samenvatting_BIV_IC_2010-06-14

SAMENVATTING LITERATUUR

EXECUTIVE MASTER OF FINANCE AND CONTROL

13

__________________________________________________

Business Controls & Information SystemsBIV-Interne Controle (BIV-IC)

__________________________________________________

Samenvatting LiteratuurBusiness Controls & Information SystemsBIV-Interne Controle 1 april 2010 – juli 2009

Deze samenvatting is gemaakt door de studenten van EMFC 13

Convergentie in denken over Internal Control....................................................................................................................4Internal Control – Integrated Framework Chapters 1-4......................................................................................................5Internal Control – Integrated Framework Chapters 5-8......................................................................................................8Inleiding EDP-auditing Hfd. 8..........................................................................................................................................10Inleiding EDP-auditing Hfd. 9..........................................................................................................................................11Inleiding EDP-auditing hoofdstuk 10 technische infrastructuur (paragraaf 10.1-10.6)...................................................12Inleiding EDP auditing – Hoofdstuk 11 paragraaf 1-3.....................................................................................................16De Betekenis van IT Auditing voor de Jaarrekeningcontrole ontrafeld...........................................................................18ERP - Pakketten................................................................................................................................................................20Balanced scorecard in bedrijf............................................................................................................................................22Het enterprise warehouse van Centraal Boekhuis.............................................................................................................23De beheersing van de XBRL rapportageketen..................................................................................................................24“Leiden nieuwe ontwikkelparadigma’s ook tot betere software”.....................................................................................25

De volgende personen hebben meegewerkt aan deze samenvatting:

Bas BonnierChantal MoenisErwin VinkKristian van ZijtveldLeonie MeijerMarijn FeddesMartijn SwaanenburgRob van der SteenRonald Pikkemaat


Titel: IFAC – Internal Control and Current DevelopmentsAuteur: Samengevat door: Chantal MoenisGoedgekeurd door:Datum: 14-6-2010

Internal control pre 2002: COSO (VS) Zie eerdere samenvattingen mbt COSO COCO (Canada) 4 groepen control criteria:

- purpose criteria: risico, doelen, kansen, kpi’s- Commitment criteria: waarden, HRM, vertrouwen- Capability criteria: Kennis, vaardigheden en benodigdheden- Monotoring & learning criteria

Turnbull Guidance (UK) ziet Internal Control als een systeem welke bestaat uit procedures, processen, taken en gedrag die:- Efficiente, effectieve operaties bevorderd- Een bijdrage levert aan de kwaliteit van interne en externe verslaggeving te borgen- Een bijdrage levert aan het voldoen aan weten regelgeving. -

Alle drie betreft het een brede benadering van internal control, principle based en IC vormt een integraal onderdeel van de bedrijfsactiviteiten.

COBIT Referentie raamwerk voor internal control en IT security. Het betreffen algemeen geaccepteerde IT-control doelstellingen.

SOX Wetgeving met betrekking tot internal control over financiële verslaggeving.

Recente Ontwikkelingen: Turnbull review (2004-2005)

- Algemene conclusie dat Turnbull een positieve bijdrage heeft geleverd aan een verbeterd begrip en een beter management van risico’s en internal control.

- SOX wordt niet wenselijk geacht, de kosten zijn hoger dan de baten.- Er is geen behoefte aan een grotere rol voor de externe auditor.- Nieuw opgenomen in Turnbull: het management moet bevestigen dat de nodige acties zijn

genomen om de zwaktes in het internal control systeem te verbeteren.

Introductie van COSO ERM Enterprise Risk Management Een proces, geëffectueerd door de raad van bestuur, het management en ander personeel, toegepast bij strategieformulering en binnen de organisatie, bedoelt om mogelijke gebeurtenissen te identificeren die de onderneming kunnen beïnvloeden, om te zorgen dat het risico binnen de risk-apetite blijft, en om redelijke zekerheid te geven over het halen van de doelstelling van de onderneming.

Nieuwe versie van COBIT

In Europa geen voorstander van SOX. Liever alternatieven dan harde wetgeving.

In Nederland: Code Tabaksblat “compy or explain’ waarom je je niet aan de best practices met betrekking tot corporate governance houdt.

Nieuwe IFAC publicatie: Enterprise Governance (waarom corporate governance in veel organisaties gefaald heeft en hoe het beter kan) Een set van verantwoordelijkheden en gebruiken, uitgeoefend door de raad van bestuur, met als doel om strategische richting te geven, borgen dat doelstellingen worden behaald, het managen van risico en het verantwoord gebruiken van resources.2 dimensies:- Conformance focus op aansprakelijkheid en zekerheid- Performance focus op strategie en waarde creatieHet is belangrijk om hier een balans tussen te zoeken. Conformance moet niet overbelangrijk gemaakt worden.


Convergentie in denken over Internal Control Voorkeur voor principle based, risk focused boven prescriptive en legislative. Het is belangrijk dat Internal Control in de organisatie is ingebed. De tone at the top is belangrijk voor een succesvolle implementatie van Internal Control SOX focust te veel op Internal Control op financiële verslaggeving, liever een bredere IC benadering.


Titel: Internal Control – Integrated Framework Chapters 1-4Auteur: COSOSamengevat door: Marijn FeddesGoedgekeurd door:Datum: 14-6-2010 Chapter 1 – Definitie

Het COSO-model is ontwikkeld om managers te helpen de (bedrijfs-)activiteiten beter te beheersen. De gehanteerde definitie voor interne beheersing (IC) in het COSO-model is:

Internal control is a process, effected by an entity’s board of directors, management and other personnel, designed to provide, reasonable assurance regarding the achievement of objectives in the following categories:

Effectiveness and efficiency of operations Reliability of financial reporting Compliance with applicable laws and regulations

Centraal in deze definitie zijn de elementen:1. IC is een proces2. IC wordt beïnvloed door mensen3. IC voorziet in een redelijke mate van zekerheid4. IC is toegesneden op het bereiken van doelen

Ad1: “IC is een proces” betekent dat IC niet een eenmalige actie betreft maar continu plaats vindt in samenhang met de bedrijfsactiviteiten. Het IC proces dient verweven te zijn met de bedrijfsprocessen. Ingebouwde controle zorgt voor kostenbeheersing en snelle reactietijd van IC.

Ad2: Doelen en controle mechanismen worden uitgevoerd door mensen. Tegelijkertijd worden mensen beïnvloed door het IC systeem. Het zorgt voor een verbinding tussen verantwoordelijkheden, uitvoering en organisatiedoelen.

Ad3: IC kan slechts een redelijke mate van zekerheid bieden. Er zijn diverse factoren die onzekerheid met zich meebrengen en niet uitgesloten kunnen worden door IC zoals: gebrekkige besluitvorming, menselijke fouten, fraude en samenspanning

Ad4: In het COSO-model wordt IC beschreven in relatie tot drie categorieën van doelen: Operaties, financiële verslaggeving en “compliance”.

Van IC kan men verwachten dat het redelijke zekerheid geeft over het bereiken van de doelen: financiële verslaggeving en “compliance”. Het bereiken van doelen met betrekking tot operaties kunnen minder goed worden verzekerd. Immers deze hangen ook af van factoren buiten de invloed van de organisatie.

