Inhoud
Inleiding BIV, betrouwbaarheid en interne controle..............................................................................2
Managementinformatie en het tolmodel...............................................................................................5
Typologie: Handelsbedrijven op rekening..............................................................................................9
Typologie: Handelsbedrijven tegen contante betaling (winkels)..........................................................11
Typologie: Heterogene massaproductie...............................................................................................13
Typologie: Stukproductie......................................................................................................................17
Typologie: Akker- en tuinbouw.............................................................................................................21
Typologie: Veeteelt..............................................................................................................................24
Typologie: Extractieve bedrijven..........................................................................................................26
Typologie: Dienstverlenend met doorstroming van eigen goederen...................................................30
Typologie: Dienstverlenend met doorstroming van goederen van derden..........................................33
Typologie: Dienstverlenend bestaande uit het leveren van informatiediensten..................................36
Typologie: Dienstverlening met beschikbaarstellen van ruimtes met specifieke reservering..............39
Typologie: Dienstverlening met beschikbaarstellen van ruimtes zonder specifieke reservering..........42
Typologie: Overige dienstverlening......................................................................................................45
1
,Inleiding BIV, betrouwbaarheid en interne
controle
Het doel van bestuurlijke informatievoorziening (BIV) is het verstrekken van informatie en daarvoor
moeten gegevens worden verzameld, vastgelegd en verwerkt.
Met deze informatie kan men:
Beslissingen nemen
Doen functioneren
Beheersen
Verantwoording afleggen
Deming circle
Plan: startpunt van activiteiten is het maken van een plan met behulp van interne en externe
informatie (bijv. verkoopplannen, productieplannen, voorcalculaties en
standaardkostprijzen). Deze plannen leiden tot opdrachten aan uitvoerende medewerkers.
Do: uitvoerende medewerkers hebben op basis
van plannen van leidinggevenden opdrachten tot
uitvoering gekregen. De uitvoerende medewerkers
leggen gegevens vast waarmee informatie kan
worden geproduceerd voor de leidinggevende die
de opdracht gaf.
Check: de leidinggevende ontvangt een overzicht
met informatie over het oorspronkelijke plan (de
opdracht) en de werkelijke uitvoering. Hier kan
een analyse op uitgevoerd worden; Zijn er
verschillen? Wat is de oorzaak van deze
verschillen?
Act: de confrontatie tussen de planning en uitvoering zoals die in de ‘check’-fase heeft
plaatsgevonden, leidt vaak tot bijstelling van de activiteiten voor de volgende periode.
Betrouwbaarheid en interne controle
Interne controle wordt omschreven als: ‘Controle door of namens de leiding en toezichthoudende
organen op de oordeelsvorming en activiteiten van anderen’.
Management override: de directie of het management kan altijd zelf besluiten om interne
controlevoorschriften niet na te leven of anderen opdracht geven om dat te doen (directiefraude).
Naast management override bestaan er nog andere beperkingen van interne controle:
Het maken van fouten of vergissingen door medewerkers.
Samenspanning, waarbij een medewerker in gezamenlijk overleg met een andere
medewerker of een derde besluit om waarden aan de organisatie te onttrekken.
De afweging die steeds gemaakt zal moeten worden tussen de kosten van interne controle
en de baten.
2
,Preventieve en repressieve maatregelen van interne controle
Preventieve maatregelen Repressieve maatregelen
- Begrotingen, normen en tarieven - Cijferbeoordeling
- Functiescheiding - Verbandscontroles
- Procedures en richtlijnen - Detailcontroles
- Beveiliging van waarden - Waarneming ter plaatse
- Preventieve IT-controls - Repressieve IT-controls
- Het inrichten van een administratie
General IT controls:
Management en organisatie (ook wel top controls): het gaat hierbij om de brede door de
directie gestelde kaders waarbinnen de informatietechnologie zich moet ontwikkelen.
Ontwikkelingsbeheer: de manier waarop de organisatie om gaat met ontwikkeling van
nieuwe informatiesystemen.
Wijzigingsbeheer: is gericht op het beheerst doorvoeren van wijzigingen (bijvoorbeeld een
nieuw ontwikkeld/geselecteerd informatiesysteem) in de productieomgeving.
Beveiligingsbeheer: het nemen van een passend stelsel van beveiligingsmaatregelen om de
betrouwbare werking van de informatiesystemen te waarborgen (bescherming tegen
hacken, virussen, stroomstoringen, etc).
