Samenvatting bij de 14e druk van Accounting Information Systems van Romney & Steinbart


Wat houden Accounting Information Systems in? - Chapter 1

Dit chapter bevat een opsomming van een aantal belangrijke begrippen en definities omtrent informatie systemen. Verder zal aandacht worden besteed aan de kernaspecten van een accounting information system (AIS).

Begrippen

Een system is een combinatie van twee of meer met elkaar verbonden componenten die samenwerken om een doel te bereiken. Elk systeem bestaat vaak uit aan aantal subsystemen die een groter systeem ondersteunen.

Er bestaat een goal conflict wanneer een subsysteem conflicteert met de doelen van een ander subsysteem of met het gehele systeem.

Goal congruence komt voor als een subsysteem zijn doel bereikt terwijl tegelijkertijd het algemene doel van de organisatie wordt nagestreefd (overeenstemming). Hoe groter de organisatie, hoe moeilijker er overeenstemming wordt bereikt.

Data zijn feiten die zijn verzameld, geregistreerd, opgeslagen en verwerkt door een informatiesysteem. Vervolgens wordt deze data georganiseerd en verwerkt zodat er een betekenis aan kan worden gegeven en zodat de besluitvorming verbeterd kan worden, dit wordt ook wel informatie genoemd.

Echter een mens heeft beperkingen in de hoeveelheid informatie die hij kan opnemen. We noemen dit ook wel een information overload. Het gebruik van informatie technologie (IT) kan besluitvormers helpen om informatie te verzamelen, te analyseren en te beheren. Informatie heeft een bepaalde waarde die berekend kan worden door de voordelen van informatie af te wegen tegen de kosten die gemaakt worden bij het produceren van deze informatie. De kosten en baten zijn erg moeilijk te meten, maar desondanks probeert men een zo’n goed mogelijke inschatting te maken. Informatie wordt bruikbaar en betekenisvol als het voldoet aan enkele kenmerken zoals: relevantie, betrouwbaarheid, compleetheid, begrijpelijkheid, meetbaarheid, toegankelijkheid en als de informatie op tijd wordt verschaft.

Een business process is een reeks van gerelateerde, gecoördineerde en gestructureerde activiteiten en taken die door een persoon of een computer worden uitgevoerd, en die helpen bij het realiseren van de doelen van een organisatie. Om juiste beslissingen te nemen, moeten ondernemingen in eerste instantie beslissen welke beslissingen er moeten worden genomen, welke informatie daarbij gebruikt kan worden en hoe data effectief kan worden omgezet in informatie. Niet alle informatie zal binnen de onderneming zelf worden geproduceerd, daarom moet informatie van buitenaf (leveranciers) goed worden gemengd met de interne informatie.

Een transactie is een overeenkomst tussen twee entiteiten om goederen, services of andere activiteiten, die kunnen worden gemeten in economische termen, uit te wisselen.

Het proces dat begint met het verkrijgen van data en dat eindigt met informatieve output (financiële verslagen) heet transactie processing. Veel bedrijfsactiviteiten zijn gebaseerd op give-get exchange, het proces van geven en nemen.

Deze uitwisselingen kunnen worden verdeeld in vijf belangrijke business processes or transaction cycles:

  • Revenue cycle: goederen en services worden verkocht voor geld of voor de belofte om in de toekomst geld te ontvangen.

  • Expenditure cycle: de inkoop van voorraad voor herverkoop of de inkoop van grondstoffen voor productie in ruil voor geld of voor de belofte om in de toekomst geld te betalen.

  • Production of conversion cycle: grondstoffen worden omgezet in eindproducten.

  • Human resources/ payroll cycle: werknemers worden ingehuurd, getraind, beloond, geëvalueerd, gepromoveerd en ontslagen.

  • Financing cycle: bedrijven verkopen aandelen aan investeerders en lenen geld, investeerders ontvangen dividend en rente over leningen.

Deze bovenstaande transacties worden ondersteund door een aantal andere bedrijfsactiviteiten zoals het controleren van de voorraadniveaus, het controleren van klantenkrediet, het aanpassen van financiële verslagen en het doorgeven van informatie aan andere cycli

De vijf cycli communiceren met de general ledger and reporting system, die bestaat uit alle activiteiten die gerelateerd zijn aan de voorbereiding van de financiële verslagen en andere rapporten.

Wat zijn accounting Information Systems (AIS)?

Een accounting information system is een systeem dat data verzamelt, registreert, opslaat en verwerkt om informatie te produceren voor beleidsmakers. Een AIS kan variëren van een ‘papier-en-pen’ handmatig systeem tot een zeer complex systeem dat gebruikt maakt van de laatste technologie.

Echter, het proces is altijd hetzelfde en is onafhankelijk van de gebruikte methode. Bovenstaande voorbeelden zijn slechts instrumenten, gebruikt om informatie te produceren.

Een AIS bestaat uit zes componenten:

  1. De mensen die het systeem gebruiken.

  2. De procedures en instructies die gebruikt worden om data te verzamelen, te verwerken en op te slaan.

  3. De data over de organisatie en zijn bedrijfsactiviteiten.

  4. De software, gebruikt om de data te verwerken.

  5. De IT-infrastructuur, met inbegrip van computers, randapparatuur en netwerk communicatie apparaten.

  6. De interne controles en veiligheidsmaatregelen dat de data moet beschermen.

Bovenstaande componenten stellen een AIS in staat om aan drie belangrijke bedrijfsfuncties te voldoen:

  1. Het verzamelen en opslaan van data over organisatorische activiteiten, middelen en personeel.

  2. Data omzetten in informatie zodat het management kan plannen, uitvoeren, controleren en evalueren.

  3. Het bieden van goede controle ten aanzien van de activa en de data van een onderneming.

Een goed AIS kan waarde aan een onderneming toevoegen door:

  • Het verbeteren van de kwaliteit en het reduceren van de productie –of servicekosten.

  • Het verbeten van de efficiëntie .

  • Het delen van kennis.

  • Het verbeteren van de efficiëntie en de effectiviteit van de ‘supply chain’.

  • Het verbeteren van de interne controlestructuur.

  • Het verbeteren van de besluitvorming.

Een AIS kan assistentie bieden tijdens alle fases van besluitvorming. Het kan bijvoorbeeld situaties identificeren die actie van het management vereisen. Het kan informatie verzamelen over de resultaten van vorige beslissingen, de feedback kan gebruikt worden voor toekomstige beslissingen. Of het kan bijvoorbeeld verkoopdata op zo’n manier analyseren dat er een verband blijkt te bestaan tussen verschillende goederen; goederen worden samen gekocht.

Een AIS bestaat uit drie factoren die het ontwerp van het systeem bepalen. Een daarvan zijn ontwikkelingen in de informatie technologie (IT). De informatie technologie (IT) kan de ‘business strategy’ van een onderneming beïnvloeden. Internet heeft er bijvoorbeeld voor gezorgd dat er een ‘low-cost strategy’ kan worden aangenomen.

Een ander voorbeeld is predictive analysis, dat ‘data warehouses’ en complexe methoden gebruikt om toekomstige gebeurtenissen te voorspellen, op basis van trends en kansberekeningen.

Zowel internet als de predictive analysis kunnen zorgen voor een competitief voordeel. De derde factor is de organizational structure.

Wat is de de rol van een AIS in de value chain

De rol van een AIS in de value chain uit zich in vijf verschillende primary activities die waarde toevoegen voor de klant. Een value chain is een keten van primary activities en supporting activities. Waarde wordt toegevoegd elke keer dat een product een bepaalde activiteit passeert.

Primary activities betreffen de activiteiten die worden uitgevoerd om producten en diensten te creëren, op de markt te brengen en te leveren aan klanten en om service te bieden na de levering. Support activities zijn activiteiten die ervoor zorgen dat de primary activities efficiënt en effectief kunnen worden uitgevoerd.

De vijf primary activities zijn:

  1. Inbound logistics: ontvangen en opslaan van materialen.

  2. Operations: input transformeren in output.

  3. Outbound logistics: distributie en transport.

  4. Marketing and sales: adverteren en verkopen.

  5. Service: reparaties en onderhoud.

De vier supporting activities zijn:

  1. Firm infrastructure: de administratieve activiteiten die ervoor zorgen dat een organisatie functioneert.

  2. Human resources: aannemen, trainen en belonen van werknemers.

  3. Technology: activiteiten die zorgen voor verbetering van een product of dienst.

  4. Purchasing: de aanschaf van materialen, leveranciers, machines en de gebouwen om de primary activities uit te voeren.

Een Supply chain is een uitgebreid systeem dat zowel de value chain als de leveranciers, distributeurs en klanten van een organisatie bevat.

Hoe kunnen transacties binnen een organisatie worden georganiseerd? - Chapter 2

 

Dit hoofdstuk is verdeeld in twee belangrijke delen. Het eerste deel bespreekt het begrip data processing cycle, het tweede deel bespreekt de rol van een informatiesysteem in moderne organisaties en introduceert het begrip enterprise resource planning (ERP) system.

Wat houdt de Data Processing Cycle in?

De data processing cycle betreft de handelingen die data omzetten in betekenisvolle en relevante informatie. Deze cyclus bestaat uit vier stadia:

  1. Data input

  2. Data opslag

  3. Data verwerking

  4. Informatie output

Data input

Elke bedrijfsactiviteit bevat drie facetten waarvan data moet worden verzameld: elke activiteit die van belang is (datum en tijd van verkoop, aantal verkochte artikelen), de middelen die worden beïnvloed door elke activiteit en de mensen die participeren in elke activiteit (de werknemer die de verkoop doet).

Onderstaande voorbeelden betreffen manieren om input te verzamelen:

  • Vroeger gebruikten veel ondernemingen papieren source documents om data te verzamelen. Later werd deze data overgezet op computers. Een source document is het document dat de originele/eerste registratie van een transactie bevat. Zodra het overgezet wordt op de computer is het dus geen source document meer.

  • Turnaround documents zijn output van een bedrijf die naar een externe partij worden gestuurd. De externe partij voegt in veel van de gevallen wijzigingen toe, waarna zij deze als een input document terugsturen. Een voorbeeld hiervan zijn energierekeningen die opgestuurd worden naar de klant, vervolgens teruggestuurd worden met de desbetreffende betaling en opnieuw in de computer worden gezet met behulp van een speciaal scanapparaat.

  • Source data automation betreft het proces van dataverzameling in digitale vorm dat plaatsvindt op de originele plaats en tijd (barcode scanners).

Een tweede stap in het inputproces is om ervoor te zorgen dat de data nauwkeurig en compleet is. Een manier om dit te bereiken is om gebruik te maken van source data automation of van goed ontwikkelde turnaround documents en data entry screens. De laatste geeft vaak alle data weer die de gebruiker moet invoeren, dit komt soms overeen met een turnaround document.

De derde stap is het waarborgen van het bedrijfsbeleid, zoals het goedkeuren of het controleren van een transactie.

Data opslag

Boekhoudkundige informatie wordt opgeslagen in general ledgers en subsidiary ledgers. Een general ledger bevat de gegevens voor alle activa, schuld, eigen vermogen, inkomsten en kosten. Een subsidiary ledger bevat gedetailleerde gegevens van elke general ledger met desbetreffende subaccounts. Een control account is een general ledger post die het totaalbedrag van alle subsidiary ledgers weergeeft. Dit komt eigenlijk neer op een totaalpost. De som van alle posten in een subsidiary ledger moet gelijk zijn aan het bedrag van het control account.

De data in ledgers wordt logisch georganiseerd door gebruik te maken van bepaalde coderingstechnieken:

  • Sequence codes: posten worden opeenvolgend gerangschikt, ontbrekende posten vormen zo een gat in de nummering.

  • Block codes: een groep nummers wordt aan een bepaalde categorie toegekend.

  • Group codes: er wordt gebruik gemaakt van twee of meer subgroepen, deze worden vaak gebruikt in combinatie met Block codes.

  • Mnemonic codes: letters en cijfers worden afgewisseld om een item te identificeren, dit is een alfabetisch geheugensteuntje dat slaat op het gecodeerde object.

Een code moet aan bepaalde voorwaarden voldoen, namelijk: in overeenstemming zijn met het beoogde gebruik, de mogelijkheid hebben om te kunnen groeien, zo simpel mogelijk zijn om kosten te minimaliseren en consistent zijn met de structuur van de organisatie en met de verschillende afdelingen binnen die organisatie. Een groot voorbeeld van codering is de chart of accounts, dit is een lijst van alle nummers die zijn toegewezen aan elke general ledger post.

Voordat transactiedata in een ledger verschijnen zullen ze eerst vermeld worden in een journal. Een journaalpost geeft aan welke grootboekrekeningen gedebiteerd en gecrediteerd moeten worden. Een general journal wordt gebruikt om onregelmatige transacties vast te leggen, zoals aflossingen en aanpassingen aan het einde van de periode. Een specialized journal registreert juist de regelmatige transacties zoals verkopen, kasontvangsten en kasuitgaven.

Een audit trail is een traceerbaar pad dat een transactie volgt door het systeem van dataverwerking: van de oorsprong tot de uiteindelijke output (en omgekeerd). Het wordt gebruikt om de nauwkeurigheid en geldigheid van grootboekrekeningen te controleren.

Een entity is iets waarover informatie wordt opgeslagen, zoals: werknemers, klanten en voorraden. Elke entity heeft attributes (bepaalde kenmerken). Elk type entity bevat dezelfde kenmerken, de specifieke waardes die hieraan gekoppeld worden zijn wel verschillend. Computers slaan gegevens op in een field. Een field bevat data van een enkel kenmerk en is onderdeel van een record. Een record bevat logisch gerelateerde data dat alle kenmerken van een entity omvat (rij). De inhoud van een field wordt een data value genoemd. Een groep gerelateerde records wordt een file genoemd, en een master file is een permanente file dat alle informatie opslaat wat betreft de middelen van een organisatie en de agenten met wie de organisatie communiceert. Een voorbeeld van zo’n file is de transaction file dat alle records van individuele transacties bevat. Tenslotte wordt er van een database gesproken in het geval van een reeks onderling verbonden files (debiteuren – klanten – verkoopanalyses).

Data verwerking

De vier soorten activiteiten die ervoor zorgen dat de data verwerkt wordt, worden samengevat als CRUD:

  1. Het creëren van nieuwe records (Creating).

  2. Het lezen, opvragen of bekijken van bestaande data (Reading).

  3. Het updaten van data (Updating).

  4. Het verwijderen van data (Deleting).

Als het updaten van data op periodieke basis gebeurt, wordt dit batch processing genoemd. Alhoewel deze vorm van updaten goedkoop en efficiënt is, is de data alleen actueel en nauwkeurig direct na het updaten. Een andere vorm van updaten wordt online, real-time processing genoemd. Transacties worden direct geüpdate als deze zich voordoen. Op deze manier kan er voor worden gezorgd dat de informatie altijd actueel is en kunnen beslissingen beter gemaakt worden. Dit systeem is ook nauwkeuriger, omdat fouten meteen gecorrigeerd of verwijderd kunnen worden. Daarnaast levert het competitieve voordelen op. Een combinatie van beide systemen is online batch processing, waar transactiedata wordt ingevoerd en bewerkt zodra de transactie plaatsvindt en wordt opgeslagen voor latere verwerking.

Informatie output

Informatie wordt meestal gepresenteerd in een van de volgende drie vormen: documents, reports, query response. Documents zijn gegevens van transacties of andere bedrijfsgegevens, zoals facturen en ontvangstbewijzen. Reports worden gebruikt door zowel werknemers (controleren van bedrijfsactiviteiten) en managers (maken van beslissingen en het formuleren van strategieën). Externe gebruikers kunnen met behulp van reports de positie van een onderneming waarnemen. Een query is een verzoek voor specifieke informatie van een computer en wordt gebruikt om problemen en vragen, die directe actie of antwoorden nodig hebben, op te lossen. Periodieke/ herhalende vragen worden vaak ontwikkeld door specialisten en eenmalige vragen worden vaak ontwikkeld door gebruikers.

Wat houden Enterprise resource planning (ERP) systems in?

Veel organisaties ontwikkelen extra informatiesystemen met als doel informatie, die niet is opgenomen in de AIS, te verzamelen, verwerken en te rapporteren. Echter creëert het naast elkaar bestaan van verschillende systemen problemen wat betreft de efficiëntie.

Enterprise resource planning (ERP) systems bieden een oplossing voor deze problemen doordat ze alle aspecten van de activiteiten van een onderneming integreert in één boekhoudkundig informatiesysteem. Een ERP systeem wordt samengevoegd met een AIS systeem. Daar waar een AIS systeem vooral de financiële data en de transacties afhandelt, zorgt het ERP systeem vooral voor de verzameling en verwerking van niet-financiële data. Een ERP systeem bestaat meestal uit kleine deelprogramma’s (modules) die allemaal een specifieke taak ondersteunen, namelijk: Financieel, Human Resource, Productie en Customer Relationship Management. Een ERP systeem biedt zowel voordeel als nadelen. Enkele voordelen zijn:

  • Alle bedrijfsprocessen worden in één database opgeslagen, waardoor de barrières tussen verschillende departementen worden opgeheven en de informatiestroom wordt bevordert.

  • Door de integratie van de verschillende systemen is eenmalige opslag van gegevens voldoende en hoeft de data niet steeds opnieuw ingevoerd te worden in verschillende systemen.

  • Het management heeft een beter overzicht van elk aspect in de onderneming, waardoor controle beter kan worden uitgevoerd. Ook werknemers worden meer productief en efficiënt doordat ze direct beschikking hebben over zowel de data van hun afdeling als dat van andere afdelingen.

  • Een onderneming beschikt over een betere toegangscontrole. Een ERP kan meerdere machtigingen en veiligheidsmodellen samenvoegen tot één toegangsstructuur.

  • Procedures en rapporten worden gestandaardiseerd binnen verschillende bedrijfstakken, vooral handig met fusies en overnames omdat een ERP systeem de verschillende systemen kan vervangen voor een enkel uniform systeem.

  • De klantenservice verbeterd, omdat werknemers snel toegang hebben tot bestellingen, voorraden, verzendgegevens en vroegere klantgegevens.

  • Productiebedrijven ontvangen nieuwe bestellingen op tijd en de automatisering van het productieproces bevorderd de productiviteit.

Enkele nadelen zijn:

  • ERP systemen zijn duur.

  • Het invoeren van een ERP systeem kost heel veel tijd.

  • Veranderingen in het bedrijfsproces: een belangrijke oorzaak van mislukkingen in het ERP systeem is dat het in kaart brengen van huidige bedrijfsactiviteiten in het ERP systeem mislukt.

  • Complexiteit: het samenvoegen van verschillende bedrijfsactiviteiten en systemen, met elk een ander proces en andere regels, zorgt voor problemen.

  • Weerstand onder werknemers is een veelvoorkomende reden waarom de invoering van een ERP systeem mislukt. Werknemers moeten hun werkwijze veranderen en er is veel training en ervaring nodig om het ERP systeem effectief te kunnen gebruiken.

Omdat ERP systemen complex en duur zijn, is het kiezen van een dergelijk systeem niet makkelijk. Een manier om een geschikt systeem te kiezen is het selecteren van een pakket ontworpen voor jouw industrie. Alhoewel de systemen erg duur zijn, is het niet verstandig om een goedkoop systeem aan te schaffen; op lange termijn kan dit meer kosten opleveren als het systeem niet volledig voldoet (aanpassingen zijn erg duur). Om het risico van het kopen van een verkeerd pakket te verminderen, is het verstandig om onderzoek te doen naar de beste leveranciers. Deze ERP leveranciers bieden vaak drie soorten services: het geven van advies, het product aanpassen aan de (persoonlijke) wens van de klant (customization) en ondersteuning.

Hoe kan data in systemen worden opgeslagen? - Chapter 3

 

Documentation omvat de verhalen, flowcharts, diagrammen en andere geschreven materialen die uitleggen hoe een systeem werkt: het dekt de wie, wat, wanneer, waar, waarom en hoe van data invoer, verwerking, opslag, informatieoutput en systeemcontroles. De tabellen, diagrammen e.d. worden bijgestaan door een narrative description van het systeem: een geschreven stap-voor-stap uitleg van de systeemcomponenten en interacties. In dit hoofdstuk ligt de nadruk op data flow diagrams en flowcharts.

Wat houden data flow diagrams in?

Een data flow diagram (DFD) beschrijft grafisch de datastroom binnen een organisatie, gebruik makend van de volgende elementen:

  • data source en data destination: entiteiten die de data, geproduceerd door het systeem, verzenden of ontvangen. Een entiteit kan tegelijkertijd een bron en een bestemming zijn.

  • Data flow: de verplaatsing van data tussen processes, stores, sources en destinations. Data dat zich verplaatst moet getransformeerd worden.

  • Processes: representeert de transformatie van de data; data input moet getransformeerd worden in data output.

  • Data store: een opslagplaats voor data.

Een DFD is onderverdeeld in lagere niveaus om meer details in kaart te brengen. Het hoogste level wordt een context diagram genoemd, omdat het de lezer een overzicht biedt van het gehele systeem, inclusief een overzicht van bovenstaande elementen.

Wat houden flowcharts in?

Een flowchart is een analytische techniek met als doel het beschrijven van enkele aspecten van een informatiesysteem op een duidelijke, beknopte en logische manier. Flowcharts maken gebruik van een standaard set van symbolen om een illustratieve beschrijving te geven van transactieprocessen en datastromingen binnen een systeem. Flowcharts bieden aanzienlijke voordelen:

  • Een illustratieve representatie is veel makkelijker te begrijpen dan een narrative description.

  • Zowel de accountant als de eigenaar van een onderneming kunnen de flowchart gebruiken als een werkinstrument tijdens discussies.

  • Flowcharts bieden een eenvoudige manier om data direct vast te leggen tijdens bijv. interviews, als er gebruik gemaakt kan worden van een computergestuurd tekenprogramma.

Enkele nadelen zijn:

  • Sommige mensen vinden het niet fijn werken of begrijpen ze niet.

  • Velen zijn slecht getekend en zijn daarom niet zo behulpzaam als ze zouden moeten zijn.

  • Het is tijdrovend om een flowchart te maken als men niet voldoende ervaring heeft op dat gebied.

De symbolen, gebruikt bij het maken van een flowchart kunnen onderverdeel worden in 4 categoriën:

  1. Input/output symbols: vertegenwoordigd apparaten of media die de input leveren of de output meten van processen.

  2. Processing symbols: laat zien welke type apparaten worden gebruikt om data te verwerken of tonen wanneer een proces handmatig wordt uitgevoerd.

  3. Storage symbols: representeren de apparaten die de data opslaan.

  4. Flow and miscellaneous symbols: geven de datastroom weer. Ze geven aan waar flowcharts beginnen of eindigen, waar beslissingen worden gemaakt en wanneer er toelichting moet worden gegeven.

Een document flowchart is een flowchart dat een document volgt ‘van de wieg tot het graf’. Het laat zien waar elk document vandaan komt, de distributie, de doelen waarvoor het document wordt gebruikt, het uiteindelijke doel en verder alles wat er gebeurt in de tussentijd; het illustreert de stroom van documenten en informatie tussen verschillende verantwoordelijkheid niveaus binnen een organisatie. Een document flowchart is voornamelijk handig bij het analyseren van procedures voor interne controle. Document flowcharts die deze interne en controle beschrijven en beoordelen worden ook wel internal control flowcharts genoemd. Ze kunnen zwakheden en inefficiënties in het systeem ontdekken. Een system flowchart is een schematisch overzicht van de stroom van data door een serie operaties in een geautomatiseerd data-verwerkingssysteem. Het laat zien hoe data wordt vastgelegd en in het systeem wordt gezet, daarnaast laat het de processen zien die werken met de data en het toont het systeem output. Een program flowchart is een schematische representatie van een reeks van logische activiteiten uitgevoerd door een computer (uitgevoerd door een programma op deze computer). Het beschrijft de specifieke logica om een proces uit te voeren weergegeven op een system flowchart. Een Business Process Diagram (BPD) is een manier om in een figuur te beschrijven hoe de verschillende stappen of activiteiten in een bedrijfsproces verlopen.