Het COSO-model bestaat uit vijf componenten:1. Control Environment2. Risk Assessment3. Control Activities4. Information and Communication5. Monitoring

Deze componenten vormen een geheel en beïnvloeden elkaar in meerdere richtingen. Elk component is van toepassingen op alle drie de doel categorieën. En alle componenten en doelen zijn te vertalen naar de verschillende lagen in de organisatie.

De effectiviteit van IC kan worden beoordeeld op basis de redelijke mate van zekerheid die ze de directie geeft met betrekking tot het behalen van de organisatiedoelstelling:

1. zij onderkennen de mate waarin de operationele doelstellingen worden behaald2. de financiele verslagen zijn betrouwbaar3. de wet en regelgeving wordt nageleefd

Hoewel IC een proces is, is de effectiviteit van IC een moment opname.

Chapter 2 – Control Environment


De controle omgeving is de context waarin IC zich afspeelt. Deze omgeving bestaat onder andere uit de volgende elementen:

Integrity and ethical valuesDe effectiviteit van IC is zo goed als de waarden en normen van het management dat ze toepast. Deze worden bepaald door de organisatiecultuur en de “tone at the top”. Uit divers onderzoek blijkt dat er drie factoren zijn die fraudeleus gedrag versterken:

1. “Incentives” zoals onrealistische resultaatdoelen en hoge resultaatafhankelijke bonussen2. “Temptations” zoals afwezigheid van controle en gebrek aan consequenties van fraude3. “Ignorance” veroorzaakt door gebrek aan morele sturing

Commitment to competenceVoor elke functie dient een duidelijk profiel met benodigde vaardigheden beschikbaar te zijn.

Board of Directors or Audit committee De directie* dient zorg te dragen voor een actieve, onafhankelijke en geïnformeerde houding ten aanzien van de interne controle. Bij voorkeur is er een duidelijke onafhankelijke fractie binnen de directie.

Management philosophy and operating styleDit bepaalt in grote mate de wijze waarop de organisatie wordt geleid. De IC dient hierop aan te sluiten (niet aan te passen)

Organizational structureDe organisatie structuur zorgt voor het raamwerk waarbinnen alle activiteiten worden gepland, ontplooid, gecontrolleerd en gemonitord. Deze structuur dient te zijn afgestemd op de grote van de organisatie, het soort activiteiten en de specifieke doelstellingen.

Assignment of authority and responsibilityHet toewijzen van rechten en verantwoordelijkheden aan ieder in de organisatie bepaalt de mate waarin men beslissingsvrijheid heeft. Dit vergt een balans tussen risico en slagkracht.

Human Resource Policies and PracticesHR beleid geeft een signaal af richting medewerkers over de verwachte integriteit, normen en waarden en competenties. Dit heeft onder andere betrekking op aanname, ontslag, training, beoordeling promotie en beloning.

Tot slot is het van belang te beseffen dat binnen een organisatie verschillende control environments kunnen bestaan tussen divisies, landen etc. De IC moet dus steeds worden afgestemd op de betreffende context.

Chapter 3 – Risk Assessments

Er bestaat geen manier om risico volledig uit te sluiten, het management moet besluiten welke risico niveau’s acceptabel zijn.

Risk Assessment begint met de doelstellingen. Het bepalen van de doelen voor de gehele organisatie en de specifieke activiteiten leidt tot de vaststelling van een set kritische success factoren (KSF). De doelen kan men in de eerder genoemde drie categorieën verdelen.

Vervolgens dient voor ieder doel te worden vastgesteld welke risico’s het behalen van deze doelen bedreigen. Het proces van risico inventarisatie is een continu iteratief proces en een essentieel onderdeel van een IC systeem. Dit proces wordt vaak gecombineerd met het planningsproces.

Na de identificatie van de risico’s op zowel organisatie als activiteiten niveau dient er een risico analyse te worden gemaakt. Deze bestaat uit de volgende elementen:

estimate of the significance of a risk assessing the likelihood of the risk occurring Considering how the risk should be managed


Het is van belang een onderscheid te maken tussen risk assessment, dat een onderdeel is van IC, en het daar uit voortkomende plan, dat een onderdeel is van de bedrijfsvoering. Veranderingen in de organisatie of zijn omgeving hebben tot gevolg dat ook de risico’s veranderen. Het is dus noodzakelijk bij veranderingen opnieuw de risico’s te identificeren. Belangrijke veranderingen die een impact hebben op IC zijn:

Changing operating environment New personnel New or revamped information systems Rapid Growth New Technology New Lines, Products Activities Corporate Restructurings Foreign Operations

Er moeten mechanismen aanwezig zijn die belangrijke veranderingen signaleren en een risico analyse in gang zetten. Deze mechanismen kijken idealiter vooruit naar veranderingen die gaan komen.

Chapter 4 – Control Activities

Control Activities zijn regels en procedures die er voor zorgen dat het gedrag dat het management heeft geïdentificeerd als noodzakelijk om de doelstelling te halen ook daadwerkelijk plaats vindt. Ze bestaan normaal gesproken uit twee delen: een regel die beschrijft wat er wordt verwacht en een procedure die de naleving hiervan garandeert.

Control Activities moeten er op gericht zijn risico’s te verkleinen. Daarnaast moeten ze bijdragen aan het behalen van de organisatiedoelen. De complexiteit van een organisatie en de aard en omvang van de activiteiten, bepaalt in grote mate welke control activities het best kunnen worden toegepast.

Met betrekking tot informatie systemen zijn er twee specifieke control activities: general controls en application controls. General controls zijn er op gericht dat informatie systemen naar behoren werken. Application controls dragen zorg voor het doorlopen van de juiste procedures bij het gebruik van applicaties/informatie systemen.


Titel: Internal Control – Integrated Framework Chapters 5-8Auteur: COSOSamengevat door: Leonie MeijerApproved door: Marijn FeddesDatum: 20-12-2009

Chapter 5 – Information and Communication

Information and communication gaat over het identificeren, verzamelen en verwerken van relevante informatie ten behoeve van de besturing van de organisatie. Communicatie is vooral gericht op de wijze waarop binnen de organisatie wordt gecommuniceerd en hoe met de buitenwereld wordt gecommuniceerd.

Informatie kent vele vormen en soorten:Financiële informatieOperationele informatieExterne informatie (markt informatie, branch informatie)Formele en informele informatieStrategische informatieDeze informatie kan op verschillende manieren verzameld, verwerkt en tot stand komen waarbij gebruik wordt gemaakt van een (handmatige of een geautomatiseerd) informatie systeem (bijvoorbeeld een ERP systeem).

De kwaliteit van informatie:De inhoud dient op de juiste plaats beschikbaar te zijnDe informatie is op tijdDe informatie is actueelDe informatie is correctDe informatie is toegankelijk

De doelen van communicatie:Interne communicatieDe doelen en de verantwoordelijkheden van de werknemers dient duidelijk gecommuniceerd te zijn (down stream communicatie).De communicatie middelen/ methoden dienen voor alle lagen van de organisatie duidelijk te zijn (up stream communicatie).Adequate communicatie tussen afdelingen (Horizontale communicatie).

Externe communicatieCommunicatie met de markt (consumenten behoeften).Communicatie met toezichthouders/ andere belanghebbenden zoals milieu activisten.De juiste acties op tijd uitvoeren op basis van deze vergaarde informatie.

