Introductie AIS
We zien drie functies terugkomen in AIS:
Business processes: welke processen zijn er
Data: welke data wordt er gebruikt binnen de processen
Controls: welke controls bouwen we in, zodat we zeker weten dat onze doelen worden
behaald?
Er zijn 6 componenten binnen AIS:
1. Mensen
2. Procedures en instructies
3. Data
4. Software
5. Information technology infrastructure
6. Internal controls en security measures
Preventieve controls zijn controles die zijn ontworpen om problemen of fouten te voorkomen
voordat ze zich voordoen. Voorbeeld: functiescheiding, procedure of managementrichtlijn, budget
(norm vs werkelijkheid) en fysieke beveiliging
Detective controls zijn controles die erop gericht zijn om fouten, afwijkingen of ongewenste
gebeurtenissen op te sporen nadat ze hebben plaatsgevonden. Voorbeeld: cijferbeoordeling,
inventarisatie, verband controle
Correctieve controls zijn acties die worden ondernomen om een probleem of fout te corrigeren
nadat het is geïdentificeerd. Voorbeeld: corrigeren van foutieve gegevens, aanpassen van
toegangsniveaus, he programmeren van foutieve softwareconfiguratie.
Application controls zijn specifiek ontworpen voor individuele softwareapplicaties en richten zich op
de nauwkeurigheid, volledigheid en geldigheid van de gegevens die binnen die applicatie worden
verwerkt. Voorbeeld: invoercontroles (verplichte velden), verwerkingscontroles (totalen kloppen).
General controls zijn organisatie brede controles die de algemene IT-omgeving ondersteunen. Ze
richten zich op het ontwerp, de implementatie en het beheer van IT-systemen en infrastructuur.
Voorbeeld: wachtwoordenbeheer, back-up procedures, toegangscontroles
Uitleg fasen:
Standaardisatie: de traditionele benadering
Configuratie: de opkomst van de mix van maatregelen en de gedragskant van het vak
Regulering: nadruk op governance en internal environment als basis
Complexiteit: de uitdagingen op het gebied van internal control in onze hedendaagse
maatschappij en de uitdagingen voor organisaties hierbinnen.
Romney & Steinbart
,Onderwerp: De cycle benadering
Jaar: 2011
Collegenummer: 1
Onderdeel: standaardisatie
Aanleiding
Formuleren van de 5 cycli kwam voort uit de behoefte om bedrijfsprocessen systematisch en
begrijpelijk te structureren. Ze wilden een gestandaardiseerd raamwerk creëren dat de processen
structureert en eenvoudig uitlegt. Door de aanwezige processen om papier te zetten, komen vanzelf
risico’s naar voren.
Onderdelen
Revenue cycle (omzetcyclus)
o Verkooporderinvoer
o Verzending
o Facturering
o Kasinningen
Expenditure cycle (uitgavecyclus)
o Materialen, benodigdheden en diensten bestellen
o Materialen, benodigdheden en diensten ontvangen
o Leveranciersfactuur goedkeuren
o Betalingen uitvoeren
Production cycle
o Productontwerp
o Planning en inroosteren
o Productieactiviteiten
o Kostprijsberekening
Human Resources Management en Payroll cycle
o Werven en aannemen van nieuwe medewerkers
o Training
o Functie toewijzen
o Beloning (salarisadministratie)
o Prestatiebeoordeling
o Ontslag van medewerkers (vrijwillig of onvrijwillig)
General Ledger and Reporting System
o Bijwerken van het grootboek
o Posten van journaalposten voor correcties
o Opstellen van financiële overzichten
o Opstellen van managementrapporten
o Algemene bedreigingen en controles
Model
,Overeenkomsten
Starreveld: beide hebben ze het over processen en maatregelen
Verschillen
Starreveld: kijkt verder dan Romney & Steinbart. Starreveld kijkt naar de typologie en de
volledigheid van opbrengsten. Romney & Steinbart kijken alleen naar processen.
