op
hetzelfde niveau).
Verticale informatiestromen hebben betrekking op:
- Het nemen van beslissingen
- Geven van opdrachten aan lagere niveaus
-
Afleggen van verantwoording aan hogere niveaus- Het afstemmen van activiteiten
Alle 3 de eerder genoemde punten komen onder andere tot uiting via verticale informatiestromen.
Stuvia.com - De Marktplaats voor het Kopen en Verkopen van je Studiemateriaal
-
8/19/2019 Stuvia 23hoofdlijnen bestuurlijke informatiesystemen
6/46
-
8/19/2019 Stuvia 23hoofdlijnen bestuurlijke informatiesystemen
7/46
Door: A. Frederiks 6
-
Kosten en baten van decentralisatie: zijn uiteindelijk de baten hoger dan de kosten? Zo ja, dan
wordt decentralisatie gekozen.
- Gebruikerseisen (voor- en nadelen):
o Lange informatiestromen vertraging
o Ondoorzichtiger
o
Gewenst niveau van controle/beveiliging
o Beheersbaarheid etc.
1.4 Informatieverzorging en strategie
Om te overleven dien je over een concurrentievoordeel te beschikken. Een onderneming zal voor een
strategie moeten kiezen om een concurrentievoordeel te behalen/behouden.
De factoren die een concurrentievoordeel opleveren noemt men kritische succesfactoren (KSF’s). Een
onderneming zal zich op enkele KSF’s moeten focussen core business (je kunt niet overal de beste in
zijn). Het bepalen van de KSF’s gebeurt door middel van een extern onderzoek naar de kansen en
bedreigingen. Daarna wordt een intern onderzoek verricht naar de sterkten en zwakten van de
bedrijfsprocessen. Dan worden de bedrijfsprocessen in verband gebracht met de KSF’s in een matrix. Deze
matrix moet ervoor zorgen dat informatie-elementen worden onderscheiden die de basis vormen voor de
rapportages aan het management. Het gaat hier om het vaststellen van variabelen (omzet, klachten,
bezettingsgraad e.d.) waarover gerapporteerd moet worden. Voor iedere variabele worden normen
voorgeschreven, prestatie-indicatoren genoemd. Eens in de zoveel tijd wordt hierover gerapporteerd aan
het management.
Conclusie:
-
KSF’s vaststellen (extern)
-
Bedrijfsprocessen vaststellen (intern)
-
Matrix bedrijfsprocessen en KSF’s
- Managementrapportages
Balanced scorecard (van Kaplan en Norten): uitgangspunt bij dit model is dat niet financiële
prestatiemaatstaven/indicatoren bepalend zijn voor financiële indicatoren.
De balanced scorecard onderscheidt 4 dimensies. Per dimensie worden 4 of 5 meetbare kritieke prestatie-
indicatoren (KPI’s). De 4 dimensies zijn:
-
Innovatief perspectief
- Financieel perspectief
- Klantenperspectief
- Intern perspectief
1.5 Besturen van organisaties
Indeling beslissingsniveaus:
- Strategisch
- Tactisch
-
Operationeel
Stuvia.com - De Marktplaats voor het Kopen en Verkopen van je Studiemateriaal
-
8/19/2019 Stuvia 23hoofdlijnen bestuurlijke informatiesystemen
8/46
Door: A. Frederiks 7
Strategisch beslissingen hebben betrekking op afstemming met externe omgeving.
Tactisch op dit niveau vindt structurering (organisatiestructuur) van de organisatie plaats.
Verschillende structureringsmogelijkheden:
-
Functionele oriëntatie (afdeling inkoop, verkoop etc.)
-
Procesoriëntatie
-
Matrixoriëntatie (combinatie van proces en functionele oriëntatie)
- Projectoriëntatie
- Netwerkoriëntatie (online netwerk, bijvoorbeeld Amazon.com)
Operationeel uitvoering van bedrijfsactiviteiten.
1.6 Het besturingsparadigma
- Het bestuurd systeem is het systeem dat bestuurt en dus beheerst wordt.
-
Het besturend systeem is het systeem dat het bestuurd systeem bestuurt en beheerst.
- Het informatiesysteem wordt door het besturend systeem gebruikt om het bestuurd systeem
mee te besturen en beheersen.
Ook de omgeving zorgt voor informatie die het besturend systeem kan gebruiken.
Voorbeeld: het bestuurd systeem betreft een organisatie. Het besturend systeem is dan het management.
Het management haalt informatie uit de omgeving en informatiesystemen om de organisatie te besturen
en te beheersen.
1.7 Managementcyclus
Aansturen van mensen, zodat ze zich in de gewenste positie/richting begeven.
Cyclus bestaat uit 5 stappen:
-
Plannen
- Inrichten
- Uitvoeren
- Evalueren
- Bijsturen
Inrichten betreft het kiezen van de juiste structuur om de planning te kunnen realiseren. Wanneer
bijsturing nodig is kunnen de activiteiten worden aangepast (single loop learning) of de norm/het plan
(double loop learning).
1.8 Rol van accountant, controller en informatiemanager
Accountant: het controleproces van de accountant bestaat uit het beoordelen van de kwaliteit van het
systeem van interne controle en het vaststellen van de betrouwbaarheid van informatie (controle
jaarrekening).
Stuvia.com - De Marktplaats voor het Kopen en Verkopen van je Studiemateriaal
-
8/19/2019 Stuvia 23hoofdlijnen bestuurlijke informatiesystemen
9/46
Door: A. Frederiks 8
Controller: intermediair tussen werkvloer en management. Rietdijk en andere onderscheiden:
- Business advocate: sterk gericht op alle niveaus en minder gericht op de financiële administratie
en de betrouwbaarheid ervan.
- Corporate policeman: ziet zijn rol meer als buitenstaander die slechts verantwoordelijk is voor de
betrouwbaarheid van financiële informatievoorziening.
-
Financieel adviseur: combinatie bovengenoemde. Ondersteunen van het management op
financieel gebied.
Informatiemanager: informatiesystemen inrichten, op elkaar afstemmen e.d. Soms wordt de
informatiemanager gevraagd een IT- strategie te ontwikkelen. De informatiemanager maakt dan deel uit
van het management en wordt dan CIO genoemd (Chief Information Officer).
Hoofdstuk 2 – Interne beheersing en informatie
2.1 Beheersingsbegrippen
Organisatiebeheersing is erop gericht de organisatie zo efficiënt mogelijk haar doelen te laten realiseren.
Om de organisatie te kunnen beheersen is informatiebeheersing en IT- beheersing noodzakelijk. BIV
houdt zich bezig met informatieverzorging.
Planning, beheersing en besturing kunnen niet los van elkaar gezien worden. Door te plannen en te
besturen probeer je iets te beheersen.
Control (beheersing) is iets anders dan controle. Controle is een onderdeel van control. Door middel van
controle kun je beheersen. Wanneer je niet controleert, kun je geen afwijkingen vaststellen, kun je niet
bijsturen en dus ook niet beheersen.
Controle = het nemen van maatregelen (constituerend) om afwijkingen van de doelstellingen te
voorkomen (terugkijkend). Door de resultaten te toetsen aan de maatregelen kun je afwijkingen
ontdekken.
Control = controle + het nemen van beslissingen (vooruitkijken) om de gesignaleerde afwijkingen tot een
minimum te beperken.
Controle omvat: terugkijken en constitueren.
Control omvat: constitueren, terugkijken en vooruitkijken.
Bestuurlijke informatieverzorging gaat om:
- het besturen van de organisatie met behulp van informatie die nodig is om taken te delegeren en
verantwoording af te leggen,
-
het nemen van beslissingen en
-
het doen functioneren van de organisatie.
Het doel van BIV is dus om deze informatie, die relevant en betrouwbaar moet zijn, te verstrekken aan het
management, zodat zij kunnen besturen.
Omdat een relatie bestaat tussen besturen en beheersen, is voor interne beheersing dezelfde informatie
nodig als voor het besturen.
Stuvia.com - De Marktplaats voor het Kopen en Verkopen van je Studiemateriaal
-
8/19/2019 Stuvia 23hoofdlijnen bestuurlijke informatiesystemen
10/46
Door: A. Frederiks 9
De doelen van interne beheersing zijn:
- Betrouwbare informatieverzorging
- Juridische conflicten vermijden
- Beperken van onjuiste beslissingen
-
Juiste ingaande en uitgaande kasstromen
Er zijn 4 categorieën afwijkingen op de doelen:
- Informatie die niet in overeenstemming is met de werkelijkheid
- Wet- en regelgeving worden niet nageleefd
- De bedrijfsvoering is niet effectief en efficiënt
- Geld verlaat ten onrechte de organisatie
Naast internal control bestaat ook management control. De doelstellingen van management control zijn
hetzelfde als die voor internal control. Er bestaan alleen verschillen in de hoofdlijnen. Bij management
control gaat het vooral om het beheersen van het gedrag van werknemers om de doelstellingen te
bereiken. Bij internal control gaat het vooral om het beheersen van de operationele processen.
Er zijn 3 management controlproblemen te onderscheiden:
- Medewerkers weten niet wat van hen verwacht wordt.
-
Medewerkers zijn niet gemotiveerd.
-
Medewerkers beschikken niet over de gewenste capaciteiten.
Belangrijke kenmerken van management control:
- Sterke gedragsmatige oriëntatie: het gaat vooral om het beïnvloeden van gedrag en niet van
processen. Er zijn verschillende instrumenten om gedrag te beïnvloeden: beloning,
organisatiecultuur, trainingen, juiste voorbeeld geven, ondernemingsmissie en gedragscodes.-
Insteek vanuit de strategie van de organisatie: managementcontrol heeft als taak het doorvoeren
van de strategie op tactisch en operationeel niveau. Managementcontrol houdt zich niet bezig
met het ontwerpen van de strategie, maar alleen met de implementatie van de strategie. Top
down implementeren: door de organisatie heen duwen van de strategie. Van
ondernemingsniveau naar taakuitvoering.