Chapter 6 – Monitoring

Het gehele bouwwerk van COSO dient gemonitored te worden en daartoe staan evaluatie onderzoeken door bijvoorbeeld controllers en audits ter beschikking. Monitoring is te onderscheiden naar ongoing en separate evaluaties.

Ongoing monitoring die gebruikt wordt voor de beoordeling van de internal control zijn er in vele vormen. De monitoring activiteiten die continue plaats vinden zijn bijvoorbeeld; management activiteiten, supervisory activiteiten, vergelijkingen en financiële en niet financiële aansluitingen.

Separate evaluatie is een vorm van monitoring waarbij het totale proces inclusief de ongoing monitoring vanuit een niet bedrijfsblinde oogpunt wordt bekeken. Dat kan plaatst vinden door externe partijen zoals interne/ externe audits, toezichthouders etc.


Reporting DeficienciesGebrekkigheden in een control systeem kunnen verschillende oorzaken hebben. De bronnen van informatie kunnen niet volledig zijn. De rapportage kan zal onvolledig zijn.Er kan aan de verkeerde persoon/ afdeling gerapporteerd worden.Deze richtlijnen betreffende de rapportages dienen ook evalueert te worden om te voorkomen dat de ongoing monitoring doelmatig te kunnen blijven uitvoeren.

Chapter 7 – Limitations of Internal Control

Internal control kan geen redelijke mate van zekerheid geven dat de doelen van de organisatie behaald zullen worden. Internal control kan geen absolute zekerheid geven betreffende de drie categorieën van het COSO model.

De volgende fouten/ missers kunnen niet voorkomen worden: Judgement (personeel kan een situatie verkeerd in schatten)Breakdowns (personeel kan de instructies verkeerd begrepen hebben)Management override Collusion Costs versus Benefits

Chapter 8 – Roles and Responsibilities

De internal control wordt beïnvloed door partijen die zowel intern als extern bij de organisatie betrokken zijn. De verantwoordelijkheden van deze partijen verschilt per rol die deze vervullen.Interne partijenManagement (alle lagen)Financial OfficersRaad van ommissarissenInternal AuditWerknemersVakbondenExterne partijenExternal AuditConsumentenLeveranciersBelastingFinancial analystBond rating agenciesMedia(deze lijst bevat slechts voorbeelden)


Titel: Inleiding EDP-auditing Hfd. 8Auteur: Jan van Praat, Hans SuerinkSamengevat door: Bas BonnierGecontroleerd door:Datum: 07 juni 2010

Organisatie van de informatievoorziening

De gebruikersorganisatie is verantwoordelijk voor de kwaliteit van de geautomatiseerde gegevensverwerking. De organisatie die belast is met het beheer van de informatie- en communicatietechnologie (automatiseringsorganisatie) heeft een adviserende taak richting het lijnmanagement ten aanzien van de volgende aspecten:

1. De strategiebepaling met betrekking tot de informatie- en communicatietechnologie2. Het inrichten van bedrijfsprocessen3. Het realiseren van projecten4. De wet en regelgeving

Ad 1. De strategiebepaling voor de organisatie van de informatievoorziening (application management) moet leiden tot een uitgewerkt automatiseringsbeleid en automatiseringsplanning. De volgende processen dienen voor de beheersing van de ICT-organisatie door gebruikersorganisatie te worden ingericht:

Planning and Control Cost Management Quality Management Service Level Management

De volgende functies moeten bij de organisatie van de informatievoorziening worden vastgelegd:

Systeem eigenaar Gegevens eigenaar Functioneel applicatiebeheer Gegevens- en informatiebeheer

Ad 2. In toenemende mate zullen, door ingebouwde ‘best practises’ de bedrijfsprocessen beter aangepast kunnen worden aan het te implementeren informatiesysteem (b.v. ERP-systeem) dan via maatwerk het systeem aan te passen aan het proces.

Ad 3. Bij het realiseren van projecten staat het bepalen van de prioriteiten gericht op het tijdig voorzien in de informatiebehoeften centraal. Het doel van programma management is het bepalen van de prioriteiten in relatie tussen de verschillende ICT-projecten.

Ad. 4. Te allen tijde moet worden voldaan aan de verplichting die wettelijk en contractueel worden opgelegd of afgesproken. Een belangrijk voorbeeld in deze is de noodzaak tot het opstellen van een ‘in control verklaring’.

Indien men onderzoek doet naar de organisatie van de informatievoorziening is het wenselijk de beoordeling te scheiden in:

Beoordeling van de opzet Beoordeling van het bestaan Beoordeling van de werking


Titel: Inleiding EDP-auditing Hfd. 9Auteur: Jan van Praat, Hans SuerinkSamengevat door: Bas BonnierGecontroleerd door:Datum: 07 juni 2010

Informatiesystemen en systeemontwikkeling

Informatiesystemen zijn ‘een samenstel van productieprocessen (computerprogramma’s) die gegevens (de grondstof) via bepaalde regels (algoritmes) eventueel met van (wijziging van) gegevens die eerder zijn opgeslagen (het gegevensmagazijn ofwel de database) omzetten in informatie (het eindproduct).

Een computer programma is een logische opvolging van operaties op gegevens die worden uitgevoerd om ze om te zetten in informatie.

Het raamwerk van systeemontwikkeling ziet er als volgt uit:Stap 1: Opstellen organisatiebeleidStap 2: Opstellen informatiebeleidStap 3: Opstellen automatiseringsbeleidStap 4: Opstellen automatiseringsplan

Het informatiebeleid geeft weer welke informatie er benodigd is om de organisatorische doelen te bereiken die neergelegd zijn in het organisatiebeleid.

Het automatiseringsbeleid geeft weer welke informatie digitaal benodigd is om de doelen te bereiken die neergelegd zijn in het informatiebeleid.

Het automatiseringsplan geeft een overzicht van de ICT-projecten die in de komende periode gerealiseerd zullen worden.

Bij de beoordeling van de opzet (de structuur en de aansturing van de organisatie van de systeemontwikkeling) moet gelet worden of er sprake is van functiescheiding. Binnen de aansturing moet gelet worden op de aanwezigheid van een adequate projectmanagement structuur zoals bv Prince2.

Bij het beoordelen van het bestaan gaat het erom vast te stellen dat de inrichting overeenkomt met de inrichting zoals die gepland is en dat de processen zoals die vastgelegd zijn ook worden nageleefd.