Wat is fraude en hoe kan het voorkomen worden? - Chapter 5

 

Dit hoofdstuk introduceert het onderwerp fraude. Wat is fraude? Hoe wordt fraude ontdekt? Hoe kwetsbaar is het systeem?

Wat voor soort dreigingen bestaan er voor een bedrijf?

Er zijn veel verschillende dreigingen die een bedrijf, en daarmee de informatie systemen, kunnen lopen.

Natuurlijke en politieke dreigingen. Denk aan grote terroristische aanslagen, een orkaan of aardbeving. Als de fysieke databanken vernietigd worden, dan heeft dit gevolgen voor de systemen die daar op draaien. Een nieuwe ontwikkeling hierin is dat met grote cyberaanvallen (bijvoorbeeld DDOS aanvallen) terroristen zich soms alleen op de informatie systemen richten.

Software fouten. Dit lijkt voor te komen bij minimaal 60% van de bedrijven. Denk bijvoorbeeld aan problemen in het belastingsysteem waardoor sommige belastingen niet goed berekend worden of problemen in het aanslaan van prijzen in winkels; dit kan snel leiden tot gederfde inkomsten.

Ongelukken of (onbedoelde) fouten. Dit kan gebeuren door menselijke onhandigheid, gebrek aan systemen voor mensen om te volgen en/of door slechte opleiding. Denk aan iets simpels als de komma in een systeem op de verkeerde plek zetten, dit kan snel leiden tot grote verliezen.

Fraude. Het is moeilijk om te weten hoe vaak dit voorkomt. Dit komt mogelijk omdat bedrijven er baat bij hebben aanvallen niet te melden (slechte publiciteit).

Wat wordt verstaan onder het begrip fraude?

Fraude is het verkrijgen van een oneerlijk voordeel ten opzichte van een andere persoon. De term wordt ook wel aangegeven met het begrip sabotage. Indien aan onderstaande voorwaarden wordt voldaan, kan er gesproken worden van fraude:

  • Een valse verklaring, vertegenwoordiging of openbaring.

  • Sprake van een materieel feit, wat leidt tot het handelen van een gegeven persoon.

  • De bedoeling om te misleiden.

  • Een gerechtvaardigd vertrouwen.

  • Schade voor het slachtoffer.

Fraudeplegers worden vaak omschreven als white-collar criminals (zakenlui die fraude plegen).

Fraude kan twee verschillende vormen aannemen:

  • Misappropriation of assets: de diefstal van bedrijfsmiddelen. Een bepalende factor is bijvoorbeeld het ontbreken van interne controles.

  • Fraudulent financial reporting: opzettelijk of roekeloos gedrag, hetzij door handelen of nalatigheid, dat resulteert in misleidende financiële verslagen. Op deze manier kunnen bijvoorbeeld investeerders en crediteuren worden misleid. De aandelenkoers kan worden aangepast of problemen binnen een bedrijf kunnen worden verdoezeld.

De ‘Treadway Commission’ (nationale commissie voor frauduleuze financiële verslaggeving) onderscheidt vier acties die kunnen helpen bij het verminderen van frauduleuze verslaggeving:

  1. Het creëren van een omgeving dat bijdraagt aan de integriteit van financiële verslaggeving.

  2. Identificeren en begrijpen van factoren die kunnen leiden tot fraude.

  3. Beoordelen van het risico van fraude in de onderneming.

  4. Het ontwikkelen en uitvoeren van interne controles, met als doel het voorkomen van fraude.

Een asset misappropriation komt wel zeventien keer vaker voor dan fraudulent financial reporting, alleen de bedragen die hiermee gemoeid zijn, zijn wel een stuk kleiner. De nadruk in de onderneming ligt dus vaak bij de laatstgenoemde.

De SAS No.99 (‘Statement on Auditing Standards’) stelt dat tot de vereisten van een accountant moeten behoren:

  • Het begrijpen van fraude

  • Het bespreken van de risico’s van frauduleuze onjuistheden.

  • Het verkrijgen van informatie

  • Het identificeren, het evalueren en het reageren op risico’s.

  • Het evalueren van resultaten van controles.

  • Het documenteren en bespreken van bevindingen.

  • Het opnemen van een technologische focus.

Wat zijn fraudeplegers?

In een onderzoek naar de psychologische en demografische kenmerken van white-collar criminals en andere criminelen, zijn belangrijke verschillen ontdekt: ‘fraudeplegers zijn net zoals jij en ik’. De meeste hebben geen strafblad. Sommige worden gedreven door nieuwsgierigheid, het verlangen naar kennis of de uitdaging van het verslaan van een systeem. Vaak gebeurt het plegen van fraude onder drie condities:

  • Pressure: de prikkel of de motivatie van een persoon voor het plegen van fraude. De financiële situatie, de levensstijl of de emotionele toestand van een persoon zijn voorbeelden van prikkels.

  • Opportunity: de conditie of situatie dat een persoon of organisatie toestaat om drie dingen te doen:

    • Plegen van fraude.

    • Verbergen van fraude.

      • Lapping

      • Kitting

    • Het omzetten van het resultaat van de fraude in persoonlijk gewin. Bijvoorbeeld door de verkoop van gestolen voorraad of goederen, of door persoonlijk gewin in de vorm van behoud van baan of door promoties.

  • Rationalization: staat fraudeplegers toe om hun gedrag te rechtvaardigen. Dit neemt verschillende vormen aan: rechtvaardiging (ik heb alleen datgene genomen wat ze aan me verschuldigd zijn), houding (de regels gelden niet voor mij), gebrek aan persoonlijke integriteit (krijgen wat ik wil is belangrijker dan eerlijkheid). Sommige fraudepleger rationaliseren dat ze niet een echt persoon kwetsen, slechts een computer systeem of een bedrijf dat het geld toch niet mist.

Lapping is de situatie waarin een werknemer de mogelijkheid heeft om een openstaande schuld aan klant A door te schakelen naar zichzelf, en het vervolgens te verbergen door betalingen van een andere klant te gebruiken om de openstaande schuld aan A te voldoen.

Kitting is de situatie waarin geld wordt gecreëerd door middel van de tijdsspanne tussen het moment dat een cheque wordt gestort en het moment dat het geld daadwerkelijk van een rekening wordt afgeschreven. Stort €1.000 in bank A, schrijf vervolgens een cheque uit met datzelfde bedrag en stort dat geld op een rekening in bank B. Het geld in bank B is onmiddellijk beschikbaar, terwijl het geld nog niet van de rekening bij bank A is afgeschreven. Op deze manier heb je korte tijd €2.000 tot je beschikking, totdat het bedrag wordt afgeschreven. Dit proces wordt achtereenvolgens herhaald.

Veel mogelijkheden tot het plegen van fraude ontstaan door een gebrekkig systeem of door een gebrek aan interne controle. Andere mogelijkheden ontstaan wanneer een onderneming een onduidelijk beleid voert, er niet in slaagt om eerlijkheid na te streven of niet in staat is om fraudeplegers aan te pakken. Een volledig overzicht is te vinden in ‘table 5-4’.

Wat is computerfraude?

Computer fraud is een illegale handeling waarvoor kennis van computertechnologie essentieel is voor het plegen, het onderzoeken of het vervolgen van de misdaad.

Computersystemen zijn kwetsbaar voor fraude vanwege de volgende redenen:

  1. Mensen die onbevoegd toegang kunnen verkrijgen tot de database van een organisatie kunnen in korte tijd enorme hoeveelheden data stelen, vernietigen of aanpassen.

  2. Zowel werknemers, klanten en leveranciers hebben vaak toegang tot de database.

  3. Slechts één gegeven hoeft maar te worden aangepast zonder toestemming en het hele systeem werkt niet meer naar behoren.

  4. Computersystemen zijn kwetsbaar voor beveiligingsrisico’s.

  5. Kortsluitingen, waterbeschadiging.

Computerfraude komt om verschillende redenen steeds vaker voor:

  • Niet iedereen is het eens over wat onder computerfraude valt, zoals het maken van illegale kopietjes.

  • Lang niet alle fraude wordt gedetecteerd.

  • Veel fraude wordt niet gemeld, veel bedrijven denken dat dit resulteert in slechte publiciteit.

  • Veel netwerken zijn niet voldoende beveiligd.

  • Op internet staat uitgebreid beschreven hoe je fraude moet plegen.

  • De wetshandhaving kan de groei niet bijhouden.

  • Het berekenen van eventuele verliezen is moeilijk.

Computerfraude kan gecategoriseerd worden met behulp van het ‘data processing model’. Dit model verdeelt fraude in vier verschillende vormen:

  • ‘Input fraud’: wijzigingen aanbrengen in de input van een systeem.

  • ‘Processor fraud’: onbevoegd gebruik maken van een systeem.

  • ‘Computer instructions fraud’: het knoeien met de computersoftware die de data van een organisatie verwerkt. Bijvoorbeeld door wijzigingen aan te brengen, illegale kopietjes te maken of er op een ongeoorloofde wijze gebruik van te maken .

  • ‘Data fraud’: het veranderen of beschadigen van gegevensbestanden of het kopiëren, gebruiken of doorzoeken van de gegevensbestanden zonder toestemming.

  • ‘Output fraud’: Stelen of misbruik maken van de output van een organisatie.

Preventiemaatregelen voor het herkennen en voorkomen van fraude zijn o.a.:

  • Maak het plegen van fraude ‘minder waarschijnlijk’:

    • Geven van autoriteit aan afdelingen

    • Ontwikkelen van een organisatiecultuur dat streeft naar integriteit

    • Compensatie

  • Maak het moeilijker om fraude te plegen:

    • Scheiding van functies

    • Interne controles

  • Verbeteren van de detectiemethoden:

    • Ontwikkelen van een meldingspunt voor fraude

    • Software installeren

  • Verminderen van fraudeverliezen:

    • Verzekeringen afsluiten

    • Back-ups maken

Hoe kunnen informatie systemen worden gecontroleerd? - Chapter 7

 

Bedreigingen rondom Accounting Information Systems nemen toe. De meeste organisaties ervaren gebreken in de controle van de veiligheid en integriteit van hun computersysteem.

Een reden voor deze tekortkoming is dat informatie beschikbaar is voor een ongekend aantal werknemers. Een andere reden is dat informatie, verdeeld over verschillende computernetwerken, moeilijk te controleren is. Een laatste reden is dat klanten en leveranciers toegang hebben tot elkaars systeem en data. Dat bedrijven er vaak niet alles aan lijken te doen om hun data te beschermen heeft ook zo zijn redenen: sommige bedrijven zien het verlies van cruciale informatie als een onwaarschijnlijke bedreiging. De overgang van gecentraliseerde computersystemen naar op internet gebaseerde systemen vereist een ander soort controle die niet altijd bekend is. Veel bedrijven realiseren zich niet dat informatie een strategische bron is die beschermd moet worden. Controle vergt veel productiviteit en brengt extra kosten met zich mee.

Elke potentiële negatieve of ongewenste gebeurtenis wordt een threat, ook wel een bedreiging genoemd. Het potentiële verlies, wanneer de bedreiging werkelijkheid wordt, wordt de impact of exposure genoemd. Tenslotte, de kans dat zo’n bedreiging werkelijkheid wordt, wordt de likelihood genoemd.

Wat valt onder controle-begrippen?

Internal controls zijn de controles binnen een bedrijf met als doel dat informatie correct wordt verwerkt. Interne controlesystemen hebben ook beperkingen, zoals gevoeligheid voor eenvoudige fouten en vergissingen, foutieve beslissingen en besluitvorming, ‘management overrides’ en samenspanning.

Het ontwikkelen van een interne controlesysteem vereist een grondige kennis ten aanzien van de mogelijkheden en risico’s van information technology (IT).

Internal controls hebben drie belangrijke functies:

  1. Preventive controls: detecteren problemen voordat ze ontstaan, bijv. door het inhuren van gekwalificeerd personeel.

  2. Detective controls: het ontdekken van problemen die niet zijn voorkomen, bijv. het narekenen van berekeningen.

  3. Corrective controls: zowel het identificeren als corrigeren van problemen en de daaruit voortvloeiende fouten.

Internal control worden vaak ingedeeld in twee categorieën:

  1. General controls: controles die zorgen voor een stabiele omgeving wat betreft de controle in een onderneming en het informatiesysteem, zoals bijvoorbeeld de veiligheid en de IT infrastructuur.

  2. Application controls: controles die transactiefouten en fraude in toepassingsprogramma’s voorkomen, detecteren en corrigeren.

Robert Simons onderkende vier soorten controlelevels die een onderneming helpt het conflict tussen creativiteit en controle te doen overeenstemmen:

  • Belief system: een zakelijke houding bijgebracht door het hogere management die de kernwaarden van de onderneming proberen over te brengen op de werknemers, met als doel dat deze werknemers deze waarden nastreven.
    Een belief system richt zijn aandacht op de manier waarop de organisatie waarde creëert en werknemers helpt te begrijpen welke richting het management op wilt.

  • Boundary system: een system dat werknemers helpt om ethisch te handelen door het stellen van grenzen die een werknemer niet mag overschrijden. Werknemers mogen handelen zolang ze maar binnen bepaalde maatstaven blijven, zoals het voldoen aan een minimum prestatienorm, het vermeiden van verboden activiteiten en het negeren van handelswijzen die de reputatie van de onderneming zouden kunnen aantasten.

  • Diagnostic control system: een systeem van prestatiemeting dat de werkelijke prestatie vergelijkt met de beoogde prestatie.

  • Interactive control system: een systeem dat managers helpt om de aandacht van de ondergeschikten te richten op belangrijke strategische kwesties en ze meer te betrekken bij beslissingen. Informatie wordt besproken tijdens ‘face-to-face’ vergaderingen met iedereen uit de organisatie.

In 1977 werd de Foreign Corrupt Practices Act (FCPA) aangenomen om te voorkomen dat bedrijven buitenlandse functionarissen omkochten om bepaalde zaken gedaan te krijgen. Deze wetgeving vereist dat alle beursgenoteerde bedrijven redelijk gedetailleerde documentatie bijhouden en beschikken over een systeem van interne controle.

Toch kwamen er steeds nieuwe gevallen van fraude aan het licht, met als gevolg de oprichting van de Sarbanes-Oxley Act (SOX) in 2002. Betrekking hebbende op beursgenoteerde bedrijven met als doel het voorkomen van fraude in financiële verslagen d.m.v. transparantie in financiële rapporten, het bieden van bescherming voor investeerders, de interne controle van beursgenoteerde bedrijven aanscherpen en het bestraffen van managers die fraude plegen.

Enkele andere aspecten van de SOX zijn: nieuwe regels voor controleurs en het management, nieuwe rollen voor het ‘audit committee’ en nieuwe eisen wat betreft de interne controle. Ten slotte zorgde de SOX voor oprichting van de Public Company Accounting Oversight Board (PCAOB). Een bestuur bestaande uit vijf leden die het controleberoep controleert.

Wat zijn drie verschillende frameworks?

Deze paragraaf bespreekt drie frameworks die gebruikt worden bij het ontwikkelen van interne controlesystemen.

De allereerste betreft de Control Objectives for Information and Related Technology (COBIT) framework: COBIT is een framework voor het gestructureerd inrichten en beoordelen van een IT-omgeving. Het stelt managers in staat om verschillende veiligheids –en controlepraktijken van de IT-omgeving te vergelijken (benchmarken). Verder verzekert het de gebruikers ervan dat er adequate IT veiligheid en controle bestaat en het staat controleurs toe om hun interne controle adviezen te onderbouwen en te adviseren over IT-beveiliging en zaken wat betreft de controle.

De controle in dit framework wordt vanuit drie invalshoeken bekeken:

  1. Business objectives: om te voldoen aan de doelstelling van een onderneming, moet informatie voldoen aan 7 criteriacategorieën.

  2. IT resources: mensen, applicatiesystemen, technologie, faciliteiten en data.

  3. IT processes: onderverdeeld in vier domeinen: plannen en organiseren, aanschaf en implementatie, levering en ondersteuning en controle en evaluatie.

Een tweede framework is het Committee of Sponsoring Organizations (COSO). Dit is een managementmodel, bestaande uit een aantal private organisaties: ‘American Accounting Association’, ‘American Institute of Certified Public Accountants’, ‘Insitute of Internal Auditors’, ‘Institute of Management Accountants’, ‘Financial Executives Institute’.

In 1992 heeft het comité aanbevelingen gedaan en richtlijnen aangegeven ten aanzien van de interne controle en beheersing: de Internal Control Integrated Framework (IC). Vijf componenten van het IC framework zijn:

  • Interne omgeving

  • Controle activiteiten

  • Risicobeoordeling

  • Informatie en communicatie

  • Controleren

Bovenstaande componenten behoren tot het nieuwere model van COSO: het Risk Management – Integrated Framework (ERM). Een model breder dan het oudere model, en richt zich op het gehele interne beheerssyteem. Enkele basiselementen van ERM zijn: bedrijven zijn gevormd om waarde te creëren voor zijn gebruikers; het management moet beslissen hoeveel onzekerheid het wil toelaten indien het waarde creëert, onzekerheid resulteert in risico’s, met als gevolg dat iets negatiefs de mogelijkheid van een onderneming om waarde te creëren of te behouden aantast; onzekerheid resulteert in kansen, de mogelijkheid dat iets positiefs de mogelijkheid van een onderneming om waarde te creëren of te behouden aantast: het ERM framework kan zowel onzekerheid beheren als het creëren en behouden van waarde.

Het ERM framework is uitgebreider dan het IC framework, en richt zich meer op een aanpak die zich richt op risico dan op een aanpak gebaseerd op controle. Het voegt drie extra elementen toe aan het COSO model:

  1. Vaststellen van doelstellingen

  2. Identificeren van gebeurtenissen

  3. Risicobeheersing (reactie)

Wat valt onder de interne omgeving?

De Internal environment is de cultuur van een onderneming dat helpt bij het bepalen van het risicobewustzijn van werknemers. Het is de fundering voor alle ander ERM componenten.

Een internal environment bestaat uit:

  1. Filosofie, werkwijze en risk appetite

  2. De raad van bestuur

  3. Streven naar integriteit, ethische waarden en competentie

  4. Organisatiestructuur

  5. Toewijzing van autoriteit en verantwoordelijkheid

  6. ‘human resource’ standaarden

  7. Externe invloeden

Filosofie, werkwijze en risk appetite

Elke organisatie heeft zijn eigen filosofie, gedeelde overtuigingen en opvattingen ten aanzien van bijvoorbeeld risico’s, procedures, communicatie en besluitvorming. Ondernemingen hebben ook een risk appetite: de hoeveelheid risico die men wil accepteren om bepaalde doelstellingen te behalen.

Des te meer verantwoord de filosofie en de werkwijze, en hoe beter deze zijn gecommuniceerd, hoe groter de kans dat werknemers zich verantwoordelijk zullen gedragen.

De raad van bestuur

Een betrokken raad van bestuur vertegenwoordigt aandeelhouders en biedt een onafhankelijk oordeel van het management. Beursgenoteerde bedrijven zijn verplicht tot een audit comité: een comité dat verantwoordelijk is voor de toezicht op de interne controle, het proces van financiële verslaggeving en voor overeenstemming met wetten en regels. Het comité bestaat meestal uit buitenstaanders.

Streven naar integriteit, ethische waarden en competentie

Integriteit begint aan de top, wanneer werknemers de opvattingen van het management overnemen wat betreft risico’s en controle. Bedrijven steunen integriteit o.a. door actieve onderwijzing, het vermijden van onrealistische verwachtingen of prikkels die oneerlijk en illegaal gedrag motiveren, het consequent belonen van eerlijk gedrag, het ontwikkelen van een schriftelijke gedragscode, werknemers opleggen om oneerlijke of illegale gedragingen te melden en het maken van een verbintenis tot competentie (deskundigheid/ vakbekwaamheid).

Organisatiestructuur

Een organisatiestructuur biedt een framework voor plannen, uitvoeren, controleren en bewaken van activiteiten. Enkele aspecten van een organisatiestructuur zijn bijvoorbeeld: centralisatie of decentralisatie van autoriteit of een directe of indirecte (matrix) rapportering. Het gaat hierbij om de keuzes die een onderneming maakt met betrekking tot bepaalde kwesties.

Toewijzing van autoriteit en verantwoordelijkheid

Autoriteit en verantwoordelijkheid worden toegewezen d.m.v. formele functiebeschrijvingen, training, dienstregelingen, budgets, gedragscodes en schriftelijke beleidslijnen en procedures. De policy and procedures manual beschrijft de correcte gang van zaken, beschrijft de benodigde kennis en ervaring, verklaart procedures, legt uit hoe transacties geregeld moeten worden en vormt een opsomming van de middelen die nodig zijn voor de uitvoering van bepaalde taken.

‘Human resource’ standaarden

‘Human resource’ beleid kan effectief zijn bij het bevorderen van eerlijkheid, efficiëntie en loyale service. Het beleid moet deskundigheid, competentie, ethisch gedrag en integriteit nastreven. Hierbij zijn de volgende beleidsregels en procedures van belang:

  1. Aannemen van personeel: kandidaat kwalificaties kunnen geëvalueerd worden door het bekijken van ieders cv, met behulp van referenties, interviews en background checks: het praten met referenties, controleren op een strafblad, krediet-onderzoek en het controleren van onderwijs en werkervaring.

  2. Compenseren, evalueren en promoveren

  3. Training

  4. Het managen van ontevreden werknemers

  5. Ontslaan

  6. Vakanties en wisseling van taak: fraude dat de constante aandacht van de fraudeur vereist, zal worden ontdekt zodra de fraudeur vrije tijd neemt.

  7. Geheimhoudingsovereenkomsten en ‘fidelity bond insurance’: ‘fidelity bond insurance’ beschermt bedrijven tegen de verliezen van fraude.

  8. Vervolgen en opsluiten van fraudeplegers: vaak wordt fraude niet gerapporteerd of vervolgd. Dit heeft verschillende redenen: fraude kan een ramp betekenen voor publieke relaties of het kan zwakke plekken in het systeem onthullen die nog meer fraude kunnen uitlokken; rechtbanken hebben het vaak druk met gewelddadige misdaden, en hebben minder aandacht voor ‘computermisdaden’ omdat daar geen lichamelijk letsel op van toepassing is; fraude is moeilijke, kostbaar en tijdrovend om te onderzoeken en te vervolgen; veel wetshandhavers, advocaten en rechters beschikken niet over de benodigde computervaardigheden om computermisdaden te onderzoeken en te vervolgen; de straffen voor fraude zijn vaak laag.

Externe invloeden

Externe invloeden zijn bijvoorbeeld opgelegde verplichtingen met betrekking tot aandelenuitgifte, de ‘Financial Accounting Standards Board (FASB)’, de ‘Public Company Accounting Oversight Board (PCAOB)’, en de ‘Securities and Exchange Commission (SEC)’. Andere externe invloeden zijn vereisten opgesteld door regelgevende instanties, zoals banken, nutsbedrijven en verzekeringsmaatschappijen.

Hoe kunnen doelstellingen worden vastgesteld?

Een onderneming kent verschillenden soorten doelen.

  • Strategic objectives zijn ‘high-level’ doelen die afgestemd zijn op de missie van een organisatie en die deze missie ondersteunen.
  • Operations objectives zijn doelen die zich bezighouden met de effectiviteit en efficiëntie van de bedrijfsuitoefening.
  • Reporting objectives zijn doelen die de nauwkeurigheid, de compleetheid en de betrouwbaarheid van interne en externe bedrijfsrapporten verzekeren, van zowel financiële als niet-financiële aard.
  • Compliance objectives zijn doelen die de onderneming helpt te voldoen aan bepaalde wetten en regelgeving.

Identificeren van gebeurtenissen

Een event is een gebeurtenis afkomstig van interne of externe bronnen, die de uitvoering van een strategie of het nastreven van doelen beïnvloedt. Events kunnen zowel negatief als positief zijn. Het management moet proberen om vooraf zowel alle negatieve als positieve gebeurtenissen in te schatten.

Risicobeoordeling en Risicobeheersing

Inherent risk bestaat voordat het management stappen heeft genomen om de kans en de impact van een gebeurtenis te beheersen. Residual risk is datgene wat overblijft nadat het management interne controle heeft uitgevoerd of een ander soort van reactie. Ondernemingen moeten de inherent risk beoordelen, vervolgens moeten ze een reactie daarop ontwikkelen en ten slotte moeten ze de residual risk beoordelen.

Het management kan op vier verschillende manieren reageren op risico:

  1. Reduceren: het terugdringen van de kans en de impact van risico, door het verwezenlijken van een effectief intern controlesysteem.

  2. Accepteren: het accepteren van de kans en de impact van risico. Risico kan geaccepteerd worden als het binnen het risico tolerantiebereik ligt, bijvoorbeeld een risico met een kleine kans en een kleine impact.

  3. Delen: het delen van risico of de risico overdragen door bijvoorbeeld verzekering of uitbesteding.

  4. Vermijden: het vermijden van risico door niet die activiteiten te verrichten die extra risico meebrengen.

De kans en impact van risico moeten samen worden gezien in samenhang. De kans kan heel klein zijn, echter de impact heel groot.

Een goed intern controlesysteem bevat zowel ‘preventive controls’, ‘detective controls’ en ‘corrective controls’ (herstel van problemen).

De voordelen van een interne controle procedure moeten de kosten overtreffen. Kosten zijn hierbij vaak beter te meten dan de voordelen (klanttevredenheid, toegenomen verkoop en productiviteit). Een manier om de waarde van interne controle te berekenen omvat het concept expected loss: het wiskundige product van impact en kans.

De waarde van een controle procedure is vervolgens het verschil tussen de expected loss met de controle procedures en de expected loss zonder deze controle procedures.

Controle activiteiten

Control activities is het beleid en de procedures die redelijke zekerheid bieden dat controle doelstelling worden gehaald en dat de reacties op risico’s worden uitgevoerd. Controles zijn een stuk effectiever wanneer ze in het systeem worden opgenomen wanneer deze wordt gebouwd, in plaats van daarna. Het is belangrijk dat de controle activiteiten worden opgenomen in het systeem voor het einde van het jaar, tijdens de vakantieperiode. In deze periode komt de meeste fraude voor (vanwege de vakantie zijn er minder mensen op de werkvloer, studenten hebben ook vakantie en hebben meer tijd, aanvallen van hackers nemen toe).

Controle procedures worden ondergeschikt in de volgende categorieën:

  1. Autorisatie van transacties en activiteiten.

  2. Scheiding van taken.

  3. Projectontwikkeling en ‘acquisitie’ controles

  4. Change management controles

  5. Ontwikkeling en gebruik van documenten en gegevens

  6. Veilig stellen van activa en gegevens

  7. Onafhankelijke prestatiecontroles

Autorisatie van transacties en activiteiten

Het management heeft niet de tijd om elke activiteit en beslissing te controleren. Daarom maakt men gebruik van authorization: het verlenen van macht aan een werknemer om bepaalde functies uit te voeren namens de onderneming. Werknemers die worden toegestaan om routine transacties te verrichten zonder speciale toestemming hebben general authorization. Een werknemer die toestemming nodig heeft voor een bepaalde transactie verkrijgt specific authorization.

Computersystemen kunnen gebruik maken van digital signatures: een manier om een document te ondertekenen met gegevens die niet kunnen worden vergeten.

Scheiding van functies

Een goede interne controle vereist dat er niet aan één bepaalde werknemer teveel verantwoordelijkheid wordt gegeven, dit kan namelijk een situatie creëren waarin men de mogelijkheid heeft om fraude te plegen.

De scheiding van functies kan worden opgesplitst in segregation of accounting duties en segregation of system duties.

Segregation of accounting duties wordt bereikt wanneer de volgende functies worden gescheiden:

  1. Authorization: goedkeuring van transacties en beslissingen

  2. Recording: opstellen van source documents; invoeren van data in online systemen; onderhouden van journals, ledgers, files of databases; opstellen van prestatierapporten.

  3. Custody: beheer van geld, gereedschap, voorraad of vaste activa; ontvangen van binnenkomende cheques; uitschrijven van cheques.

Zodra iemand twee van bovenstaande activiteiten samen uitvoert, kan dat problemen opleveren.

Het detecteren van fraude waarbij twee of meer mensen samenwerken om de interne controle te dwarsbomen (collusion), is een stuk lastiger.

Segregation of systems duties heeft als doel het voorkomen dat één bepaalde persoon niet onbeperkte toegang heeft tot het gehele systeem. Dit wordt bereikt door het onderscheiden van onderstaande functies:

  • System administration: system administrators zorgen ervoor dat alle informatie systeem elementen probleemloos en efficiënt werken.

  • Network management: network managers zorgen ervoor dat apparatuur wordt gekoppeld aan de interne en externe netwerken van de organisatie en dat deze netwerken goed functioneren.

  • Security management: het management dat ervoor zorgt dat de systemen veilig zijn en worden beschermd tegen interne en externe bedreigingen.

  • Change management: het proces dat ervoor zorgt dat veranderingen soepel en efficiënt verlopen en dat deze veranderingen de betrouwbaarheid, de veiligheid, de vertrouwelijkheid, de integriteit en de beschikbaarheid van het systeem niet negatief beïnvloeden.

  • Users: gebruikers registeren transacties, keuren de te verwerken gegevens goed en maken gebruikt van systeem output.

  • System analysis: system analysts helpen gebruikers bij het bepalen van de informatie die zij nodig hebben en ontwerpen een systeem om aan die behoeften te voldoen.

  • Programming: programmers maken gebruik van het ontwerp van de system analysts en ontwikkelen een systeem door het ontwikkelen van computer programma’s.

  • Computer operations: computer operators zorgen ervoor dat de software draait op de computers van het bedrijf. Ze zorgen ervoor dat data goed wordt ingevoerd, dat data goed wordt verwerkt en dat er output wordt geproduceerd wanneer dat nodig is.

  • Information system library: een verzameling van databases, bestanden en programma’s opgeslagen in een afzonderlijke opslagruimte.

  • Data control: een data control group zorgt ervoor dat basisgegevens (‘source data’) worden goedgekeurd, ze controleren het werk met behulp van de computer, ze combineren de input en de output, ze houden een rapport bij van invoerfouten zodat deze gecorrigeerd kunnen worden en opnieuw kunnen worden ingevoerd en ze distribueren systeem output.

Projectontwikkeling en ‘acquisitie’ controles

Belangrijk systeemontwikkelingen controles zijn:

  1. Steering committe: een uitvoerend comité dat zich bezighoudt met het plannen en toezicht houden op de functies van het informatiesysteem. Het comité bestaat meestal uit management van de systeemafdeling, de controleur en ander management dat beïnvloed wordt door de functies van het informatiesysteem.

  2. Strategic master plan: een meerjarenplan van een organisatie dat dient als een technologische stappenplan/draaiboek en dat belicht welke projecten de onderneming moet voltooien om zijn doelstellingen op lange termijn te behalen.

  3. Project development plan: een document dat laat zien hoe een project zal worden voltooid. Er moeten vragen beantwoord worden zoals: welke taken moeten worden uitgevoerd? Wie zal deze taken uitvoeren? Wanneer moet het project klaar zijn? Wat zijn de kosten met betrekking tot het project? Een ander onderdeel hiervan zijn project milestones: belangrijke momenten waar vooruitgang wordt beoordeeld en feitelijke en geschatte tijden van voltooiing met elkaar worden vergeleken.

  4. Data processing schedule: een schema dat laat zien wanneer elke taak moet worden uitgevoerd.

  5. System performance measurements: metingen die als doel hebben om een systeem te evalueren en te beoordelen. Belangrijke meetinstrumenten zijn bijvoorbeeld de throughput (output per tijdseenheid), utilization (tijdspercentage dat een systeem productief wordt gebruikt) en de response time (hoe lang duurt het voordat een systeem reageert).

  6. Post-implementation review: een beoordeling nadat een nieuw systeem enige tijd heeft geopereerd. Het doel hiervan is om er zeker van te zijn dat het nieuwe systeem voldoet aan de geplande doelstellingen en verwachtingen.

Sommige ondernemingen huren een systems integrator: een persoon of bedrijf die ervoor zorgt dat verschillende subsystemen een eenheid vormen en samen functioneren. De voornaamste taak is systeemintegratie. Bedrijven die gebruik maken van systems integrators moeten gebruik maken van dezelfde processen en controles als interne projecten, maar ter aanvulling moeten ze duidelijke specificaties ontwikkelen en moeten ze toezicht houden op het project.

Change management controles, dit onderdeel wordt besproken in hoofdstuk 10.

Ontwikkeling en gebruik van documenten en gegevens

De juiste vormgeving en het juiste gebruik van elektronische en papieren documenten zorgt voor een bijdrage aan nauwkeurige en volledige registratie van alle relevante transactiedata. Hun vorm en inhoud moet bijvoorbeeld zo simpel mogelijk worden gehouden en een minimum aantal fouten bevatten.

Veilig stellen van activa records en gegevens

Niet alleen moet de informatie beschermd worden, ook geld en activa moet beschermd worden. Belangrijk hierbij is om een passend beleid en procedure na te streven, om een nauwkeurige registratie van alle activa bij te houden, om beperkingen op te leggen met betrekking tot de toegang tot activa en om de gegevens en documenten goed te beschermen (bijv. vuurbestendige opslagplaatsen, maken van back-ups).

Onafhankelijke prestatiecontroles

Onafhankelijke controles, uitgevoerd door een buitenstaander, dragen bij aan de nauwkeurigheid van de verwerking van bijvoorbeeld transacties. Ze omvatten de volgende:

  1. Top-level reviews: het management moet de bedrijfsresultaten controleren en vergelijken met de gebudgetteerde prestaties, met de prestaties van voorgaande periode en met de prestaties van concurrenten.

  2. Analytical review: een onderzoek naar de relaties tussen verschillende datasets (een stijging van verkoop op krediet leidt tot een stijging in de debiteurenpost).

  3. Het combineren van onafhankelijke records.

  4. Vergelijken van werkelijke hoeveelheden met geregistreerde hoeveelheden.

  5. Double-entry accounting (dubbel boekhouden).

  6. Onafhankelijke beoordeling: nadat een transactie is verwerkt, zal een tweede persoon het werk van de eerste persoon beoordelen.

Informatie en communicatie

Informatie en communicatie zijn een belangrijk component in zowel het ERM model als in een AIS. Communicatie behoort ook tot een hoofddoel van een AIS: verkrijgen, registreren, verwerken, opslaan, samenvatten en communiceren van informatie.

Een audit trail is een pad waardoor de verwerkingsresultaten van een transactie kunnen worden getraceerd vanaf het beginpunt tot de uiteindelijke output of andersom.

Controleren

Belangrijke methodes voor het controleren van prestaties zijn:

  • Uitvoeren van ERM evaluaties.

  • Toepassen van effectieve toezicht.

  • Gebruik maken van verantwoordelijke accountingsystemen.

  • Volgen van aangeschafte software and mobiele apparaten.

  • Verrichten van periodieke controles

  • Inhuren van een Computer Security Officer (CSO) en een Chief Compliance Officer (CCO

  • Inhuren van forensic specialists

  • Installeren van software dat fraude detecteert.

  • Invoeren van een fraude hotline.

Hoe kan de veiligheid van informatie in de systemen gewaarborgd blijven? - Chapter 8

 

Er zijn vijf principes die samen bijdragen aan de betrouwbaarheid van een systeem:

  1. Security
  2. Confidentiality
  3. Privacy
  4. Processing Integrity
  5. Availability

Daarnaast zijn er twee fundamentele concepten met betrekking tot informatie veiligheid, namelijk:

  1. Fraude is een management probleem, geen technologie probleem.
  2. Het tijdsgebonden model van informatie veiligheid, stelt dat er een combinatie van maatregelen moet zijn die de aanval op tijd vaststelt en dat er voldoende maatregelen zijn om deze aanval af te weren of te vertragen, zodat er geen informatie verloren gaat.

De COSO en COSO-ERM frameworks besteden veel aandacht aan interne controles, maar besteden niet genoeg aandacht aan de controle van informatietechnologie. De COBIT Framework doet dit wel. Doel is om het management te voorzien van informatie dat voldoet aan zeven criteria:

  1. Effectiviteit
  2. Efficiency
  3. Vertrouwelijkheid
  4. Integriteit
  5. Beschikbaarheid
  6. Overeenstemming (interne politiek/ externe wet –en regelgeving)
  7. Betrouwbaarheid.

COBIT refereert naar verschillende domeinen, vier basis activiteiten, die bovenstaande criteria moeten verwezenlijken:

  • Plan and Organize (PO)

  • Acquire and Implement (AI)

  • Deliver and Support (DS)

  • Monitor and Evaluate (ME)

COBIT bestaat uit 34 processen verdeeld onder bovenstaande domeinen met 210 controles. Deze volledigheid is een van de krachten van COBIT. Sommigen zijn echter alleen geïnteresseerd in een enkel aspect van COBIT. De ´Trust Services framework’ verdeelde informatiesysteem controles onder in vijf categorieën, die het meest bijdragen aan betrouwbaarheid van het systeem:

  1. Veiligheid
  2. Vertrouwelijkheid
  3. Privacy
  4. Verwerking van integriteit
  5. Beschikbaarheid

Dit framework is geen substituut voor COBIT, omdat het slechts een klein onderdeel is van COBIT.

Veiligheid is een fundering voor systeembetrouwbaarheid. Hoewel veiligheid een complex technisch onderwerp betreft, is het toch voornamelijk een management probleem en niet een informatietechnologie probleem.

Het idee van een defense-in-depth is om meerdere controle- lagen te introduceren met als doel het vermijden van één enkele stroring. Als een controle mislukt, kan een andere controle wel goed functioneren. Het doel van een time-based model of security is om een combinatie van detective en corrective controls aan te houden die een informatie beveiligingsincident vroeg genoeg identificeren, waardoor het verlies van informatie kan worden voorkomen. Dit doel kan uitgedrukt worden met behulp van een formule:

P = de tijd dat het duurt voordat een hacker door de preventive controls van een organisatie breekt.

D = de tijd dat het duurt voordat een aanval wordt gedetecteerd.

C = de tijd dat het duurt om op de aanval te reageren.

Als P > D + C, dan is de veiligheidsprocedure van een bedrijf effectief. Echter, een probleem is dat bovenstaande variabelen moeilijk meetbaar zijn in de praktijk. En mocht er wel een betrouwbare meting mogelijk zijn, nieuwe IT ontwikkelingen kunnen de validiteit van deze metingen weer teniet doen.

Basisstappen van hackers

De basisstappen die criminelen toepassen om een informatiesysteem aan te vallen, zijn als volgt:

  1. Verkenning: het nauwkeurig bestuderen van het doel.

  2. Social engineering: misleiding met als doel het verkrijgen van onbevoegde toegang tot informatiebronnen. Vaak wordt deze toegang verkregen door het misleiden van een werknemer. Een aanval bekend als ‘spear phishing’ houdt in dat men e-mails stuurt zogenaamd vanuit iemand die het slachtoffer kent. De ‘spear phishing e-mail’ vraagt het slachtoffer op een link te klikken dat een Trojaans paard bevat, hierdoor krijgt de hacker toegang tot het systeem.

  3. Het scannen en in kaart brengen van het doel.

  4. Onderzoek: het vinden van zwakke plekken in bovenstaand doel.

  5. Het uitvoeren van de aanval.

  6. Wissen van sporen.

Preventive controls

Voorbeelden van preventive controls zijn:

  1. Training: werknemers moeten bijvoorbeeld leren wat piggybacking inhoudt. Piggybacking komt zowel voor bij de hoofdingang als binnen in een gebouw, en betekent dat men die geen toegang heeft tot deze ruimtes toch binnen weet te komen. Men vindt het namelijk onbeleefd om de deur achter iemand te sluiten.

  2. Controle op gebruikerstoegang: authentication en authorization.

  3. Controle op fysieke toegang: sloten, bewakers.

  4. Controle op netwerktoegang: firewalls

  5. Controle op het proces: het tijdig inspringen op veranderingen.

  6. Apparaat en software controle

  7. IT oplossing in de vorm van encryptie

Controle op gebruikerstoegang

Er zijn twee gerelateerde typen controles die betrekking hebben op de gebruikerstoegang: authentication en authorization. Authentication is het controleren van ieders identiteit die zichzelf toegang probeert te verschaffen tot het systeem. Deze controle heeft ook betrekking op apparaten. Er zijn drie soorten controles uit te voeren:

  • ‘Something they know’: wachtwoorden, persoonlijk identificatienummer.

  • ‘Something they have’: ID-kaart.

  • Biometric identifier: unieke persoonlijke kenmerken zoals vingerafdrukken, stempatronen of netvlies afdrukken.

Geen van bovenstaande methodes zijn echter onfeilbaar, een proces dat multifactor authentication wordt genoemd wordt daarom als zeer effectief beschouwd. Hierbij wordt gebruik gemaakt van meerdere authenticatiemethodes. Bij multimodal authentication wordt gebruik gemaakt van meerdere soorten legitimatiegegevens van dezelfde soort controle.

Authorization controls worden meestal uitgevoerd met behulp van een access control matrix: een intern bijgehouden tabel dat aangeeft tot welke delen van het systeem gebruikers toegang hebben en welke bijbehorende acties moeten worden uitgevoerd. Wanneer iemand dan toegang tot een bepaalde informatiebron probeert te verschaffen voert het systeem een compatability test uit, waarmee bepaalt wordt of deze persoon geautoriseerd is tot deze toegang.

De computer koppelt de authenticatie gegevens van deze zelfde persoon met de access control matrix om te bepalen of men toegang dient te hebben tot deze bron.

Controle op netwerktoegang

Een border router is een apparaat dat een informatiesysteem verbindt met het internet. Achter de border router treft men de firewall, een combinatie van veiligheidsregels dat buitenstaanders ervan moet weerhouden om in te breken in de databases en e-mails van een organisatie.

Een demilitarized zone (DMZ) plaatst de webservers en e-mail servers van een onderneming in een apart netwerk dat zich bevindt buiten het bedrijfsnetwerk maar toegankelijk is via het internet. Deze computers communiceren met de buitenwereld.

Informatie bereikt het internet en interne lokale netwerken in de vorm van pakketten. Documenten worden dus eerst verdeeld in pakketten, vervolgens worden deze pakketten verstuurd naar hun bestemming. Het apparaat dat de pakketjes ontvangt moet deze dus weer in elkaar zetten om het originele document te verkrijgen.

Het Transmission Control Protocol (TCP) specificeert de procedures voor het verdelen van bestanden in pakketten en de methodes voor het her monteren van het originele document of bestand op plaats van bestemming.

Het Internet protocol (IP) specificeert de structuur van de pakketten en de manier waarop deze verzonden worden naar de juiste bestemming. Ieder IP pakket bestaat uit twee delen: een ‘header’ en een ‘body’. De header bevat zowel de herkomst en bestemming van het pakketje, als de informatie over het type data dat de body bevat.

Routers lezen het bestemmingsadres in de headers om te bepalen waar het pakket vervolgens heen moet worden gestuurd.

Een aantal regels, een access control list (ACL) genoemd, bepaalt welke pakketjes worden toegestaan en welke worden geloosd. Elk pakketje dat niet wordt geloosd, wordt aan een firewall onderworpen. Static packet filtering scant een IP pakket enkel op de inhoud van de bron -en het bestemmingsadres.

Firewalls gebruiken een meer geavanceerde techniek dan (border) routers. De meeste firewalls gebruiken bijvoorbeeld stateful packet filtering: ontwikkelt en onderhoudt een tabel van alle connecties tussen de computers binnen de organisatie en het internet. De firewall raadpleegt vervolgens dit tabel om te bepalen of een binnenkomend pakket onderdeel uitmaakt van een voordurende communicatie geïnitieerd door een intern computernetwerk. Echter de effectiviteit van dit systeem is beperkt. Mail waarvan het IP adres niet op de lijst van onacceptabele afzenders staat of waarvan de afzender de echte bron probeert te verbergen, kan toegang aan worden verleend.

Een proces waarbij ook de data-inhoud van een pakket wordt gecontroleerd wordt deep packet inspection genoemd. Dit vergt wel extra tijd en moeite. Dit laatste proces is de kern van een nieuw type veiligheidstechnologie genaamd intrusion prevention systems (IPS), dat patronen in de ‘verkeersstroom’ controleert, in plaats van het controleren van een individueel pakket, om zo aanvallen te identificeren en automatisch te blokkeren. IPS maken gebruik van verschillende technieken om ongewenste patronen te ontdekken. Het systeem wordt nog niet gezien als vervanging voor de huidige firewall, maar als een handige aanvulling.

De meeste organisaties maken allereerst gebruik van border routers om de overduidelijke slechte pakketjes eruit te filteren, vervolgens sturen ze de rest naar de firewall, die gebruik maakt van stateful packet filtering of deep packet inspection.

De IPS controleren dan het verkeer dat de firewall heeft gepasseerd met als doel het identificeren en blokkeren van verdachte patronen die kunnen wijzen op een mogelijke aanval.

De Remote Authentication Dial-In User Service (RADIUS) is een standaard methode om de identiciteit van gebruiker te controleren die een poging doen om ‘dial-in access’ te verkrijgen (netwerktoegang). Dial-in access is het verbinden van een apparaat met een netwerk via een modem. Een gebruiker maakt verbinding met een ‘Remote Access Server (RAS)’ (inbelserver) en gebruikt vervolgens log-in gegevens om zich aan te melden. De RAS-server stuurt deze gegevens door naar de RADIUS server, die de identificatie controleert. Pas na controle kan toegang worden verschaft. Een probleem is dat modems goedkoop en makkelijk te installeren zijn, waardoor werknemers zelfstandig modems gaan installeren, die een makkelijke toegang geven voor hackers. Een efficiënte manier om dit soort modems te ontdekken is door gebruik te maken van war dialing software, dat elk telefoonnummer belt, die in verbinding lijkt te staan met de organisatie, om te identificeren welke er zijn aangesloten met een modem.

In het boek staan nog een paar veiligheidsprocedures beschreven die van toepassing zijn als gebruik wordt gemaakt van een draadloos netwerk.

Endpoints is de collectieve term voor werkstations, servers, printers en andere apparaten die de netwerk van een organisatie omvatten. Drie specifieke onderwerpen zijn hier van belang:

  1. Endpoint configuratie: endpoints kunnen veiliger gemaakt worden door het wijzigen van hun standaardconfiguraties. Elke programma dat in gebruik is bevat gebreken, vulnerabilities. Elk optioneel programma dat niet wordt gebruikt moet daarom worden uitgeschakeld. Vulnerability scanners kunnen gebruikt worden om ongebruikte, en dus nutteloze programma’s te identificeren die potentiële veiligheidsbedreigingen bevatten. Dit proces, waarbij onnodige functies worden uitgeschakeld wordt hardening genoemd.

  2. User account management: Het managen van alle gebruikersaccounts. Accounts met administratieve rechten, zijn de belangrijkste doelen voor hackers. Veel vulnerabilities hebben namelijk alleen invloed op deze accounts. Daarom moeten werknemers die administratieve rechten hebben naast dit account ook een account hebben met beperkte rechten.