Logische toegangsbeveiliging: zorgt ervoor dat alleen de juiste personen toegang hebben tot
de bij hun functie passende bestanden en applicaties. Je kunt hierbij kiezen tussen: muteren,
raadplegen en controleren.
Operationeel beheer: hierbij gaat het om alle maatregelen rondom het geïmplementeerde
systeem zoals het aanmaken van user-id’s, wachtwoorden, het maken van back-up’s en het
registreren en analyseren van verstoringen.
Application controls:
Invoercontroles: hiermee wordt geprobeerd om ervoor te zorgen dat de invoer van gegevens
in een programma volledig en juist is. Deze zijn daarom zo belangrijk omdat een foutieve
invoer nooit tot een juiste uitvoer zal leiden (voorbeelden: verplichte invoervelden,
bestaanscontroles op artikelcode/postcode/personeelsnummer, redelijkheidscontroles op
aantal uren/bestelde artikelen/kortingspercentage, etc.)
Verwerkingscontroles: hiermee kan de geautomatiseerde verwerking van de gegevens
gecontroleerd worden. Deze verwerkingscontroles hebben met name waarde indien een
relatie gelegd wordt tussen de vastleggingen van de ene afdeling en de andere. Bijv:
[inkooporder ‘geplaatst’: invoer door inkoopafdeling]
[inkooporder ‘ontvangen’: invoer in voorraadbestand door magazijnmeester]
[inkooporder ‘factuur ontvangen’: invoer in crediteurenbestand door administratie]
[inkooporder ‘betaald’: op basis van betaling na autorisatie directeur]
Uitvoercontroles: dienen om vast te stellen of de uitvoer juist en volledig is, zoals:
- komt het aantal salarisoverzichten overeen met het aantal personeelsleden?
(uitvoercontrole op volledigheid)
- klopt het brutosalaris op de salarisoverzichten met het brutosalaris volgens het
personeelsbestand? (uitvoercontrole op juistheid).
3
, Functiescheiding
Binnen het vakgebied van de bestuurlijke informatieverzorging worden functies gekarakteriseerd als:
Beschikkend: zijn die functies waarbij medewerkers de organisatie binden aan anderen
(derden) buiten de organisatie, bijvoorbeeld een inkoper of verkoper.
Bewarend: zijn die functies waarbij een medewerker verantwoordelijk wordt gesteld voor
het zorgvuldig bewaren van goederen of andere waarden, bijvoorbeeld de magazijnmeester.
Uitvoerend: zijn die functies waarbij medewerkers in opdracht van beschikkende, of
bewarende of registrerende danwel controlerende functionarissen uitvoerende taken
verrichten, bijvoorbeeld een productiemedewerker.
Registrerend: is de financiële administratie die de financiële gebeurtenissen verwerkt in het
grootboek.
Controlerend: is het hoofd administratie of de controller of het hoofd van de interne
auditdienst. Deze controleren in opdracht van de directie of de informatie betrouwbaar is, of
er geen waarden ongeoorloofd de organisatie hebben verlaten en of er geen wetten of regels
zijn overtreden.
Het interne betrouwbaarheidssysteem
Het interne betrouwbaarheidssysteem bestaat uit vijf componenten die één geheel vormen. De
ketting is in dit opzicht niet sterker dan de zwakste schakel.
Contole-omgeving (COSO: control environment)
1. Cultuur binnen de organisatie
2. Toezicht op de leiding
3. Houding ten opzichte van de interne controle
4. Controleplichtig
5. Wet- en regelgeving binnen de branche
6. Economische omstandigheden binnen de branche en voor de organisatie in het bijzonder
7. Het al dan niet hebben van een code of conduct
Risicoanalyse (COSO: risk analysis)
1. Risicobewustzijn binnen de organisatie
2. Risico’s met betrekking tot betrouwbaarheid
3. Afweging per risico wat er moet gebeuren
Maatregelen van interne controle (COSO: control activities)
1. Preventieve maatregelen (blz 3)
2. Repressieve maatregelen (blz 3)
Informatievoorziening en communicatie (COSO: information & communication)
1. Informatie aan directie met informatie over belangrijke risico’s
2. Kwaliteit van communicatie binnen de organisatie
3. Kwaliteit van communicatiesystemen binnen de organisatie
Borging (COSO: monitoring)
1. Vaststellen dat de voorschriften en regels met betrekking tot interne betrouwbaarheid
worden nageleefd.
2. Vaststellen dat het interne betrouwbaarheidssysteem nog steeds actueel en relevant is
voor de organisatie op dit moment en er geen risico’s worden gelopen.