Bij het beoordelen van de werking wordt gebruik gemaakt van de vastleggingen die zijn gedaan: Projectvoorstel Projectarchief Project Initiatie Document (PID) Faseplan Hoofdpuntenrapport Fase eindrapport Project eindrapport Afwijkingsrapport Leerpuntenrapport Projectresultaat


Titel: Inleiding EDP-auditing hoofdstuk 10 technische infrastructuur (paragraaf 10.1-10.6)Auteur: Jan van Praat, Hans SuerinkSamengevat door: Erwin VinkGecontroleerd door:Datum:

10.1 Organisatie beheer technische infrastructuurSysteembeheer is het structureren, in stand houden en onderhouden van beheerobjecten (technische infrastructuur) binnen een geautomatiseerde omgeving om een adequate informatievoorziening te kunnen waarborgen. Bij inrichting van systeembeer moet rekening worden gehouden met vier inrichtingsaspecten:

1. Inventarisatie en analyse:Inventariseren en analyseren van de behoeften aan systeembeheer. Goed beheer bestaat uit een combinatie van organisatorische, procedurele en technische beheersingsmaatregelen. Door de huidige stand van de techniek bestaan al deze functies niet meer. ICT heeft zelf steeds meer de mogelijkheden om gegevensverwerking te ondersteunen. Functies die nog nodig kunnen zijn hebben betrekking op outputverwerking, distributie en nabewerking. Om na te gaan welke functies nodig zijn in een optimale situatie spelen de volgende criteria een rol:

- aantal en omvang van de te beheersen objecten- mate van integratie van processen binnen de geautomatiseerde informatievoorziening- mate van decentralisatie van de automatisering- kwaliteit deskundigheid binnen organisatie op terrein van de te beheersen objecten- mogelijkheden die ICT biedt om beheer inhoud te geven

2. FunctiescheidingenDe volgende functies moeten gescheiden zijn wil er sprake zijn van functiescheiding:

- planning en werkvoorbereiding; verantwoordelijk voor het zo effectief mogelijk gebruikmaken van de beschikbare mensen, apparatuur en programmatuur.

- operating; verantwoordelijk voor de dagelijkse gegevensverwerking- distributie en nabewerking; in grote automatiseringsorganisaties kan er een functie onderkend worden waarbij

men belast is met de verstrekking van uitvoer aan gebruikers.- registratie; functie er erop gericht dat alle activiteiten van de verwerkingsorganisatie vastgelegd worden.- bewaring; functie heeft betrekking op het bewaren van de gegeven, programmatuur en apparatuur.

3. Inrichting systeembeheerOm systeembeheer goed in te vullen moet management met volgende zaken rekening houden:

- het zorgen voor een goede opleiding van de beheerders- opstellen functie- en taakbeschrijvingen en het toewijzen van verantwoordelijkheden aan beheerders.- Beschikbaar stellen voldoende technische hulpmiddelen voor uitvoering taak- Opzetten procedures binnen systeembeheer- Zorgen voor goede communicatiestructuur tussen de diverse beheerders

Systeembeheer bestaat uit de volgende deelgebieden (zie voor voorbeelden p180-185):- beheer van gegevens- beheer van toepassingsprogrammatuur- beheer van apparatuur- beheer van systeemprogrammatuur- beheer van netwerken

4. Besturing van het systeembeheerEen goede organisatorische inkadering van de systeembeheerfunctie is wezenlijk voor een adequaat systeembeheer. Belangrijke aandachtspunten hierbij zijn:

- in het informatie- en automatiseringsplan moet aandacht zijn voor het systeembeheer- het systeembeheer moet zo onpartijdig mogelijk zijn- in de gebruikersorganisatie is het systeembeheer een beschikkende functie op tactisch niveau- er dient een duidelijke functiescheiding te zijn tussen logisch en technisch systeembeheer- er behoren directie communicatiemogelijkheden tussen functioneel en technisch systeembeheer te zijnde organisatie moet voldoende technische hulpmiddelen beschikbaar te stellen- er moeten adequate procedures binnen systeembeheer zijn


10.2 Beoordeling van de organisatie van het beheer van de technische infrastructuurOm een oordeel te kunnen geven over de organisatie van het beheer wordt een onderscheid gemaakt in het beoordelen van de opzet, het bestaan en de werking. Norm voor deze beoordeling zijn de bij punt 4 genoemde aandachtspunten. Doelstelling van de audit is:

Het geven van een oordeel over de kwaliteit van de dienstverlening van de afdeling productie en beheer. Dit oordeel heeft betrekking op de organisatie rond het beheer van de technische infrastructuur over een bepaalde periode.

De auditor zal antwoord willen hebben op de volgende vragen:- In hoeverre is er gegeven de stand van de techniek en gegeven de omvang van de organisatie behoefte aan

afzonderlijke functies met betrekking tot systeembeheer? - Zijn de noodzakelijke functiescheiding op een goede manier uitgewerkt in de organisatorische opzet?- Zijn in de functie- en taakbeschrijvingen de taken voldoende uitgewerkt?

10.3 De processen met betrekking tot het beheer van de technische infrastructuur

Binnen ITIL wordt een groot aantal processen behandeld die betrekking hebben op het beheer. Met betrekking tot het tactische en operationele niveau gaat het om de volgende processen:

Service delivery set (tactisch niveau):- Dienstniveaubeheer: technische infrastructuur moet voldoen aan eisen en wensen afnemers van de ICT-

diensten. Om dit te borgen SLA’s (met daarin functionele beschrijving dienst, technische beschrijving, performance dienst, beschikbaarheid, vertrouwelijkheid, operationeel beheer, capaciteitsbeheer, rapportages, overlegstructuren etc.) afsluiten tussen gebruikersorganisatie en afdeling productie en beheer. Taken:

o Verifieren haalbaarheid eisen en wensen opdrachtgevero Het voorstellen, onderhandelen, overeenkomen en vastleggen niveau van dienstverlening. o Het bepalen, opstellen en vastleggen van de normen voor de ICT-dienstverlening. o Het bewaken van de normen voor de ICT-dienstverleningo Het rapporteren over de geleverde diensten

- Capaciteitsbeheero Capaciteitsplanningo Prestatiebeheero Middelenbeheero Vraagbeheersingo Werklastbeheero Applicatiedimensionering (opstellen specificaties waar infrastructuur aan moet voldoen)o Rapportering (over beschikbare capaciteit, knelpunten etc.)

- Calamiteitenbeheero Uitvoeren van een risicoanalyseo Beheersen van de risico’so Beheren van het calamiteitenplano Informatievoorziening

- Beschikbaarheidsbeheero Opstellen beschikbaarheidsplano Realiseren van de beschikbaarheidseiseno Bewaken van de beschikbaarheido Bewaken van de onderhoudsverplichtingeno Informatievoorziening

- Kostenbeheero Beheersen van de kosteno Verrekenen van de kosteno Informatievoorziening: totale kosten en doorbelaste kosten

Service support set (operationeel niveau)- configuratiebeheer

o identificatie configuratie-itemso beheer van de configuratiedatabaseo statusbewaking van de configuratie-itemso verificatie van de configuratiebeheerdatabase


o informatievoorziening; groei en wijzigingen in technische infrastruur- programmatuurbeheer en distributie

o beheer van de systeemprogrammatuurbibliotheek (bijv. kopieën om te testen)o distribueren en implementeren van de systeemprogrammatuuro informatievoorziening; afwijking planning budget, niet geaccepteerde programmatuuritems, status

licenties en onderhoudscontracten etc. - incidentenbeheer

o detectie en registratieo classificatie en toewijzingo diagnose en oplossingo afsluitingo informatievoorziening; aantal incidenten, gemiddelde storingstijd etc.

- probleembeheero probleemidentificatie en registratieo classificatieo allocatie van mensen en middeleno onderzoek en diagnoseo foutbeheero infromatievoorziening; aantal problemen, bestede tijd aan onderzoek en diagnose, planning.