  3. Software ontwerp: hackers nemen steeds vaker als doelwit kwetsbaarheden in toepassingsprogramma’s. De meeste programma’s maken bijvoorbeeld gebruik van een buffer, om gebruikersinput zoals naam- en adresgegevens te onthouden. Echter, als het programma niet met zorg aandacht besteed aan de grootte van de ingevoerde data, dan kan een hacker de buffer doen laten overlopen door het invoeren van grote hoeveelheden data.

Detective controls

Er zijn vier soorten detective controls:

  1. Log analysis: het onderzoeken van ‘logboeken’ om bewijs te ontdekken van mogelijke aanvallen. Het is vooral belangrijk om logboeken te analyseren van mislukte pogingen om in te loggen in een systeem en van mislukte pogingen om toegang te verkrijgen tot bepaalde informatiebronnen.

  2. Intrusion detection systems (IDSs): Dit systeem bestaat uit een aantal sensors en een centraal controle-eenheid dat logboeken van het netwerkverkeer, dat de firewall heeft gepasseerd, creëert en vervolgens dit logboek onderzoekt op tekens van pogingen tot of succesvolle inbraken.

  3. Verslagen van het management: belangrijk is dat het management zowel toezicht houdt op de systeemprestaties als de controles.

  4. Testen van de beveiliging: naast bijvoorbeeld vulnerability scanners kan gebruik worden gemaakt van een penetration test: een geautoriseerde poging door een intern controleteam of een extern beveiliging adviesbureau om in te breken in het informatiesysteem van de organisatie.

Corrective controls

Deze sectie bespreekt drie belangrijke corrective controls:

  1. Oprichting van een computer incident response team (CIRT): een team dat verantwoordelijk is voor het omgaan met grote beveiligingsincidenten. Tot de CIRT behoren zowel technische specialisten als een ‘senior operations management’, omdat sommige reacties op veiligheidsincidenten belangrijke economische gevolgen hebben. De CIRT zal het reactieproces leiden met behulp van de volgende vier stappen:

    1. Recognition: herkennen van een probleem.
    2. Containment: inperken van een probleem; directe actie.

    3. Recovery: herstellen van de schade.

    4. Follow-up: nabehandeling; Hoe deed het incident zich voor? Voorkomen van een dergelijk incident in de toekomst. Wordt er een poging gedaan om de fraudeur te vinden en te straffen?

  2. Benoeming van een ‘Chief Information Security Officer (CISO)’: een CISO is verantwoordelijk voor informatiebeveiliging en moet onafhankelijk zijn van andere informatiesysteem functies.

  3. Oprichten van een goed ontwikkeld patch management systeem: patch management is het proces van regelmatig toepassen van patches en updates op software. Een patch is een code vrijgegeven door softwareontwikkelaars die bepaalde kwetsbaarheden op lost. Dit systeem probeert een exploit op te lossen. Een exploit is de set van instructies om voordeel de halen uit een vulnerability/zwakheid. Deze zijn vaak gewoon online te vinden.

Veel bedrijven maken tegenwoordig gebruik van virtualization, dit is het voordeel dat behaalt wordt door verschillende systemen tegelijkertijd te laten draaien op een moderne computer. Dit dringt kosten terug, doordat er bijvoorbeeld minder computers nodig zijn.

Een ander middel om zowel de efficiency als de effectiviteit te verbeteren is door cloud computing. Cloud computing is het kopen van software, opslag, infrastructuur of platforms van een derde partij (‘cloud provider’) op een betaling-per-gebruik of abbonnementsbasis. Cloud providers maken gebruik van virtualization technologie om tegelijk toegang te verschaffen aan meerdere klanten.

Virtualization en cloud computing kunnen wel het risico van enkele bedreigingen verhogen, maar kunnen ook tegelijkertijd de algemene veiligheid verbeteren.

De term Internet of Things (IoT) omschrijft dat meer en meer apparaten aangesloten zijn op het internet; denk aan lichten die via een internet app aan en uit gezet kunnen worden of een verwarming die op afstand bediend kan worden. Aan de ene kant leidt dit tot meer controle opties, aan de andere kant maakt dit meer aspecten aan een bedrijf kwetsbaarder.

Reageren op aanvallen

Een CRIT is een computer incident response team. Dit team is verantwoordelijk voor het tijdig opvangen van security incidenten. De organisatie van de taken van het CRIT team zou er als volgt uit moeten zien:

  • Herkenning van problemen; het detecteren dat er een probleem is.
  • Containment; de gevolgen van de aanval zo veel mogelijk beperken.
  • Herstel; bijvoorbeeld door met een backup het bedrijf weer draaiende te krijgen.
  • Follow-up; het analyseren van het probleem en hiermee een volgende aanval voorkomen.

Een CISO is een Chief Information Security Officer. Deze is eindverantwoordlijk voor het beleid.

Hoe kan de bedrijfsgeheimhouding en de privacy worden gewaarborgd? - Chapter 9

 

Dit hoofdstuk gaat over twee belangrijke principes wat betreft betrouwbare systemen in de ‘Trust Services Framework’ en het beschermen van de privacy van persoonlijke informatie.

Geheimhoudingsprincipe

Deze paragraaf beschrijft de acties die genomen worden om de geheimhouding van gegevens te beschermen.

De eerste actie is de identificatie en classificatie van de informatie dat beschermd moet worden, waar deze zich bevindt en wie toegang tot deze informatie heeft. Nadat deze informatie is geïdentificeerd, zal vervolgens (een van de doelen van COBIT) de informatie classificeren in termen van de waarde die het voor de onderneming heeft.

De tweede actie is het beschermen van de informatie met behulp van bijvoorbeeld encryption, dit is het transformeren van normale tekst, plaintext, in ‘onleesbare wartaal’, ciphertext. Dit is de enige manier om informatie te beschermen als het zich verplaatst over het web.

In combinatie met encryption moet gebruik worden gemaakt van authentication, zodat niet iemand anders kan inloggen als de rechtmatige eigenaar, en physical access control, zodat niemand zichzelf toegang kan verschaffen tot de computer wanneer de eigenaar heeft ingelogd. Ook moet er rekening mee worden gehouden dat informatie dat wordt opgeslagen in een database wordt gedecodeerd om het te kunnen verwerken. Ieder die kan inloggen tot dit systeem heeft dus vrije beschikking over de informatie, met behulp van strenge toegangcontroles kan dit probleem worden verholpen. Al bovenstaande hulpmiddelen vallen onder het defence-in-depth principe.

De derde actie is de toegangscontrole tot gevoelige informatie. Naast authentication en authorization biedt information right management (IRM) software een extra beschermingslaag. Niet alleen beperkt het de toegang tot speciale informatiebronnen, het geeft ook de acties aan die individuen, die toegang hebben verkregen, kunnen uitvoeren (lezen, kopiëren, printen, downloaden). Vandaag de dag wordt er veel informatie uitgewisseld met zowel zakenrelaties als met klanten. Het is dus ook belangrijk dat uitgaande informatie wordt gecontroleerd, met het oog op bescherming van vertrouwelijke gegevens.

Data loss prevention (DLP) software wordt hiervoor gebruikt, en komt feitelijk neer op een antivirusprogramma, maar dan andersom. Deze software is een preventive control.

Documenten worden gecodeerd met een digital watermark. Dit watermerk is een detective control dat een organisatie in staat stelt de vertrouwelijke informatie te identificeren die het document bevat. Wanneer vervolgens documenten met watermerk op het internet verschijnen, is dit een bewijs voor het falen van de controles. Als reactie daarop zullen er acties worden ondernomen.

De allerlaatste actie is training. Werknemers moeten weten welke informatie ze kunnen delen met buitenstaanders en welke informatie beschermd moet worden. Ze moeten bijvoorbeeld ook leren omgaan met encryptiesoftware en er altijd bewust van zijn dat er uitgelogd moet worden.

Privacy principe

Een verschil van het privacy principe met het geheimhoudingsprincipe is dat deze eerste zich meer richt op het beschermen van persoonlijke informatie in plaats van met organisatorische gegevens. De bovenstaande beschreven vereiste acties zijn wel hetzelfde, bijvoorbeeld de encryption van data, het geven van trainingen en het uitvoeren van toegangscontroles zijn hier ook van toepassing.

Een extra beschermingsmiddel zijn zogenoemde data masking programma’s, die persoonlijke klanteninformatie vervangen voor valse gegevens voordat de informatie naar het testsysteem wordt gestuurd.

Twee veel voorkomende inbreuken op de privacy zijn de spam en de identity theft. Spam is ongewenste e-mail dat ofwel reclameboodschappen bevat ofwel andere hinderlijke inhoud. Niet alleen gaan de efficiency voordelen van e-mail verloren, ook is het een bron van vele virussen. Enkele maatregelen zijn: De identiteit van de verzender moet duidelijk vermeld zijn in de header, de header moet duidelijk onderscheid maken tussen een reclameboodschap en een verzoek. De body moet een link bevatten waarmee men de optie heeft zich af te melden voor toekomstige mail van deze afzender, de body moet het geldige postadres van de afzender bevatten en organisaties moeten geen commerciële e-mail verzenden naar willekeurig uitgekozen adressen.

Identify theft is het onbevoegde gebruik van iemands persoonlijke informatie. Met deze informatie kunnen fraudeplegers bijvoorbeeld leningen verkrijgen of een nieuwe credit card aanvragen op naam van iemand anders (de financiële kant). Echter in toenemende mate wordt gebruik gemaakt van identity theft in de medische sector, wat voor aanzienlijke problemen kan zorgen.

De ‘Generally Accepted Privacy Principles (GAPP)’ definiëren de volgende tien internationaal erkende praktijken voor het beschermen van persoonlijke informatie:

  1. Aantellen van management

  2. berichtgeving over het privacy beleid van de onderneming, alvorens persoonlijke informatie te verzamelen.

  3. Keuze en instemming: het bieden van keuzes aan individuen en het vragen om toestemming voordat persoonlijke informatie wordt verzameld.

  4. Verzameling: alleen het verzamelen van de benodigde informatie. Een reden tot bezorgdheid zijn cookies: een tekstbestand dat informatie opslaat over wat men heeft gedaan op een website, dit kan leiden tot bijvoorbeeld identity theft.

  5. Gebruik en bewaring: organisaties mogen persoonlijke informatie alleen gebruiken en zolang bewaren zoals beschreven staat in de privacy voorwaarden.

  6. Toegang: een organisatie behoort individuen de mogelijkheid te bieden tot toegang en mogelijkheid tot aanbreng van wijzigingen in hun eigen persoonlijke informatie.

  7. Openbaring aan een derde partij: alleen mogelijk wanneer dit beschreven staat in de algemene voorwaarden van het privacybeleid.

  8. Veiligheid: beschermen van persoonlijke informatie tegen verlies en onbevoegde openbaarmaking.

  9. Kwaliteit: het waarborgen van de volledigheid en nauwkeurigheid van de informatie. Bijvoorbeeld door men zelf toegang te laten verschaffen tot hun eigen informatie.

  10. Toezicht en handhaving: aanstellen van een of meerdere werknemers die de nakoming van het privacy beleid handhaven.

Encryptie

Decryptie is het omgekeerde proces van encryptie, en transformeert de ciphertext weer terug in plaintext. Beiden maken gebruik van een sleutel en een algoritme. Het encryptie proces verdeelt de plaintext in blokken, waarbij elk blok dezelfde lengte heeft als de lengte van de sleutel.

Drie belangrijke factoren bepalen de kracht van een encryptie systeem:

  1. Key length: langere sleutels bieden een sterkere encryptie door het aantal herhalende blokken in de ciphertext te reduceren.

  2. Algoritme: een algoritme is een formule om de sleutel te combineren met de tekst.

  3. Het managen van de sleutels: Afgezien van het belang van de lengte van de sleutel en de sterkte van het algoritme, als de sleutels zijn aangetast, kan de encryptie makkelijk worden gebroken. Sleutels moeten daarom veilig worden opgeslagen en worden beschermd met sterkte toegangscontroles. Key escrow is het proces dat kopieën maakt van alle sleutels die worden gebruikt door werknemers en het veilig opslaan van deze kopieën, zodat er geen problemen ontstaan als de werknemer die het heeft gecodeerd niet langer meer aanwezig is.

Er bestaan twee soorten encryptie systemen. Symmetric encryption systems maken gebruik van dezelfde sleutel voor zowel het coderen als het decoderen. Assymmetric encryption systems maken gebruik van twee verschillende sleutels. De ene sleutel, genaamd de public key, is wijdverspreid en beschikbaar voor iedereen. De andere sleutel, de private key, wordt geheim gehouden en is alleen bekend bij de eigenaar van dat paar sleutels. Symmetrische encryptie werkt sneller dan de asymmetrische encryptie, maar heeft twee aanzienlijke problemen. Ten eerste zowel de verzender als de ontvanger moeten bekend zijn met de gedeelde sleutel, dit betekend dat de partijen een veilig manier moeten vinden om de sleutel uit te wisselen (e-mailen is hierbij bijvoorbeeld al geen optie). Het tweede probleem is dat er twee verschillende sleutels nodig zijn als een organisatie zijn informatie wil delen met twee verschillende partijen, maar het niet de bedoeling is dat deze partijen de informatie van elkaar te weten komen. Assymetische encryptie lost deze problemen op, het maakt namelijk niet uit wie de public key kent, omdat elke gecodeerde tekst alleen gedecodeerd kan worden als de behorende private key bekend is. Echter een aanzienlijk nadeel is de snelheid.

Hashing is het proces dat de plaintext transformeert in een korte code, genaamd een hash.

Vergelijking tussen hashing en encryption

Hashing

Encryption

Eenrichtingsfunctie (kan het proces niet terugdraaien).

Omkeerbaar, decoderen terug naar de plaintext is mogelijk.

De ‘output size’ is kleiner dan de ‘input size’.

Bij benadering heeft de ‘output size’ dezelfde grootte als de ‘input size’.

Een belangrijke kwestie voor transacties is nonrepudiation, het creëren van legaal bindende overeenkomsten die niet eenzijdig kunnen worden verworpen door een van de partijen. Dit wordt gedaan door beide partijen documenten te laten ondertekenen en het maken van kopieën. Hedendaags wordt nonrepudiation bereikt door met behulp van hashing en assymetric encryption, een digitale handtekening te creëren

Een belangrijk vraagstuk betreft: hoe verkrijgt de leverancier de public key van de klant? Deze vraag wordt beantwoordt door het gebruik van digital certificates en public key infrastructure.

Een digital certificate is een elektronisch document, gecreëerd en digitaal ondertekend door een vertrouwde derde partij (certificate authority), dat de identiteit van de eigenaar van een public key bevestigd. Het digitale certificaat bevat de public key van de partijen. Dit is dus een geautomatiseerde methode, voor het verkrijgen van een public key van een organisatie op van een individu.

Public key infrastructue (KPI): een methode voor encryptie dat gebruik maakt van twee sleutels: een public key en een private key. Met de PKI kunnen beide sleutels gebruikt worden om een bericht te coderen, maar alleen de andere sleutel kan gebruikt worden om het bericht te decoderen.

Gecodeerde informatie dat zich verplaatst over het internet creëert een virtual private network (VPN): een netwerk dat de toegang regelt tot een ‘extranet’ met behulp van encryptie en authentication technologie.

Hoe kan de integriteit gewaarborgd blijven? - Chapter 10

 

In de vorige hoofdstukken zijn de eerste drie principes van systeem betrouwbaarheid geïdentificeerd in de Trust Services Framework: veiligheid, betrouwbaarheid en privacy. In dit hoofdstuk worden de overige twee principes van een betrouwbaar systeem besproken: verwerken van integriteit en beschikbaarheid.

Verwerken van integriteit

Een betrouwbaar systeem is een systeem dat informatie produceert dat nauwkeurig, compleet, actueel en geldig is. Hiervoor zijn drie soorten controles vereist:

  1. Input controls
  2. Processing controls
  3. Output controls

Het COIBT framework bespreekt zes soorten toepassingscontroles die moeten zorgen voor integriteit.

Input controls

De geldigheid van input data wordt onder andere beheerst door ‘forms design’, waarbij documenten zo moeten ontworpen dat het de kans op fouten minimaliseert:

  • Alle source documents moeten vooraf opeenvolgend worden genummerd. Zo kunnen ontbrekende documenten snel worden opgespoord.

  • Turnaround document: output van een bedrijf die naar een externe partij worden gestuurd, die in veel van de gevallen wijzigingen toevoegen, om vervolgens teruggestuurd te worden als een input document. Op deze manier worden input errors geëlimineerd.

Voordat source documents in het systeem worden ingevoerd, moeten ze gecontroleerd worden op redelijkheid en fatsoen. Deze handmatige controle moet ondersteund worden met geautomatiseerde controles:

  • Field check: bepaalt of de karakters (cijfers/ letters) in het field van het juiste type zijn.

  • Sign check: bepaalt of de data in het field het juiste rekenkundige teken heeft (positief/ negatief).

  • Limit check: vergelijkt een numeriek bedrag met een vaste waarde.

  • Range check: test of een numeriek bedrag tussen een vooraf bepaalde onder –en bovenlimiet valt.

  • Size check: stelt vast of de input data past in het aangewezen field (een waarde van 458.976.253 past bijvoorbeeld niet binnen een 8 cijferig field).

  • Completeness check: bepaalt of alle vereiste data items van een bepaald input zijn ingevoerd.

  • Validity check: vergelijkt het accountnummer of ID code in de transactiedata met vergelijkbare data in de ‘master file’.

  • Reasonableness test: bepaalt de juistheid van de logische relatie tussen twee data items.

  • Check digit: ID nummers (zoals een personeelsnummer) kunnen een check digit bevatten, berekend uit andere cijfers/ nummers. Het systeem kan bijvoorbeeld een nieuwe werknemer een negen-cijferig nummer toewijzen, en daaruit een tiende cijfer berekenen, en deze toevoegen zodat er een tien-cijferig ID nummer ontstaat. Check digit verification is het herberekenen van check digit zodat vastgesteld kan worden dat er geen fouten zijn gemaakt.

Bovenstaande testen worden gebruikt voor zowel ‘batch processing’ als ‘online real-time processing’.

Extra batch processing data controles:

  1. ‘Batch processing’ werkt meer efficiënt als de transacties zodanig gesorteerd zijn dat de accounts in dezelfde volgorde staan als de records in de master file. Een sequence check test bepaalt of een batch van input data in de juiste numerieke of alfabetische volgorde staat.

  2. Bijhouden van een foutenlogboek.

  3. Batch totals vatten belangrijke waarden voor een batch samen van input gegevens:

    • Financial total: totaaloptelling van monetaire waarden in een field.

    • Hash total: totaalopstelling van een non-financieel numeriek field.

    • Record count: het aantal records in een batch.

Extra online data controles:

  1. Prompting: controle dat gebruik maakt van de computer om het data-invoer proces te controleren. Het systeem vraagt elke data input aan en wacht dan op een acceptabel antwoord voordat een volgend item wordt aangevraagd.

  2. Closed-loop verification: controleert de nauwkeurigheid van data input door het te gebruiken om andere gerelateerde informatie op te halen, bijvoorbeeld de link tussen een accountnummer en een naam.

  3. Bijhouden van een transactielogboek: als een online bestand beschadigd raakt, kan het logboek het bestand weer reconstrueren.

Processing controls

Belangrijke verwerkingscontroles zijn:

  • Data matching: Soms moeten twee of meer data items gekoppeld worden voordat er een bepaalde actie kan plaatsvinden.

  • File labels: controleren of de juiste en de meest recente bestanden/dossiers zijn bijgewerkt. Zowel externe labels als interne labels, die in machine-taal zijn geschreven, worden gebruikt. Twee belangrijke interne labels zijn de header record en de trailer record. De header record bevat de bestandsnaam, de verloopdatum en andere identificatiegegevens en bevindt zich aan het begin van het bestand. De trailer record is gelokaliseerd aan het eind van het bestand en bevat de batch totals.

  • Herberekenen van batch totals. Een veelvoorkomende fout is de transposition error, waarin twee aangrenzende cijfers per ongeluk zijn verwisseld (64 wordt geschreven van 46).

  • Een cross-footing balance test en een zero-balance test: In een cross-footing balance wordt het totaal van zowel een rij als een kolom berekend Vervolgens wordt het totaal van alle rijen vergeleken met het totaal van alle kolommen. Deze horen dan aan elkaar gelijk te zijn. Een zero-balance check is een interne controle dat vereist dat de balans van een account gelijk moet zijn aan nul.

  • Write-protection mechanisms: bescherming van data bestanden tegen overschrijven of wissen van de inhoud.

  • Concurrent update controls: voorkomen dat twee of meer gebruikers dezelfde update tegelijk installeren, door een gebruiker buiten te sluiten totdat het systeem klaar is met updaten.

Output controls

Belangrijke outputcontroles zijn:

  1. User review of output: mening van gebruikers over de geproduceerde output.

  2. Reconciliation procedures: periodiek, moeten alle transacties en andere systeemupdates worden verzoent met controlerapporten, update rapporten of andere controle mechanismes.

  3. External data reconciliation: database totalen moeten periodiek verzoend worden met data buiten het systeem.

  4. Data transmission controls: controles die het risico van transmissiefouten minimaliseren. Naast de Transmission Control Protocol (TCP) zijn de checksums en parity bits goede transmissicontroles.

Beschikbaarheid

Interrupties in de bedrijfsactiviteiten veroorzaakt doordat het systeem niet beschikbaar is kan voor grote financiële verliezen zorgen. Belangrijke doelstellingen zijn dan ook om het risico van systeemuitval zoveel mogelijke te beperken en het herstel van normale operaties zo snel mogelijk te voltooien.

Eerstgenoemd doel kan worden bereikt met behulp van de volgende controles:

  • Preventive maintenance

  • Fault tolerance: de mogelijkheid van een systeem om door te blijven functioneren, in het geval dat een bepaald component faalt. Veel organisaties gebruiken bijvoorbeeld redundant arrays of independent drives (RAID), waarbij gegevens tegelijkertijd naar meerdere schrijfstations worden geschreven, zodat als een schrijf faalt, de gegevens niet verloren zijn.

  • Data center location and design. Hier volgen enkele veelvoorkomende designelementen: verhoogde vloeren bieden bescherming tegen beschadiging veroorzaakt door overstroming, branddetectie verminderd de kans op brandschade en een uninterruptible power supply (UPS) systeem biedt bescherming in het geval van een langdurige stroomuitval, door gebruikt te maken van batterijkracht; het systeem kan dan net lang genoeg blijven+ opereren zodat er een back-up gemaakt kan worden van data.

  • Training

  • Patch management and antivirus software

Het snelle herstel van normale operaties kan bereikt worden door:

  • Back-up procedures.

  • Disaster recovery plan (DRP): een overzicht van de procedures/stappen die doorlopen moeten worden voor het herstel van de IT-functie, in het geval dat zich een noodgeval voordoet die het computersysteem uitschakelt. Een organisatie heeft drie opties voor het vervangen van hun IT infrastructuur:

    • Tekenen voor het gebruik van een cold site in combinatie met een contract dat de onderneming voorziet van de benodigde uitrusting voor een bepaalde periode. Een cold site is een leeg gebouw dat is voorzien van bedrading voor telefoon en internettoegang.

    • Tekenen voor het gebruik van een hot site, een faciliteit die niet alleen is voorzien van bedrading maar ook van alle benodigde computer –en kantoorapparatuur om de essentiële bedrijfsactiviteiten uit te voeren.

    • Een organisatie met een korte recovery time objective kan een tweede datacenter vestigen ten uitvoer van real-time mirroring.

  • Business continuity plan (BCP): een plan dat het herstel van alle bedrijfsactiviteiten specificeert, in het geval van een enorme ramp.

Bij een back-up procedure zijn twee belangrijke vragen van toepassing: Hoeveel data zijn we bereid om te recreëren vanuit brondocumenten of te verliezen? Hoe lang kan de organisatie functioneren zonder informatiesysteem?

Het antwoord op de eerste vraag bepaalt het recovery point objective (RPO), welke de maximum hoeveelheid aan gegevens , die de organisatie potentieel bereid is om te verliezen, vertegenwoordigt. Het antwoord op de tweede vraag bepaalt het recovery time objective (RTO), welke de tijdsduur bepaalt dat de organisatie bereid is om te functioneren zonder informatiesysteem.

Voor organisaties waarop het antwoord op beiden nul is, is de oplossing het implementeren van real-time mirroring. Dit houdt in dat er twee kopieën van de database worden aangehouden in twee verschillende datacenters te allen tijde, en beiden worden direct geüpdate als er een transactie plaatsvindt.

Er bestaan verschillende back-up procedures. Een volledige back-up is een exacte kopie van de volledige database, deze zijn echter kostbaar en daarom voeren de meeste bedrijven deze wekelijks uit en vullen ze dagelijks aan met gedeeltelijke back-ups. Er zijn twee typen gedeeltelijke back-ups. Een incremental backup kopieert alleen de data items die veranderd zijn sinds de laatste gedeeltelijke back-up. Een differential backup kopieert alle data items die veranderd zijn sinds de laatste volledige back-up.

Een archive is een kopie van een database, master file of software dat oneindig wordt aangehouden als een historisch overzicht.

Hoe kan er controle plaatsvinden op Informatie Systemen op computers? - Chapter 11

 

Auditing is het systematisch verwerven en evalueren van bewijs dat zou kunnen wijzen op een ongewenste situatie in het computer systeem. Veel bedrijven besteden dit uit aan (internationale) externe bedrijven, dit hoofdstuk richt zich echter op interne audits binnen bedrijven.

Er zijn veel verschillende soorten audits, onder andere:

  1. Een financiële audit
  2. Een audit op de AIS
  3. Een operationele audit (op de uitvoer van processen)
  4. Een compliance audit (voldoet alles aan de wet en/of ander beleid?)
  5. Een onderzoeksaudit (is er sprake van fraude of of misbruik?)

Hoe verloopt een audit?

Allereerst moet een audit worden voorbereid en gepland. De doelen worden vastgesteld, er wordt een team gevormd, de risico's worden geanalyseerd, etc. Vervolgens moet er data verzameld worden. Dit kan door observatie, door het nakijken van documentatie, door het uitzetten van enquetes, door het nakijken van de processen, vergelijkingsmateriaal zoeken, etc. De derde stap is het evalueren van de gevonden data. De laatste stap is het communiceren van de resultaten, bijvoorbeeld met een rapport.

De risk based audit approach:

  1. Stel de dreigingen vast. Stel een lijst op van mogelijke risico's die het bedrijf kan lopen met betrekking fraude en andere bewuste acties van mensen die negatieve gevolgen kunnen hebben voor het bedrijf.
  2. Identificeer de procedures en maatregelen die deze dreigingen voorkomen, detecteren of afwenden.
  3. Evalueer deze procedures.
  4. Evalueer de zwakheden van de systemen om hun effect die deze zouden kunnen hebben op het bedrijf.

Deze manier van onderzoeken maakt het voor onderzoekers makkelijk om een overzicht te krijgen van de mogelijke problemen die zouden kunnen spelen binnen een bedrijf.

Information Systems Audits

Het doel van een ISA is het analyseren van de interne controles die het systeem beschermen, wat op zes manieren kan gebeuren.

  1. Een manier om dit te doen is het simpelweg proberen te vinden van zwakheden door als audit team zelf proberen in te breken.
  2. Een tweede mogelijk manier is het analyseren van de computer systemen. Het systeem wordt dan door de auditers van a tot z doorgekeken, hoe zit het met approvals en wordt alles wel gedocumenteerd? Dit kan bijvoorbeeld gedaan worden door mederwerkers te interviewen en mee te kijken met de processen.
  3. Een derde manier is het nagaan van alle wijzigingen die zijn doorgevoerd in het systeem na de start er van. Hoe zijn deze wijzigingen doorgevoerd, wie heeft er toestemming voor gegeven? Denk aan een programmeur die een mogelijkheid creeërt voor een HR mederwerker om ineens rekeningnummers in het systeem te wijzigen. Alle veranderingen in het programma zouden in principe moeten zijn gedocumenteerd, goedgekeurd en getest. Het identificeren van de verschillen kan bijvoorbeeld met een computer programma (source code comparison program) of door processen in het programma van nu en toen uit te voeren en te kijken naar mogelijke verschillen.
  4. Een volgende manier is het draaien van rapporten van alle transacties die gedaan zijn in het systeem. Een concurrent audit techniek gebruikt software die continue de (live) processen van een bedrijf monitort en evalueert.
  5. Een vijfde manier is het gebruiken van een input controls matrix. Deze matrix geeft een overzicht van de controle die geweest is op alle input in een systeem.
  6. Een zesde manier is het kijken naar de integriteit, correctheid en veiligheid van de opgeslagen informatie.

Iedere manier heeft zijn eigen doel en onderdeel dat op die manier wordt onderzocht, een combinatie geeft uiteraard de beste audit.

Software

CAATS zijn computer assisted audit techniques, dit is software die gebruik maakt van specificaties die de auditer aangeeft om een programma te creeëren om een audit uit te voeren. Een ander woord hiervoor is een GAS, generalized audit software.
Deze programma's zijn vooral interessant voor grote bedrijven met omvangrijke, ingewikkelde processen, die bijvoorbeeld op meerdere systemen draaien.

Operationele Audits

De processen van operationel audits zijn nagenoeg hetzelfde als eerder genoemd in dit hoofdstuk, zie "hoe verloopt een audit?" Het doel en de nadruk van deze audits ligt echter wat anders. Ook de effectiviteit en efficientie van een bedrijf worden nagekeken. Een overweging hierbij is dat de resultaten van management procedures en uitvoeringen vaak belangrijker zijn dan de procedures zelf. Mogelijk zijn de procedures in theorie niet optimaal, maar zijn de bereikte resultaten wel hoog. Het is daarom aan te raden dat een operationel audit wordt uitgevoerd door iemand met management ervaring.

Wat is de omzet-cyclus? - Chapter 12

 

Dit hoofdstuk is een introductie van het begrip revenue cycle, een terugkerende reeks van bedrijfsactiviteiten en gegevensverwerking die verband houden met de levering van goederen en diensten aan klanten en het verzamelen van geld uit deze verkopen. Het voornaamste doel van een revenue cycle is om het juiste product op de juiste plaats en de juiste tijd voor de juiste prijs aan te bieden. Enkele belangrijke vraagstukken ontstaan rondom activiteiten zoals de invoer van verkooporders, de verzending, de facturatie en de geldinzameling. Dit hoofdstuk beschrijft hoe een informatiesysteem elk van deze activiteiten ondersteunt.

Informatiesysteem

De meeste organisatie gebruiken een ERP systeem. Het verkoopproces start bij het ontvangen van orders van klanten. Deze orders worden in het systeem gezet, en het systeem controleert bijvoorbeeld de aanwezige voorraad en geeft deze informatie door aan andere afdelingen, zoals de transportafdeling. Dit is slechts een klein onderdeel van het gehele verkoopproces.

Alle activiteiten hangen uiteindelijk samen met de database dat alle informatie bevat over klanten, voorraad en de prijzen. Een veelvoorkomende bedreiging is dan ook onjuiste data invoer. Een tweede bedreiging in de revenue cycle is de ongeoorloofde openbaarmaking van gevoelige informatie. Een derde bedreiging is het verlies of de vernietiging van data. Controle is dus ook hierbij weer van groot belang.

Invoer van verkooporders

De ‘sales order entry process’ bestaat uit drie stappen: het ontvangen van de klantenorders, het controleren en goedkeuren van het klantenkrediet en het controleren van de aanwezige voorraad.

Een sales order is een document dat gevormd wordt tijdens de verkoop met daarin de artikelnummers, de hoeveelheden, de prijzen en de verkoopvoorwaarden. Voorheen werden klantenorder ingevoerd in het systeem door werknemers, tegenwoordig proberen bedrijven klanten zelf deze data in te laten voeren. Klanten kunnen daarbij gebruik maken van electronic data interchange (EDI), hierbij wordt gebruik gemaakt van geautomatiseerde communicaties en een standaard codeerschema om bedrijfsdocumenten elektronisch te verzenden in een formaat dat automatisch kan worden verwerkt door het informatiesysteem van de ontvanger. Dit komt erop neer dat klanten zelf hun orders kunnen versturen.

Een fundamentele bedreiging tijdens het invoerproces is dat belangrijke data ontbreekt of onjuist is. Een tweede bedreiging betreft de legitimiteit van de orders, als een bedrijf levert aan een klant die later ontkent dat hij de order heeft geplaatst, is er sprake van een potentieel verlies van activa. Doordat er veel gebruik wordt gemaakt van verkoop op krediet, ontstaat er een mogelijke bedreiging van dubieuze debiteuren. Het is dan ook belangrijk om het klantenkrediet van nieuwe klanten te controleren. Een credit limit is het maximum toegestane bedrag dat een klant op rekening mag kopen, gebaseerd op zijn vroegere krediet geschiedenis en het vermogen om te betalen.

Een accounts receivable aging report sorteert de klantenaccounts naar de tijd dat deze openstaan. Het rapport verschaft bruikbare informatie voor de evaluatie van het huidige kredietbeleid, voor het inschatten van dubieuze debiteuren, en voor de beslissing of het kredietlimiet voor bepaalde klanten wordt vergroot.

Om te bepalen of er voldaan kan worden aan een bepaalde order zal de voorraad gecontroleerd moeten worden. Als er niet voldoende op voorraad is, zal er een back order voor deze items moeten worden gecreëerd. Dit document stelt de productieafdeling op de hoogte van het feit dat de productie moet worden gestart, of dat de inkoopafdeling de betreffende items moet bestellen. Zodra de beschikbaarheid is vastgesteld zal het systeem een picking ticket generen. Een picking ticket is een document dat ervoor zorgt dat de voorraadbeheer de goederen vrijgeeft aan de verzendafdeling. Om de efficiëntie te verhogen, zet de picking ticket de items meestal in de volgorde waarin ze zijn opgeslagen, in plaats van rangschikking naar verkooporders.

Naast het verwerken van klantenorders, omvat het ‘sales order entry process’ ook het beantwoorden van vragen van de klant. Klantenservice is zo belangrijk dat de meeste ondernemingen speciale software pakketten gebruiken, de zogenaamde customer relationship management (CRM) systems. Deze software organiseert de informatie over klanten zodanig dat de efficiëntie en persoonlijke service wordt bevorderd.

Verzending

De verzending van de gewenste goederen gebeurt in twee stappen. De eerste stap is de ‘picking and packing’ van de order, en de tweede stap is de daadwerkelijke verzending van de order.

Enkele problemen kunnen ontstaan doordat de verkeerde items of de verkeerde hoeveelheden worden gekozen. Een andere bedreiging betreft de diefstal van voorraad.

Bij de verzending wordt een packing slip geproduceerd. Dit is een document dat de hoeveelheid en beschrijving van elk item opslaat dat behoort tot een zending. De Bill of lading is een legaal contract dat de verantwoordelijkheid voor goederen vastlegt wanneer deze worden vervoerd. Het definieert de vervoerder, de bron, de eindbestemming, de verzendinstructies en de partij die het vervoer betaalt.

Als een verkoper weet dat een lading te laat zal aankomen, kan een onmiddellijke melding daarvan de klant helpen om zijn plannen te herzien.

Facturatie

De facturatie bestaat uit twee aparte, nauw verwante taken: het factureren en het updaten van de ‘accounts receivable’.

Het basisdocument dat wordt gecreëerd in het factureringsproces is de sales invoice. Dit is een document waarin het bedrag van verkoop en de eindbestemming op wordt vermeld (verkoopfactuur).

Om te vermeiden dat een klant niet wordt gefactureerd, is taakverdeling binnen de organisatie een vereiste. Anders kan het voorkomen dat iemand die zowel de verzending als de facturering uitvoert, aan vrienden levert zonder dit in rekening te brengen. Een andere potentieel gevaar zijn factureringsfouten (prijsfouten e.d.).

De twee manieren om de registratie van de ‘accounts receivable’ te onderhouden zijn de open-invoice method en de balance-forward method. De open-invoice method is een methode voor het houden van debiteurenaccounts waarin klanten meestal betalen op basis van een factuur. Gebruikelijk worden er twee kopieën van de factuur verstuurd naar de klant, welke wordt gevraagd een van de twee terug te sturen met de betaling. Deze kopie is een turnaround document, ook wel een remittance advice genoemd.

In de balance-forward method betalen klanten doorgaans het bedrag dat op de monthly statement staat vermeld, in plaat van betaling naar aanleiding van individuele facturen. Een monthly statement vat alle transacties samen die optreden tijdens de afgelopen maand en ze informeren klanten over hun huidige rekeningsaldo. Veel bedrijven die gebruik maken van deze methode maken gebruik van een zogenoemd cycle billing proces, waarbij monthly statements geproduceerd worden voor een groepje klanten op verschillende tijdstippen. Er wordt bijvoorbeeld elke week een monthly statement voorbereidt voor een kwart van alle klanten.

Indien er sprake is van een retourzending, zal er een aanpassing moeten worden gedaan in een klantaccount. Alvorens deze aanpassing te maken moet de kredietmanager er zeker van zijn dat de goederen zijn geretourneerd en zich weer bevinden in de voorraad. Na kennisgeving van dit gegeven zal de kredietmanager een credit memo uitgeven, hetwelk de aanpassing toestaat.

Geld innen

Omdat geld en cheques makkelijk gestolen kunnen worden, is het van belang dat er goede maatregelen genomen worden. Enkele methodes om de afkomst van een geldoverdracht te identificeren worden hieronder beschreven.

Een eerste methode is het gebruik van een remittance advice (verzenden van twee kopieën). Een tweede methode is het opstellen van een remittance list. Dit is een document dat de naam en het bedrag van alle geldoverdrachten identificeert en dit naar de ‘accounts receivable’ verstuurd. Een derde methode is het gebruik van een lockbox, een postadres waar klanten geld naar kunnen overmaken Dit postadres bevindt zich bij een bank, welke de cheques elke dag overmaakt naar de rekening van de onderneming. Een electronic lockbox komt op hetzelfde neer, maar gebeurt elektronisch.

Een electronic funds transfer (EFT) is de overdracht van middelen tussen twee of meer organisaties of individuen met behulp van computers en andere geautomatiseerde technologie. Financial electronic data interchange (FEDI) is een combinatie van EFT en EDI dat zowel ‘remittance data’ als geldverkeer instructies in één elektronisch pakket verzamelt.

Functiescheiding is de meest effectieve controle voor het terugdringen van risico’s zoals diefstal. Zo is het bijvoorbeeld niet slim om de persoon die de controle heeft over het geld en de cheques, deze ook te laten overschrijven naar de rekening van de klant, dit kan leiden tot ‘lapping’.

De beste controle om het risico van onverwachte ontbrekende cashflows te reduceren is door gebruik te maken van een cash flow budget. Een cash flow budget laat de verwachte ingaande en uitgaande kasstromen zien voor een specifieke periode zodat een organisatie de behoefte aan een kortlopende lening kan inschatten.

Hoe ziet de uitgave-cyclus er uit? - Chapter 13

 

De expenditure cycle is een terugkerende reeks van bedrijfsactiviteiten en gegevensverwerking die verband houden met de aanschaf en betaling van goederen en diensten. Dit hoofdstuk focust zich op de aanschaf van grondstoffen, eindproducten, leveringen en diensten. Net zoals in hoofdstuk 12 worden verschillende processen uitgebreid besproken. In de samenvatting worden vooral de kernbegrippen die hierbij van belang zijn belicht.

Informatiesysteem

De vier basis expenditure cycle activiteiten zijn:

  1. Het bestellen van materiaal, voorraden en diensten;
  2. Het ontvangen van materiaal, voorraden en diensten;
  3. Goedkeuren van leveranciersfacturen;
  4. Kasuitgaven.

Bestellen van materiaal, voorraden en diensten

In deze fase moet er allereerst bepaald worden wat, wanneer en hoeveel te kopen, alvorens de leverancier uit te kiezen.

Een bekende aanpak om voorraad aan te houden wordt de economic order quantity (EOQ) genoemd. Een aanpak/ formule waarin de optimale ordergrootte zodanig wordt berekend zodat de bestelkosten, de voorraadkosten en de ‘stockout’ kosten gezamenlijk worden geminimaliseerd (de optimale bestelorder grootte). De EOQ berekent hoeveel er besteld moet worden, echter de reorder point bepaalt wanneer er besteld dient te worden. Zodra dit punt, de minimum voorraad, bereikt wordt dient er een nieuwe bestelling te worden geplaatst. Deze optimale bestelgrootte kan wel leiden tot het aanhouden van aanzienlijke vooraadniveau’s, op zijn beurt zal dit weer leiden tot hogere ‘carrying costs’. Om het voorraadniveau terug te brengen wordt gebruik gemaakt van materials requirements planning en van een just-in-time (JIT) inventory system.

Materials requirements planning (MRP) is een aanpak dat het benodigde voorraadniveau probeert terug te dringen door verbetering van techniek. Doel is dat de aankopen zodanig worden gepland dat er aan de productiebehoeften/ eisen wordt voldaan.

Een just-in-time (JIT) inventory system refereert aan een systeem waarin materialen precies dan arriveren wanneer ze nodig zijn. De levering en productie worden dus zodanig op elkaar afgestemd dat er nauwelijks tot geen voorraden in de onderneming nodig zijn. De voorraadkosten worden hierdoor deels geëlimineerd.

Een aanzienlijk verschil tussen deze twee laatstgenoemde systemen is de productieplanning. MRP systemen plannen de productie zodanig dat er voldaan kan worden aan de verwachte verkopen. Hierbij wordt een optimale voorraad gereed product aangelegd. Dit systeem wordt vooral gebruikt bij producten met een voorspelbaar vraagpatroon.

JIT systemen plannen de productie als reactie op de vraag. Voorraad gereed product wordt geëlimineerd, en in plaats daarvan moeten er voldoende grondstoffen worden aangehouden om snel te kunnen reageren op veranderingen in de productie, als gevolg van een verandering in de vraag. Dit systeem wordt vooral gebruikt bij producten die een relatief korte ‘levenscyclus’ hebben en een onvoorspelbaar vraagpatroon.

De noodzaak om goederen en voorraad te kopen resulteert vaak in de totstandkoming van een purchaserequisition, een (elektronisch) document dat de inkoper identificeert; de plaats en datum van levering specificeert; de artikelnummers, beschrijvingen, hoeveelheden en prijs identificeert; en een mogelijke leverancier aanwijst.

De laatste stap is het uitkiezen van een leverancier, hierbij moet o.a. rekening worden gehouden met de prijs, de kwaliteit en de betrouwbaarheid.

Een purchase order is een document dat een leverancier formeel verzoekt om een product voor aangewezen prijzen te verkopen en te leveren. Dit document is ook meteen een belofte om te voldoen aan de betaling en het wordt een contract zodra de leverancier accepteert. Een Blanket purchase order is een overeenkomst tot aankoop van aangewezen items en prijzen van een bepaalde leverancier voor een bepaalde periode, meestal van een jaar.

Nog een manier om de inkoopkosten en de voorraadkosten te reduceren is door gebruik te maken van een vendor-managed inventory (VMI) program. Dit is een praktijk waarin fabrikanten en distributeurs de voorraden van de klant beheren met behulp van electronic data interchange (EDI).

Eén van de problemen bij de keuze van leveranciers is de uitgifte van kickbacks, zogenaamde geschenken uitgereikt door leveranciers aan inkopers met als doel om hun keuze positief te beïnvloeden. Dit kan de objectiviteit van de keuze beïnvloeden. Een simpele oplossing is om inkopers te verbieden om dergelijke geschenken aan te nemen.

Ontvangen van materiaal, voorraden en diensten

Een receiving report slaat alle details van elke levering op, inclusief de ontvangstdatum, de verzender, de verkoper en de ontvangen hoeveelheid.

In het geval dat er beschadigde of goederen van slechte kwaliteit worden ontvangen, zal er een debit memo worden opgesteld nadat de leverancier heeft toegezegd de goederen terug te nemen of een korting te verstrekken. Deze debit memo registreert deze aanpassing (een vermindering in de balans van een leverancier).

Goedkeuren van leveranciersfacturen

Zodra er een factuur is ontvangen is de ‘accounts payable’ afdeling verantwoordelijk voor het matchen van deze factuur met die van de purchase order en het receiving report. Deze combinatie wordt een voucher package genoemd.

Om een leveranciersfactuur te verwerken kan gebruik worden gemaakt van twee verschillende methodes. De nonvoucher system en de voucher system.

In een nonvoucher system wordt elk voucher package in de ‘accounts payable’ rekening geplaatst om vervolgens opgeslagen te worden in een ‘open-invoice file’. Nadat er een cheque is uitgeschreven, wordt de voucher package verplaatst naar de ‘paid-invoice file’.

In een voucher system wordt er een extra document, genaamd een disbursement voucher, aangemaakt zodra er een factuur goedgekeurd is voor betaling. Een disbursement voucher identificeert de leveranciers, toont de openstaande facturen en indiceert het nettobedrag dat betaald moet worden na aftrek van eventuele kortingen en vergoedingen.

Dit systeem biedt drie voordelen boven die van een nonvoucher system. Ten eerste wordt het aantal cheques die moeten worden uitgeschreven gereduceerd (verschillende facturen kunnen worden ondergebracht in één disbursement voucher). Ten tweede is het disbursement voucher een intern ontwikkeld document dat genummerd kan worden, zodat het bijhouden van alle schulden vergemakkelijkt kan worden. En ten derde, omdat de voucher tegelijkertijd ook een goedkeuring tot betaling bevat, wordt de scheiding tussen het moment van goedkeuring en het moment van betaling vergemakkelijkt.

In het geval van herhalende aankopen, kiezen veel bedrijven ervoor om bovenstaand proces achterwege te laten, alle informatie is immers al bekend. Dit proces wordt evaluated receipt settlement (ERS) genoemd. Deze methode elimineert de vendor invoice uit het traditionele matching proces (vendor invoice, receiving report, purchase order).

Een procurement card is een creditcard dat werknemers van een onderneming kunnen gebruiken om specifieke items aan te schaffen, alleen bij een aangewezen leverancier. Aan zo’n kaart kan bijvoorbeeld een limiet worden gesteld.

Kasuitgaven

De kashouder is verantwoordelijk voor het betalen van leveranciers. Soms wordt er zelfs een korting verstrekt door leveranciers als er binnen een bepaalde periode wordt betaald, bijvoorbeeld binnen tien dagen in plaats van binnen dertig dagen.

Voor het afrekenen van kleine bedragen, zoals koffie of pennen, is het vaak logischer om contant te betalen. Hiervoor wordt een imprest fund opgesteld, een geldrekening met twee kenmerken: (1) Het is vastgesteld op een vast bedrag en (2) er zijn vouchers vereist voor elke uitbetaling.

De som van het contant geld plus de vouchers moet altijd gelijk zijn aan de vooraf bepaalde ‘fund balance’.

Hoe ziet een productie-cyclus er uit? - Chapter 14

 

Dit hoofdstuk beschrijft het concept production cycle, en alle daarbij behorende processen en gevaren. De production cycle is een terugkerende reeks van bedrijfsactiviteiten en gegevensverwerking die verband houden met de vervaardiging van producten. De vier basis activiteiten in de production cycle zijn: product design, ‘planning and scheduling’ productieactiviteiten en ‘cost accounting’.

Informatiesysteem

De vier basis activiteiten in de production cycle zijn:

  1. Product design,
  2. Planning and scheduling,
  3. Productieactiviteiten,
  4. Cost accounting.

Product design

Het doel van product design het is ontwerpen van een product dat voldoet aan de eisen van de klant in termen van kwaliteit, duurzaamheid en functionaliteit in combinatie met zo laag mogelijke productiekosten.

Bij het ontwerp van de producten worden er twee soorten output gecreëerd, allereerst een bill of materials, waarin de onderdeelnummers, de beschrijvingen en de hoeveelheden van alle componenten gebruikt in een eindproduct worden gespecificeerd. De tweede output is een operations list, welk de opeenvolging van stappen om een product te maken specificeert, maar ook welk apparatuur er moet worden gebruikt en de tijd dat men kwijt is per stap.

Planning and scheduling

Twee methodes voor het plannen van de productie zijn: manufacturing resource planning (MRP-II) en lean manufacturing.

Manufacturing resource planning (MRP-II) zoekt naar de balans tussen de bestaande productiecapaciteit en benodigde grondstoffen om te kunnen voldoen aan de verwachte vraag. Manufacturing resource planning wordt ook wel aangeduid als ‘push management’ omdat goederen geproduceerd worden in afwachting van de marktvraag.

Lean manufacturing heeft als doel om de voorraden grondstof, halffabricaten en gereed product te minimaliseren of te elimineren. Lean manufacturing wordt ook wel aangeduid als ‘pull manufacturing’ omdat goederen worden geproduceerd in reactie op de marktvraag.

Een master production schedule (MPS) bepaalt hoeveel van elk product er zal worden geproduceerd en wanneer deze productie zal plaatsvinden. Andere documenten die gebruikt worden voor ‘planning and scheduling’ zijn een production order, een materials requisition en zogenaamde move tickets.

Een Production order is een document dat de machtiging heeft over de vervaardiging van een bepaalde hoeveelheid van een bepaald product. Hierin staan de te verrichten handelingen, de hoeveelheid die geproduceerd moet worden en de locatie waar de eindproducten moeten worden geleverd.

Een Materials requisition regelt de verplaatsing van de benodigde aantal grondstoffen vanuit de voorraadkamer naar de fabriekslocatie waar de productie zal starten.

Move tickets identificeren de interne verplaatsingen van onderdelen, de locatie waar deze naar toe moeten worden overgeheveld en de tijd van verplaatsing.

Productieactiviteiten

De derde stap in de production cycle is de daadwerkelijke productie van goederen. Het gebruik van verschillende vormen van IT in het productieproces wordt ook wel computer-integrated manufacturing (CIM) genoemd, oftewel een aanpak waarin een groot deel van het productieproces uitgevoerd wordt door geautomatiseerde apparatuur.

Alvorens te produceren moet men natuurlijk wel kunnen beschikken over de juiste uitrusting (machines en materialen). De aanschaf hiervan gebeurt vaak met behulp van een request for proposal (RFP) waarin een document met daarin vermeld de gewenste eigenschappen van een activa, wordt verstuurd naar elke potentiële aanbieder. Uiteindelijk wordt de leverancier met het beste bod geaccepteerd.

Cost accounting

De meeste bedrijven gebruik ofwel job-order costing ofwel process costing om de productiekosten toe te wijzen. Job-order costing is een systeem dat de kosten toewijst aan specifieke productiebatches. Deze methode wordt gebruik wanneer een product of dienst duidelijk identificeerbaard/ herkenbaar is.

Process costing: een systeem dat de kosten toewijst aan een proces of bepaalde productie en vervolgens de gemiddelde kosten voor alle geproduceerde eenheden berekend. Deze methode wordt gebruikt bij massaproductie.

De keuze tussen een van beide processen zegt alleen iets over de methode die gebruikt wordt om de kosten toe te wijzen aan een bepaald product. Het zegt niets over de methodes om data te verzamelen. Een Job-time ticket wordt bijvoorbeeld gebruikt om de data omtrent de arbeidsactiviteit te verzamelen. Dit wordt gedaan door de tijd die een werknemer nodig heeft voor het uitvoeren van een specifieke taak te registreren. Verder kan het voorkomen dat productiekosten niet direct kunnen worden toegewezen aan een specifieke taak of proces, deze kosten worden dan manufacturing overhead genoemd.

Slecht ontworpen ‘cost accounting systems’ kunnen leiden tot de misallocatie van kosten aan producten, dit kan leiden tot onjuiste beslissingen en frustraties. Een activity-based costing system kan deze problemen matigen. Activity-based costing wijst de kosten toe aan de activiteiten die deze kosten hebben veroorzaakt. Dit systeem is anders dan de traditionele ‘cost accounting systems’ op drie verschillende manieren:

  1. Activity-based costing doet een poging om een groter aandeel overhead kosten direct toe te wijzen aan de producten.

  2. Activity-based costing maakt onderscheid tussen drie verschillende overheadcategorieën:

    • ‘Batch-related overhead’

    • ‘Product-related overhead’

    • ‘Companywide overhead’

  3. Activity-based costing probeert de allocatie van de overhead aan producten te rationaliseren door het identificeren van cost drivers, de factoren die een oorzaak-gevolg relatie hebben met een bepaalde kostenpost, oftewel die de omvang van de kosten bepalen.

Andere voordelen van activity-based costing zijn:

  • Verbeterde controle

  • Betere besluitvorming

  • Verbeterde cost management: Het effect van managementacties op de winstgevendheid van de onderneming kan worden gemeten.

Een probleem met lean manufacturing waarbij de voorraden sterk worden teruggedrongen, is dat de kosten die worden gemaakt om voorraad te creëren direct als kosten worden afgeboekt in plaats van deze te behandelen als een ‘asset’ en af te schrijven gedurende toekomstige periodes. Hetzelfde geldt voor arbeidskosten en overheadkosten. Bij een omschakeling van bijvoorbeeld massaproductie naar lean manufacturing zal dit het eerste jaar tot aanzienlijke kosten leiden.

Om dit probleem op te lossen kunnen bijvoorbeeld alle kosten toegewezen worden aan productlijnen in plaats van naar afdelingen. Men kan ook de overhead kosten als een aparte eenheid zien, in plaats van deze mee te rekenen in de kostprijs. Ter aanvulling van deze veranderingen in de structuur van prestatierapporten, zullen er ook nieuwe maatstaven moeten worden ontwikkeld. Een daarvan is de ‘throughput’, dit is een maatstaf voor de productie effectiviteit en toont het aantal goedgekeurde geproduceerd goederen in een bepaalde tijdsplan.

Er bestaan vier categorieën kwaliteitskosten:

  1. Prevention costs: kosten die ervoor zorgen dat er geen fouten in de productie voorkomen.

  2. Inspection costs: kosten die fouten in de productie detecteren.

  3. Internal failure costs: kosten die ontstaan doordat een product niet aan de gestelde eisen voldoet, voordat het wordt verzonden naar de klant.

  4. External failure costs: kosten die ontstaan doordat een product niet aan de gestelde eisen voldoet nadat het is verzonden naar de klant.

Hoe ziet de payroll-cyclus er uit? - Chapter 15

 

In dit hoofdstuk wordt de het concept van de payroll cycle ∕ Human resources management (HRM) besproken. We gaan kijken naar alle daarbij horende processen en mogelijke gevaren. De HRM ∕ Payroll-cyclus is een terugkerende reeks van bedrijfsactiviteiten en gegevensverwerking die verband houden met het effectief managen van de werknemers arbeidskrachten. De basis activiteiten in de HRM∕ Payroll cycle zijn: rekruteren en aannemen van nieuw personeel, training, taken toewijzen, compensatie (payroll), prestatie evaluatie en werknemers laten gaan ten gevolge van vrijwillige of onvrijwillige beëindiging.

Informatiesysteem

Het ERP systeem bestaat uit twee onderdelen namelijk HRM gerelateerde activiteiten (informatie over het aannemen, ontslaan, training etc.) en de collectie informatie over hoe werknemers hun tijd dagelijks invullen.

Knowledge management systems dienen niet alleen als een leidraad bij het opsporen van gebieden van deskundigheid die individuele werknemers bezitten, maar ook bij het vastleggen en opslaan van die kennis, zodat het kan worden gedeeld en gebruikt door anderen.

Er zijn twee grote bedreigingen richting het HRM systeem. Het eerste is het invoeren van incorrecte data, wat kan leiden tot bijvoorbeeld te veel of te weinig werknemers met een bepaalde specialisatie. De tweede bedreiging is het onbedoeld vrijkomen van de informatie in dit systeem. Het HRM systeem bevat erg veel persoonlijke informatie die erg privacy gevoelig is. Daarnaast zijn er ook andere bedreidingen zoals het onbedoeld of ongeautoriseerd aanpassen van data, problemen in het verwerken van de payroll of het verdwijnen van data.

Activiteiten

Er zijn vijf bronnen te onderscheiden die de input zij van het payroll systeem. De eerste is de afdeling HRM, verschillende andere afdelingen, overheidsinstanties, werknemers en verzekering en andere bedrijven. Checks zijn de output van het payroll systeem. Werknemers ontvangen individuele paychecks (loonstrookje) ter compensatie voor hun service. Een payroll check wordt verstuurd naar de bank om geld van de bedrijfsrekening over te maken naar de payroll rekening. Daarnaast worden er checks overgemaakt naar overheidsinstanties, verzekeringsmaatschappijen en andere bedrijven.

Om misbruik te voorkomen is functiescheiding van groot belang, dit kan het beste gedaan worden wanneer de vijf belangrijkste activiteiten van de payroll cycle worden gescheiden:

  1. Machtigen en veranderen aanbrengen in de payroll master file voor bijvoorbeeld loonsverhoging of voor het aannemen of ontslaan van mensen.

  2. Vastleggen en verifiëren van de gewerkte tijd van werknemers. Dit kan gedaan worden met behulp van een time card hiermee wordt de aankomsttijd en vertrektijd van de werknemer vastgelegd. Werknemers in service organisaties gebruiken vaak time sheets, dit is de sheet die weergeeft hoelang ze bezig zijn geweest met bepaalde taken en voor welke klant dat was.
  3. Voorbereiden van de paychecks.
  4. Verspreiden van de paychecks.
  5. Beheren van de payroll bankrekening. Veel werkgevers bieden hun werknemers flexible benefit plans, hierbij kan iedere werknemer zelf kiezen hoeveel er minimaal naar bijvoorbeeld de medische verzekering gaat en welk deel er naar het pensioen gaat etc.

Iedere werknemer ontvangt iedere periode drie documenten:

  1. De payroll register vermeldt van iedere werknemer het brutoloon, loonaftrek en nettoloon dit wordt weergeven in kolommen.

  2. De deduction register vermeldt de vrijwillige aftrek per werknemer, dit kan bijvoorbeeld voor de verzekering zijn of om pensioen op te bouwen.

  3. En als laatste ontvangt ook iedere werknemer een earnings statement. Hierop staat de brutoloon, aftrek en nettoloon voor de huidige periode, maar ook een overzicht met het totaal per jaar.

Daarnaast bestaat er altijd een kans dat er een fout wordt gemaakt, maar er zijn echter drie types van data processing integriteit beheersing die de kans op fouten verkleinen.

  1. Batch totals, als deze kloppen betekend dat drie dingen:

  • Alle loonstrookjes (payrolls) zijn verwerkt.
  • Date input was accuraat.
  • Er geen valse informatie is doorgegeven.
  1. Cross−footing the payroll register: het totaal van de kolom nettoloon moet gelijk zijn aan het totaal van de kolom brutoloon – aftrekkingen.

  2. A payroll clearing account is een grootboekrekening die gebruikt wordt in een twee–stappen proces om te controleren of de loonstrookjes kosten accuraat en compleet worden weergeven en of ze bij de juiste kostencenters staan. Deze controle is een voorbeeld van de zero−balance check, want de payroll clearing account dient aan beide kanten nul te zijn wanneer alle posten zijn ingeboekt.

Outsourcing opties

Om kosten te besparen besteden veel bedrijven de payroll en HRM functies uit. Hier zijn twee manieren voor:

  1. Payroll service bureau: onderhoudt de payroll master data en maakt de payrolls (loonstrookjes)

  2. A professional employer organization (PEO): doet zowel de payroll als de HRM taken.

Uitbesteden is vooral voordelig voor kleine en middelgrootte bedrijven voor de volgende reden:

  1. Kosten worden bespaard, want Payroll service bureau en PEO maken gebruik van schaalvoordelen en hebben kennis van de steeds veranderende belastingwetgeving.

  2. Een brede range van voordelen: Kleine bedrijven kunnen zo van dezelfde voordelen genieten als grote bedrijven.

  3. Minder applicaties nodig en er kan meer gefocust worden op andere afdelingen, zoals bijvoorbeeld op de verkoop.

Hoe ziet het grootboek en rapporteringsproces er uit? - Chapter 16

 

In dit hoofdstuk gaan we kijken naar twee informatie bedrijfsprocessen die constant moeten worden bijgewerkt namelijk naar het grootboek (general ledger) en naar rapporten die de resultaten van de bedrijfsactiviteiten samenvatten. Deze twee processen hebben een centrale rol in een organisatie administratieve informatie systeem. De belangrijkste taak is om data van onderstaande bronnen te verzamelen en te ordenen.

  • Alle informatie over transacties uit de boekhoudkundige cycles die zijn besproken in de vorige hoofdstukken.

  • De penningmeester geeft informatie over financiering- en investeringsactiviteiten, zoals informatie over schulden en de aankoop of verkoop van aandelen.

  • Begrotingsafdeling geeft informatie over de bestedingsruimte

  • Controller zorgt voor adjusting entries.

Grootboek en het rapporteringssysteem

De output van het grootboek valt in twee categorieën namelijk financiële statement en een management rapport. De statement wordt periodiek gemaakt en is in overeenstemming met de wetgeving (GAAP of IFRS). Deze wordt verspreidt onder zowel interne als externe gebruikers. Het management rapport daarentegen wordt voor alleen intern gebruik gemaakt en bevat meestal een vergelijking tussen verwachte en behaalde resultaten.

Er zijn daarnaast ook enkele bedreigingen voor het grootboek. De drie belangrijkste zijn:

  • Onnauwkeurige of ongeldige grootboek data

  • Niet-geautoriseerde toegang tot financiële statements.

  • Verliezen of vernietigen van data

Het is vanwege de verschillende bedreigingen van groot belang dat er controle procedures zijn voor het grootboek. Zo blijft de informatie accuraat en is het beveiligd tegen eventueel misbruik. Controle middelen kunnen zijn:

  • Data processing integriteit controles van de journaalposten

  • Toegangscontroles

  • Toereikende boekhouding controle

  • Gepaste back-up en bij rampen geschikte herstelprocedures

Bijwerken van het grootboek

De eerste stap in het rapporteringssysteem is het bijwerken van het grootboek. Dit bestaat uit het plaatsen van journaalposten die afkomstig zijn van twee bronnen:

  1. Accounting subsystems: De verschillende cycles die we hebben besproken creëren allemaal een journaalpost om het grootboek zo weer bij te werken. In theorie zou dat voor iedere transactie gedaan moeten worden, maar in de praktijk geven de cycles aan het eind van de periode een samenvatting van de journaalposten.

  2. Treasurer: geeft informatie over niet-routine journaalposten zoals het verkopen van aandelen of het lenen van geld.

Journal voucher file: hierin zijn alle individuele journaalposten die verwerkt zijn in het grootboek opgeslagen. Het gaat om de datum, de gedebiteerde of crediteerde posten en om de hoeveelheid van de individuele journaalpost.

Journaalposten die zijn gemaakt door de treasurer (penningmeester) zijn originele data, in tegen stelling tot de samengevatte data van de andere cycles. Daarom moeten onderstaande controles uitgevoerd worden om te kijken of de date wel accuraat en compleet is:

  1. A validity check om te kijken of de grootboekrekening bestaat voor elk rekeningnummer waar naartoe gerefereerd wordt in de journaalpost.

  2. Field (format) checks om er zeker van te zijn dat de hoeveelheid rubriek in de journaalpost alleen uit getallen bevat.

  3. A zero-balance check om te verifiëren of het totaal van de debetzijde gelijk is aan de creditzijde.

  4. A completeness test om te controleren of alle data die betrekking hebben of de journaalpost zijn ingevuld, met name de bron is van belang.

  5. Closed-loop verification het overeenstemmen van rekeningnummers met de rekeningomschrijving, om er zeker van te zijn dat de juiste grootboekrekening wordt gebruikt.

  6. A sign check van de grootboekrekening balans, dit gebeurd wanneer het bijwerken klaar is om zo te verifiëren of de balans debet of credit is.

  7. Run-to-run totals om te verifiëren of de Journal voucher file juist is.

Afstemming en controle rapporten kunnen fouten bij het bijwerken van het grootboek ontdekken. Een voorbeeld hiervan is het opstellen van een trial balance: dit is een rapport dat de balansen voor alle individuele grootboekrekeningen weergeeft. Hiermee kun je zien of er evenwicht is tussen debet en credit, zo niet dan is er ergens een fout gemaakt.

De audit trail is een traceerbaar pad dat weergeeft hoe een transactie door het informatiesysteem stroomt en de balansen van de grootboekrekeningen beïnvloed.

De audit trail beschikt over de mogelijkheid om de volgende taken uit te voeren:

  • Het traceren van elke transactie van zijn originele bron document naar de journaalpost die het grootboek heeft bijgewerkt. Vervolgens kan het ook alle andere documenten die de data heeft gebruikt traceren. Dus alle transacties worden gerapporteerd.

  • Het werkt ook het tegenovergestelde, het kan dus ook uit rapporten data traceren terug uit het grootboek naar de originele data. Hiermee blijkt of transacties correct zijn vastgelegd.

Journaalpostaanpassingen

De tweede activiteit in het grootboeksysteem is het plaatsen van aangepaste journaalposten. Er zijn vijf categorieën te onderscheiden:

  1. Accruals (overlopende) zijn boekingen die gemaakt zijn aan het einde van de boekhoudkundige periode die gebeurtenissen weergeven die zijn gebeurd maar waarvoor geld nog niet is ontvangen of uitbetaald. Voorbeelden hiervan zijn: het vastleggen van renteopbrengsten en te betalen lonen.

  2. Deferrals (opschortingen) zijn boekingen die gemaakt zijn aan het einde van de boekhoudkundige periode die de uitwisseling van geld voorafgaand aan de geleverde prestatie weergeven. Voorbeelden hiervan zijn: vooruitbetaalde huur of het ontvangen van geld van klanten als een lening voordat de prestatie is geleverd.

  3. Estimates zijn toekomstige verwachtte kosten posten. Voorbeelden hiervan zijn: afschrijvingen en bad-debt kosten.

  4. Revaluations zijn boekingen die een verschil tussen de werkelijke en de gedocumenteerde waarde van activa weergeven of een verandering in het boekhoudkundige beginsel. Voorbeelden hiervan zijn: er wordt een andere methode gebruikt om de voorraad te waarderen of wanneer de voorraad werkelijk geteld wordt en er zo blijkt dat er meer/minder stuks aanwezig zijn.

  5. Corrections zijn boekingen die gemaakt zijn om fouten in het grootboek te corrigeren.

Voorbereiden van financiële overzichten

Nu de nodige aanpassingen zijn gemaakt en er een aangepaste proefbalans is gemaakt wordt het tijd voor de derde stap in de financiële rapportering cyclus. Namelijk voor het opstellen van financiële overzichten. Dit bestaat vaak uit een balans, winst- en verliesrekening en een overzicht van de cashflows.

Er zijn op dit moment twee technologische en regelgevende ontwikkelingen aan de gang die een grote invloed hebben op het voorbereiden van financiële overzichten.

  1. De eerste ontwikkeling is de overgang van de U.S.-based Generally Accepted Accounting Principles (GAAP) naar de International Financial Reporting Standards (IFRS). Er zijn hierbij drie veranderingen op te merken, die ervoor zorgen dat er veel dingen wijzigen in hun huidige grootboek en in de financiële overzichten.

    1. De eerste verandering hierbij is dat bij het IFRS principe vaste activa per component dient te worden vastgelegd, om te herkennen dat ieder element een verschillende economische levensduur kan hebben. Een voorbeeld hiervan is dat een kantoor niet meer in het geheel kan worden geregistreerd en afgeschreven. Maar dat het in losse componenten gedaan dient te worden, zoals het dak en de verwarming etc.

    2. Daarnaast verandert de boekhouding voor research and development (R&D) kosten. Kosten worden nu in een eerdere fase van het proces toegestaan.

    3. De laatste verandering is dat bij IFRS het last-in-first-out (LIFO) methode voor de boekhouding van de voorraad niet is toegestaan.

  2. En de tweede ontwikkeling is het verplichte gebruik van XBRL om verslagen aan de SEC te verzenden. XBRL staat voor eXtensible Business Reporting Language, het programma is speciaal ontworpen om de communicatie van bedrijfsgegevens naar bijvoorbeeld de overheid te faciliteren.

Het bespaart gebruikers veel tijd want je hebt nu slechts één programma nodig en het verkleint de kans op data invoerfouten.

An instance document: is een XBRL bestand die de gelabelde data verstuurt naar de gebruikers. Het instance document bevat feiten over financiële overzichten items. Ieder specifieke data item in een XBRL document is een element.

Een taxonomy is een set van bestanden die de verschillende elementen en relaties tussen de elementen definieert. Eén deel van de taxonomy wordt het schema genoemd, dit is het bestand dat de definities van ieder element bevat die in een instance document kunnen voorkomen. Onderstaande basis attributen kunnen gebruikt worden om elk element te definiëren:

  • Een unieke identificerende name gebruikt door de software.

  • Een description die gebruikt kan worden om het element correct te interpreteren.

  • Het element zijn data type (geldeenheid, tekst, datum etc.).

  • Het element zijn normale balance type (debet of credit).

  • Het element zijn period time (één punt in de tijd genoemd een moment of een periode van tijd, genoemd een voortduring)

Attribuutinformatie is ingesloten tussen haakjes. Een voorbeeld:

Het tweede onderdeel van een taxonomy is een set van bestanden genaamd linkbases, deze verklaren de relatie tussen de elementen. Belangrijke linkbases bevatten onderstaande punten:

  • De Reference linkbase identificeert relevante gezaghebbende uitspraken voor dat element. Bijvoorbeeld van de U.S.-GAAP of IFRS.

  • De Calculation linkbase specifieert hoe elementen gecombineerd dienen te worden. Bijvoorbeeld vlottende activa is gelijk aan geld, debiteuren en voorraad.

  • De Definition linkbase duidt hiërarchische relaties aan tussen elementen. Bijvoorbeeld vlottende activa is een onderdeel van activa.

  • De Presentation linkbase beschrijft hoe elementen gegroepeerd dienen te worden. Bijvoorbeeld activa, schulden en eigen vermogen.

  • De Label linkbase associeert door mensen te lezen labels met elementen.

Niet alle situaties kunnen met standaard taxonomies beschreven worden. Daarom kunnen accountants nieuwe tags creëren om de informatie over de bedrijfsactiviteiten preciezer te weergeven. Dit wordt ook wel een Extension taxonomy genoemd. Dit is tevens de reden waarom er naar XBRL gerefereerd wordt als extensible language.

Samenvattend: de informatie in een XBRL taxonomy wordt gebruikt om de data te labelen en een instance document te creëren. De taxonomy wordt vaak meerdere keren gebruikt om verschillende instance documents te creëren, één voor ieder rapportage jaar. Instance documents daarentegen bevatten alleen data waardes, een ander document genaamd style sheet levert de instructies over hoe een instance document op de juiste manier vertoond kan worden.

Dit kan op twee manieren of op een computerscherm of in een geprint rapport. XBRL heeft voordelen voor zowel externe als interne (bijvoorbeeld managers) gebruikers.

Het maken van bestuurlijke rapporten

De laatste activiteit in het grootboek en rapporteringssysteem is het maken van verschillende management rapporten, waaronder budgeten. ERP systemen kunnen verschillende begrotingen produceren die managers helpen bij het plannen en prestaties te evalueren. Een operationele begroting beschrijft geplande opbrengsten en kosten voor elke organisatie unit. Een kapitaaluitgaven begroting geeft de geplande geld instromingen en geld uitstromingen voor ieder kapitaalproject weer. Cashflow begrotingen vergelijken de verwachte instroom uit de bedrijfsactiviteiten met de geplande uitgaven en worden gebruikt om te kijken of er eventuele leningen nodig zijn.

Een belangrijk risico bij het maken van rapporten is dat deze van slechte kwaliteit zijn, hierdoor kunnen managers mogelijk verkeerde beslissingen maken. Hieronder worden drie beheersingsmaatregelen besproken die het risico te verkleinen:

  1. Het gebruiken van responsibility accounting en flexible budget. Responsibility accounting is het produceren van een set gecorreleerde rapporten, die de organisatie zijn algehele prestatie afbreken in activiteiten van specifieke sub units waar zij verantwoordelijkheid voor dragen. Het is belangrijk dat er gekeken wordt of het om een kostencentrum of een opbrengstencentrum gaat. En er moet gekeken worden naar de methode waarmee de begroting is vastgesteld. Een voorbeeld hiervan is met vastgestelde doelen. Dit kan echter ook voor een probleem zorgen wanneer bijvoorbeeld de productie toeneemt vanwege een toenemende vraag en er hierdoor over de begroting heen wordt gegaan. Een oplossing hiervoor is een flexible budget waarbij de begrote hoeveelheden variëren in relatie tot de gemeten bedrijfsactiviteiten.

  2. De balanced scorecard is een rapport dat een multidimensionaal perspectief geeft van de organisatie zijn prestaties. Dit is in tegenstelling tot het financiële overzicht wat zich slechts op één dimensie richt, namelijk financiën. Een balanced scorecard bevat metingen die vier verschillende dimensie doelen van de organisatie weergeven. Namelijk financieel, klanten, interne activiteiten en innovatie & leren. Financieel gebruikt indicatoren die kijken naar prestaties in het verleden en de andere drie perspectieven gebruiken indicatoren die gericht zijn op de toekomst. Zie tabel ´table 16-2’ voor alle specifieke maatregels en doelstellingen. De balanced scorecard kan ook gebruikt worden als een instrument om de organisatie zijn controle en risico management programma te monitoren en te evalueren.

  3. Het begrijpen van de principes van gepast grafiekontwerp, goede grafiekontwerpen maken het makkelijker om bepaalde trends en relaties te herkennen. Slechte grafieken daarentegen kunnen voor verkeerde beslissingen zorgen doordat ze informatie achterlaten of misleidende informatie geven. De meest gebruikte grafiek om financiële data te weergeven is een staafdiagram. Bij een staafdiagram moet er aan meerdere eisen worden voldaan:

  4. Gebruik een gepaste titel.

  5. Gebruik bij ieder element data waardes om berekeningen en analyses mogelijk te maken.

  6. Gebruik 2-D in plaats van 3-, hiermee kan je gemakkelijker nauwkeurig de omvang van veranderingen en trends aflezen.

  7. Begin the vertical axis at zero, wanneer de juiste schaal wordt gebruikt geeft dit de precieze werkelijke verandering in data weer.

  8. For graphs that depict time-series data, order the x-axis chronologically from left to right. Dus zorg ervoor dat data chronologisch wordt geordend. Een voorbeeld hiervan is begin met 2009, dan 2010, vervolgens 2012 etc.

Accounting Information Systems - Romney & Steinbart - 14e druk - BulletPoints

 

Wat houden Accounting Information Systems in? - BulletPoints 1

  • Systeem: een combinatie van twee of meer met elkaar verbonden componenten.

  • Goal conflict: een subsysteem conflicteert met de doelen van een ander subsysteem of het gehele systeem.

  • Goal congruence: een subsysteem heeft zijn doel bereikt en tegelijkertijd het algemene doel van de organisatie nagestreefd.

  • Informatie: ontstaat door het verwerken van data en het geven van betekenis aan de data zodat de besluitvorming verbeterd kan worden.

  • Informatie technologie (IT): helpt besluitvormers om informatie te verzamelen, te analyseren en te beheren.

  • Kenmerken betekenisvolle informatie: relevantie, betrouwbaarheid, compleetheid, begrijpelijkheid, meetbaarheid, toegankelijkheid en op tijd.

  • Business proces: reeks van gerelateerde, gecoördineerde en gestructureerde activiteiten die helpen bij het realiseren van de doelen van een organisatie.

  • Transactie: een overeenkomst tussen twee entiteiten om goederen, services of andere activiteiten uit te wisselen.

  • Transactie processing: Proces dat begint met het verkrijgen van data en dat eindigt met informatieve output.

  • Revenu cycle: goederen en services verkopen voor geld.

  • Expenditure cycle: de inkoop van voorraad voor herverkoop of de inkoop van grondstoffen voor productie.

  • Production of conversion cycle: grondstoffen omzetten in eindproducten.

  • Human resources / payroll cycle: werknemers inhuren, trainen, belonen, etc.

  • Financing cycle: aandelen verkopen en geld lenen, dividend en rente betalen.

  • De vijf cycli communiceren met de general ledger and reporting system.

  • Accounting information system (AIS): systeem dat data verzamelt, registreert, opslaat en verwerkt om informatie te produceren voor beleidsmakers.

  • Componenten AIS: mensen, procedures en instructies, data, software, IT-infrastructuur, interne controles en veiligheidsmaatregelen.

  • Bedrijfsfuncties AIS: 1. Verzamelen en opslaan van data. 2. Data omzetten in informatie. 3. Bieden van goede controle.

  • AIS waardetoevoeging: verbeteren van kwaliteit, efficiëntie, effectiviteit, interne controlestructuur en besluitvorming. En het delen van kennis.

  • Invloed op ontwerp AIS systeem: ontwikkelingen in de IT, predictive analysis en organizational structure.

  • Value chain: een keten van primary activities en supporting activities.

  • Primary activities: voegen waarde toe voor de klant: inbound logistics, operations, outbound logistics, marketing & sales en service.

  • Support activities: zorgen ervoor dat de primary activities efficiënt en effectief kunnen worden uitgevoerd: firm infrastructure, human resources, technology, purchasing.

Hoe kunnen transacties binnen een organisatie worden georganiseerd? - BulletPoints 2

  • Data processing cycle: Data omzetten in betekenisvolle informatie: 1. Data input. 2. Data opslag. 3. Data verwerking. 4. Informatie output.

  • Data input: source documents, turnaround documents of source data automation. Drie facetten: activiteit, middelen die worden beïnvloed en mensen die participeren. Na het verzamelen van de data ervoor zorgen dat deze data nauwkeurig en compleet zijn. De derde stap is het waarborgen van het bedrijfsbeleid.

  • Data opslag: registreren data.

  • General ledger bevat de gegevens voor alle activa, schuld, eigen vermogen, inkomsten en kosten.

  • Subsidiary ledger bevat gedetailleerde gegevens van elke general ledger met desbetreffende subaccount.

  • Control account: een totaalpost, totaal van alle subsidiary ledgers.

  • Coderingstechnieken: sequence, block, group of mnemonic codes.

  • Transactiedata eerst vermelden in een journal daarna in een ledger. General journal legt onregelmatige transacties vast en een specialized journal de regelmatige transacties.

  • Audit trail: volgt een transactie door het systeem van dataverwerking, van oorsprong tot de uiteindelijke output (en omgekeerd).

  • Entity: iets waarover informatie wordt opgeslagen (bv klanten). Elke entity heeft attributes (kenmerken). Gegevens staan in een field, dit is een onderdeel van een record. De inhoud van een field wordt een data value genoemd. Een groep gerelateerde records wordt een file genoemd. Een database is een reeks onderling verbonden files.

  • Data verwerking: Vier soorten activiteiten (CRUD): Creating, Reading, Updating, Deleting.

  • Batch processing: het updaten van data op periodieke basis.

  • Real-time processing: transacties worden direct geüpdate.

  • Online batch processing: combinatie van beide systemen. Transactiedata wordt ingevoerd en bewerkt zodra de transactie plaatsvindt en wordt opgeslagen voor latere verwerking.

  • Informatie output: documents, reports of query response.

  • Query: een verzoek voor specifieke informatie van een computer en wordt gebruikt om problemen en vragen op te lossen.

  • Enterprise resource planning (ERP) systems: integreert alle aspecten van de activiteiten van een onderneming in één boekhoudkundig informatiesysteem. Bestaat vaak uit kleine deelprogramma’s.

  • AIS handelt vooral de financiële data en transacties af en het ERP systeem zorgt vooral voor de verzameling en verwerking van niet-financiële data.

  • Voordelen ERP systeem: Alles bedrijfsprocessen in één database opgeslagen. Integratie van verschillende systemen. Management beter overzicht. Betere toegangscontrole. Klantenservice verbeterd. Betere productiviteit.

  • Nadelen ERP systeem: Duur. Invoeren kost veel tijd. Veranderingen in bedrijfsproces. Complexiteit. Weerstand onder werknemers.

  • ERP leveranciers services: Het geven van advies, het product aanpassen aan de wens van de klant en ondersteuning.

Hoe kan data in systemen worden opgeslagen? - BulletPoints 3

  • Documentation: uitleg hoe een systeem werkt.

  • Narrative description: geschreven stap-voor-stap uitleg van de systeemcomponenten en interacties.

  • Data flow diagram (DFD): beschrijft grafisch de datastroom binnen een organisatie. Elementen: Data source en data destination, data flow, processes, data store.

  • Context diagram: overzicht van het gehele systeem.

  • Flowchart: beschrijft aspecten van een informatiesysteem op een duidelijke, beknopte en logische manier. Illustratieve beschrijving van transactieprocessen en datastromingen binnen een systeem.

  • Input/output symbols: apparaten of media die input leveren of output van processen meten.

  • Processing symbols: welke type apparaten gebruikt om data te verwerken of tonen wanneer een proces handmatig wordt uitgevoerd.

  • Storage symbols: apparaten die data opslaan.

  • Flow and miscellaneous symbols: datastroom.

  • Voordelen flowchart: Makkelijk te begrijpen, werkinstrument tijdens discussies, eenvoudige manier om data direct vast te leggen.

  • Nadelen flowchart: Niet fijn werken, velen zijn slecht getekend, tijdrovend om te maken indien niet veel ervaring.

  • Document flowchart: volgt een document van de wieg tot het graf. Handig bij het analyseren van procedures voor interne controle. Kunnen zwakheden en inefficiënties in het systeem ontdekken.

  • System flowchart: schematisch overzicht van de stroom van data door een serie operaties in een geautomatiseerd data-verwerkingssysteem.

  • Program flowchart: schematische representatie van een reeks van logische activiteiten uitgevoerd door een computer.

Wat is fraude en hoe kan het voorkomen worden? - BulletPoints 5

  • Fraude: verkrijgen van een oneerlijk voordeel ten opzichte van een ander persoon. Zakenlui die fraude plegen worden vaak omschreven als white-collar criminals.

  • Misappropriation of assets: diefstal van bedrijfsmiddelen.

  • Fraudulent financial reporting: opzettelijk of roekeloos gedrag dat resulteert in misleidende financiële verslagen.

  • Verminderen van frauduleuze verslaggeving (Treadway Commission): creëren juiste omgeving, identificeren en begrijpen van factoren, beoordelen risico van fraude, interne controles.

  • Statement on Auditing Standards No. 99: vereisten van een accountant: begrijpen fraude, bespreken risico’s, verkrijgen informatie, identificeren, evalueren en reageren op risico’s, evalueren resultaten van controles, documenteren en bespreken bevindingen, opnemen van technologische focus.

  • Pressure: prikkel of motivatie van een persoon voor plegen fraude.

  • Opportunity: situatie staat persoon of organisatie toe om fraude te plegen, fraude te verbergen of omzetten resultaat van fraude in persoonlijk gewin.

  • Rationalization: fraudeplegers rechtvaardigen gedrag.

  • Lapping: eigen schulden verbergen door betalingen van andere klant te gebruiken.

  • Kitting: geld creëren door middel van een gat van tijd tussen het moment van storten en afschrijven van een cheque.

  • Computer fraude: illegale handeling waarvoor kennis van computertechnologie essentieel is voor het plegen, voor het onderzoeken of voor het vervolgen van de misdaad.

  • Data processing model: verdeelt fraude in vier verschillende vormen: Iput fraud, processor fraud, computer instructions fraud, data fraud, output fraud.

  • Herkennen en voorkomen van fraude door: maak het plegen van fraude minder waarschijnlijk, maak het moeilijker om fraude te plegen, verbeteren van de detectiemethoden, verminderen van fraudeverliezen.

Hoe kunnen informatie systemen worden gecontroleerd? - BulletPoints 7

  • Bedreigingen rondom Accounting Information Systems nemen toe doordat de meeste organisaties gebreken in de controle van de veiligheid en integriteit van hun computersysteem ervaren.

  • Threat: potentiële negatieve gebeurtenis, oftwel bedreiging.

  • Exposure: het potentiële verlies, wanneer de bedreiging werkelijkheid wordt (impact).

  • Likelihood: de kans dat zo’n bedreiging werkelijkheid wordt.

  • Internal controls: de controles binnen een bedrijf met als doel dat informatie correct wordt verwerkt. Deze internal controls hebben de volgende functies:

  • Preventive controls: problemen detecteren voordat ze ontstaan.

  • Detective controls: ontdekken van problemen die niet zijn voorkomen.

  • Corrective controls: identificeren en corrigeren van problemen en daaruit voortvloeiende fouten. Er bestaan een aantal categoriën.

  • General controls: zorgen voor een stabiele omgeving wat betreft de controle in een onderneming en het informatiesysteem.

  • Application controls: voorkomen, detecteren en corrigeren transactiefouten en fraude in toepassingsprogramma’s.

  • Controlelevels: helpt het conflict tussen creativiteit en controle te doen overeenstemmen (Robert Simons):

  • Belief system: kernwaarden organisatie overbrengen op werknemers.

  • Boundary system: grenzen stellen zodat werknemers ethisch handelen.

  • Diagnostic control system: vergelijkt de werkelijke prestatie met de beoogde prestatie.

  • Interactive control system: helpt managers om de ondergeschikten meer te betrekken bij beslissingen.

  • Foreign Corrupt Practices Act: Wetgeving die vereist dat alle beursgenoteerde bedrijven redelijk gedetailleerde documentatie bijhouden en beschikken over een systeem van interne controle.

  • Sarbanes-Oxley act: Transparantie in financiële rapporten, bescherming voor investeerders, interne controle aanscherpen en bestraffen fraudeplegers.

  • Public Company Accounting Oversight Board: controleert het controleberoep.

  • Ontwikkeling interne controlesystemen: Frameworks:

  • Control Objectives for Information and Related Technology (COBIT): gestructureerd inrichten en beoordelen van een IT-omgeving.

  • Controle vanuit drie invalshoeken: Business objectives, IT resources, IT processes.

  • Committee of Sponsoring Organizations (COSO): Aanbevelingen gedaan en richtlijnen aangegeven ten aanzien van de interne controle en beheersing: Internal Control – Integrated Framework (IC). Componenten: interne omgeving, controle activiteiten, risicobeoordeling, informatie en communicatie, controleren.

  • Risk Management – Integrated framework (ERM): richt zich op het gehele interne beheerssysteem. Kan zowel onzekerheid beheren als het creëren en behouden van waarde. Richt zich op een aanpak die zich richt op risico. Voegt drie extra elementen toe aan het COSO model: vaststellen van doelstellingen, identificeren van gebeurtenissen, risicobeheersing.

  • Interne omgeving: de cultuur van een onderneming dat helpt bij het bepalen van het risicobewustzijn van werknemers:

  • Filosofie, werkwijze en risk appetite: de hoeveelheid risico die men wil accepteren om bepaalde doelstellingen te behalen (risk appetite).

  • De raad van bestuur: vertegenwoordigt aandeelhouders

  • Streven naar integriteit, ethische waarden en competentie: wanneer werknemers de opvattingen van het management overnemen wat betreft risico’s en control.

  • Organisatiestructuur: framework voor plannen, uitvoeren, controleren en bewaken van activiteiten.

  • Toewijzing van autoriteit en verantwoordelijkheid

  • Human resource’ standaarden: aannemen van personeel, compenseren, evalueren en promoveren, training, managen ontevreden werknemers, ontslaan, vakanties en wisseling van taak, geheimhoudingsovereenkomsten, vervolgen en opsluiten van fraudeplegers.

  • Externe invloeden: invloeden van buitenaf, opgelegde verplichtingen en vereisten.

  • Doelstellingen:

    • Strategic objectives: high level doelen die afgestemd zijn op de missie van een organisatie.

    • Operations objectives: doelen met betrekking tot effectiviteit en efficiëntie bedrijf.

    • Reporting objectives: verzekeren nauwkeurigheid, compleetheid en betrouwbaarheid van interne en externe bedrijfsrapporten.

    • Compliance objectives: helpt de onderneming voldoen aan wetten en regelgeving.

  • Event: gebeurtenis die uitvoering strategie of nastreven doelen beïnvloedt.

  • Inherent risk: de kans en de impact van een gebeurtenis beheersen.

  • Residual risk: wat overblijft nadat het management interne controle heeft uitgevoerd.

  • Reageren op risico: reduceren, accepteren, delen of vermijden.

  • Expected loss: de waarde van interne controle berekenen: impact * likelihood.

  • Controleactiviteiten: het beleid en de procedures die redelijke zekerheid bieden dat controle doelstellingen worden gehaald en dat de reacties op risico’s worden uitgevoerd. Controle procedures:

  • Autorisatie van transacties en activiteiten: macht verlenen aan werknemers.

  • Scheiding van functies: Segregation of accounting duties (gescheiden: authorization, recording, custody), Segregation of systems duties (gescheiden: system administration, network management, security management, change management, users, system analysis, programming, computer operations, information system library, data control).

  • Projectontwikkeling en ‘acquisitie’ controles: steering committe, strategic master plan, project development plan, data processing schedule, system performance measurements, post-implementation review.

  • Change management controls: Hoofdstuk 10.

  • Ontwikkeling en gebruik van documenten en gegevens

  • Veilig stellen van activa records en gegevens

  • Onafhankelijke prestatiecontroles: top-level reviews, analytical review, combineren onafhankelijke records, vergelijken hoeveelheden, double-entry accounting, onafhankelijke beoordeling.

  • Controleren prestaties: uitvoeren ERM evaluaties, toepassen van effectieve toezicht, gebruik maken van verantwoordelijke accountingsystemen, volgen van aangeschafte software and mobiele apparaten, verrichten van periodieke controles, inhuren van een CSO en een CCO, inhuren van forensic specialists, installeren van software dat fraude detecteert, invoeren van een fraude hotline.

Hoe kan de veiligheid van informatie in de systemen gewaarborgd blijven? - BulletPoints 8

  • COBIT Framework: controle van informatietechnologie. Management voorzien van informatie dat voldoet aan zeven criteria: effectiviteit, efficiency, vertrouwelijkheid, integriteit, beschikbaarheid, overeenstemming, betrouwbaarheid.

  • Basis activiteiten COBIT Framework: Plan and organize, acquire and implement, deliver and support, monitor and evaluate.

  • Trust services framework: betrouwbaarheid systeem. Klein onderdeel COBIT.

  • Defense-in-depth: meerdere controle-lagen met als doel het vermijden van één enkele storing.

  • Time-based model of security: combinatie van detective en corrective controls die een informatie beveiligingsincident vroeg genoeg identificeren, waardoor het verlies van informatie kan worden voorkomen.

  • Als P > D+C, dan is de veiligheidsprocedure van een bedrijf effectief. (P: tijd voordat hacker door preventive controls heen breekt, D: tijd voordat aanval gedetecteerd, C: tijd om op de aanval te reageren)

  • Basisstappen hackers: verkenning, social engineering, scannen en in kaart brengen van het doel, onderzoek, wissen van sporen.

  • Preventive controls:

  • Training: piggybacking is dat men geen toegang heeft tot deze ruimtes toch binnen weet te komen.

  • Controle op gebruikerstoegang: authenticaion is het controleren van identiteit (something they know, something they have, biometric identifier). Authorization controls: compatability test bepaalt of persoon toegang heeft door intern bijgehouden tabel.

  • Controle op fysieke toegang: sloten, bewakers.

  • Controle op netwerktoegang: firewall is een combinatie van veiligheidsregels dat buitenstaanders ervan moet weerhouden om in te breken in de databases en e-mails van een organisatie. Demilitarized zone, transmission control protocol, internet protocol, access control list, intrusion prevention systems, remote authentication dial-in user service, remote access server.

  • Apparaat en software controle: endpoint configuratie, user accountmanagement, software ontwerp.

  • Detective controls:

  • Log analysis: logboeken onderzoeken om bewijs te ontdekken van mogelijke aanvallen (mislukte pogingen).

  • Intrusion detection systems: sensors en centraal controle-eenheid dat logboeken van het netwerkverkeer creëert en vervolgens dit logboek onderzoekt op tekens van pogingen tot of succesvolle inbraken.

  • Verslagen van het management

  • Testen van beveiliging: vulnerability scanners, penetration test.

  • Corrective controls:

  • Oprichting van een computer incident response team: verantwoordelijk voor omgang met grote beveiligingsincidenten. Recognition, contrainment, recovery, follow-up.

  • Benoeming van een ‘Chief Information Security Officer’

  • Oprichten van een goed ontwikkeld patch management systeem.

  • Virtualization: het voordeel dat behaald wordt door verschillende systemen tegelijkertijd te laten draaien op een moderne computer.

  • Cloud computing: het kopen van software, opslag, infrastructuur of platforms van een derde partij op een betaling-per-gebruik of op basis van een abonnement.

Hoe kan de bedrijfsgeheimhouding en de privacy worden gewaarborgd? - BulletPoints 9

  • Geheimhoudingsprincipe richt zich op het beschermen van organisatorische gegevens.

  • Gegevens beschermen door:

  • 1. De informatie wordt geïdentificeerd en vervolgens geclassificeerd in termen van de waarde die het voor de onderneming heeft.

2. De informatie beschermen met bijvoorbeeld encryption, authentication en physical access control (het defence-in-depth principe).

3. Toegangscontrole tot gevoelige informatie. Data loss prevention software als preventive control. Digital watermark als detective control.

4. Werknemers trainen in welke informatie ze kunnen delen met buitenstaanders en welke informatie beschermd moet worden.

  • Privacy principe: beschermen van persoonlijke informatie. Met een extra beschermingsmiddel: data masking. Inbreuk op privacy gebeurd veel door spam en identity theft.

  • Generally Accepted Privacy Principles (GAPP), 10 internationaal erkende praktijken voor het beschermen van persoonlijke informatie:

  • Aanstellen van management

  • Berichtgeving over het privacybeleid van de onderneming, alvorens persoonlijke informatie te verzamelen.

  • Keuze en instemming: het bieden van keuzes aan individuen en het vragen om toestemming voordat persoonlijke informatie wordt verzameld.

  • Verzameling: alleen het verzamelen van de benodigde informatie. Een reden tot bezorgdheid zijn cookies: een tekstbestand dat informatie opslaat over wat men heeft gedaan op een website, dit kan leiden tot bijvoorbeeld identity theft.

  • Gebruik en bewaring: organisaties mogen persoonlijke informatie alleen gebruiken en zolang bewaren zoals beschreven staat in de privacyvoorwaarden.

  • Toegang: een organisatie behoort individuen de mogelijkheid te bieden tot toegang en mogelijkheid tot aanbreng van wijzigingen in hun eigen persoonlijke informatie.

  • Openbaring aan een derde partij: alleen mogelijk wanneer dit beschreven staat in de algemene voorwaarden van het privacybeleid.

  • Veiligheid: beschermen van persoonlijke informatie tegen verlies en onbevoegde openbaarmaking.

  • Kwaliteit: Het waarborgen van de volledigheid en nauwkeurigheid van de informatie. Bijvoorbeeld door men zelf toegang te laten verschaffen tot hun eigen informatie.

  • Toezicht en handhaving: aanstellen van een of meerdere werknemers die de nakoming van het privacy beleid handhaven.

  • Decryption: transformeert de ciphertext weer terug in plaintext.

  • Encryption: transformeren van normale tekst, plaintext, in ‘onleesbare wartaal’, ciphertext.

  • Kracht van een encryption systeem: key length, algoritme en het managen van de sleutels.

  • Symmetric encryption systems maken gebruik van dezelfde sleutel voor zowel het coderen als het decoderen.

  • Assymmetric encryption systems maken gebruik van twee verschillende sleutels. De public key is voor iedereen beschikbaar, de private key is alleen bekend bij de eigenaar.

  • Hashing: proces dat de plaintext transformeert in een kort code, genaamd een hash.

  • Nonrepudiation: creëren van legaal bindende overeenkomsten die niet eenzijdig kunnen worden verworpen door een van de partijen.

  • Public key infrastructure: beide sleutels kunnen gebruikt worden om een bericht te coderen, maar alleen de andere sleutel kan gebruikt worden om het bericht te decoderen.

  • Virtual private network: een netwerk dat de toeging regelt tot een ‘extranet’ met behulp van encryptie en authentication technologie.

Hoe kan de integriteit gewaarborgd blijven? - BulletPoints 10

  • Betrouwbaar systeem produceert nauwkeurige, complete, actuele en geldige informatie. Er bestaan een aantal betrouwbaarheid controles:

  • Input controls. Documenten moeten zo ontworpen worden dat het de kans op fouten minimaliseert (forms design): source documents opeenvolgend genummerd en turnaround documents.:

  • Source documents controleren op redelijkheid en fatsoen: field check, sign check, limit check, range check, size check, completeness check, validity check, reasonableness test, check digit. Extra controles bij batch processing data:

  • Sequence check: bepaalt of een batch van input data in de juiste numerieke of alfabetische volgorde staat.

  • Bijhouden foutenlogboek

  • Batch totals: financial total, hash total en record count.

  • Prompting: controle dat gebruik maakt van de computer om het data-invoer proces te controleren.

  • Closed-loop verification: controleert nauwkeurigheid van data input door het te gebruiken om andere gerelateerde informatie op te halen.

  • Bijhouden van een transactielogboek

  • Processing controls: verwerkingscontroles:

  • Data matching: data items koppelen

  • File labels: controleren of de juiste en de meeste recente bestanden/dossiers zijn bijgewerkt.

  • Herberekenen van batch totals: voorkomen transposition error: twee aangrenzende cijfers zijn per ongeluk verwisseld.

  • Cross-footing balance test en een zero-balance test: cross: totaal van alle rijen vergeleken met totaal van alle kolommen, hoort gelijk te zijn. Zero: interne controle dat vereist dat de balans van een account gelijk moet zijn aan nul.

  • Write-protection mechanisms: bescherming van data bestanden tegen overschrijven of wissen van de inhoud.

  • Concurrent update controls: voorkomen dat meerdere gebruikers dezelfde update tegelijk installeren.

  • Output controls:

  • User review of output

  • Reconciliation procedures: alle transacties en andere systeemupdates verzoenen met controlerapporten, update rapporten of andere controle mechanismes.

  • External data reconciliation: database totalen periodiek verzoenen met data buiten het systeem.

  • Data transmission controls: controles die het risico van transmissiefouten minimaliseren.

  • Beschikbaarheid: risico van systeemuitval zoveel mogelijk beperken door: preventive maintnance, fault tolerance, data center location and design, training, patch management and antivirus software.

  • Snelle herstel van normale operaties door: back-up procedures, disaster recovery plan, business continuity plan.

  • Back-up:

  • Recovery point objective (RPO): vertegenwoordigt de maximum hoeveelheid aan gegevens die de organisatie potentieel bereid is om te verliezen.

  • Recovery time objective (RTO): bepaalt de tijdsduur dat de organisatie bereid is om te functioneren zonder informatiesysteem

  • Real-time mirroring: twee kopieën van de database aangehouden in twee verschillende datacenters te allen tijde, en beiden worden direct geüpdate als er een transactie plaatsvindt. Indien RPO en RTO nul moeten zijn.

  • Volledige back-up: exacte kopie volledige database.

  • Incremental backup: kopie data items die veranderd zijn sinds de laatste gedeeltelijke back-up

  • Differential backup: kopie data items die veranderd zijn sinds laatste volledige back-up.

  • Archive: kopie database, master file of software als historisch overzicht, oneindig aangehouden.

  • Change controls: proces dat ervoor zorgt dat wijzigingen in de hardware, software of in het proces niet van invloed zijn op de betrouwbaarheid van het systeem.

Hoe kan er controle plaatsvinden op Informatie Systemen op computers? - BulletPoints 11

  • Auditing is het systematisch verwerven en evalueren van bewijs dat zou kunnen wijzen op een ongewenste situatie in het computer systeem

  • Er zijn veel verschillende soorten audits, onder andere:

    • Een financele audit

    • Een audit op het AIS

    • Een operationele audit (op de uitvoer van processen)

    • Een compliance audit (voldoet alles aan de wet en/of ander beleid?)

    • Een onderzoeksaudit (is er sprake van fraude of of misbruik?)

  • De risk based audit approach:

    1. Stel de dreigingen vast. Stel een lijst op van mogelijke risico's die het bedrijf kan lopen met betrekking fraude en andere bewuste acties van mensen die negatieve gevolgen kunnen hebben voor het bedrijf.

    2. Identificeer de procedures en maatregelen die deze dreigingen voorkomen, detecteren of afwenden.

    3. Evaluereer deze procedures.

    4. Evanuleer de zwakheden van de systemen om hun effect die deze zouden kunnen hebben op het bedrijf.

  • Een concurrent audit techniek gebruikt software die continue de (live) processen van een bedrijf monitort en evalueert.

  • Een input controls matrix. Deze matrix geeft een overzicht van de controle die geweest is op alle input in een systeem.

  • CAATS zijn computer assisted audit techniques(ook wel GAS genoemd, generalized audit software), dit is software die gebruik maakt van specificaties die de auditer aangeeft om een programma te creeëren om een audit uit te voeren.

Wat is de omzet-cyclus? - BulletPoints 12

  • Revenu cycle: het juiste product op de juiste plaats en de juiste tijd voor de juiste prijs aan te bieden.

  • ERP-systeem als informatiesysteem.

  • Verkoopproces

  • Klantorders worden in het systeem gezet, het systeem controleert de aanwezige voorraad en geeft deze informatie door.

  • Database met alle informatie over klanten.

  • Bedreigingen zijn de onjuiste data invoer, de ongeoorloofde openbaarmaking van gevoelige informatie en het verlies of de vernietiging van data.

  • Sales order entry process: ontvangen van klantorders, controleren en goedkeuren van het klantenkrediet en controleren van de aanwezige voorraad.

  • Sales order: verkoopgegevens zoals artikelnummers, hoeveelheden, prijzen en verkoopvoorwaarden. Tegenwoordig kunnen klanten zelf hun orders versturen door electronic data interchange (EDI).

  • Bedreigingen tijdens het invoerproces: data ontbreekt of is onjuist, legitimiteit van de orders en dubieuze debiteuren.

  • Accounts receivable aging report: sorteert de klantenaccounts naar de tijd dat deze openstaan.

  • Back order wanneer niet voldoende voorraad. Picking ticket is een document dat ervoor zorgt dat de voorraadbeheer de goederen vrijgeeft aan de verzendafdeling.

  • Customer relationship management (CRM) systeem: organiseert de informatie over klanten zodanig dat de efficiëntie en persoonlijke service wordt bevorderd.

  • Verzending van goederen: picking and packing en de verzending.

  • Problemen: verkeerde items, verkeerde hoeveelheden of diefstal van voorraad.

  • Packing slip: document met hoeveelheid en beschrijving zending.

  • Bill of lading: legaal contract dat de verantwoordelijkheid voor goederen vastlegt wanneer deze worden vervoerd.

  • Facturatie: factureren en updaten van accounts receivable.

  • Sales invoice: hierin staat het bedrag van verkoop en de eindbestemming.

  • Registratie van de accounts receivable onderhouden:

  • Open-invoice method: houden van debiteurenaccounts waarin klanten meestal betalen op basis van factuur.

  • Balance-forward method: klanten betalen het bedrag op de monthly statement.

  • Geldinzameling, afkomst van een geldoverdracht identificeren:

  • Remittance advice: verzenden van twee kopieën

  • Remittance list: document dat de naam en het bedrag van alle geldoverdrachten identificeert en dit naar de accounts receivable verstuurd.

  • Lockbox: postadres waar klanten geld naar kunnen overmaken.

  • Electronic funds transfer (EFT): de overdracht van middelen tussen twee of meer organisaties of individuen met behulp van computers en andere geautomatiseerde technologie.

  • Financial electronic data interchange (FEDI): een combinatie van EFT en EDI dat zowel remittance data als geldverkeer instructies in één elektronisch pakket verzamelt.

  • Functiescheiding is de meest effectieve controle voor het terugdringen van risico’s zoals diefstal.

  • Cash flow budget: laat verwachte ingaande en uitgaande kasstromen zien voor een specifieke periode zodat een organisatie de behoefte aan een kortlopende lening kan inschatten. Risico van onverwachte ontbrekende cashflows te reduceren.

Hoe ziet de uitgave-cyclus er uit? - BulletPoints 13

  • Expenditure cycle: aanschaf van grondstoffen, eindproducten, leveringen en diensten. Bestellen van materiaal, voorraden en diensten. Wat, wanneer en hoeveel.

  • Economic order quantity: optimale ordergrootte berekenen zodat bestelkosten, voorraadkosten en stockout kosten gezamenlijk worden geminimaliseerd.

  • Reorder point: wanneer er besteld dient te worden.

  • Materials requirements planning (MRP): benodigde voorraadniveau terug dringen door verbetering van techniek. Aankopen gepland zodat aan productiebehoeften wordt voldaan. Voldaan aan verwachte verkopen.

  • Just-in-time (JIT) inventory system: materialen arriveren precies wanneer ze nodig zijn. Nauwelijks tot geen voorraden. Productie plannen als reactie op de vraag.

  • Purchaserequisition: Document dat de inkoper identificeert, de plaats en datum van levering specificeert, de artikelnummers, beschrijvingen, hoeveelheden en prijs identificeert en een mogelijke leverancier aanwijst.

  • Bij uitkiezen leverancier rekening houden met prijs, kwaliteit en betrouwbaarheid.

  • Purchase order: document dat een leverancier formeel verzoekt om een product voor aangewezen prijzen te verkopen en te leveren.

  • Blanket purchase order: overeenkomst tot aankoop van aangewezen items en prijzen van een bepaalde leverancier voor een bepaalde periode.

  • Vendor-managed inventory (VMI) program: fabrikanten en distributeurs beheren de voorraden van de klant met behulp van electronic data interchange (EDI).

  • Kickbacks: zogenaamde geschenken uitgereikt door leveranciers aan inkopers met als doel om hun keuze positief te beïnvloeden.

  • Receiving report: alle details van elke levering.

  • Debit memo bij beschadiging of goederen van slechte kwaliteit.

  • Goedkeuren en leveranciersfacturen.

  • Matchen factuur met die van de purchase order en het receiving report (voucher package).

  • Leveranciersfactuur verwerken:

  • Nonvoucher system: Elke voucher package wordt in de accounts payable rekening geplaatst om vervolgens opgeslagen te worden in een open-invoice file. Nadat er een cheque is uitgeschreven, wordt de voucher package verplaatst naar de paid-invoice file.

  • Voucher system: er wordt een extra document, genaamd een disbursement voucher, aangemaakt zodra er een factuur goedgekeurd is voor betaling. Een disbursement voucher identificeert de leveranciers, toont de openstaande facturen en indiceert het nettobedrag dat betaald moet worden na aftrek van eventuele kortingen en vergoedingen.

  • Voordelen voucher system: aantal cheques gereduceerd. Kan genummerd worden. Bevat tegelijkertijd ook een goedkeuring tot betaling.

  • Evaluated receipt settlement (ERS): elimineert de vendor invoice uit het traditionele matching proces.

  • Procurement card: creditcard dat werknemers van een onderneming kunnen gebruiken om specifieke items aan te schaffen, alleen bij een aangewezen leverancier.

  • Kasuitgaven, kashouder is verantwoordelijk voor het betalen van leveranciers.

  • Imprest fund: vast bedrag en vouchers vereist voor elke uitbetaling, voor kleine bedragen.

Hoe ziet een productie-cyclus er uit? - BulletPoints 14

  • Production cycle: vervaardiging van producten. Vier basis activiteiten:

  • Product design: ontwerpen van een product dat voldoet aan de eisen van de klant in termen van kwaliteit, duurzaamheid en functionaliteit in combinatie met zo laag mogelijke productiekosten.

  • Bill of materials: onderdeelnummers, de beschrijvingen en de hoeveelheden van alle componenten gebruikt in eindproduct worden gespecificeerd.

  • Operations list: specificeert de opeenvolging van stappen om een product te maken en ook welke apparatuur er moet worden gebruikt en de tijd dat men kwijt is per stap.

  • Plannen van productie

  • Manufacturing resource planning (MRP-II): balans zoeken tussen de bestaande productiecapaciteit en benodigde grondstoffen om te kunnen voldoen aan de verwachte vraag, ook wel push management, produceren in afwachting van de marktvraag.

  • Lean manufacturing: als doel om de voorraden grondstof, halffabricaten en gereed product te minimaliseren of te elimineren. Ook wel pull manufacturing omdat goederen worden geproduceerd in reactie op de marktvraag.

  • Master production schedule (MPS): bepaalt hoeveel van elk product er zal worden geproduceerd en wanneer deze productie zal plaatsvinden.

  • Production order: document dat de machtiging heeft over de vervaardiging van een bepaalde hoeveelheid van een bepaald product.

  • Materials requisition: regelt de verplaatsing van de benodigde aantal grondstoffen vanuit de voorraadkamer naar de fabriekslocatie waar de productie zal starten.

  • Productieactiviteiten.

  • Computer-integrated manufacturing (CIM): productieproces wordt grotendeels uitgevoerd door geautomatiseerde apparatuur.

  • Request for proposal (RFP): document met daarin vermeld de gewenste eigenschappen van een activa, wordt verstuurd naar elke potentiële aanbieder. Uiteindelijk wordt de leverancier met het beste bod geaccepteerd.

  • Cost accounting

  • Job-order costing: systeem dat de kosten toewijst aan specifieke productiebatches.

  • Process costing: een systeem dat de kosten toewijst aan een proces of bepaalde productie en vervolgens de gemiddelde kosten voor alle geproduceerde eenheden berekend.

  • Job-time ticket: data omtrent de arbeidsactiviteit te verzamelen. Tijd die een werknemer nodig heeft voor het uitvoeren van een specifieke taak te registreren.

  • Manufacturing overhead: productiekosten kunnen niet direct worden toegewezen aan een specifieke taak of proces.

  • Activity-based costing: wijst de kosten toe aan de activiteiten die deze kosten hebben veroorzaakt. Allocatie van de overhead aan producten rationaliseren door cost drivers te identificeren. Verbeterde controle, beter besluitvorming, verbeterde cost management.

  • Drie verschillende overheadcategorieën: batch-related, product-related en companywide overhead.

  • Throughput: maatstaf voor de productie effectiviteit en toont het aantal goedgekeurde geproduceerde goederen in een bepaalde tijdsplan.

  • Throughput = productive capacity * productive processing time * yield

  • Productive capacity = total units produced / processing time

  • Productive processing time = processing time / total time

  • Yield = good units / total units

  • Vier categorieën kwaliteitskosten:

  • Prevention costs: zorgen ervoor dat er geen fouten in de productie voorkomen.

  • Inspection costs: detecteren fouten in de productie.

  • Internal failure costs: product voldoet niet aan de gestelde eisen voordat het wordt verzonden naar de klant.

  • External failure costs: product voldoet niet aan de gestelde eisen nadat het is verzonden naar de klant.

Hoe ziet de payroll-cyclus er uit? - BulletPoints 15

  • HRM / Payroll cycle: het effectief managen van de werknemers arbeidskrachten.

  • Basisactiviteiten: rekruteren en aannemen van nieuw personeel, training, taken toewijzen, compensatie, prestatie evaluatie en werknemers laten gaan.

  • ERP systeem bevat HRM gerelateerde activiteiten en de collectie informatie over hoe werknemers hun tijd dagelijks invullen.

  • Knowledge management systems: vastleggen en opslaan van kennis zodat het kan worden gedeeld en gebruikt door anderen.

  • Checks: output van het payroll systeem. Werknemers ontvangen individuele paychecks ter compensatie voor hun service.

  • Functiescheiding, vijf belangrijkste activiteiten van de payroll cycle worden gescheiden:

  • Machtigen en veranderen aanbrengen in de payroll master file

  • Vastleggen en verifiëren van de gewerkte tijd van werknemers

  • Voorbereiden van paychecks: payroll register, deduction register, earnings statement. Kans op fouten verkleinen door: Batch totals, cross-footing the payroll register, a payroll clearing account.

  • Verspreiden van de paychecks

  • Beheren van payroll bankrekening

  • Outsourcing: functies uitbesteden.

  • Payroll service bureau: onderhoudt de payroll master data en maakt de payrolls.

  • A professional employer organization (PEO): doet zowel de payroll als de HRM taken.

  • Voordelig: kosten worden bespaard, brede range van voordelen, minder applicaties nodig en er kan meer gefocust worden op andere afdelingen.

Hoe ziet het grootboek en rapporteringsproces er uit? - BulletPoints 16

  • Grootboek en rapporten die de resultaten van de bedrijfsactiviteiten samenvatten.

  • Data verzamelen en ordenen: alle informatie over transacties, financiering- en investeringsactiviteiten, bestedingsruimte en adjusting entries.

  • Output grootboek: financiële statement (intern en extern verspreid) en management rapport (intern).

  • Bedreigingen voor het grootboek: onnauwkeurige of ongeldige grootboek data, niet-geautoriseerde toegang tot financiële statements, verliezen of vernietigen van data.

  • Controle procedures grootboek: controles van de journaalposten, toegangscontroles, toereikende boekhouding controle, gepaste back-up en bij rampen geschikte herstelprocedures.

  • Bijwerken grootboek

  • Accounting subsystems: De cycles geven aan het eind van de periode een samenvatting van de journaalposten.

  • Treasurer: geeft informatie over niet-routine journaalposten zoals het verkopen van aandelen of het lenen van geld.

  • Journal voucher file: hierin zijn alle individuele journaalposten die verwerkt zijn in het grootboek opgeslagen.

  • Controles op journaalposten treasurer: validity check, field checks, zero-balance check, completeness test, closed-loop verification, sign check, run-to-run totals.

  • Trial balance: rapport dat de balansen voor alle individuele grootboekrekeningen weergeeft.

  • Audit trial: traceerbaar pad dat weergeeft hoe een transactie door het informatiesysteem stroomt en de balansen van de grootboekrekeningen beïnvloed. Alle transacties traceren en rapporteren. Uit rapporten data traceren terug uit het grootboek naar de originele data.

  • Aangepaste journaalposten

  • Accruals: boekingen die gemaakt zijn aan het einde van de boekhoudkundige periode die gebeurtenissen weergeven die zijn gebeurd maar waarvoor geld nog niet is ontvangen of uitbetaald.

  • Deferrals: boekingen die gemaakt zijn aan het einde van de boekhoudkundige periode die de uitwisseling van geld voorafgaand aan de geleverde prestatie weergeven.

  • Estimates: toekomstige verwachtte kosten posten.

  • Revaluations: boekingen die een verschil tussen de werkelijke en de gedocumenteerde waarde van activa weergeven of een verandering in het boekhoudkundige beginsel.

  • Corrections: boekingen die gemaakt zijn om fouten in het grootboek te corrigeren.

  • Financiële overzichten: balans, winst-en verliesrekening en overzicht cashflows.

  • International Financial Reporting Standards (IFRS): Vaste activa dient per component vastgelegd te worden. Kosten voor research and development worden nu in een eerdere fase van het proces toegestaan. Last-in-first-out methode voor de boekhouding van de voorraad is niet toegestaan.

  • XBRL: Extensible Business Reporting Language: om communicatie van bedrijfsgegevens naar bijvoorbeeld de overheid te faciliteren. Verplicht gebruik van XBRL om verslagen aan de SEC te verzenden.

  • An instance document: XBRL bestand die de gelabelde data verstuurd naar gebruikers.

  • Taxonomy: set van bestanden die de verschillende elementen en relaties tussen de elementen definieert.

  • Schema: het bestand dat de definities van ieder element bevat die in een instance document kunnen voorkomen.

  • Element definiëren door: name, description, data type, balance type, period time.

  • Linkbases: set van bestanden, verklaren de relatie tussen de elementen.

  • Belangrijke linkbases bevatten: Reference linkbase, calculation linkbase, definition linkbase, presentation linkbase, label linkbase.

  • Extension taxonomy: accountants kunnen nieuwe tags creëren om informatie over de bedrijfsactiviteiten preciezer te weergeven.

  • Bestuurlijke rapporten: begrotingen en budgetten.

  • Operationele begroting: beschrijft geplande opbrengsten en kosten voor elke organisatie unit.

  • Kapitaaluitgaven begroting: weergeeft de geplande geld instromingen en geld uitstromingen voor ieder kapitaalproject.

  • Cashflow begrotingen: vergelijken de verwachte instroom uit de bedrijfsactiviteiten met de geplande uitgaven en worden gebruikt om te kijken of er eventuele leningen nodig zijn.

  • Drie beheersingsmaatregelen die het risico op slechte kwaliteit rapporten verkleinen:

  • Responsibility accounting: produceren van een set gecorreleerde rapporten, die de organisatie zijn algehele prestatie afbreken in activiteiten van specifieke sub units waar zij verantwoordelijkheid voor dragen. Flexibel budget: begrote hoeveelheden variëren in relatie tot de gemeten bedrijfsactiviteiten.

  • Balanced scorecard: rapport dat een multidimensionaal perspectief geeft van de organisatie zijn prestaties. Metingen vier verschillende dimensies organisatie: financieel, klanten, interne activiteiten en innovatie & leren.

  • Gepast grafiekontwerp: goede grafiekontwerpen maken het makkelijker om bepaalde trends en relaties te herkennen.

 

Join World Supporter
Join World Supporter
Log in or create your free account

Why create an account?

  • Your WorldSupporter account gives you access to all functionalities of the platform
  • Once you are logged in, you can:
    • Save pages to your favorites
    • Give feedback or share contributions
    • participate in discussions
    • share your own contributions through the 7 WorldSupporter tools
Follow the author: Business and Economics Supporter
Promotions
Vacatures bij JoHo

Ben jij secuur, zelfstandig en op zoek naar een bijbaan die flexibel naast je studie past?

Kom dan JoHo ondersteunen bij de administratie van de internationale verzekeringen en activiteiten

Interesse? Meld je dan hier aan

verzekering studeren in het buitenland

Ga jij binnenkort studeren in het buitenland?
Regel je zorg- en reisverzekering via JoHo!

Access level of this page
  • Public
  • WorldSupporters only
  • JoHo members
  • Private
Statistics
[totalcount] 1 1
Comments, Compliments & Kudos

Add new contribution

CAPTCHA
This question is for testing whether or not you are a human visitor and to prevent automated spam submissions.
Image CAPTCHA
Enter the characters shown in the image.