Advanced IT Systems (Summary)
Lecture notes, Studybook & Academic papers
Lecturer : Various
Exams : 1 (17 maart 2023)
Advanced IT Systems College 1 – Introductie
Datum : 25-11-2022
Subject : Advanced IT Systems
Lecturer : K. van der Spek
Het doel van het vak is:
Een introductie tot huidige IT (-technologie) en toekomstige ontwikkelingen welke je in de praktijk zal
tegenkomen.
Inzicht geven in de architectuur van een organisatie en de onderliggende complexe IT-componenten
(i.e. cloud en datacenters)
Het vak wordt afgesloten met een TENTAMENOPDRACHT:
Bestaat uit 2 delen: (1) ERP systemen en (2) Bijzondere onderwerpen Tentamen draait om toepassing
& casuistiek. De vorm (opdracht / schriftelijke tentamen moet nog worden bepaald.
Uitreiking opdracht: 03-02-2023
Inleveren tentamenopdracht : 17-03-2022
Deel 1 – Business Processen, risico’s en controls in een ERP omgeving:
SAP is een ERP of Enterprise Resource Planning System. Een ERP systeem is een systeem dat helpt bij het (1)
Automatiseren en (2) Beheren van bedrijfsprocessen voor verschillende onderdelen van het bedrijf. Denk
hierbij aan financiën, productie, voorraden, HR en operationele activiteiten. ERP-systemen zijn in principe
modulair in opzet, waarbij verschillende modules bij het basisprogramma gekocht kunnen worden om het ERP-
systeem beter te laten aansluiten op de bedrijfsactiviteiten van de organisatie. Binnen SAP zijn er een aantal
belangrijke die nodig zijn om de ‘basics’ te snappen van SAP:
Figure 1: Basics van SAP
Transaction code (of T-code) is een ‘shortcut’ Meestal bestaande uit 4 letters en/of cijfers om een
functie of programma in SAP snel op te reopen en uit te voeren. Zonder dat de gebruiker door de hele
folderstructuur van SAP hoeft te navigeren. Voorbeelden hiervan zijn:
o MD04 – Display Stock
o VA01 – Create Sales order
o MB52 – List of warehouse stocks on hand
Program: is een aaneenschakeling van instructies binnen SAP om bepaalde functies uit te voeren en
te komen tot een bepaald resultaat. Denk hierbij aan: Executable program, module pool, function
group, class pool, interface pool, subroutine pool en include program.
Report: is een rapport en/of presentatie van informatie in een georganiseerde manier van informatie
uit SAP.
Profile: zijn de onderliggende parameters en/of configuraties waarin aanpassingen in SAP gemaakt
kunnen worden.
Role : is het toekennen van rollen aan eindgebruikers van SAP nadat ze zijn ingelogd in SAP. Een rol
bepaald welke informatie een gebruiker wel/niet kan inzien en welke handelingen hij/zij kan
uitvoeren in SAP (i.e. autorisaties)
, Authorization object: zijn de functies die de eindgebruiker in SAP in sap kan gebruiken o.b.v.
zijn/haar autorisaties. Elk gegeven autorisatie heeft betrekking op één of meerdere functies in SAP.
Oftewel, wat kan de gebruiker doen binnen SAP? Dit is een extra check vanuit SAP om ervoor te
zorgen dat ongeautoriseerde individuen geen handelingen kunnen uitvoeren of inzicht hebben in SAP.