- wijzigingenbeheero acceptatieo classificatieo beoordeling en planningo coördinatie o informatievoorziening; uitgevoerde wijzigingen per categorie, met spoed uitgevoerde wijzigingen

10.4 Beoordeling van de processen met betrekking tot het beheer van de technische infrastructuur

We maken onderscheid tussen beoordeling van de opzet, het bestaan en de werking. Dit gebeurt op basis van normconcretisering (ITIL).

1. Beoordeling van de opzetHierbij zijn een aantal aspecten van belang :

- Overeenkomst: afspraken over het niveau van dienstverlening- Inrichting: vastgelegde afspraken zullen door afdeling productie en beheer vertaald moeten worden naar de

technische infrastructuur. - Procedures: die ervoor moeten zorgen dat op een goede wijze aan het afgesproken niveau van dienstverlening

invulling wordt gegeven. 2. Beoordeling van het bestaanHet gaat hierbij om de volgende aspecten:

- vaststellen of de inrichting van de componenten van de technische infrastructuur overeenkomt met de inrichting zoals die gedefinieerd is naar aanleiding van het SLA.

- Beoordelen of de procedures zoals die vastgelegd zijn in het SLA ook daadwerkelijk bekend zijn in de organisatie.

3. Beoordeling van de werking- aan de hand van rapporten vaststellen of:

o er over de te beoordeling periode daadwerkelijk sprake is geweest van een kwalitatief goede dienstverlening.

o de beweringen in de rapportages over de te beoordelen periode overeenkomen met de werkelijke situatie (middels vastleggingen)

10.5 Producten technische infrastructuur

Technische infrastructuur bestaat uit de volgende componenten:- besturingssystemen- netwerkbesturingssystemen- databasemanagementsystemen


- hulpprogrammatuur

Eindgebruikers stellen eisen aan technische infrastructuur:- adequate beveiliging- bij problemen snel geholpen worden- kosten conform daadwerkelijk gebruik

10.6 Besturingssystemen

Om computersystemen te kunnen laten functioneren vervult het besturingssysteem de volgende functies:- Processorbeheer- Geheugenbeheer- In- en uitvoerbeheer- Opslagbeheer- Werkverdeling

De eisen van de gebruikersorganisatie zijn de normen waaraan de systeemprogrammering moet voldoen. Deze normen worden opgenomen in :

- het informatie- en het automatiseringsbeleid- het informatie- en automatiseringsplan- SLA

Het wijzigingenbeheer van een besturingssysteem bestaat uit:- het implementeren van nieuwe releases (testen, implementeren en goedkeuren)- het wijzigen van de inrichting (parametrisering)

Beoordeling van de opzet van het besturingsysteem. Het gaat hierbij om het vaststellen van de aanwezigheid van :- het informatie- en automatiseringsbeleid- het informatie- en automatiseringsplan- een SLA- een overzicht van de noodzakelijke inrichting

Bij de beoordeling van het bestaan dient nagegaan te worden of de inrichting zoals deze is vastgesteld naar aanleiding van de beoordeling van de opzet ook daadwerkelijk in het geautomatiseerde systeem aanwezig is.

Voor de beoordeling van de werking van het besturingssysteem maakt een auditor gebruik van de loggingfaciliteiten van het besturingssysteem. Om de inhoud van de logging goed te kunnen beoordelen gebruikt hij het SLA als norm. Hij besteedt aandacht aan de procedures rond het implementeren van nieuwe wijzigingen en aan de gang van zaken rond wijzigingen in de parametrisering


Titel: Inleiding EDP auditing – Hoofdstuk 11 paragraaf 1-3Auteur: Jan van Praat, Hans SuerinkSamengevat door: Rob van der SteenGecontroleerd door:Datum:

Samenvattend dienen er maatregelen te zijn die het gemeenschappelijk gebruik van gegevens en informatie niet dwarsbomen mits de bescherming van gegevens en informatie gewaarborgd is. (Bescherming wordt hier bedoelt: vertrouwelijk, integer en beschikbaar)

Hiervoor is een systeem van toegangsbeveiliging nodig. Zo´n systeem is in 3 onderdelen te verdelen:1. Externe (toegangs-)beveiliging: de communicatie van buitenaf beveiligen2. Interne fysieke beveiliging: waarbij vooral de beschikbaarheid van de informatiesystemen gewaarborgd moet

zijn. 3. Interne logische beveiliging: hier is bedoelt om elke functionaris de bevoegdheden toe te wijzen die nodig zijn

voor vervulling van zijn of haar functie. Samengevat niet te veel en ook niet te weinig bevoegdheden zodat alle gegevens voldoende gesplitst zijn met behulp van de juiste views toegekend aan de juiste gebruikers.

Externe beveiliging

Het kunnen inloggen vanuit buitenaf in het geïntegreerd systeem door gebruik van een laptop. Om van buitenaf contact te leggen met de competentietabel waarin de bevoegdheden per medewerker zijn geregeld, moeten de volgende maatregelen worden genomen:

Het inrichten van een firewall waarbij een onafhankelijke functionaris (beheermedewerker) deze inrichting beheert. Je hebt een proxyfirewall (meest veilig) en een stateful inspection firewall (minder veilig)

Het opstellen van toegangsregels voor inrichting van de firewall. Het verstrekken van beveiligingscertificaten aan de gebruikers door de onafhankelijke functionaris op

schriftelijke aanwijzing van personeelszaken of de verantwoord business manager.

Interne beveiliging

Indien medewerkers aanloggen op het systeem is de logische beveiliging zeer belangrijk. Immers het geïntegreerd systeem met authorisaties per medewerker vervangt de in vroegere tijden gehanteerd mechanisme van functiescheiding omtrent beschikken, bewaren en registreren. Om op een verantwoorde manier de functiescheiding te vervangen zijn 4 groepen van eisen nodig met de daarbij behorende maatregelen:

IdentificatieOm vast te stellen wie welke activiteiten in het systeem heeft verricht, is het belangrijk om te weten wie de gebruiker is. Hiervoor helpt een userID die een unieke koppeling heeft met elke medewerker die activiteiten in het systeem verricht. De userID moet automatisch blokkeren na een aantal mislukte aanlog pogingen. Bij uitdiensttreding of geen gebruik van de userID voor langere periodes dient de userID verwijdert te zijn door de beheermedewerker.

Een beheermedewerker is belast met het toekennen, wijzigen of intrekken van userID´s en kan deze taak alleen uitvoeren op basis van een schriftelijke mededeling waarvoor ook procedures zijn opgesteld door de organisatie. Een personeelsadviseur samen met de afdelingshoofden verstrekken de mededeling aan de beheermedewerker.


AuthenticatieNa de identificatie is het aan de gebruiker om aan te tonen dat de gebruiker is wie hij of zij zegt wie de gebruiker is. Deze authenticatie gebeurt door middel van een wachtwoordsysteem. De technische maatregelen zijn dat wachtwoorden een minimale lengte hebben, regelmatig en frequent gewijzigd worden, wachtwoorden niet voorspelbaar zijn of leesbaar op scherm tijdens invoer en gebruikers moeten zelf het wachtwoord wijzigen. En bij de wetenschap van anderen dat het wachtwoord niet meer persoonlijk is, moet ook het wachtwoord gewijzigd worden. Zodoende om het wachtwoord persoonlijk te maken en te houden.