4
Inleiding BIV, betrouwbaarheid en interne controle..............................................................................2
Managementinformatie en het tolmodel...............................................................................................5
Typologie: Handelsbedrijven op rekening..............................................................................................9
Typologie: Handelsbedrijven tegen contante betaling (winkels)..........................................................11
Typologie: Heterogene massaproductie...............................................................................................13
Typologie: Stukproductie......................................................................................................................17
Typologie: Akker- en tuinbouw.............................................................................................................21
Typologie: Veeteelt..............................................................................................................................24
Typologie: Extractieve bedrijven..........................................................................................................26
Typologie: Dienstverlenend met doorstroming van eigen goederen...................................................30
Typologie: Dienstverlenend met doorstroming van goederen van derden..........................................33
Typologie: Dienstverlenend bestaande uit het leveren van informatiediensten..................................36
Typologie: Dienstverlening met beschikbaarstellen van ruimtes met specifieke reservering..............39
Typologie: Dienstverlening met beschikbaarstellen van ruimtes zonder specifieke reservering..........42
Typologie: Overige dienstverlening......................................................................................................45
1
,Inleiding BIV, betrouwbaarheid en interne
controle
Het doel van bestuurlijke informatievoorziening (BIV) is het verstrekken van informatie en daarvoor
moeten gegevens worden verzameld, vastgelegd en verwerkt.
Met deze informatie kan men:
Beslissingen nemen
Doen functioneren
Beheersen
Verantwoording afleggen
Deming circle
Plan: startpunt van activiteiten is het maken van een plan met behulp van interne en externe
informatie (bijv. verkoopplannen, productieplannen, voorcalculaties en
standaardkostprijzen). Deze plannen leiden tot opdrachten aan uitvoerende medewerkers.
Do: uitvoerende medewerkers hebben op basis
van plannen van leidinggevenden opdrachten tot
uitvoering gekregen. De uitvoerende medewerkers
leggen gegevens vast waarmee informatie kan
worden geproduceerd voor de leidinggevende die
de opdracht gaf.
Check: de leidinggevende ontvangt een overzicht
met informatie over het oorspronkelijke plan (de
opdracht) en de werkelijke uitvoering. Hier kan
een analyse op uitgevoerd worden; Zijn er
verschillen? Wat is de oorzaak van deze
verschillen?
Act: de confrontatie tussen de planning en uitvoering zoals die in de ‘check’-fase heeft
plaatsgevonden, leidt vaak tot bijstelling van de activiteiten voor de volgende periode.
Betrouwbaarheid en interne controle
Interne controle wordt omschreven als: ‘Controle door of namens de leiding en toezichthoudende
organen op de oordeelsvorming en activiteiten van anderen’.
Management override: de directie of het management kan altijd zelf besluiten om interne
controlevoorschriften niet na te leven of anderen opdracht geven om dat te doen (directiefraude).
Naast management override bestaan er nog andere beperkingen van interne controle:
Het maken van fouten of vergissingen door medewerkers.
Samenspanning, waarbij een medewerker in gezamenlijk overleg met een andere
medewerker of een derde besluit om waarden aan de organisatie te onttrekken.
De afweging die steeds gemaakt zal moeten worden tussen de kosten van interne controle
en de baten.
2
,Preventieve en repressieve maatregelen van interne controle
Preventieve maatregelen Repressieve maatregelen
- Begrotingen, normen en tarieven - Cijferbeoordeling
- Functiescheiding - Verbandscontroles
- Procedures en richtlijnen - Detailcontroles
- Beveiliging van waarden - Waarneming ter plaatse
- Preventieve IT-controls - Repressieve IT-controls
- Het inrichten van een administratie
General IT controls:
Management en organisatie (ook wel top controls): het gaat hierbij om de brede door de
directie gestelde kaders waarbinnen de informatietechnologie zich moet ontwikkelen.
Ontwikkelingsbeheer: de manier waarop de organisatie om gaat met ontwikkeling van
nieuwe informatiesystemen.
Wijzigingsbeheer: is gericht op het beheerst doorvoeren van wijzigingen (bijvoorbeeld een
nieuw ontwikkeld/geselecteerd informatiesysteem) in de productieomgeving.
Beveiligingsbeheer: het nemen van een passend stelsel van beveiligingsmaatregelen om de
betrouwbare werking van de informatiesystemen te waarborgen (bescherming tegen
hacken, virussen, stroomstoringen, etc).