2.2 Kwaliteit en kwaliteitscriteria
Er is sprake van kwaliteit wanneer iets voldoet aan de gestelde toetsingscriteria. Control en controle
houden zich voor een groot deel bezig met het toetsen van de behaalde resultaten (terugkijkend karakter)
aan de gestelde normen (constituerend karakter). Control en controle houden zich daarom bezig met
kwaliteit. Kwaliteit is een subjectief begrip, omdat de kwaliteitscriteria (normen) van persoon tot persoon
kunnen verschillen.
Er zijn 2 kwaliteitsmodellen:
- INK- model
- KAD- model
Het INK- model is een algemeen kwaliteitsmodel terwijl het KAD- model een kwaliteitsmodel is dat zich
specifiek op BIV richt.
Stuvia.com - De Marktplaats voor het Kopen en Verkopen van je Studiemateriaal
-
8/19/2019 Stuvia 23hoofdlijnen bestuurlijke informatiesystemen
11/46
Door: A. Frederiks 10
INK- model
Het INK- model spreekt over aandachtsgebieden en niet over harde criteria waaraan moet worden
voldaan. Het model biedt slechts houvast. Deze 5 aandachtsgebieden moeten bijdragen aan het behalen
van de doestellingen van een onderneming. De 5 aandachtsgebieden zijn:
1.
Leiderschap
2.
Strategie en beleid
3.
Management van medewerkers:
- Personeelsbeleid
- Investeren in kennis en vaardigheden
- Beloningssystemen etc.
4. Management van middelen: middelen (geld, kennis, technologie, materialen en faciliteiten)
moeten effectief en efficiënt worden aangewend bij de uitvoer van activiteiten van de organisatie.
5.
Management van processen: de manier waarop de organisatie haar processen afbakent,
ontwerpt, beheerst en zodanig verbetert of vernieuwt (administratieve organisatie).
Naast deze aandachtsgebieden onderscheidt het INK- model 4 resultaatgebieden. Per resultaatgebiedworden maatstaven gekozen (soll positie) waaraan de huidige situatie getoetst moet worden (ist positie).
De resultaatgebieden zijn:
1.
Klanten en leveranciers: meten van de waardering van klanten en leveranciers.
2.
Medewerkers: voorziet de organisatie en het uit te voeren werk in de behoeften van de
werknemer?
3. Maatschappij: de mate waarin de organisatie aan maatschappelijk verantwoord ondernemen
doet.
4. Bestuur en financiers: de waardering die het bestuur en de financiers hebben ten aanzien van de
prestaties van het management, behalen van de financiële en operationele doelstellingen en devisie van het management.
Door op deze gebieden het resultaat te meten, moeten misschien veranderingen worden doorgevoerd in
de aandachtsgebieden. Voorbeeld: het werk voorziet niet in de behoefte van de medewerkers
(resultaatgebied). Hiervoor moeten veranderingen worden doorgevoerd in het managen van
medewerkers (aandachtsgebied).
KAD- model
KAD staat voor kwaliteit van de administratieve dienstverlening.
Het KAD- model breidt het besturingsparadigma uit. Bij het besturingsparadigma ging het om hetbesturend systeem dat het bestuurd systeem bestuurt met behulp van het informatiesysteem en
informatie uit de omgeving. Het KAD- model heeft betrekking op het informatiesysteem en de
maatregelen. Het KAD- model onderscheidt 4 manieren van besturing.
1.
Regeling invoer: een maatregel met betrekking tot het invoeren van informatie. Voorbeeld: bij
het elektronisch invoeren van informatie wordt gebruik gemaakt van standaardformulieren.
Wanneer je bepaalde velden niet invult weigert het systeem de invoer. Alle velden moeten dus
eerst ingevuld worden wil het systeem de informatie opslaan.
2. Regeling uitvoer: een maatregel met betrekking tot de uitvoer van informatie. Het
informatiesysteem produceert informatie. Daarbij moet de uitvoer aan bepaalde criteria voldoenanders wordt de uitvoer geblokkeerd. Voorbeeld: een betaling mag pas plaatsvinden als de
Stuvia.com - De Marktplaats voor het Kopen en Verkopen van je Studiemateriaal
-
8/19/2019 Stuvia 23hoofdlijnen bestuurlijke informatiesystemen
12/46
Door: A. Frederiks 11
inkoopfactuur, bestelorder en orderontvangst gecontroleerd zijn. Wanneer dit niet het geval is
blokkeert het systeem de betalingen.
3. Doorvoerregeling voorwaarts (preventief): je treft van te voren maatregelen, zodat het proces
goed verloopt.
4.
Doorvoerregeling achterwaarts: het proces is niet naar behoren verlopen. Naar aanleiding
hiervan worden achteraf maatregelen getroffen om het proces te verbeteren of te vernieuwen.
Benchmarking
Een middel om de kwaliteit te verbeteren is benchmarking. Het vergelijken van afdelingen met
goedlopende afdelingen om te leren van de goedlopende afdelingen. Het doel is delen van het beleid van
de goedlopende afdeling door te voeren naar andere afdelingen (interne benchmarking). Competitieve
benchmarking: vergelijking tussen twee concurrerende bedrijven.
Algemene benchmarking: vergelijking tussen 2 niet concurrerende bedrijven.
Kwaliteitscriteria
Vanuit BIV gezien zijn er 4 categorieën kwaliteitscriteria:1. Kwaliteit van de strategie:
Er wordt onderscheidt gemaakt in bedoelde strategieën (invented strategies) en opkomende
strategieën (emergent strategies). Bedoeld is gepland en opkomend is niet gepland. Een strategie
is goed als:
a.
Na implementatie van de strategie de onderneming beter is geworden dan daarvoor.
b. De bedoelde strategie wordt gerealiseerd.
2. Kwaliteit van de bedrijfsvoering:
a. Het management de juiste tactische en operationele beslissingen neemt,
b. De uitvoerders van die beslissingen op de juiste wijze verantwoordelijk gesteld kunnen
worden enc.
Dat de organisatie functioneert zoals het zou moeten.
Maatstaf hiervoor is operationeel excelleren: het zodanig op orde hebben van je interne
processen, zodat daaruit een concurrentievoordeel voortvloeit.
3. Kwaliteit van informatie (kwaliteitsspectrum):
Informatie moet effectief en efficiënt zijn. Informatie is effectief als deze betrouwbaar en
relevant is. Informatie is betrouwbaar wanneer deze valide (juist), volledig en accuraat is.
Informatie is relevant wanneer deze nauwkeurig, tijdig en begrijpelijk is.
Invalide informatie = boven gestelde norm.
Onvolledige informatie = onder de gestelde norm.
Niet accurate informatie = alles wat onjuist is en wat niet onder valide en volledigheid valt.
Stuvia.com - De Marktplaats voor het Kopen en Verkopen van je Studiemateriaal
-
8/19/2019 Stuvia 23hoofdlijnen bestuurlijke informatiesystemen
13/46
Door: A. Frederiks 12
4.
Kwaliteit van de IT- infrastructuur:
De kwaliteit van een geautomatiseerd informatiesysteem wordt getoetst aan:
- Kostenbeheersing van IT
- Naleving van wet- en regelgeving (op het terrein van computercriminaliteit).
-
Beschikbaarheid
-
Vertrouwelijkheid (vertrouwelijke informatie moet vertrouwelijk blijven)
-
Onderhoudbaarheid
- Overdraagbaarheid (van DOS naar MSWindows).
2.3 Belang van interne beheersing
De eerder genoemde doelen van internal control zijn tevens belangen:
- Betrouwbare informatie om juiste beslissingen te kunnen nemen om de organisatie te kunnen
besturen (belang van het management).
- Juridische conflicten vermijden. Als een organisatie dit nastreeft dan zullen ze ook fraude
vermijden. Als fraude gepleegd wordt, brengt dit de continuïteit van de organisatie in gevaar.
Organisaties doen aan internal control om de continuïteit te waarborgen.
- Een ander belang van internal control is de volledigheid van ingaande kasstromen en de juistheid
van uitgaande kasstromen. Als hier fouten optreden, omdat niet aan interne beheersing wordt
gedaan, brengt dit eveneens de continuïteit van de onderneming in gevaar.
Een accountant zal vooral belang hechten aan betrouwbare informatie en het management zal vooral
belang hechten aan de kwaliteit van de bedrijfsvoering.
2.5 De COSO- rapporten
Aan bod is gekomen wat internal control is en wat de doelen hiervan zijn, maar hoe doe je nu aan internal
control?
In het COSO- rapport wordt een vijftal componenten van internal control onderscheiden:
1. Controleomgeving
2. Risicobeoordeling
3.
Controlehandelingen
4.
Informatie en communicatie
5.
Bewaking van de goede werking
(zie blz. 59 COSO- huis)
1. Controleomgeving: dit is de basis voor interne beheersing. De controleomgeving is de cultuur van
de organisatie. Hierbij gaat het om in hoeverre mensen in de organisatie het belang van internal
control inzien. Als dit erg klein is, dan zal het management meer activiteiten moeten nemen om
te komen tot interne beheersing. De controleomgeving bestaat uit:
a.