Naast de technische maatregelen zijn er ook procedurele en organisatorische maatregelen. Een beheermedewerker is belast met het beheren van de wachtwoorden zodat alle technische maatregelen worden ingesteld en nageleefd gebaseerd op het beveiligingsbeleid en procedures. Ook moeten de medewerkers schriftelijk bevestigen dat voor alle gegevens en het wachtwoord geheimhouding geldt door de medewerker. Dit kan door de personeelsadviseur aan het arbeidscontract worden bijgevoegd.

AuthorisatieHet systeem moet de gebruiker de bevoegdheden geven die nodig zijn. Welke bevoegdheden een gebruiker nodig heeft, moet de verantwoordelijk manager of hoofd toekennen en deze schriftelijk doorgeven aan de beheermedewerker van de automatiseringsafdeling. Deze beheermedewerker kent de rechten toe aan het userID in een competentietabel van het systeem. Het opstellen van procedures die het opzetten, wijzigen en intrekken van bevoegdheden regelt met controle op de naleving door de controller.

RapporteringControle op het beveiligingssysteem kan alleen gebeuren indien:

Wijzigingen in de identificatie en authenticatiegegevens automatisch gelogd worden in een logbestand Alle activiteiten van elke gebruikers automatisch gelogd worden in een logbestand met inbegrip van type

activiteit. Het logbestand moet opgeslagen worden door het systeem en beoordeeld worden door een onafhankelijke

functionaris zoals de controller of de externe accountant indien deze aanwezig is. Het wijzigen of verwijderen van een logbestand alleen mogelijk is via procedures door een onafhankelijk

functionaris los van technisch of functioneel beheer.


Titel: De Betekenis van IT Auditing voor de Jaarrekeningcontrole ontrafeldAuteur: Stan van Bommel, Mark van Goor, Lucien Peek en Joop Winterink.Samengevat door: Ronald PikkemaatGecontroleerd door:Datum:

In dit artikel wordt beschreven hoe een effectieve vertaalslag kan worden gemaakt om de impact van de IT-controlebevindingen op de jaarrekeningcontrole te kunnen bepalen. Door een goede samenwerking met en ondersteuning van een IT auditor zou de accountant de jaarrekeningcontrole veel efficiënter kunnen uitvoeren. Bij de jaarrekeningcontrole wordt in toenemende mate gewerkt met gegevens uit geautomatiseerde informatiesystemen. Voor het financiële verantwoordingsproces is het daarom ook erg belangrijk om de werking en effectiviteit van de IT controlemaatregelen te kunnen beoordelen. Om dit vervolgens te kunnen doen is specialistische kennis van IT en IT beheersing nodig. De IT auditor voert de onderzoeken uit naar de General IT-controls en rapporteert deze aan de accountant. De accountant kan zich tegelijkertijd richten op de User controls en application controls.In de praktijk is de samenwerking tussen IT auditor en accountant verre van optimaal en ontbreekt vaak de vertaalslag van de IT-controlebevindingen naar de betekenis ervan voor de jaarrekeningcontrole. (oorzaak: wederzijds gebrek aan kennis) (onderliggende oorzaken: ontbreken eenduidige literatuur, definities en terminologie en ook snelle ontwikkelingen in de praktijk t.o.v. theorie)De accountant stelt zijn controleaanpak op en samen met de IT auditor stelt hij een overzicht op met de relaties tussen de jaarrekeningposten, de bedrijfsprocessen, de applicatie en de IT. Op basis hiervan wordt het gerichte onderzoek vastgesteld zie figuur

De analyse om General IT controls te selecteren gaat top-down, van jaarrekeningpost naar IT (zoals hierboven te zien is). De analyse van de controlebevindingen gaat juist bottom-up (van IT naar jaarrekeningpost).


Voorbeeld Post Premies

-Verzamelen deelnemersgegevens -Verwerken in subadministratie en grootboek

-Standaard applicatie Finan. Admin -Maatwerk applicatie

-Change management -Security Management

Significante posten in financiële verslagen

Bedrijfsprocessen

Financieel gerelateerde applicaties

IT Infrastructuur services-Besturingssysteem-Databases-Netwerkcomponenten

Fysieke Faciliteiten

Functiescheiding & User Controls:

Application Controls

General IT Controls

- Significatieposten jaarrekening

- Onderliggende posten en processen

- Bedrijfsprocessen

- Deelprocessen

- Applicaties

- IT infrastructuur services

- Fysieke Faciliteiten

De kritieke componenten en stappen in de vastgestelde processen zullen in het bijzonder door zowel de IT auditor als de accountant worden bekeken. Door de bevindingen te interpreteren naar de gevolgen voor de applicaties en vervolgens voor het proces, kan een afgewogen oordeel worden gegeven op het niveau van de jaarrekeningpostenVoorbeeld 1: Change mgtDoordat wijzigingen niet gestructureerd, getest en geautoriseerd zijn vastgelegd volgens het change mgt proces kan de juiste werking van applicaties niet worden gewaarborgd. Hierdoor kan de volledigheid en betrouwbaarheid van de pensioen administratie niet worden gegarandeerd. Met als gevolg dat de post (pensioen)premies onjuist kan zijn. Wellicht extra werkzaamheden door standenregisters te vergelijken (verbandcontrole van user controls)Voorbeeld 2 : Security mgtOm de integriteit van data te kunnen waarborgen is de detectieve controle van logging erg belangrijk. Logging van gebruikers, en autorisaties. Kortom ongeautoriseerde en onrechtmatige activiteiten worden door logging vastgesteld. Betekent wel dat de logging periodiek gecontroleerd moet worden (hiervoor zal een proces ingericht moeten zijn)

Belangrijke bevindingen leiden meestal tot aanvullende werkzaamheden en onderzoeken. Maar ook juist een controle mix kan de accountant helpen om als nog de betrouwbaarheid van de informatie en de uiteindelijks jaarrekeningposten te kunnen vaststellen.Kortom werking van General IT controls en het onderzoek er naar hebben een grote toegevoegde waarde voor het accountantsverslag en management letter. Echter tot op heden worden ze niet of nauwelijks benoemd. Er zijn zo nog geen voorbeelden te vinden in de praktijk waarbij men niet tot een goedkeurende accountantsverklaring is gekomen door ernstige IT controlebevindingen.Kortom IT auditing is enerzijds om een volledig risicobeeld te krijgen en anderzijds het effectief en efficiënt kunnen uitvoeren van de jaarrekeningcontrole.


Accountant

IT auditor

Titel: ERP - PakkettenAuteur: Ronald A. Jonger RE RASamengevat door: Leonie MeijerGoedgekeurd door:Datum: 13 juni 2010

Het ERP systeem wordt door Jonker gedefinieerd als:

Standaardsoftwarepakketten met bedrijfsbrede procesondersteunende functionaliteiten, die in staat stellen om binnen een bedrijfsfunctie ingevoerde gegevens voor hergebruik binnen andere bedrijfsfuncties aan te wenden.

In de tabel hieronder is weergegeven in welke punten Een ERP systeem zich onderscheidt van een traditioneel divers systeemlandschap.