Logische toegangsbeveiliging: zorgt ervoor dat alleen de juiste personen toegang hebben tot
de bij hun functie passende bestanden en applicaties. Je kunt hierbij kiezen tussen: muteren,
raadplegen en controleren.
Operationeel beheer: hierbij gaat het om alle maatregelen rondom het geïmplementeerde
systeem zoals het aanmaken van user-id’s, wachtwoorden, het maken van back-up’s en het
registreren en analyseren van verstoringen.
Application controls:
Invoercontroles: hiermee wordt geprobeerd om ervoor te zorgen dat de invoer van gegevens
in een programma volledig en juist is. Deze zijn daarom zo belangrijk omdat een foutieve
invoer nooit tot een juiste uitvoer zal leiden (voorbeelden: verplichte invoervelden,
bestaanscontroles op artikelcode/postcode/personeelsnummer, redelijkheidscontroles op
aantal uren/bestelde artikelen/kortingspercentage, etc.)
Verwerkingscontroles: hiermee kan de geautomatiseerde verwerking van de gegevens
gecontroleerd worden. Deze verwerkingscontroles hebben met name waarde indien een
relatie gelegd wordt tussen de vastleggingen van de ene afdeling en de andere. Bijv:
[inkooporder ‘geplaatst’: invoer door inkoopafdeling]
[inkooporder ‘ontvangen’: invoer in voorraadbestand door magazijnmeester]
[inkooporder ‘factuur ontvangen’: invoer in crediteurenbestand door administratie]
[inkooporder ‘betaald’: op basis van betaling na autorisatie directeur]
Uitvoercontroles: dienen om vast te stellen of de uitvoer juist en volledig is, zoals:
- komt het aantal salarisoverzichten overeen met het aantal personeelsleden?
(uitvoercontrole op volledigheid)
- klopt het brutosalaris op de salarisoverzichten met het brutosalaris volgens het
personeelsbestand? (uitvoercontrole op juistheid).
3
, Functiescheiding
Binnen het vakgebied van de bestuurlijke informatieverzorging worden functies gekarakteriseerd als:
Beschikkend: zijn die functies waarbij medewerkers de organisatie binden aan anderen
(derden) buiten de organisatie, bijvoorbeeld een inkoper of verkoper.
Bewarend: zijn die functies waarbij een medewerker verantwoordelijk wordt gesteld voor
het zorgvuldig bewaren van goederen of andere waarden, bijvoorbeeld de magazijnmeester.
Uitvoerend: zijn die functies waarbij medewerkers in opdracht van beschikkende, of
bewarende of registrerende danwel controlerende functionarissen uitvoerende taken
verrichten, bijvoorbeeld een productiemedewerker.
Registrerend: is de financiële administratie die de financiële gebeurtenissen verwerkt in het
grootboek.
Controlerend: is het hoofd administratie of de controller of het hoofd van de interne
auditdienst. Deze controleren in opdracht van de directie of de informatie betrouwbaar is, of
er geen waarden ongeoorloofd de organisatie hebben verlaten en of er geen wetten of regels
zijn overtreden.
Het interne betrouwbaarheidssysteem
Het interne betrouwbaarheidssysteem bestaat uit vijf componenten die één geheel vormen. De
ketting is in dit opzicht niet sterker dan de zwakste schakel.
Contole-omgeving (COSO: control environment)
1. Cultuur binnen de organisatie
2. Toezicht op de leiding
3. Houding ten opzichte van de interne controle
4. Controleplichtig
5. Wet- en regelgeving binnen de branche
6. Economische omstandigheden binnen de branche en voor de organisatie in het bijzonder
7. Het al dan niet hebben van een code of conduct
Risicoanalyse (COSO: risk analysis)
1. Risicobewustzijn binnen de organisatie
2. Risico’s met betrekking tot betrouwbaarheid
3. Afweging per risico wat er moet gebeuren
Maatregelen van interne controle (COSO: control activities)
1. Preventieve maatregelen (blz 3)
2. Repressieve maatregelen (blz 3)
Informatievoorziening en communicatie (COSO: information & communication)
1. Informatie aan directie met informatie over belangrijke risico’s
2. Kwaliteit van communicatie binnen de organisatie
3. Kwaliteit van communicatiesystemen binnen de organisatie
Borging (COSO: monitoring)
1. Vaststellen dat de voorschriften en regels met betrekking tot interne betrouwbaarheid
worden nageleefd.
2. Vaststellen dat het interne betrouwbaarheidssysteem nog steeds actueel en relevant is
voor de organisatie op dit moment en er geen risico’s worden gelopen.
4