Integriteit en ethische waarden
b. Aanwezigheid van functiebeschrijvingen
c. De taakopvatting van de Raad van Bestuur en RvC toezicht houden en beheersen
d. Manier waarop management met risico’s omgaat
e. Communicatielijnen in de organisatie
Stuvia.com - De Marktplaats voor het Kopen en Verkopen van je Studiemateriaal
-
8/19/2019 Stuvia 23hoofdlijnen bestuurlijke informatiesystemen
14/46
Door: A. Frederiks 13
2.
Risicoanalyse: nadat de fundering (controleomgeving) in kaart is gebracht gaat men kijken naar
de risico’s die zich voor kunnen doen. De houding van de manager ten aanzien van risico’s speelt
hierbij een belangrijke rol. De houding van de manager bepaalt welke risico’s hij wel of niet
acceptabel vindt. Daarbij maakt de manager een kosten- en batenafweging. De vraag die gesteld
moet worden: wat als ik geen maatregelen neem, hoe groot zijn dan de gevolgen? Als de
gevolgen groot zijn, zal de manager maatregelen treffen.
(zie blz. 61 risicokaart)
De risicokaart houdt rekening met de gevolgen van het risico, de kans dat het risico zich voordoet
en de houding van de manager.
Risicoanalyse richt zich op het treffen van maatregelen ten aanzien van risico’s met betrekking tot
beheersingsproblemen, zodat het restrisico tot een aanvaardbaar niveau wordt teruggebracht.
Stappen:
a.
Eerst worden de beheersingsproblemen in kaart gebracht.b. Bepaald wordt, welke beheersingsproblemen het belangrijkste zijn. Voor deze
problemen worden preventieve maatregelen ingevoerd.
c. Voor de beheersingsproblemen die minder belangrijk zijn, worden geen preventieve
maatregelen ingevoerd. Bij deze risico’s worden achteraf maatregelen ingevoerd
(repressieve maatregelen).
d. Restrisico’s: er blijven altijd beheersingsproblemen bestaan die niet zijn aan te pakken
met preventieve of repressieve maatregelen. Dit zijn risico’s verbonden met
ondernemerschap.
3.
BeheersingsmaatregelenWanneer de risico’s in kaart zijn gebracht, worden de maatregelen vastgesteld. 3 typen
beheersingsmaatregelen:
- Preventieve maatregelen: vaak organisatorisch van aard.
- Repressieve maatregelen: vaak specifieke controlehandelingen.
- Correctieve maatregelen: problemen die door repressieve maatregelen zijn ontdekt, worden
met correctieve maatregelen opgelost.
4.
Informatie en communicatie
Informatie en communicatie worden gebruikt om de organisatie en mensen onder controle te
krijgen:- Vastleggen van transacties
- Matchen van interne documenten met externe bescheiden
- Bevestigingen aan derden
- Communicatie van procedures en taken
-
Afleggen van verantwoording etc.
5. Bewaking van de goede werking
Monitoring houdt in dat de kwaliteit van het systeem van interne beheersing wordt vastgesteld.
Er bestaan 2 vormen van monitoring:- Monitoring als continu proces
Stuvia.com - De Marktplaats voor het Kopen en Verkopen van je Studiemateriaal
-
8/19/2019 Stuvia 23hoofdlijnen bestuurlijke informatiesystemen
15/46
Door: A. Frederiks 14
-
Monitoring als een specifieke evaluatie op een bepaald moment
Monitoring kan gezien worden als beheersingsmaatregel.
Doordat de omgeving van de organisatie verandert, is het mogelijk dat een intern beheersingssysteem
niet meer effectief is. Door middel van monitoring wordt de effectiviteit van het intern
beheersingssysteem in de gaten gehouden.
Om het risicomanagement beter af te bakenen is het ERM- COSO- rapport ontwikkeld. Het ERM- COSO-
rapport gaat verder dan het eerder beschreven COSO- rapport. Het ERM-COSO- rapport bestaat uit 8
componenten:
1. Interne omgeving (is gelijk aan controleomgeving): risicocultuur in kaart brengen en bepalen
welke risico’s het management acceptabel vindt.
2.
Het stellen van doelen: doelstellingen moeten aansluiten bij de missie en visie van de organisatie.
ERM onderscheid vier soorten doelstellingen:
a.
Strategische doelstellingen
b.
Operationele doelstellingenc. Verslaggevingdoelstellingen
d. Doelen met betrekking tot het naleven van wet- en regelgeving
3. Identificeren van kritieke gebeurtenissen (is hetzelfde als risicobeoordeling): welke risico’s
kunnen zich voordoen die de doelrealisatie negatief kunnen beïnvloeden? Hierbij moet zowel
met interne als met externe risico’s rekening worden gehouden.
4. Risico-inschatting: de kans dat een kritieke gebeurtenis zich voordoet en de gevolgen daarvan.
5. Besluit hoe gereageerd wordt op ingeschatte risico’s:
a. Wel of niet accepteren van risico’s
b. Wel of niet delen van risico’s met anderen
c.
Wel of niet vermijden van risico’s d.
Wel of niet beheersen van risico’s
6.
Beheersingsactiviteiten (is hetzelfde als controlehandelingen): welke maatregelen worden
genomen ten aanzien van de risico’s die wel beheerst zullen worden?
a. Preventieve maatregelen
b. Repressieve maatregelen
c. Correctieve maatregelen
7.
Informatie en communicatie: worden ingezet om de organisatie en de mensen onder controle te
krijgen en te houden.
8.
Bewaking van de goede werking van het systeem: het vaststellen van de kwaliteit van het
systeem van interne beheersing.a. Periodieke toetsing (ook wel monitoring genoemd).
b. Doorlopende toetsing (ook wel continue monitoring genoemd).
2.7 Pijlers van bestuurlijke informatievoorziening
Het vak bestuurlijke informatievoorziening rust op twee pijlers, namelijk:
-
Het grondpatroon van informatieverzorging
-
De waardekringloop
Stuvia.com - De Marktplaats voor het Kopen en Verkopen van je Studiemateriaal
-
8/19/2019 Stuvia 23hoofdlijnen bestuurlijke informatiesystemen
16/46
Door: A. Frederiks 15
Het grondpatroon van informatieverzorging
In het algemeen heeft elk informatieverzorgingproces dezelfde structuur. De structuur bestaat uit drie
onderdelen:
1. Invoer
2.
Verwerken m.b.v. procedures bestaande uit gegevensverzamelingen
3.
Uitvoer
Het verweken van gegevens doet het systeem volgens richtlijnen. Het systeem koppelt ingevoerde
gegevens met bestaande gegevens.
Aan de hand van het grondpatroon kunnen drie controles op het informatiesysteem worden
onderscheiden:
1. Gebruikerscontroles: controles gericht op de in- en uitvoer van gegevens
2.
Geprogrammeerde controles: controles gericht op de verwerking van gegevens
3.
Integriteitcontroles: controles gericht op het vaststellen van de juistheid van procedures
De waardekringloop:
De waardekringloop vormt de basis voor controletechnische functiescheiding en controleverbanden:
De vierkanten geven de voorraden aan en de ovale vormen de handelingen. De stippellijnen geven aan
dat sprake is van controletechnische functiescheiding.
Controletechnische functiescheiding (preventieve maatregel):
Controletechnische functiescheiding houdt in dat tegengestelde belangen worden gecreëerd tussen
verschillede functionarissen en/of afdelingen. De controletechnische functiescheiding kan in strijd zijn
met hetgeen dat mensen moeten samenwerken in organisaties. Daarom zal voor het invoeren van
controletechnische functiescheiding eerst een kosten- en batenafweging gemaakt moeten worden.
Baten van controletechnische functiescheiding: tegengaan van opbrengstverlies door fraude.
Kosten van controletechnische functiescheiding: hogere personeelskosten, doordat één persoon niet
meer alle taken uitvoert.
Stuvia.com - De Marktplaats voor het Kopen en Verkopen van je Studiemateriaal
-
8/19/2019 Stuvia 23hoofdlijnen bestuurlijke informatiesystemen
17/46
Door: A. Frederiks 16
In het kader van controletechnische functiescheiding worden 5 functies onderscheiden, te weten:
1. Beschikkende functies: kan de organisatie binden aan derden. De beschikkende functionaris heeft
de bevoegdheid om zelf beslissingen te nemen. Beschikkende functies zijn: inkopen, verkopen,
ontvangen van geld en betalen.
2.
Bewarende functies: moet ervoor zorgen dat goederen, geld of andere waarden worden
ontvangen en afgegeven. Magazijnmeester bijvoorbeeld.
3.
Registrerende functies: leggen gegevens vast over inkopen, verkopen, geldontvangsten en
betalingen (kortom de gegevens van de beschikkende handelingen). Deze vastleggingen leiden
tot veranderingen in de goederenvoorraad, geldvoorraad, debiteuren en crediteuren. De
registrerende taak is meestal voorbehouden aan de financiële afdeling.
4. Controlerende functies: toetsen de realisatie (ist- positie) aan de gestelde normen (soll- positie).
5. Uitvoerende functies: alles wat niet onder de andere functies valt is uitvoerend. Deze
functionarissen moeten uitvoeren wat de beschikkende functionaris hen oplegt.
De beschikkende functionaris geeft opdracht tot iets.
Deze opdracht wordt door de financiële afdeling geregistreerd.De bewarende functionaris geeft goederen af in opdracht van de beschikkende functionaris. Deze afgifte
wordt door de financiële afdeling geregistreerd.
De uitvoerende functionaris produceert in opdracht van de beschikkende functionaris. De productie
wordt geregistreerd door de financiële afdeling.
De registrerende functionaris registreert de opdracht, de afgifte en de productie. De controlerende
functionaris vergelijkt de registraties in het grootboek, met de feitelijke opdracht, afgifte en productie.