Traditioneel systeemlandschap ERO systeemGericht op de functies die binnen een afdeling moeten worden uitgevoerd

Procesondersteunende functionaliteiten en daarom afdelingsoverstijgend

Maatwerkapplicaties of ‘best of breed’- pakket Standaard pakketExpliciete koppeling tussen applicaties nodig, hetzij handmatig, het geautomatiseerd

Hergebruik van gegevens wordt afgedwongen binnen het systeem

Veelal ondersteund door meerdere platformen van Operating Systemen en DBMS-en

Ondersteund door één platform van Operating Systeem en DBMS

Voordelen van het ERP systeem ten opzichte van traditionele systeemlandschappen: Gegevens die binnen een bedrijfsproces in het ERP-systeem worden vastgelegd kunnen ook binnen andere

bedrijfsprocessen worden gebruikt. Binnen het ERP systeem zijn geen geautomatiseerde koppelingen meer nodig. Het functionele beheer kan efficiënter worden opgezet. Bij een systeemlandschap van specifieke applicaties komt het veel voor dat deze applicaties ieder voor zich

specifieke eisen stellen aan de technische architectuur. Er is slechts één leverancier waarmee de beheerorganisatie in contact staat. Het gebruik van ERP-systemen brengt nieuwe functionaliteiten in toekomstige nieuwe releases van het

systeem onder handbereik.

Nadelen van het ERP systeem ten opzichte van traditionele systeemlandschappen: De afhankelijk van de leverancier is groter ten opzichte van maatwerkapplicaties ERP systemen zijn qua functionaliteit minder flexibel dan maatwerksystemen. Erp-implementatietrajecten hebben een hoge faalkans.

Nieuwe ontwikkelingen van ERP systemen.Ketenintegratie, het ERP systeem van een organisatie ook beschikbaar gesteld aan toeleverancier, afnemers en distributeurs, zodat de goederenstroom verder kan worden geoptimaliseerd buiten de grenzen van de eigen organisatie.Web-based functionaliteitenVerhuur van ERP systemen door de dienstverleners.


Consequenties van de ontwikkeling en de implementatie van ERP systemen voor de beheersing van de gegevensverwerking.Configureerbaarheid van het ERP systeem

Het ERP pakket aanpassen aan het bedrijfsproces of het bedrijfsproces aanpassen aan het ERP pakket?

Geïntegreerdheid van het ERP systeemDeze geïntegreerdheid impliceert dat meerdere bedrijfsfuncties gebruikers zijn van dezelfde data. Vanuit elke bedrijfsfunctie worden verschillende eisen aan deze data gesteld. Het ERP systeem ondersteunt deze eisen door middel van een complexe datastructuur die hoge eisen stelt aan betrouwbaarheid, actualiteit en consistentie.

Onvoldoende kennis bij implementatie consultantsMeestal is de aandacht voor de interne controle bij de consultants beperkt. Hun aandacht blijft beperkt tot het werkend krijgen van het pakket.

Online real-time verwerkingEen online real-time informatiesysteem, zoals een ERP applicatie, betekent voor de meeste bedrijven een grote verandering ten opzichte van hun huidige informatiesystemen. Waar bij batch gewijze verwerking de invoer achteraf nog kan worden gecorrigeerd voord at verdere verwerking plaatsvindt, is dit bij real-time verwerking nauwelijks mogelijk.

Discipline en kennis van eindgebruikers bij operationeel gebruikProcedures en werkinstructies en training daarin moeten de eindgebruiker daarbij ondersteunen.

Integratie ERP systeem en technische infrastructuurDe beheersing van de gegevensverwerking in een door een ERP systeem ondersteund proces is mede afhankelijk van de kwaliteit van het beheer en de inrichting van het onderliggende besturingssysteem en databasemanagementsysteem.

Conceptueel model van beheersobjecten in een ERP-omgeving

De projectfasen bij het ontwerpen en implementeren van business controls: Initiatie Blauwdruk Inrichting Testen en pre-implementatie Operationeel gebruik

Voor een uitgebreide beschrijving van de projectactiviteiten en de business control activiteiten zie pagina 192 in de reader.


Business Controls

IT BeheerSysteem administratieChange managementProblem managementBeschikbaarheidOperations

BedrijfsprocessenEindgebruikerscontroles

Configuratiecontrols

BeveiligingApplicatie beveiligingInfrastructuur beveiligingMonitoren en detectie

Data integriteitData conversie

Interfaces

Titel: Balanced scorecard in bedrijfAuteur: T. de GrootSamengevat door: Martijn SwaanenburgApproved door:Datum: 05-05-2010

Problemen bij de invoering en het gebruik van de BSC:1. Voor verschillende onderdelen in de organisatie zullen aangepaste BSC moeten worden gemaakt2. Relaties tussen niet-financiële en financiële indicatoren kunnen buitengewoon complex zijn3. Managers hebben in het algemeen moeite om bij hun plannings- en beheersingsbeslissingen goed rekening te

houden met de verschillende dimensies van de BSC

De BSC is bedoeld om op een gestructureerde wijze de strategie van de onderneming te vertalen in concrete doelen (goals) en de mate waarin deze doelen worden bereikt periodiek te meten (measures). De BSC is een afbeelding van de causale relaties in een bedrijf. In het ontwerp van een BSC moeten de causale relaties worden geëxpliciteerd, zodat ze gemeten en beheerst kunnen worden

De balans in de BSC wordt simultaan op 5 gebieden gezocht:1. De 4 aandachtsgebieden van de BSC2. Interne en externe prestatiemaatstaven3. Financiële en niet-financiële maatstaven4. Leading en lagging indicatoren5. Korte en lange termijn perspectief

Bij het invoeren van de BSC in een organisatie moeten de gebruikers beslissen over:1. Wanneer gebruikt men systemen als de BSC

Een onderneming in een onzekere situatie gebruikt meer informatie. Deze informatie is meer prospectief, levert meer informatie over de omgeving en is meer subjectief van aard. Naarmate beslissingen een kortere tijdshorizon hebben neemt het gewicht van financiële informatie in de beslissing af

2. De relatie tussen niet-financiële en financiële prestatiesNiet-financiële indicatoren worden vooral gebruikt indien met ervan overtuigd is dat zij goede voorspellers zijn van financiële prestaties. Een indicator kan te maken hebben met een vertragingseffect. Bovendien kunnen er ook causale relaties binnen 1 BSC dimensie bestaan

3. Het gebruik van de BSCToepassing van de BSC kan worden onderzocht op individueel niveau en op organisatieniveauVoor de individuele beslisser presenteert de BSC 2 soorten informatie: gemeenschappelijke informatie (komt in gelijkaardige vorm voor in prestatieoverzichten van meerdere eenheden) en unieke informatie (komt in een enkele eenheid voor en kan alleen in de context van die eenheid worden geïnterpreteerd). Managers kennen aan gemeenschappelijke informatie een groter gewicht toe


Titel: Het enterprise warehouse van Centraal BoekhuisAuteur: E. van BockelSamengevat door: Martijn SwaanenburgApproved door:Datum: 05-05-2010

Een goede informatiearchitectuur is het fundament voor elk informatiesysteem, zo ook voor een datawarehouse

Datawarehouse: een gegevensverzameling voor informatieverstrekking over onderwerpen van de business en is faciliterend naar de gehele organisatie. De centrale organisatie is de eigenaar.Datamart: een gegevensverzameling over een bepaald onderwerp specifiek voor een afdeling voor beslissingsondersteuning van die afdeling. De afdeling is de eigenaar.A datawarehouse is the union of all datamarts.