Starreveld: benoemt minder risico’s dan Romney & Steinbart
Leerdoelen college 1
Leerdoel 1: Je kunt aangeven wanneer je in control bent volgens de traditionele benadering
Traditionele benadering ->
Gericht op de volledigheid en nauwkeurigheid van de door de entiteit gegenereerde
informatie
Gericht op de bescherming van activa tegen het ongeoorloofd verwerven, gebruiken of
vervreemden ervan
Je bereikt ‘in control’ volgens de traditionele benadering door het toepassen van Romney & Steinbart
en Starreveld.
Volgens de traditionele benadering ben je in control als:
De financiële informatie betrouwbaar en relevant is
De ingaande kasstromen uit transacties volledig zijn
De uitgaande kasstromen uit transacties juist zijn
De bezittingen (incl. data) zijn beschermd tegen ongeoorloofd verwerven, gebruiken of
vervreemden ervan (fraude, diefstal)
Leerdoel 2: Je kunt processen, activiteiten binnen processen, relevante risico’s en interne
beheersingsmaatregelen uitwerken
Leerdoel 3: Je kunt de sterke en zwakke punten van de concepten van Romney & Steinbart aan
derden uitleggen
Sterke punten:
Gestructureerd raamwerk
De cycli weerspiegelen de echte activiteiten van een organisatie
De cycli zijn generiek genoeg om te worden toegepast op een breed scala aan organisaties
Zwakke punten:
Complexere bedrijfsprocessen kunnen over het hoofd worden gezien. Vooral in grote,
, dynamische organisaties met niet-standaard processen
Beperkte aandacht voor technologie
Het model is breed toepasbaar, maar het mist specifieke richtlijnen voor industrieën met
unieke processen (er is geen aandacht voor sectorale verschillen).
Ze gaan uit van een standaard productieonderneming. Voor een dienstverlenend bedrijf
gelden andere processen en risico’s die van belang zijn.
Ze gaan heel erg uit van hard controls, waarbij zachtere controles onderbelicht blijven.
Starreveld
Onderwerp: Typologie
Jaar: ’60
We zien drie functies terugkomen in AIS:
Business processes: welke processen zijn er
Data: welke data wordt er gebruikt binnen de processen
Controls: welke controls bouwen we in, zodat we zeker weten dat onze doelen worden
behaald?
Er zijn 6 componenten binnen AIS:
1. Mensen
2. Procedures en instructies
3. Data
4. Software
5. Information technology infrastructure
6. Internal controls en security measures
Preventieve controls zijn controles die zijn ontworpen om problemen of fouten te voorkomen
voordat ze zich voordoen. Voorbeeld: functiescheiding, procedure of managementrichtlijn, budget
(norm vs werkelijkheid) en fysieke beveiliging
Detective controls zijn controles die erop gericht zijn om fouten, afwijkingen of ongewenste
gebeurtenissen op te sporen nadat ze hebben plaatsgevonden. Voorbeeld: cijferbeoordeling,
inventarisatie, verband controle
Correctieve controls zijn acties die worden ondernomen om een probleem of fout te corrigeren
nadat het is geïdentificeerd. Voorbeeld: corrigeren van foutieve gegevens, aanpassen van
toegangsniveaus, he programmeren van foutieve softwareconfiguratie.
Application controls zijn specifiek ontworpen voor individuele softwareapplicaties en richten zich op
de nauwkeurigheid, volledigheid en geldigheid van de gegevens die binnen die applicatie worden
verwerkt. Voorbeeld: invoercontroles (verplichte velden), verwerkingscontroles (totalen kloppen).
General controls zijn organisatie brede controles die de algemene IT-omgeving ondersteunen. Ze
richten zich op het ontwerp, de implementatie en het beheer van IT-systemen en infrastructuur.
Voorbeeld: wachtwoordenbeheer, back-up procedures, toegangscontroles
Uitleg fasen:
Standaardisatie: de traditionele benadering
Configuratie: de opkomst van de mix van maatregelen en de gedragskant van het vak
Regulering: nadruk op governance en internal environment als basis
Complexiteit: de uitdagingen op het gebied van internal control in onze hedendaagse
maatschappij en de uitdagingen voor organisaties hierbinnen.