Controleverbanden (repressieve maatregel):
2 soorten controleverbanden:
-
De wet van samenhang tussen opgeofferde waarden en verkregen waarden: je moet eerst ietsopofferen om iets te verkrijgen. Tussen wat verkregen is en wat opgeofferd is bestaat een
verband. Voorbeeld: voor het vervaardigen van eindproducten (iets wat is verkregen) is inzet van
arbeid, kapitaal en grondstoffen nodig (hetgeen wat is opgeofferd).
- De wet van samenhang tussen toestand en gebeuren:
o Toestanden voorraadgrootheden
o Gebeuren stroomgrootheden
BETA- formule:
Beginvoorraad – Eindvoorraad + inkopen (of Toename) = verkopen (of Afname)
Bij de beschrijving van verbanden tussen toestand- en stroomgrootheden, wordt ook wel gesproken vaneen netwerk van controleverbanden.
Stuvia.com - De Marktplaats voor het Kopen en Verkopen van je Studiemateriaal
-
8/19/2019 Stuvia 23hoofdlijnen bestuurlijke informatiesystemen
18/46
Door: A. Frederiks 17
Netwerk van controleverbanden:
2.8 Instrumentarium van de interne beheersing en administratieve
organisatie
Controleprocedures die bijdragen aan een betere beheersing van de organisatie:
- Detailcontrole, totaalcontrole en deelwaarneming:
Detailcontrole alles wordt gecontroleerd. Bijvoorbeeld alle crediteuren op de saldilijst.
Deelwaarneming slechts enkele gegevens worden gecontroleerd (steekproef).
Totaalcontrole het totaal van de saldilijst wordt gecontroleerd met behulp van de BETA-
formule.
- Directe en indirecte controle:
Directe controle wordt toegepast op processen, procedures en taakopdrachten (preventieve
controle). Indirecte controle wordt uitgevoerd op de uitkomsten van processen, procedures en
taakopdrachten (repressieve controle).
Directe controle wordt ook wel action control genoemd en indirecte controle, results control.
-
Formele e materiële controle:
Formele controle: het toetsen van de ist- positie aan de procedures (= soll positie) hoe zou het
moeten gaan?
Materiële controle: het toetsen van de ist- positie aan de feitelijke toestanden en gebeurtenissen
wat gebeurt nu in werkelijkheid?
-
Negatieve en positieve controle:
Negatieve controle is een controle op volledigheid (kan niet steekproefsgewijs geschieden).
Positieve controle is gericht op juistheid.
Stuvia.com - De Marktplaats voor het Kopen en Verkopen van je Studiemateriaal
-
8/19/2019 Stuvia 23hoofdlijnen bestuurlijke informatiesystemen
19/46
Door: A. Frederiks 18
-
Bevoegdheidscontrole:
De bevoegdheidscontrole richt zich op het controleren of de functionarissen de juiste
bevoegdheden hebben. Deze controle vindt plaats aan de hand van opgestelde procedures
(procesbeschrijvingen). Een bevoegdheidscontrole is daarom altijd een formele controle.
-
Voortgangscontrole:
De voortgangscontrole is gericht op de continuïteit van de bedrijfsprocessen. Hierbij wordt gelet
op de tijdigheid en juistheid van de uitvoering van bedrijfsprocessen. De processen moeten
voldoen aan de gestelde normen. Bij een voortgangscontrole wordt gebruik gemaakt van een
voorwaartse en achterwaartse koppeling:
Voorwaarts sturen
Achterwaarts bijsturen
En voor bedrijven met een geautomatiseerd systeem:
-
Geprogrammeerde controle:
De geprogrammeerde controle is een controle gericht op de gegevensverwerking in eengeautomatiseerd systeem. Het systeem stelt eisen aan de invoer voor de verwerking van
gegevens. Edit tests = de invoer moet aan bepaalde vormvereisten voldoen.
Batch- totaal = alle factuurbedragen worden handmatig (met Excel) bij elkaar opgeteld (batch-
totaal). Dit totaal wordt in het systeem ingevoerd. Het systeem berekent daarna zelf een batch-
totaal aan de hand van alle factuurbedragen. De twee totalen worden vervolgens vergeleken of
deze gelijk zijn aan elkaar.
Hash- totaal = niet alleen alle factuurbedragen worden in het controlegetal opgenomen, maar
ook andere getallen (zoals klantnummer en datum) worden opgenomen.
Wanneer bovengenoemde controles al ingebouwd zijn in de software en dus niet
geprogrammeerd hoeven te worden, spreek je van ingebouwde controles i.p.v.geprogrammeerde controles.
- Integriteitcontrole:
Integriteitcontroles zijn vergelijkbaar met controles op betrouwbaarheid van informatie. Een
integriteitcontrole controleert de integriteit van het informatiesysteem en heeft betrekking op de
systeemprocedures en de bestaande gegevensverzamelingen. 3 hoofdgroepen van
integriteitcontroles:
o Integriteitcontroles op de opzet van het informatiesysteem
o Integriteitcontroles op de beveiliging van het informatiesysteem
o
Integriteitcontroles op de werking van het informatiesysteem
- Gebruikerscontrole:
Controle op de invoer (is de gegevensinvoer juist) en uitvoer (klopt de uitgedraaide factuur met
de werkelijkheid) van gegevens.
2.9 Corporate governance
Naar aanleiding van verschillende boekhoudschandalen zijn wetten en codes ontwikkeld op het gebied
van corporate governance. Met corporate governance wordt goed ondernemingsbestuur mee bedoeld.
Stuvia.com - De Marktplaats voor het Kopen en Verkopen van je Studiemateriaal
-
8/19/2019 Stuvia 23hoofdlijnen bestuurlijke informatiesystemen
20/46
Door: A. Frederiks 19
In de VS kennen ze de Sarbanes- Oxley act (SOX) en in Nederland kennen we de Code- Tabaksblat. Het
grote verschil tussen een wet en een code is dat de naleving van een wet verplicht is en van een code dus
niet. Als van de code wordt afgeweken, moet men wel kunnen uitleggen waarom wordt afgeweken.
Corporate governance gaat onder andere in op de volgende punten:
-
Toezicht door de Public Company Accounting Oversight Board
-
Onafhankelijkheid van de accountant
- Verantwoordelijkheden van het management
- Uitbreiding financiële rapportage etc.
De volgende artikelen uit de SOX zijn belangrijk:
Artikel 302: beschrijf dat het management ieder kwartaal (d.m.v. ondertekening) moet verklaren dat de
organisatie een kwalitatief hoogstaand rapportageproces heeft, dat het proces regelmatig gecontroleerd
wordt en dat de rapportages juist, volledig en tijdig zijn.
Artikel 404 richt zich specifiek op de rapportage van de jaarrekening.
Om tot een verklaring te komen van artikel 304 en 404, worden volgende stappen uitgevoerd:
1. Beoordeel de opzet van de administratieve organisatie en interne controle
2. Bepaal welke functionaris de werking van AO en IC moet testen en daar verantwoordelijk voor is.
3.
Vraag de uitkomsten van deze testen op en beoordeel deze op effectiviteit
4.
Maak van de uitkomsten van ieder organisatieonderdeel één eindoordeel en leg hier
verantwoording over af aan het maatschappelijk verkeer.
Artikel 906: wanneer eindverantwoordelijke de jaarrekening ondertekent, verklaart hij hiermee dat deze
voldoet aan de effectenwetgeving in alle opzichten. Wanneer de eindverantwoordelijke onterecht een
verklaring van goedkeuring afgeeft, dan kan dat een boete van € 5 miljoen en een gevangenisstraf van tenhoogste 5 jaar tot gevolg hebben.
SOX gaat over AO en IC en wordt daarom interne governance genoemd. Code Tabaksblat gaat over het
besturen en beheersen en wordt externe governance genoemd. Code Tabaksblat richt zich tot de
auditcommissie, algemene vergadering van aandeelhouders, controlerend accountant, Raad van
Commissarissen en de Raad van Bestuur.
Stuvia.com - De Marktplaats voor het Kopen en Verkopen van je Studiemateriaal
-
8/19/2019 Stuvia 23hoofdlijnen bestuurlijke informatiesystemen
21/46
Door: A. Frederiks 20
Hoofdstuk 4 – Informatiesystemen
4.1 Het begrip informatiesysteem
Informatie: gegevens worden pas informatie wanneer zij zinvol kunnen worden gebruikt. De gebruikers
van een informatiesysteem vormen een belangrijk onderdeel van het informatiesysteem.
Systeem: bij het informatiesysteem kan onderscheid worden gemaakt in de volgende taken:
1. Invoeren
2. Opslaan
3. Verwerken
4.
Presenteren/uitvoeren
Een geautomatiseerd informatiesysteem bestaat uit de volgende onderdelen:
1.
Hardware
2. Software
3.
Gegevens
4. Netwerken
5. Mensen en procedures
4.2 Onderdelen van een informatiesysteem
De 5 basiscomponenten vormen gezamenlijk de infrastructuur van een informatiesysteem.
Hardware
3 belangrijke fasen in de ontwikkeling van hardware:
-
Het tijdperk van de mainframes (jaren 60/70). Eén krachtige centrale computer van waaruit
gebruikers werden bediend door middel van werkstations. De hardware en software moesten
gedeeld worden.
- Het tijdperk van de personal computer (jaren 80/90). Ieder werkstation had zijn eigen hardware
en software. Nadeel: voor iedere pc moest afzonderlijk een printer, modem, databases worden
aangeschaft. Voordeel: door de compactheid kon de pc overal ingezet worden, ook thuis. Thuis
werd de pc voor andere doeleinden gebruikt waardoor nieuwe hardware nodig was (audio- en
videokaarten).
-
Het tijdperk van de netwerken (vanaf de jaren 90). De inzet van netwerken biedt de mogelijkheid
om pc’s met elkaar te verbinden, zodat gegevens en faciliteiten met elkaar gedeeld kunnen
worden. Belangrijk netwerk is internet.
Onderdelen van computerhardware:
Stuvia.com - De Marktplaats voor het Kopen en Verkopen van je Studiemateriaal
-
8/19/2019 Stuvia 23hoofdlijnen bestuurlijke informatiesystemen
22/46
Door: A. Frederiks 21
Software
Een computerprogramma (software) bevat gedetailleerde instructies (programmeertaal) die erop gericht
zijn de computer een bepaalde taak te laten uitvoeren. Er zijn twee basisgroepen software te
onderscheiden:
-
Systeemsoftware: zorgt voor de werking van de verschillende onderdelen van de hardware.
Systeemsoftware stuurt de hardware aan zoals printer, beeldscherm, toetsenbord etc.
-
Applicatiesoftware: zorgt ervoor dat de gebruiker een zinvolle taak kan uitvoeren zoals
tekstverwerkers, spreadsheets, databases, spelletjes etc.
Applicatiesoftware kan niet zonder systeemsoftware. Wanneer de systeemsoftware met meerdere
applicatiesoftware kan werken noemt men dat multitasking. Op hetzelfde moment een word- document
schrijven en je e-mail openen. Naast multitasking is er ook timesharing. Deze mogelijkheid zorgt ervoor
dat meerdere gebruikers tegelijkertijd op dezelfde computer kunnen werken. Dit is mogelijk bij
mainframe computers, maar niet bij personal computers.
Ontwikkeling: opensource systemen worden niet door een bepaalde onderneming gemaakt en verkochtzoals Microsoft, maar worden op vrijwillige basis ontwikkeld door een groot aantal programmeurs. Steeds
meer ondernemingen stappen over naar opensource systemen om de afhankelijkheid van monopolisten
op de softwaremarkt te vermijden.
Grote bedrijfsomvattende systemen (opensource systemen) worden ook wel suites genoemd. Anderzijds
zijn er miniprogrammaatjes ook wel applets genoemd ze werken op elk type systeemsoftware.
Gegevens
In beginsel kan elk individueel programma zijn eigen gegevensbestanden vastleggen en beheren. Dat
betekent dat verschillende gegevens (financieel, personeel en verkoop) in aparte bestanden wordenopgeslagen. Op deze manier is het combineren van gegevens uit verschillende bestanden moeilijk, omdat
ze op verschillende manieren worden vastgelegd en beheerd. De kans is ook groot dat gegevens dubbel
worden opgeslagen dataredundantie. Het gebruik van informatiesystemen met afzonderlijke
gegevensbestanden kan snel tot grote integriteitproblemen leiden. Stel de klant staat op twee
verschillende manieren genoteerd (P. Jansen en P.T.E. Jansen) dan krijgt 1 klant 2 facturen opgestuurd.
Om dit te voorkomen wordt met databases gewerkt.
Netwerken
Het bekendste netwerk is internet. Internet is een netwerk van netwerken. Dit geeft aan dat het internet
is opgebouwd uit allerlei verschillende elementen die technisch gezien sterk variëren.
Technische componenten van een netwerk
Verbindingen binnen een netwerk kunnen op verschillende manieren tot stand worden gebracht:
- Koperen kabels
-
Glasvezelkabels
-
Radiogolven etc.
Een fysieke verbinding alleen is niet genoeg. Het is tevens noodzakelijk dat apparaten die van het netwerk
gebruik maken, elkaar kunnen ‘begrijpen’. Daarvoor zijn protocollen ontwikkeld. Protocollen bestaan uit
commando’s. Het protocol zorgt ervoor dat de data op dezelfde wijze wordt ingepakt en bij ontvangst
wordt uitgepakt.
Stuvia.com - De Marktplaats voor het Kopen en Verkopen van je Studiemateriaal
-
8/19/2019 Stuvia 23hoofdlijnen bestuurlijke informatiesystemen
23/46
Door: A. Frederiks 22
Netwerkstructuren
Er zijn drie verschillende structuren waarin de meeste netwerken zijn georganiseerd.
Sterstructuur: één centrale computer die één- op- één verbindingen heeft met kleine computers. Nadeel:
het functioneren is geheel afhankelijk van de centrale computer + hoge investeringskosten. Voordeel:
wanneer één gebruikersterminal uitvalt, hebben de andere computers daar geen last van + hoge snelheid.
Ringstructuur: elk apparaat op het netwerk is verbonden met twee buren. Gegevens worden van
computer naar computer gestuurd totdat de geadresseerde is bereikt. De gegevens worden in één
richting over het netwerk verstuurd. Nadeel: het netwerk is erg afhankelijk van de individuele gebruikers.
Voordeel: simpel + weinig bekabeling.
Busstructuur: alle apparatuur die op het netwerk aangesloten is, deelt één gezamenlijk circuit dat niet
gesloten is. Daarom worden de gegevens steeds naar beide kanten gestuurd. Nadeel: langzaam. Voordeel:
simpel en weinig bekabeling.
Netwerken kunnen ook ingedeeld worden op basis van hun omvang:
- Local area netwerk LAN: beperkt tot de omvang van één of enkele gebouwen die bij elkaar in
de buurt gelegen zijn.
- Wide area netwerk WAN: deze netwerken bestaan uit meerdere technische componenten.
De toegankelijkheid van het internet
Om toegang te krijgen tot het internet dient een fysieke verbinding (kabel) met het internet tot stand te
worden gebracht. Hiervoor worden zogenaamde internet service providers (ISP’s) ingeschakeld.
Daarnaast moet een computer een eigen adres op het internet krijgen IP adres (internet protocol
Stuvia.com - De Marktplaats voor het Kopen en Verkopen van je Studiemateriaal
-
8/19/2019 Stuvia 23hoofdlijnen bestuurlijke informatiesystemen
24/46
Door: A. Frederiks 23
adres). Tegenwoordig wordt naast het IP- adres ook nog een domeinnaam gebruikt. De domeinnaam is
makkelijker te onthouden dan het IP- adres, omdat het IP- adres uit cijfers bestaat. Elke domeinnaam is
gekoppeld aan een IP- adres. Domeinnamen eindigend op NL worden verzorgd door Stichting Internet
Domeinregistratie Nederland (SIDN). Domeinnamen eindigend op EU worden verzorgd door European
Registry of Internet Domain Names (EURID).
Een laatste indeling van internet:
- Internet
- Intranet: werkt hetzelfde als internet alleen is intranet niet voor iedereen toegankelijk. Alleen
werknemers uit de organisatie kunnen gebruik maken van dit netwerk.
- Extranet: Wanneer ook derden gebruik kunnen maken van het netwerk van een organisatie dan is
sprake van extranet.
Mensen en procedures
Zonder gebruikers geen informatiesysteem. Om het goede functioneren van het informatiesysteem te
garanderen zijn procedures aanwezig m.b.t. het gebruik van het informatiesysteem.
4.3 Indelingen van informatiesystemen
Indeling op basis van omvang van of de wijze waarop betaald wordt voor het informatiesysteem:
- Freeware gratis
-
Shareware kleine vergoeding
-
Licentiesoftware jaarlijkse bijdrage
-
Commerciële software eenmalig bedrag
Indeling naar de rol van het informatiesysteem:
- Personeelsinformatiesystemen
- Financiële informatiesystemen
-
Productie-informatiesystemen
Indeling van informatiesystemen naar organisatieniveau:
- Strategisch
- Tactisch
- Operationeel
De belangrijkste indeling van informatiesystemen is de indeling naar doel. De applicatieportfoliomatrix:
Strategisch doel: deze informatiesystemen zijn van belang voor het realiseren van de strategie van de
onderneming.
Stuvia.com - De Marktplaats voor het Kopen en Verkopen van je Studiemateriaal
-
8/19/2019 Stuvia 23hoofdlijnen bestuurlijke informatiesystemen
25/46
Door: A. Frederiks 24
Operationeel doel: deze informatiesystemen zijn van belang voor het dagelijks functioneren van de
onderneming.
Ondersteunend doel: deze informatiesystemen zijn gericht op het behalen van efficiëntievoordelen.
Hoge potentie: deze informatiesystemen hebben momenteel nog weinig waarde, maar wel hoge potentie
voor in de toekomst.
4.4 Managementinformatiesystemen
Ook bestaat een indeling van informatiesystemen op basis van de manier waarop managementinformatie
tot stand komt. Er worden 4 groepen informatiesystemen onderscheiden:
1. Transactieverwerkende systemen: verzamelen en verwerken van gegevens die betrekking
hebben op de dagelijkse transacties en ondersteunen van processen die zich afspelen op
operationeel niveau. Vormt een uiterst belangrijke basis voor de totale informatievoorziening
binnen de onderneming.
2. Informatieverwerkende systemen: spelen een belangrijke rol in de ondersteunende processen
binnen een organisatie. Het gaat bij deze systemen niet om operationele basisgegevens, maar om
informatie op een hoger aggregatie- of abstractieniveau. Voorbeelden van deze systemen zijn:
presentatiesoftware en technische tekenprogramma’s.
3. Managementsystemen: geven overzichten en rapportages die gericht zijn op het besturen van de
organisatie door het management.
4. Strategische systemen: zijn erop gericht op het ondersteunen van beslissingen die geen vaste
structuur kennen, omdat de beslissingen betrekking hebben op de lange termijn of, omdat ze zich
weinig voordoen. Deze systemen worden vooral door het topmanagement gebruikt. Om die
reden wordt daarom ook wel gesproken over Executive Information System (EIS) of Executive
Support System (ESS).