Om datawarehouse en datamart onafhankelijk van elkaar te kunnen laten opereren wordt gebruik gemaakt van een operational datastore (ods). Dit is een tijdelijke ruimte waarin de operationele systemen gegevens klaar zetten waarmee vervolgens het datawarehouse aan de slag kan.

Records die niet kloppen leiden in een operationeel systeem niet direct tot problemen. In een datawarehouse kan dit soort “vuile” data grote gevolgen hebben.Datacleaning is het proces waarbij data worden opgeschoond. Het is hierbij belangrijker om classificaties (bv klanttype) op orde te hebben dan detailgegevens. De focus ligt op classificaties met de hoogste informatiewaarde.

Datawarehousing is een continu dynamisch proces binnen de organisatie. Het stopt niet zodra het eerste project is opgeleverd. Inzichten van een organisatie zijn aan verandering onderhevig.Hoe beter het datawarehouse is ingericht, des te makkelijker datamarts eruit kunnen worden ontsloten.


Titel: De beheersing van de XBRL rapportageketenAuteur: M. van HilvoordeSamengevat door: Martijn SwaanenburgApproved door:Datum: 05-05-2010

XBRL is een standaard voor de uitwisseling van gegevens tussen computersystemen die wordt gebruikt om digitaal te rapporteren.XBRL: eXtensible Business Reporting LanguageDe XBRL standaard zorgt voor een exact gedefinieerde, voorspelbare structuur (syntax) voor het beschrijven of representeren van zakelijke feiten, op een manier die computersystemen kunnen verwerken en gebruiken. Met op XBRL aangepaste software is het voor verzenders en ontvangers van bedrijfsgegevens mogelijk om gegevens uit te wisselen, zonder de noodzaak overeenstemming te bereiken over een vaste datastructuur.De communicatie van bedrijfsgegevens vindt plaats via een XBRL instance, een elektronisch bestand dat voldoet aan de eisen zoals beschreven in de XBRL specificatie.

Typen gegevens gecommuniceerd met XBRL:1. Geaggregeerde financiële en bedrijfsgegevens, bv jaarrekening2. Financiële transactiegegevens, bv journaalposten3. Operationele gegevens, bv facturen

Benaderingen bij het communiceren van gegevens1. Van systeem naar systeem: gegevenscommunicatie tussen en binnen organisaties2. Van systeem naar gebruiker of persoon: iedere gebruiker krijgt zijn eigen rapportage

Praktijkvoorbeelden van toepassingen van XBRL1. Nederlandse ondernemingen kunnen een gedeelte van hun aangifte aan de Belastingdienst doen in XBRL2. SEC test XBRL voor aangiften3. Het bedrijf Wacoal heeft XBRL gebruikt om de gegevensuitwisseling tussen bedrijfsonderdelen te

standaardiseren. Hiermee was de introductie van 1 ERP systeem voor alle bedrijfsonderdelen niet nodig

XBRL rapportageproces1. Kiezen van de juiste (standaard) taxonomie2. Maken van een eigen (extensie) taxonomie3. Verzamelen en identificeren van de brongegevens4. Koppelen van gegevens aan de taxonomie elementen5. Creëren van de instance6. Valideren en controleren van de instance7. Verzenden van de instanceIn het XBRL rapportageproces spelen Internal Control maatregelen als juistheid, volledigheid en tijdigheid een rol


Titel: “Leiden nieuwe ontwikkelparadigma’s ook tot betere software” Auteur: de heer drs. GreefhorstSamengevat door: Kristian van ZijtveldApproved door:Datum:

Dit artikel gaat over ontwikkelparadigma’s ten behoeve van softwaresystemen. Een systeem met een bepaalde functionaliteit kan worden verdeeld in kleine samenwerkende eenheden. De basis van een methode waarop naar softwaresystemen wordt gekeken is zogenaamde gehanteerde ontwikkelparadigma. Paradigma’s verschillen in de manier waarop dit gebeurd, en het gehanteerde paradigma bepaalt dan ook in sterke mate de architectuur van het softwaresysteem. Softwaresystemen dienen zich steeds aan te passen aan nieuwe technologieën.

In dit artikel wordt inzicht gegeven in de evolutie van ontwikkelparadigma’s en hun relatie met kwaliteitseigenschappen. Hierbij wordt onderscheid gemaakt tussen de procedurele, objectgeoriënteerde, aspectgeoriënteerde, componentgebaseerde en servicegeoriënteerde paradigma’s.

Procedurele paradigma’s zijn gesloten paradigma’s geschreven in een programmeertaal en niet erg gericht aan het voldoen van open standaarden en het integreren met andere systemen. Bij objectgeorienteerde paradigma’s wordt software gemodelleerd als objecten in de werkelijke wereld. Bij aspectgeorienteerde paradigma’s wordt een meer generieke benadering van de werkelijke wereld gemodelleerd. Het componentgebaseerde paradigma biedt primair een mechanisme om de complexiteit van een systeem te reduceren door het in beter onderhoudbare componenten onder te verdelen. Servicegeorienteerde paradigma’s zijn primair gericht op het op grotere schaal kunnen hergebruiken van functionaliteit en het voorkomen van redundante koppelingen tussen systemen.

In het artikel (tabel 1) worden de vijf vorengenoemde ontwikkelparadigma’s vergeleken op basis van de functionaliteit, betrouwbaarheid, efficiency, onderhoudbaarheid en portabiliteit.Men kan uit de tabel concluderen dat nieuwere componentgebaseerde en servicegeorienteerde ontwikkelparadigma’s goed scoren op eigenschappen als onderhoudbaarheid, schaalbaarheid, portabiliteit en interoperabiliteit. Hierdoor zijn ze beter geschikt voor het ontwikkelen van grotere en complexere softwaresystemen.

Sevicegeorienteerde ontwikkelparadigma’s zijn vooral geschikt in situaties waarbij heterogene softwaresystemen geïntegreerd moeten worden. Belangrijke eigenschappen als tijdgedrag en betrouwbaarheid zorgen voor extra uitdagingen voor het typisch gedistribueerde karakter van systemen die volgens deze paradigma’s worden ontwikkeld. Deze eigenschappen vragen dus om extra aandacht, zowel tijdens ontwikkeling als beheer. De performance van systemen wordt gewaarborgd door nieuwere en snellere hardware. Betrouwbaarheid zal echter moeten worden ingebouwd en worden bewaakt in de beheerfase.

De auteur beargumenteerd dat nieuwe ontwikkelparadigma’s niet per definitie leiden tot betere systemen, maar afhangt van de context. Voor een relatief kleinschalig systeem waarbij performance en betrouwbaarheid een belangrijke rol spelen, is het procedurele ontwikkelparadigma het meest geschikt. En systemen waarbij een goede representatie van de werkelijkheid van belang is kunnen prima objectgeoriënteerd ontwikkeld worden (simulatiesoftware). Servicegeorienteerde en componentgebaseerde systemen op het laagste niveau zijn uiteindelijk ook procedureel en objectgeoriënteerd. De kwaliteit van systemen wordt uiteindelijk voor een groot deel bepaald door organisatiefactoren, zoals ervaring, organisatorische inrichting en technische omgeving.


Documents

samenvatting_BIV_IC_2010-06-14