Romney & Steinbart
,Onderwerp: De cycle benadering
Jaar: 2011
Collegenummer: 1
Onderdeel: standaardisatie
Aanleiding
Formuleren van de 5 cycli kwam voort uit de behoefte om bedrijfsprocessen systematisch en
begrijpelijk te structureren. Ze wilden een gestandaardiseerd raamwerk creëren dat de processen
structureert en eenvoudig uitlegt. Door de aanwezige processen om papier te zetten, komen vanzelf
risico’s naar voren.
Onderdelen
Revenue cycle (omzetcyclus)
o Verkooporderinvoer
o Verzending
o Facturering
o Kasinningen
Expenditure cycle (uitgavecyclus)
o Materialen, benodigdheden en diensten bestellen
o Materialen, benodigdheden en diensten ontvangen
o Leveranciersfactuur goedkeuren
o Betalingen uitvoeren
Production cycle
o Productontwerp
o Planning en inroosteren
o Productieactiviteiten
o Kostprijsberekening
Human Resources Management en Payroll cycle
o Werven en aannemen van nieuwe medewerkers
o Training
o Functie toewijzen
o Beloning (salarisadministratie)
o Prestatiebeoordeling
o Ontslag van medewerkers (vrijwillig of onvrijwillig)
General Ledger and Reporting System
o Bijwerken van het grootboek
o Posten van journaalposten voor correcties
o Opstellen van financiële overzichten
o Opstellen van managementrapporten
o Algemene bedreigingen en controles
Model
,Overeenkomsten
Starreveld: beide hebben ze het over processen en maatregelen
Verschillen
Starreveld: kijkt verder dan Romney & Steinbart. Starreveld kijkt naar de typologie en de
volledigheid van opbrengsten. Romney & Steinbart kijken alleen naar processen.
Starreveld: benoemt minder risico’s dan Romney & Steinbart
Leerdoelen college 1
Leerdoel 1: Je kunt aangeven wanneer je in control bent volgens de traditionele benadering
Traditionele benadering ->
Gericht op de volledigheid en nauwkeurigheid van de door de entiteit gegenereerde
informatie
Gericht op de bescherming van activa tegen het ongeoorloofd verwerven, gebruiken of
vervreemden ervan
Je bereikt ‘in control’ volgens de traditionele benadering door het toepassen van Romney & Steinbart
en Starreveld.
Volgens de traditionele benadering ben je in control als:
De financiële informatie betrouwbaar en relevant is
De ingaande kasstromen uit transacties volledig zijn
De uitgaande kasstromen uit transacties juist zijn
De bezittingen (incl. data) zijn beschermd tegen ongeoorloofd verwerven, gebruiken of
vervreemden ervan (fraude, diefstal)
Leerdoel 2: Je kunt processen, activiteiten binnen processen, relevante risico’s en interne
beheersingsmaatregelen uitwerken
Leerdoel 3: Je kunt de sterke en zwakke punten van de concepten van Romney & Steinbart aan
derden uitleggen
Sterke punten:
Gestructureerd raamwerk
De cycli weerspiegelen de echte activiteiten van een organisatie
De cycli zijn generiek genoeg om te worden toegepast op een breed scala aan organisaties
Zwakke punten:
Complexere bedrijfsprocessen kunnen over het hoofd worden gezien. Vooral in grote,
, dynamische organisaties met niet-standaard processen
Beperkte aandacht voor technologie
Het model is breed toepasbaar, maar het mist specifieke richtlijnen voor industrieën met
unieke processen (er is geen aandacht voor sectorale verschillen).
Ze gaan uit van een standaard productieonderneming. Voor een dienstverlenend bedrijf
gelden andere processen en risico’s die van belang zijn.
Ze gaan heel erg uit van hard controls, waarbij zachtere controles onderbelicht blijven.
Starreveld
Onderwerp: Typologie
Jaar: ’60