4.5 Integratie van informatiesystemen
De opslag van operationele gegevens vormt de basis voor informatie in hogere lagen van de organisatie.Wanneer het systeem wordt ingedeeld in subsystemen op basis van rol (personeel, financieel, verkoop
Stuvia.com - De Marktplaats voor het Kopen en Verkopen van je Studiemateriaal
-
8/19/2019 Stuvia 23hoofdlijnen bestuurlijke informatiesystemen
26/46
Door: A. Frederiks 25
etc.) en er wordt een nieuw subsysteem geïmplementeerd, dan wordt vaak geen rekening met andere
subsystemen gehouden. Zo worden de gegevens vaak dubbel opgeslagen (dataredundantie), ontstaat het
risico dat gegevens niet consistent worden opgeslagen en moet het management gebruik maken van
gegevens uit verschillende systemen die niet goed op elkaar aansluiten.
De oplossing hiervoor zijn ERP- systemen.
Enterprise Resource Planning systemen (operationeel niveau)
Alle verschillende subsystemen worden geïntegreerd in één groter geheel en maken gebruik van één
onderliggende gegevensstructuur. De onderneming kan een keus maken tussen verschillende modules die
binnen het ERP- pakket beschikbaar zijn. Ook kunnen extra modules worden toegevoegd die ook gebruik
maken van dezelfde onderliggende gegevensstructuur. Door de opkomst van geïntegreerde
organisatiebrede systemen (zoals ERP- systemen), is duidelijk geworden dat de functionele
organisatiestructuur niet meer toereikend is en dat deze opnieuw moet worden ingedeeld vanuit het
oogpunt van de klant of leverancier. Basisstructuur ERP- systemen:
Managementrapportages met ERP- systemen
Hoewel managementrapportages m.b.v. ERP- systemen een stuk eenvoudiger zijn geworden, biedt hetERP- systeem geen complete oplossing voor het leveren van goede managementinformatie. Oorzaken:
-
Het ERP- systeem kent een transactiegerichte gegevensverwerking wat vooral voor operationeel
niveau van toepassing is. Aangezien het management beslissingen neemt op aggregatie- en/of
abstractie niveau is het ERP- systeem niet toereikend genoeg.
- Het ERP- systeem voorziet alleen in interne informatie. Op tactisch en strategisch niveau worden
beslissingen genomen op basis van interne en externe informatie.
Wanneer het ERP- systeem naast operationele zaken ook nog gebruik maakt van analysetaken kan dit ten
koste gaan van de operationele processen. Het ERP- systeem kan dan zo belast worden dat de goede
ondersteuning van de dagelijkse activiteiten in gedrang komt. Om die reden is het niet verstandig detotale managementrapportages te baseren op het ERP- systeem.
Datawarehouses (tactisch en strategisch niveau)
Om het management wel in hun informatiebehoeften te kunnen voorzien, kan gebruik gemaakt worden
van datawarehouses die zowel interne als externe informatie bevatten. Zonder ERP- systeem is de
inrichting van een datawarehouse bijna onmogelijk. Het ERP- systeem dient als basis voor de
datawarehouse.
Stuvia.com - De Marktplaats voor het Kopen en Verkopen van je Studiemateriaal
-
8/19/2019 Stuvia 23hoofdlijnen bestuurlijke informatiesystemen
27/46
Door: A. Frederiks 26
Hoofdstuk 5 – IT- control
5.1 Risico’s en IT (informatietechnologie)
De risico’s van IT- systemen zijn groter dan bij niet geautomatiseerde systemen. Oorzaken:
-
De integrale functies binnen één systeem, maakt controle via controletechnische functiescheiding
moeilijker. Controle moet dan binnen het systeem plaatsvinden door middel van een
geprogrammeerde procedure of ingebouwde controle.
- De gegevensinvoer heeft als risico dat gegevens verkeerd worden ingevoerd. Doordat het
systeem met de foutieve data verder werkt, ontstaat een sneeuwbaleffect.
- Doordat interne computernetwerken gekoppeld zijn aan externe computernetwerken van
bijvoorbeeld de klant, maakt toegang tot interne informatiesystemen door externen eenvoudiger.
-
Doordat het systeem zo complex is, is het moeilijk te zien welke processen worden uitgevoerd en
of wel of geen controles plaatsvinden.
Enkele begrippen:
IT –governance heeft te maken met de wijze waarop het informatiesysteem wordt ingericht volgens
bepaalde standaarden.
IT- risicomanagement gaat om het signaleren van risico’s door middel van ingebouwde procedures en
controles.
IT- beheersing/control gaat om het treffen van beheersingsmaatregelen in de administratieve organisatie
(AO) om de informatie te beveiligen.
5.2 IT- governance
Corporate governance is gericht op het realiseren van goed ondernemingsbestuur met behulp van
standaarden (Code Tabaksblat/SOX). IT- governance is een onderdeel van corporate governance. In geval
de beheersingsmaatregelen betrekking hebben op IT, spreken we van IT- governance. Speciaal voor IT-
governance is ook een code ontwikkeld door ITGI (International IT Governance Institute), namelijk de
COBIT-code. De COBIT- code staat voor:
Control Objectives for Information and Related Technology.
Stuvia.com - De Marktplaats voor het Kopen en Verkopen van je Studiemateriaal
-
8/19/2019 Stuvia 23hoofdlijnen bestuurlijke informatiesystemen
28/46
Door: A. Frederiks 27
De COBIT- standaard dient als vertrekpunt voor de te treffen beheersingsmaatregelen. Bepaalde
beheersingsmaatregelen vinden we in iedere organisatie terug:
- Het vastleggen van verantwoordelijkheden rond beveiliging, zodat dat duidelijk is wie waarvoor
verantwoordelijk is.
-
Het organiseren van trainingen op gebied van informatiebeveiliging.
-
Het rapporteren van informatiebeveiligingsproblemen
-
Het garanderen van de continuïteit van bepaalde bedrijfsprocessen als de IT- functie onverhoopt
zou uitvallen door middel van uitwijkfaciliteiten, back-up en recovery en voldoende
computerverwerkingscapaciteit.
Uitwijkfaciliteiten: het tijdelijk gebruik kunnen maken van de faciliteiten van een ander bedrijf.
Recovery: een team specialisten die zo snel mogelijk de boel weer op de rails krijgen.
5.3 IT- risicomanagement
Eerst moeten de risico’s in kaart worden gebracht, voordat beheersingsmaatregelen getroffen kunnen
worden. Er zal dus eerst een risicoanalyse moeten worden uitgevoerd. De risicoanalyse bestaat uit de
volgende drie stappen:
1. Risico-inventarisatie
2. Inschatten hoe groot de kans is dat een risico zich voordoet (rekening houdend met de getroffen
IT- controlemaatregelen).
3. Inschatten van de schade die optreedt als het risico zich voordoet.
Op basis van punt 2 en 3 wordt een kosten- batenanalyse gemaakt en wordt de prioriteit vastgesteld. Aan
de hand hiervan wordt bepaald welke risico’s als eerste afgedekt worden.
Een risicoanalyse moet periodiek worden uitgevoerd, omdat:
- De omgeving verandert en daarmee een verschuiving van de risico’s gepaard gaat.
- Er nieuwe risico’s kunnen optreden.
-
Er vastgelegd moet worden of de huidige controlemaatregelen nog goed functioneren.
De verschillende risico’s die zich het meest voordoen worden behandeld.
Virussen (risico 1)
Een computervirus is een klein computerprogramma dat ontworpen is, met als doel schade toe te
brengen bij computergebruikers. De bekendste virussen met verschillende effecten:
Melissa- virus
Het Melissa- virus maakt gebruik van beveiligingslekken in Microsoft Word, Microsoft Outlook en Outlook
Express. Zodra je een document opent dat besmet is met dit virus, dan wordt het e-mailprogramma
geopend en worden een groot aantal berichten verstuurd onder de naam van de ontvanger van het virus.
Het virus heeft geen invloed op de hardware, maar op het e-mailverkeer waardoor een zo grote belasting
op de mailservers ontstaat, dat geen e-mailverkeer meer mogelijk is.
CIH- virus (Tsjernobyl virus)
Het CIH- virus vernietigt gegevens op de harde schijf van computers met het besturingssysteem Windows
95 en 98. Daarnaast bleek het virus in staat te zijn de processor te beschadigen waardoor de computer
onbruikbaar wordt.
Stuvia.com - De Marktplaats voor het Kopen en Verkopen van je Studiemateriaal
-
8/19/2019 Stuvia 23hoofdlijnen bestuurlijke informatiesystemen
29/46
Door: A. Frederiks 28
I-love-you virus (meest geldverslindende virus)
Bij een e-mail is een attachment toegevoegd met als onderwerp ‘love letter’. Wanneer de bijlage geopend
wordt, dan wordt in de adressenlijst ingebroken en wordt de e-mail doorgestuurd naar alle contacten.
Daarnaast wordt de startpagina van je internet veranderd. Zodra je internet opent, download je ongewild
een programma. Het programma doorzoekt de computers op wachtwoorden en stuurt deze naar de
ontwerper van het virus. Bovendien tast het virus ook nog eens geluids- en fotobestanden aan.
Koernikova- virus (Nederlandse virusmaker)
Het virus wordt verspreid door middel van een e-mail. Als bijlage is een foto van de tennisster Anna
Koernikova toegevoegd. In werkelijkheid wordt bij opening van de bijlage het virus doorgestuurd naar alle
contacten.
Vormen van virussen
1.
Worm: een worm verspreidt zichzelf over computernetwerken via e-mail door in te breken in het
adressenbestand. Het I-love-you virus is het bekendste worm- virus.
2.
Trojan Horse (Trojaans paard): de Trojan Horse is een besmet programma dat verstopt zit in eenander programma. De gebruiker moet eerst het bijbehorend programma openen, voordat het
Trojaans paard actief wordt. De gevaarlijkste Trojaanse paarden zijn remote-
beheersprogramma’s die gebruikt worden voor het op afstand beheren van computersystemen.
Iemand anders kan dan vanaf zijn computer andere computers op afstand aansturen.
3.
Hoax (grap/mop): is een nepvirus. Het betreft een e-mailbericht dat computergebruikers
waarschuwt voor een nieuw virus. In werkelijkheid is er geen virus. Omdat gebruikers bang zijn
sturen de e-mail zo veel mogelijk door. Het gevolg is dat de mailserver overbelast raakt.
Hacking (risico 2)
Hacking kan gedefinieerd worden als het ongeautoriseerd toegang krijgen tot en gebruiken vannetwerkcomputers. De meeste hackers beperkt zich tot het toegang krijgen en doen verder niets.
Hackers gebruiken verschillende technieken, zoals:
- Password- crackers: dit is software die wachtwoorden kan kraken.
- Denial-of-serviceaanval: een hacker infecteert andere computers met een Trojan Horse virus,
zodat hij deze computers kan aansturen. Deze geïnfecteerde computersystemen worden zombies
genoemd. Aan de zombies wordt opdracht gegeven om heel veel informatieaanvragen bij een
website te doen waardoor de website niet meer te bezoeken is voor anderen.
-
Web-defacing: bij web-defacing wordt een website vervangen door een andere website. De
website van het ministerie van Justitie was vervangen door een site waarop een hakenkruis tezien was en de naam was veranderd in United States Department of Injustice.
Overige risico’s
- Stroomuitval kan grote schade toebrengen aan de hardware.
-
Werknemers kunnen door onvoldoende IT- training onopzettelijk schade aanrichten aan het
systeem.
-
Werknemers kunnen ook opzettelijk schade aanrichten aan het systeem.
Stuvia.com - De Marktplaats voor het Kopen en Verkopen van je Studiemateriaal
-
8/19/2019 Stuvia 23hoofdlijnen bestuurlijke informatiesystemen
30/46
Door: A. Frederiks 29
5.4 IT- beheersingsmaatregelen en informatiebeveiliging
Verschillende beheersingsmaatregelen:
-
Geprogrammeerde controles hebben betrekking op de gegevensverwerking in het systeem.
- Integriteitcontroles hebben betrekking op procedures en het verzamelen van gegevens.
-
Gebruikerscontroles
hebben betrekking op het invoeren en uitvoeren van gegevens.- Fysieke controles bijvoorbeeld sloten op deuren van ruimtes waar computerhardware staat.
IT- beheersingsmaatregelen hebben als doel:
1.
De goede werking van de IT- infrastructuur te garanderen, en
2. Beveiligen van informatie
Informatiebeveiliging heeft 4 doelen:
1. Beschermen van de vertrouwelijkheid van informatie, zodat alleen personen toegang krijgen die
daartoe bevoegd zijn.
2.
Waarborgen van de integriteit van informatie, zodat informatie juist, accuraat en volledig is.3.
Waarborgen van de beschikbaarheid van informatie.
4.
Waarborgen van de authenticiteit van informatie, zodat met een redelijke zekerheid de herkomst
van informatie kan worden vastgesteld.
10 IT- beheersingsmaatregelen zullen worden behandeld:
1. Antivirussoftware: signaleert en verwijdert computervirussen. Het programma controleert
voortdurend: bestanden op de harde schijf, binnenkomende e-mails en gedownloade bestanden.
2.
Firewalls: is een software eventueel aangevuld met hardware die de computer beschermt tegen
indringers. In een firewall kan worden aangegeven welke computers van buiten het netwerk
toegang mogen krijgen en ook welke programma’s toegang mogen krijgen tot bronnen buiten het
netwerk.
3.
Back-upmaatregelen: van bestanden die zijn opgeslagen wordt een kopie gemaakt. Wanneer er
een storing is, gaan alleen bestanden verloren tot de laatste back-up. Omdat individuele
gebruikers vaak vergeten een back-up te maken, worden bestanden op een centrale server
opgeslagen. De automatiseringsafdeling zorgt dan voor en regelmatige back-up van de centrale
server, zodat belangrijke informatie niet verloren gaat.
4. Toegangscontrole: dient ervoor dat onbevoegden geen toegang kunnen krijgen tot pc’s, netwerk
of gegevens van een organisatie. De bekendste toegangcontrole is die van gebruikersnaam +
wachtwoord. Ook bestaat een chipkaart die wordt gebruikt om toegang te krijgen tot individuele
pc’s te beperken. Een andere vorm van toegangscontrole is met behulp van biometrische
gegevens: vingerafdruk, stem of iris om toegang te krijgen.
5. Encryptie: een bestand wordt gecodeerd, zodat het niet leesbaar is, totdat het bestand wordt
gedecodeerd. Voor het coderen gebruikt de verzender een codeersleutel. De ontvanger moet
over dezelfde codeersleutel beschikken om het bestand te kunnen decoderen en te lezen. Een
publieke codeersleutel zorgt ervoor dat je maar één codeersleutel gebruikt om een bestand aan
verschillende ontvangers te versturen, zodat niet voor iedere klant een aparte geheime
codeersleutel gebruikt hoeft te worden. Alleen de ontvanger maakt gebruik van een geheime
codeersleutel om het bestand te kunnen openen.
Stuvia.com - De Marktplaats voor het Kopen en Verkopen van je Studiemateriaal
-
8/19/2019 Stuvia 23hoofdlijnen bestuurlijke informatiesystemen
31/46
Door: A. Frederiks 30
6.
Secure servers: voor een website worden wel eens aparte servers gebruikt om bijvoorbeeld af te
rekenen. De financiële gegevens worden vervolgens alleen op deze streng beveiligde server
bewaard, waardoor een organisatie niet al haar servers even streng hoeft te beveiligen.
7.
Virtual private networks (vpn): voorheen werd gebruik gemaakt van internet wanneer een
organisatie haar interne netwerk wilde aansluiten op netwerken van andere partijen (klanten en
leveranciers). Het risico bestaat dan dat een onbevoegde waar ook ter wereld toegang probeert
te krijgen tot het netwerk. Daarom kunnen organisaties gebruik maken van vpn’s. Dan kunnen
alleen partijen die toegang hebben, gebruik maken van het netwerk. Vpn maakt geen gebruik van
aparte communicatielijnen, maar van dezelfde communicatielijnen als internet. Het komt erop
neer dat de toegang tot het onderlinge netwerk extra beveiligd is en om die reden is sprake van
een virtual netwerk in plaats van een fysiek netwerk.
8.
Elektronische handtekening en elektronische certificaten: eerst was een digitale handtekening
niet rechtsgeldig, omdat niet met zekerheid kon worden vastgesteld of de handtekening bij de
juiste persoon hoorde. Tegenwoordig is de digitale handtekening wel rechtsgeldig, omdat metbehulp van een digitaal certificaat de echtheid kan worden vastgesteld. Het certificaat bevat de
naam van de houder van het certificaat, de vervaldatum, een uniek nummer en de digitale
handtekening. De certificaten worden uitgegeven door banken en creditcardorganisaties. Zonder
certificaat is je digitale handtekening niet geldig.
9. Software updates en patches: in software kunnen fouten zitten, waardoor het programma niet
optimaal functioneert, maar ook fouten die het voor hackers mogelijk maakt om in te breken. In
geval het om een ernstige fout gaat, kan de softwareleverancier een nieuwe versie maken en ter
beschikking stellen. De software is dan geüpgrade. Wanneer kleine onderdelen worden
aangepast, is sprake van een update of patch. In de meeste gevallen worden de patches viainternet verspreid onder de klanten.
10. Recoverymaatregelen: uitval van informatiesystemen (door natuurrampen, criminaliteit of
terroristische aanslagen) kan voor organisaties dramatische gevolgen hebben. In een dergelijk
geval moet een calamiteitenplan klaarliggen waarin is opgenomen hoe de goede werking van het
systeem kan worden verzekerd. Het plan bevat welke systemen de hoogste prioriteit hebben en
welke personen daarvoor verantwoordelijk zijn. Ook bevat het plan preventieve maatregelen die
genomen moeten worden om de gevolgen van een calamiteit te beperken.
5.5 Risicobeheersing in een geïntegreerde informatieomgeving
Een ERP- systeem kent een vergaande integratie van verschillende functies in één systeem. Daardoor zijn
de risico’s groter. De inzet van een ERP- systeem heeft een bijzonder grote invloed op de interne controle
binnen een organisatie. Binnen dit systeem worden registraties, die voorheen op verschillende plekken
binnen de organisatie gegenereerd, geïntegreerd. De controletechnische functiescheiding valt hierdoor
weg. Wanneer de invoergegevens niet betrouwbaar zijn, deugen de uitkomsten ook niet. Er moeten dus
controlemaatregelen getroffen worden om deze problemen te voorkomen.
Binnen de automatiseringsorganisatie moet functiescheiding worden ingevoerd. De ontwikkeling en het
gebruik van het systeem dient gescheiden te worden om de kans op fraude te verminderen. Ook dient
een scheiding aanwezig te zijn tussen de gegevensverwerking en de controle op de gegevensverwerking.
Stuvia.com - De Marktplaats voor het Kopen en Verkopen van je Studiemateriaal
-
8/19/2019 Stuvia 23hoofdlijnen bestuurlijke informatiesystemen
32/46
Door: A. Frederiks 31
Integriteitcontroles: procedures en gegevensverzameling
De automatiseringsorganisatie kent een structuur waarin het volgende moet worden vastgelegd:
- De taakomschrijvingen
- Bevoegdheden
-
Verantwoordelijkheden
van de verschillende functionarissen die bij de automatisering betrokken zijn.
Alle procedures moeten schriftelijk worden vastgelegd.
Gebruikerscontroles invoer en uitvoer van gegevens.
De controle op invoer wordt door een andere functionaris uitgevoerd dan de functionaris die de gegevens
heeft ingevoerd.
Geprogrammeerde controles verwerking van gegevens.
De controles op de gegevensverwerking kunnen ingebouwd of geprogrammeerd zijn. De controle m.b.v.
voortelling (batch en hash- totaal) is hiervan een voorbeeld.
Andere geprogrammeerde controles: controle op nummers aan de hand van controlecijfer.
Redelijkheidcontrole: invoer wordt getoetst op aanvaardbaarheid.
Controle op waarden: bijvoorbeeld de invoer moet tussen 1 en 12 liggen anders blokkeert het systeem de
invoer van gegevens.
Fysieke controles bescherming tegen brand, water en inbraak.
5.6 Valkuilen bij IT- beveiliging
Naast kosten hebben IT- beheersingsmaatregelen ook andere negatieve gevolgen. Doordat eisen aan de
wachtwoorden worden gesteld, zijn ze voor de gebruiker moeilijker te onthouden. Mensen schrijven
wachtwoorden op, zodat het voor hackers nog gemakkelijker wordt gemaakt.
Ook de relatie tussen beveiliging en privacy staat op gespannen voet. Sommige medewerkers worden op
zodanige manier gecontroleerd waardoor de privacy in gedrang komt.
Ook worden door werkgevers persoonlijke gegevens van werknemers opgeslagen. Op dit punt bestaat de
Wet bescherming persoonsgegevens, waarin is vastgelegd welke gegevens werkgevers mogen opslaan en
hoe hiermee moet worden omgegaan. Wanneer een werknemer bezwaar heeft, kan hij/zij een klacht
indienen bij het College Bescherming Persoonsgegevens die de werkgever tot aanpassing kan verplichten.
Stuvia.com - De Marktplaats voor het Kopen en Verkopen van je Studiemateriaal
-
8/19/2019 Stuvia 23hoofdlijnen bestuurlijke informatiesystemen
33/46
Door: A. Frederiks 32
Hoofdstuk 7 – Het inkoopproces
De inkoopfunctie is een beschikkende functie (het binden van de organisatie aan derden).
In dit hoofdstuk komen de risico’s met betrekking tot het inkoopproces aan bod en de
beheersingsmaatregelen die genomen moeten worden om deze risico’s te beheersen. Verder wordt de
AO van het inkoopproces behandeld.
7.1 Risico’s, attentiepunten en beheersingsmaatregelen van het
inkoopproces
Eerst wordt het risico genoemd en vervolgens de beheersingsmaatregel etc.
Risico 1: Inkopers worden door leveranciers beïnvloed d.m.v. geschenken en steekpenningen. Hierdoor is
de kans groot dat de inkoper bij de leverancier inkoopt die hem/haar een voordeel biedt. Het gevolg
hiervan is dat te veel wordt betaald in verhouding tot de geleverde kwaliteit.
Beheersingsmaatregelen:
- Het screenen van inkopers (preventief).
- Het belonen van inkopers als ze hun inkoopdoelstellingen m.b.t. prijs-kwaliteitverhouding halen
(preventief).
-
Het opstellen van een gedragscode die inkopers verbiedt om geschenken aan te nemen
(preventief).
-
Het toepassen van offerteprocedures: er moet bij verschillende leveranciers een offerte
aangevraagd worden en er wordt door twee inkopers bepaald welke leverancier de beste prijs-
kwaliteitverhouding heeft.
-
Vergelijken van de inkoopprijzen met marktgegevens (repressief). Het hoofd financiën
controleert de inkoopprijzen met de gemiddelde prijs waartegen de rest van de markt inkoopt.
- Het vergelijken van gemiddelde inkoopprijzen tussen inkopers (repressief).
Repressieve maatregelen kunnen een preventieve werking hebben. Inkopers weten dat ze achteraf
gecontroleerd worden.
Risico 2: Inkopers kopen te duur in, doordat niet tegen optimale condities wordt ingekocht (niet met
opzet).
Beheersingsmaatregelen:
-
Het toepassen van een offerteprocedure: er wordt bij verschillende leveranciers offertesaangevraagd. De beoordeling van de leveranciers op prijs-kwaliteitverhouding geschied door
twee inkopers.
- Het afstemmen van de inkoopprijs met de prijslijst (interne lijst met maximumprijzen waartegen
ingekocht wordt), voordat de inkoop wordt gesloten.
- Het belonen van de inkopers op basis van het inkoopresultaat.
Risico 3: Het te veel inkopen.
Beheersingsmaatregelen:
-
Inkoopafdeling niet zelf laten bepalen hoeveel ingekocht moet worden.- Een juiste voorraadadministratie bijhouden waaruit blijkt wat het voorraadniveau is.
Stuvia.com - De Marktplaats voor het Kopen en Verkopen van je Studiemateriaal
-
8/19/2019 Stuvia 23hoofdlijnen bestuurlijke informatiesystemen
34/46
Door: A. Frederiks 33
Risico 4: Het te weinig inkopen.
Beheersingsmaatregelen:
- Het beoordelen van leveranciers op het leveren van de juiste afgesproken hoeveelheid.
-
Een juiste voorraadadministratie bijhouden waaruit blijkt wat het voorraadniveau is.
Risico 5: Tegen slechte kwaliteit inkopen.
Beheersingsmaatregelen:
- Inkopen bij vooraf gescreende leveranciers.
- Periodieke beoordeling van leveranciers op prijs-kwaliteitverhouding.
Risico 6: Het niet optimaal gebruik maken van inkoopkortingen als gevolg van niet tijdige betaling van de
inkoopfactuur waardoor te duur wordt ingekocht.
Beheersingsmaatregel:- Geautomatiseerde procedures die facturen op de vervaldatum automatisch betaalt.
Risico 7: Betalen voor niet geleverde goederen.
Beheersingsmaatregel:
- Controleren of de juiste hoeveelheid goederen in rekening zijn gebracht aan de hand van de
voorraadadministratie en de gegevens op de factuur.
De administratieve organisatie van het inkoopproces in het kort:
1.
het geven van een inkoopopdracht2.
uitvoeren van inkoopopdrachten
3.
ontvangst van goederen
4. controleren van inkoopfacturen
5. crediteurenadministratie bijwerken
6. betaling inkoopfacturen
7.2 Het geven van inkoopopdrachten
Bij productieondernemingen geeft het bedrijfsbureau inkoopopdrachten aan de afdeling inkoop. Het
bedrijfsbureau heeft de taak de ontvangen orders te coördineren. Het bedrijfsbureau moet aan de
productieafdeling doorgeven wat geproduceerd moet worden en in welke hoeveelheid. Op basis van de
productieplanning geeft het bedrijfsbureau opdracht aan de inkoopafdeling om goederen in te kopen.
Een productieonderneming kan ook op voorraad produceren. Er is dan altijd een bepaalde voorraad
aanwezig. Wanneer de bestelvoorraad bereikt is, wordt een inkoopopdracht gegeven. Het bedrijfsbureau
stelt in samenwerking met de inkoopafdeling vast wat het bestelniveau is en hoeveel ingekocht moet
worden, wanneer het bestelniveau bereikt is.
Stuvia.com - De Marktplaats voor het Kopen en Verkopen van je Studiemateriaal
-
8/19/2019 Stuvia 23hoofdlijnen bestuurlijke informatiesystemen
35/46
Door: A. Frederiks 34
Het bereiken van het bestelniveau kan gesignaleerd worden door:
- De magazijnchef: de magazijnchef stelt vast dat het bestelniveau bereikt is en geeft dit door aan
het bedrijfsbureau. Het bedrijfsbureau controleert of het bestelniveau inderdaad bereikt is en
geeft zo nodig een inkoopopdracht aan de afdeling inkoop. De magazijnchef kan ook direct de
inkoopafdeling de opdracht tot inkopen geven. Het nadeel hiervan is dat de controle door het
bedrijfsbureau wordt overgeslagen met als gevolg dat misschien besteld wordt terwijl dit niet
nodig is.
- De voorraadadministratie: wanneer de voorraadadministratie een signaal geeft dat het
bestelniveau is bereikt, dan wordt een inkoopopdracht doorgegeven aan de afdeling inkoop.
- De inkoper: het geautomatiseerd systeem geeft een signaal aan de inkoper, wanneer het
bestelniveau is bereikt.
7.3 Uitvoering van inkoopopdrachten
1. Nagaan welke leveranciers de gevraagde artikelen kunnen leveren:
Een onderneming houdt een productdocumentatie bij. Hierin staan gegevens over het product en
welke leveranciers dat product leveren. Door een product op te zoeken in de documentatie kan
men de leveranciers aanklikken die het product leveren. Je komt dan in de
leveranciersdocumentatie terecht met informatie over de leverancier en welke producten de
leverancier verkoopt. Op basis van de verkregen gegevens worden leveranciers geselecteerd die
in aanmerking komen voor de levering van het product.
2. Leverancierscondities onderzoeken:
Tegen welke voorwaarden leveren de leveranciers?
Inkoper 1: vraagt offertes aan.
Inkoper 2: ontvangt de offertes en gaat na of van iedere leverancier een offerte is ontvangen.
Deze functiescheiding dient er voor om samenwerking tussen inkoper en leverancier te
voorkomen. Anders zou een inkoper offertes van andere levera