Authorization values: de onderliggende waarde toegekend aan een authorisatieobject (i.e. Add or
create, change, display, lock, delete of release)
Het is belangrijk om een mate van internal control te hebben (niet alleen in SAP) omdat je inzicht wil geven
aan management wat fout kan gaan en waar. Dit noemen we een business risk of ‘the threat that an event,
action, or non-action could adversely affect the organizations ability to achieve it’s business obejectives and
execute its strategies successfully’ oftewel de what can go wrong! Het introduceren van ERP als onderdeel van
de organisatie (-infrastructuur) levert nieuwe risico’s op zoals: Frauderisico, continuiteitsproblemen in
bedrijfsprocessen als SAP niet werkt, Bedrijfsprocessen zijn afhankelijk van SAP, data-integriteit, privacy-
problemen (zoals klantgegevens of de HR-module). Daarnaast wil je ervoor zorgen dat de
informatie/rapportage uit SAP klopt en dus betrouwbaar is. Om deze reden is het belangrijk een goede aanpak
te hebben in de risico-analyse:
Figure 2 Onze aanpak
Stap 1 – Understand the processes:
Door goede kennis te hebben de (bedrijfs-)activiteiten van de organisatie en de processen die lopen door de
organisatie hebben we een beter begrip waar ERP een rol speelt. Een mooi middel is bijvoorbeeld de value
chain van porter of iets zoals hieronder:
Stap 2 – Define risks (process and SAP specific):
Nadat we hebben vastgesteld wat de hoofdprocessen / Significant processes zijn kunnen we een inschatting
maken van waar de risico’s liggen. Zie hieronder:
Bij het bepalen van het risico kijken we naar likelyhood (P=probability) denk hierbij aan: Onmiddellijk, elk uur,
dagelijks, maand, kwartaallijks of jaarlijks en de Impact (financieel, reputatie, boetes). Risico is lastig om in te
schatten daarom kan gekozen worden voor een kwantitatieve risicometing, semi-kwantitatieve meting of een
kwalitatieve meting. Tijdens de risico-analyse (1) Koppelen we het specifieke risico aan een processtap binnen
het bedrijfsproces en (2) duiden we het risico op basis van wat voor risico het is (inherent, process risk of ERP-
specifiek) en de gevolgen van het risico (accuracy, completeness, timeliness, authorization, effectiveness etc.)
, Stap 3 – Define compensating controls (SAP specific/procedural)
Een control is : ‘Any action taken to mitigate or manage risk and increase the probabiility that the
business/process will achieve its goals and objectives’ controls zijn ontworpen om het risico binnen een proces
te mitigeren. Wat betreft controls moeten we denken over: hoe het risico wordt gemitigeerd, de significantie
van de control en de significantie van het risico dat wordt beheerst, kosten vs baten, dezelfde control kan
meerdere risico’s afdekken maarrr…. Soms zijn meerdere controls nodig om één risico af te dekken.
Figure 3: Voorbeeld
Bij het definiëren van controls is het belangrijk om stil te staan bij:
Het type control : Manual, application control of IT dependent Manual Control
De aard van de control : Preventief/detectief/correctief
Frequentie van de control: continue, meerdere keren per dag, maandelijks ,kwartaallijks etc.)
Eigenaar: wie is eigenaar van de control? En is waarvoor is deze verantwoordelijk? Dit help tons om
vast te stellen dat: de control effectief werkt, of er voldoende controle-technische functiescheiding is
(segregation of duties of SoD) en wie kennis heeft over hoe de control werkt. Kennis over de control
om vast te stellen: wat de control is? Waar de control is gedocumenteerd? Wanneer de control wordt
uitgevoerd? Waarom de control wordt uitgevoerd en HOE de control wordt uitgevoerd?
Effectiveness : Hoe effectief is de maatregel om het beoogde risico te mitigeren?
Een belangrijk onderdeel van controls (i.e. in het kader van SAP) zijn de verschillende soorten controls die er
zijn in het kader van IT:
Figure 4: Belangrijke IT-controls binnen IT (en met name voor SAP)
IT General Controls (ITGC’s) in kader van SAP:
IT general controls zijn hoog over controls die gaan over de IT-omgeving en niet specifiek zijn voor
één applicatie. ITGC’s worden vaak onderverdeeld in : Access Management (toegangsbeheer), Change
management (Wijzigingsbeheer, patches, updates) en IT operations (continuiteit, back-ups).
o Binnen Change management: wordt vaak het onderscheid gemaakt tussen : Development
environment , Acceptance environment en production environment. Het is hierbij belangrijk
dat deze 3 omgeving strict van elkaar gescheiden zijn- en gescheiden blijven.
o Binnen access management: wordt vaak onderscheid gemaakt in: presentation layer,
application layer, database layer en operating system.
IT Application controls (ITAC’s) in het kader van SAP:
IT Application controls zijn controls welke onderdeel zijn van de applicatie, preventief van aard en
kunnen wel/niet configureerbaar zijn. Daarnaast kunnen deze risico’s worden gecompenseerd door
User controls. Denk hierbij aan: Read-access, segregation of duties, restriction of access, audit logs,
mandatory fields.
User Controls in het kader van SAP:
Lecture notes, Studybook & Academic papers
Lecturer : Various
Exams : 1 (17 maart 2023)
Advanced IT Systems College 1 – Introductie
Datum : 25-11-2022
Subject : Advanced IT Systems
Lecturer : K. van der Spek
Het doel van het vak is:
Een introductie tot huidige IT (-technologie) en toekomstige ontwikkelingen welke je in de praktijk zal
tegenkomen.
Inzicht geven in de architectuur van een organisatie en de onderliggende complexe IT-componenten
(i.e. cloud en datacenters)
Het vak wordt afgesloten met een TENTAMENOPDRACHT:
Bestaat uit 2 delen: (1) ERP systemen en (2) Bijzondere onderwerpen Tentamen draait om toepassing
& casuistiek. De vorm (opdracht / schriftelijke tentamen moet nog worden bepaald.
Uitreiking opdracht: 03-02-2023
Inleveren tentamenopdracht : 17-03-2022
Deel 1 – Business Processen, risico’s en controls in een ERP omgeving:
SAP is een ERP of Enterprise Resource Planning System. Een ERP systeem is een systeem dat helpt bij het (1)
Automatiseren en (2) Beheren van bedrijfsprocessen voor verschillende onderdelen van het bedrijf. Denk
hierbij aan financiën, productie, voorraden, HR en operationele activiteiten. ERP-systemen zijn in principe
modulair in opzet, waarbij verschillende modules bij het basisprogramma gekocht kunnen worden om het ERP-
systeem beter te laten aansluiten op de bedrijfsactiviteiten van de organisatie. Binnen SAP zijn er een aantal
belangrijke die nodig zijn om de ‘basics’ te snappen van SAP:
Figure 1: Basics van SAP
Transaction code (of T-code) is een ‘shortcut’ Meestal bestaande uit 4 letters en/of cijfers om een
functie of programma in SAP snel op te reopen en uit te voeren. Zonder dat de gebruiker door de hele
folderstructuur van SAP hoeft te navigeren. Voorbeelden hiervan zijn:
o MD04 – Display Stock
o VA01 – Create Sales order
o MB52 – List of warehouse stocks on hand
Program: is een aaneenschakeling van instructies binnen SAP om bepaalde functies uit te voeren en
te komen tot een bepaald resultaat. Denk hierbij aan: Executable program, module pool, function
group, class pool, interface pool, subroutine pool en include program.
Report: is een rapport en/of presentatie van informatie in een georganiseerde manier van informatie
uit SAP.
Profile: zijn de onderliggende parameters en/of configuraties waarin aanpassingen in SAP gemaakt
kunnen worden.
Role : is het toekennen van rollen aan eindgebruikers van SAP nadat ze zijn ingelogd in SAP. Een rol
bepaald welke informatie een gebruiker wel/niet kan inzien en welke handelingen hij/zij kan
uitvoeren in SAP (i.e. autorisaties)
, Authorization object: zijn de functies die de eindgebruiker in SAP in sap kan gebruiken o.b.v.
zijn/haar autorisaties. Elk gegeven autorisatie heeft betrekking op één of meerdere functies in SAP.
Oftewel, wat kan de gebruiker doen binnen SAP? Dit is een extra check vanuit SAP om ervoor te
zorgen dat ongeautoriseerde individuen geen handelingen kunnen uitvoeren of inzicht hebben in SAP.
Authorization values: de onderliggende waarde toegekend aan een authorisatieobject (i.e. Add or
create, change, display, lock, delete of release)
Het is belangrijk om een mate van internal control te hebben (niet alleen in SAP) omdat je inzicht wil geven
aan management wat fout kan gaan en waar. Dit noemen we een business risk of ‘the threat that an event,
action, or non-action could adversely affect the organizations ability to achieve it’s business obejectives and
execute its strategies successfully’ oftewel de what can go wrong! Het introduceren van ERP als onderdeel van
de organisatie (-infrastructuur) levert nieuwe risico’s op zoals: Frauderisico, continuiteitsproblemen in
bedrijfsprocessen als SAP niet werkt, Bedrijfsprocessen zijn afhankelijk van SAP, data-integriteit, privacy-
problemen (zoals klantgegevens of de HR-module). Daarnaast wil je ervoor zorgen dat de
informatie/rapportage uit SAP klopt en dus betrouwbaar is. Om deze reden is het belangrijk een goede aanpak
te hebben in de risico-analyse:
Figure 2 Onze aanpak
Stap 1 – Understand the processes:
Door goede kennis te hebben de (bedrijfs-)activiteiten van de organisatie en de processen die lopen door de
organisatie hebben we een beter begrip waar ERP een rol speelt. Een mooi middel is bijvoorbeeld de value
chain van porter of iets zoals hieronder:
Stap 2 – Define risks (process and SAP specific):
Nadat we hebben vastgesteld wat de hoofdprocessen / Significant processes zijn kunnen we een inschatting
maken van waar de risico’s liggen. Zie hieronder:
Bij het bepalen van het risico kijken we naar likelyhood (P=probability) denk hierbij aan: Onmiddellijk, elk uur,
dagelijks, maand, kwartaallijks of jaarlijks en de Impact (financieel, reputatie, boetes). Risico is lastig om in te
schatten daarom kan gekozen worden voor een kwantitatieve risicometing, semi-kwantitatieve meting of een
kwalitatieve meting. Tijdens de risico-analyse (1) Koppelen we het specifieke risico aan een processtap binnen
het bedrijfsproces en (2) duiden we het risico op basis van wat voor risico het is (inherent, process risk of ERP-
specifiek) en de gevolgen van het risico (accuracy, completeness, timeliness, authorization, effectiveness etc.)
, Stap 3 – Define compensating controls (SAP specific/procedural)
Een control is : ‘Any action taken to mitigate or manage risk and increase the probabiility that the
business/process will achieve its goals and objectives’ controls zijn ontworpen om het risico binnen een proces
te mitigeren. Wat betreft controls moeten we denken over: hoe het risico wordt gemitigeerd, de significantie
van de control en de significantie van het risico dat wordt beheerst, kosten vs baten, dezelfde control kan
meerdere risico’s afdekken maarrr…. Soms zijn meerdere controls nodig om één risico af te dekken.
Figure 3: Voorbeeld
Bij het definiëren van controls is het belangrijk om stil te staan bij:
Het type control : Manual, application control of IT dependent Manual Control
De aard van de control : Preventief/detectief/correctief
Frequentie van de control: continue, meerdere keren per dag, maandelijks ,kwartaallijks etc.)
Eigenaar: wie is eigenaar van de control? En is waarvoor is deze verantwoordelijk? Dit help tons om
vast te stellen dat: de control effectief werkt, of er voldoende controle-technische functiescheiding is
(segregation of duties of SoD) en wie kennis heeft over hoe de control werkt. Kennis over de control
om vast te stellen: wat de control is? Waar de control is gedocumenteerd? Wanneer de control wordt
uitgevoerd? Waarom de control wordt uitgevoerd en HOE de control wordt uitgevoerd?
Effectiveness : Hoe effectief is de maatregel om het beoogde risico te mitigeren?
Een belangrijk onderdeel van controls (i.e. in het kader van SAP) zijn de verschillende soorten controls die er
zijn in het kader van IT:
Figure 4: Belangrijke IT-controls binnen IT (en met name voor SAP)
IT General Controls (ITGC’s) in kader van SAP:
IT general controls zijn hoog over controls die gaan over de IT-omgeving en niet specifiek zijn voor
één applicatie. ITGC’s worden vaak onderverdeeld in : Access Management (toegangsbeheer), Change
management (Wijzigingsbeheer, patches, updates) en IT operations (continuiteit, back-ups).
o Binnen Change management: wordt vaak het onderscheid gemaakt tussen : Development
environment , Acceptance environment en production environment. Het is hierbij belangrijk
dat deze 3 omgeving strict van elkaar gescheiden zijn- en gescheiden blijven.
o Binnen access management: wordt vaak onderscheid gemaakt in: presentation layer,
application layer, database layer en operating system.
IT Application controls (ITAC’s) in het kader van SAP:
IT Application controls zijn controls welke onderdeel zijn van de applicatie, preventief van aard en
kunnen wel/niet configureerbaar zijn. Daarnaast kunnen deze risico’s worden gecompenseerd door
User controls. Denk hierbij aan: Read-access, segregation of duties, restriction of access, audit logs,
mandatory fields.
User Controls in het kader van SAP:
