Deze samenvatting is gebaseerd op het studiejaar 2013-2014.

Hoofdstuk 1: Introductie AIS

In dit hoofdstuk zal er begonnen worden met een opsomming van een aantal belangrijke begrippen. Verder zal aandacht worden besteen aan verschillende aspecten rondom een accounting information system (AIS).

Begrippen

Een systeem is een combinatie van twee of meer met elkaar verbonden componenten die samenwerken om een doel te bereiken. Elk systeem bestaat vaak uit aan aantal subsystemen die een groter systeem ondersteunen. Er bestaat een goal conflict wanneer een subsysteem conflicteert met de doelen van een ander subsysteem of met het gehele systeem. Goal congruence komt voor als een subsysteem zijn doel bereikt terwijl tegelijkertijd het algemene doel van de organisatie wordt nagestreefd (overeenstemming). Hoe groter de organisatie, hoe moeilijker er overeenstemming wordt bereikt.

Data zijn feiten die zijn verzameld, geregistreerd, opgeslagen en verwerkt door een informatiesysteem. Vervolgens worden deze data georganiseerd en verwerkt zodat er een betekenis aan kan worden gegeven en zodat de besluitvorming verbeterd kan worden, dit wordt ook wel informatie genoemd. Echter een mens heeft beperkingen in de hoeveelheid informatie die hij kan opnemen (information overload); het gebruik van informatie technologie (IT) kan besluitvormers helpen om informatie te verzamelen, te analyseren en te beheren. Informatie heeft een bepaalde waarde die berekend kan worden door de voordelen van informatie af te wegen tegen de kosten die gemaakt worden bij het produceren van deze informatie. De kosten en baten zijn erg moeilijk te meten, maar desondanks probeert men een zo’n goed mogelijke inschatting te maken. Informatie wordt bruikbaar en betekenisvol als het voldoet aan enkele kenmerken zoals: relevantie, betrouwbaarheid, compleetheid, begrijpelijkheid, meetbaarheid, toegankelijkheid en als de informatie op tijd wordt verschaft.

Een business process is een reeks van gerelateerde, gecoördineerde en gestructureerde activiteiten en taken die door een persoon of een computer worden uitgevoerd, en die helpen bij het realiseren van de doelen van een organisatie. Om juiste beslissingen te nemen, moeten ondernemingen in eerste instantie beslissen welke beslissingen er moeten worden genomen, welke informatie daarbij gebruikt kan worden en hoe data effectief kan worden omgezet in informatie. Niet alle informatie zal binnen de onderneming zelf worden geproduceerd, daarom moet informatie van buitenaf (bijvoorbeeld door leveranciers) goed worden gemengd met de interne informatie.

Een transactie is een overeenkomst tussen twee entiteiten om goederen, services of andere activiteiten, die kunnen worden gemeten in economische termen, uit te wisselen. Het proces dat begint met het verkrijgen van data en dat eindigt met informatieve output (financiële verslagen) heet transactie processing. Veel bedrijfsactiviteiten zijn gebaseerd op give-get exchange, het proces van geven en nemen. Deze uitwisselingen kunnen worden verdeeld in vijf belangrijke business processes or transaction cycles:

• Revenue cycle: goederen en services worden verkocht voor geld of voor de belofte om in de toekomst geld te ontvangen.

• Expenditure cycle: de inkoop van voorraad voor herverkoop of de inkoop van grondstoffen voor productie in ruil voor geld of voor de belofte om in de toekomst geld te betalen.

• Production of conversion cycle: grondstoffen worden omgezet in eindproducten.

• Human resources/ payroll cycle: werknemers worden ingehuurd, getraind, beloond, geëvalueerd, gepromoveerd en ontslagen.

• Financing cycle: bedrijven verkopen aandelen aan investeerders en lenen geld, investeerders ontvangen dividend en rente over leningen.

Deze bovenstaande transacties worden ondersteund door een aantal andere bedrijfsactiviteiten zoals het controleren van de voorraadniveaus, het controleren van klantenkrediet, het aanpassen van financiële verslagen en het doorgeven van informatie aan andere cycli (Table 1-3, blz. 28). De vijf cycli communiceren met de general ledger and reporting system, die bestaat uit alle activiteiten die gerelateerd zijn aan de voorbereiding van de financiële verslagen en andere rapporten.

Accounting Information Systems (AIS):

Een accounting information system is een systeem dat data verzamelt, registreert, opslaat en verwerkt om informatie te produceren voor beleidsmakers. Een AIS kan variëren van een ‘papier-en-pen’ handmatig systeem tot een zeer complex systeem dat gebruik maakt van de laatste technologie. Echter, het proces is altijd hetzelfde en is onafhankelijk van de gebruikte methode. Bovenstaande voorbeelden zijn slechts instrumenten, gebruikt om informatie te produceren. Een AIS bestaat uit zes componenten:

1. De mensen die het systeem gebruiken.

2. De procedures en instructies die gebruikt worden om data te verzamelen, te verwerken en op te slaan.

3. De data over de organisatie en zijn bedrijfsactiviteiten.

4. De software, gebruikt om de data te verwerken.

5. De IT-infrastructuur, met inbegrip van computers, randapparatuur en netwerk communicatie apparaten.

6. De interne controles en veiligheidsmaatregelen dat de data moet beschermen.

Bovenstaande componenten stellen een AIS in staat om aan drie belangrijke bedrijfsfuncties te voldoen:

1. Het verzamelen en opslaan van data over organisatorische activiteiten, middelen en personeel.

2. Data omzetten in informatie zodat het management kan plannen, uitvoeren, controleren en evalueren.

3. Het bieden van goede controle ten aanzien van de activa en de data van een onderneming.

Een goed AIS kan waarde aan een onderneming toevoegen door:

• Het verbeteren van de kwaliteit en het reduceren van de productie- of servicekosten.

• Het verbeten van de efficiëntie.

• Het delen van kennis.

• Het verbeteren van de efficiëntie en de effectiviteit van de ‘supply chain’.

• Het verbeteren van de interne controlestructuur.

• Het verbeteren van de besluitvorming.

Een AIS kan assistentie bieden tijdens alle fases van besluitvorming. Het kan bijvoorbeeld situaties identificeren die actie van het management vereisen. Het kan informatie verzamelen over de resultaten van vorige beslissingen, de feedback kan gebruikt worden voor toekomstige beslissingen. Of het kan bijvoorbeeld verkoopdata op zo’n manier analyseren dat er een verband blijkt te bestaan tussen verschillende goederen; goederen worden samen gekocht.

Een AIS bestaat uit drie factoren die het ontwerp van het systeem bepalen. Een daarvan zijn ontwikkelingen in de informatie technologie (IT); deze kan de ‘business strategy’ van een onderneming beïnvloeden. Internet heeft er bijvoorbeeld voor gezorgd dat er een ‘low-cost strategy’ kan worden aangenomen. Een ander voorbeeld is predictive analysis, dat ‘data warehouses’ en complexe methoden gebruikt om toekomstige gebeurtenissen te voorspellen, op basis van trends en kansberekeningen. Zowel internet als de predictive analysis kunnen zorgen voor een competitief voordeel. De derde factor is de ‘organizational structure.

De rol van een AIS in de value chain uit zich in vijf verschillende primary activities die waarde toevoegen voor de klant. Een value chain is een keten van primary activities en supporting activities. Waarde wordt toegevoegd elke keer dat een product een bepaalde activiteit passeert. Primary activities betreffen de activiteiten die worden uitgevoerd om producten en diensten te creëren, op de markt te brengen en te leveren aan klanten en om service te bieden na de levering. Support activities zijn activiteiten die ervoor zorgen dat de primary activities efficiënt en effectief kunnen worden uitgevoerd. De vijf primary activities zijn:

1. ‘inbound logistics’: ontvangen en opslaan van materialen.

2. ‘operations’: input transformeren in output.

3. ‘outbound logistics’: distributie en transport.

4. ‘marketing and sales’: adverteren en verkopen.

5. ‘service’: reparaties en onderhoud.

De vier supporting activities zijn:

1. ‘Firm infrastructure’: de administratieve activiteiten die ervoor zorgen date en organisatie functioneert.

2. ‘Human resources’: aannemen, trainen en belonen van werknemers.

3. ‘Technology’: activiteiten die zorgen voor verbetering van een product of dienst.

4. ‘Purchasing’: de aanschaf van materialen, leveranciers, machines en de gebouwen om de primary activities uit te voeren.

Een Supply chain is een uitgebreid systeem dat zowel de value chain bevat als de leveranciers, distributeurs en klanten van een organisatie.

Hoofdstuk 2: Transacties en ERP systemen

Dit hoofdstuk is verdeeld in twee belangrijke delen. Het eerste deel bespreekt het begrip data processing cycle, het tweede deel bespreekt de rol van een informatiesysteem in moderne organisaties en introduceert het begrip enterprise resource planning (ERP) system.

Data Processing Cycle

De data processing cycle betreft de handelingen die data omzetten in betekenisvolle en relevante informatie. Deze cyclus bestaat uit vier stadia:

1. Data input

2. Data opslag

3. data verwerking

4. Informatie output

Data input

Elke bedrijfsactiviteit bevat drie facetten waarvan data moet worden verzameld: elke activiteit die van belang is (datum en tijd van verkoop, aantal verkochte artikelen), de middelen die worden beïnvloed door elke activiteit en de mensen die participeren in elke activiteit (bijvoorbeeld de werknemer die de verkoop doet).

Onderstaande voorbeelden betreffen manieren om input te verzamelen:

• Vroeger gebruikte veel ondernemingen papieren source documents om data te verzamelen. Later werd deze data overgezet op computers. Een source document is het document dat de originele/eerste registratie van een transactie bevat. Zodra het overgezet wordt op de computer is het dus geen source document meer.

• Turnaround documents zijn output van een bedrijf die naar een externe partij worden gestuurd, die in veel van de gevallen wijzigingen toevoegen, om vervolgens teruggestuurd te worden als een input document. Een voorbeeld hiervan zijn energierekeningen die opgestuurd worden naar de klant, vervolgens teruggestuurd worden met de desbetreffende betaling en opnieuw in de computer worden gezet met behulp van een speciaal scanapparaat.

• Source data automation betreft het proces van dataverzameling in digitale vorm dat plaatsvindt op de originele plaats en tijd (barcode scanners).

Een tweede stap in het inputproces is om ervoor te zorgen dat de data nauwkeurig en compleet zijn. Een manier om dit te bereiken is om gebruik te maken van source data automation of van goed ontwikkelde turnaround documents en data entry screens. Deze laatste geeft vaak alle data weer die de gebruiker moet invoeren en komt soms overeen met een turnaround document. De derde stap is het waarborgen van het bedrijfsbeleid, zoals het goedkeuren of het controleren van een transactie.

Data opslag

Boekhoudkundige informatie wordt opgeslagen in general ledgers en subsidiary ledgers. Een general ledger bevat de gegevens voor alle activa, schuld, eigen vermogen, inkomsten en kosten. Een subsidiary ledger bevat gedetailleerde gegevens van elke general ledger met desbetreffende subaccounts. Een control account is een general ledger post dat het totaalbedrag van alle subsidiary ledgers weergeeft, het komt eigenlijk neer op een totaalpost. De som van alle posten in een subsidiary ledger moet gelijk zijn aan het bedrag van het control account.

De data in ledgers wordt logisch georganiseerd door gebruik te maken van bepaalde coderingstechnieken:

• Sequence codes: posten worden opeenvolgend gerangschikt, ontbrekende posten vormen zo een gat in de nummering.

• Block codes: een groep nummers wordt aan een bepaalde categorie toegekend.

• Group codes: er wordt gebruik gemaakt van twee of meer subgroepen, deze worden vaak gebruikt in combinatie met Block codes.

• Mnemonic codes: letters en cijfers worden afgewisseld om een item te identificeren, een alfabetisch geheugensteuntje dat slaat op het gecodeerde object.

Een code moet in overeenstemming zijn met het beoogde gebruik, een code moet de mogelijkheid hebben om te kunnen groeien, een code moet zo simpel mogelijk zijn om kosten te minimaliseren en een code moet consistent zijn met de structuur van de organisatie en met de verschillende afdelingen binnen die organisatie.

Een groot voorbeeld van codering is de chart of accounts, een lijst van alle nummers die zijn toegewezen aan elke general ledger post.

Voordat transactiedata in een ledger verschijnen zullen ze eerst vermeld worden in een journal. Een journaalpost geeft aan welke grootboekrekeningen gedebiteerd en gecrediteerd moeten worden. Een general journal wordt gebruikt om onregelmatige transacties vast te leggen, zoals aflossingen en aanpassingen aan het einde van de periode. Een specialized journal registreert juist de regelmatige transacties zoals verkopen, kasontvangsten en kasuitgaven.

Een audit trail is een traceerbaar pad dat een transactie volgt door het systeem van dataverwerking, van oorsprong tot de uiteindelijke output (en omgekeerd). Het wordt gebruikt om de nauwkeurigheid en geldigheid van grootboekrekeningen te controleren.

Een entity is iets waarover informatie wordt opgeslagen, zoals: werknemers, klanten en voorraden. Elke entity heeft attributes (bepaalde kenmerken). Elk type entity bevat dezelfde kenmerken, de specifieke waardes die hieraan gekoppeld worden zijn wel verschillend. Computers slaan gegevens op in een field. Een field bevat data van een enkel kenmerk en is onderdeel van een record. Een record bevat logisch gerelateerde data dat alle kenmerken van een entity omvat (rij). De inhoud van een field wordt een data value genoemd. Een groep gerelateerde records wordt een file genoemd, en een master file is een permanente file dat alle informatie opslaat wat betreft de middelen van een organisatie en de agenten met wie de organisatie communiceert. Een voorbeeld van zo’n file is de transaction file dat alle records van individuele transacties bevat. Ten slotte wordt er van een database gesproken in het geval van een reeks onderling verbonden files (debiteuren – klanten – verkoopanalyses). .

Data verwerking

De vier soorten activiteiten die ervoor zorgen dat de data verwerkt: CRUD

• Het creëren van nieuwe records (Creating).

• Het lezen, opvragen of bekijken van bestaande data (Reading).

• Het updaten van data (Updating).

• Het verwijderen van data (Deleting).

Als het updaten van data op periodieke basis gebeurt wordt dit batch processing genoemd. Alhoewel deze vorm van updaten goedkoop en efficiënt is, is de data alleen actueel en nauwkeurig direct na het updaten. Een andere vorm van updaten wordt online, real-time processing genoemd, transacties worden direct geüpdate als deze zich voordoen. Op deze manier kan er voor worden gezorgd dat de informatie altijd actueel is, en kunnen beslissingen beter gemaakt worden. Dit systeem is ook nauwkeuriger omdat fouten meteen gecorrigeerd of verwijderd kunnen worden. Het levert ook competitieve voordelen op. Een combinatie van beide systemen is online batch processing, waar transactiedata wordt ingevoerd en bewerkt zodra de transactie plaatsvindt en wordt opgeslagen voor latere verwerking.

Informatie output

Informatie wordt meestal gepresenteerd in een van de volgende drie vormen: documents, reports, query response. Documents zijn gegevens van transacties of andere bedrijfsgegevens, zoals facturen en ontvangstbewijzen. Reports worden gebruikt door zowel werknemers (controleren van bedrijfsactiviteiten) en managers (maken van beslissingen en het formuleren van strategieën). Externe gebruikers kunnen met behulp van reports de positie van een onderneming waarnemen. Een query is een verzoek voor specifieke informatie van een computer en wordt gebruikt om problemen en vragen, die directe actie of antwoorden nodig hebben, op te lossen. Periodieke/herhalende vragen worden vaak ontwikkeld door specialisten en eenmalige vragen worden vaak ontwikkeld door gebruikers.

Enterprise resource planning (ERP) systems

Veel organisaties ontwikkelen extra informatiesystemen met als doel informatie te verzamelen, te verwerken en te rapporteren die niet zijn opgenomen in de AIS. Echter het naast elkaar bestaan van verschillende systemen creëert problemen wat betreft de efficiëntie. Enterprise resource planning (ERP) systems bieden een oplossing voor deze problemen, doordat ze alle aspecten van de activiteiten van een onderneming integreert in één boekhoudkundig informatiesysteem. Een ERP systeem wordt samengevoegd met een AIS systeem. Daar waar een AIS systeem vooral de financiële data en de transacties afhandelt zorgt het ERP systeem vooral voor de verzameling en verwerking van niet-financiële data.

Een ERP systeem bestaat meestal uit kleine deelprogramma’s (modules) die allemaal een specifieke taak ondersteunen, zoals: financieel, ‘human resource’, productie, ‘customer relationship management’.

Een ERP systeem biedt zowel voordelen als nadelen. Enkele voordelen zijn:

• Alle bedrijfsprocessen worden in één database opgeslagen, waardoor de barrières tussen verschillende departementen wordt opgeheven en de informatiestroom wordt bevordert.

• Door de integratie van de verschillende systemen is eenmalige opslag van gegevens voldoende, en hoeft de data niet weer steeds opnieuw worden ingevoerd in verschillende systemen.

• Het management heeft een beter overzicht van elk aspect in de onderneming, waardoor controle beter kan worden uitgevoerd. Ook werknemers worden meer productief en efficiënt doordat ze de direct beschikking hebben over zowel de data van hun afdeling als dat van andere afdelingen.

• Een onderneming beschikt over een betere toegangscontrole. Een ERP kan meerdere machtigingen en veiligheidsmodellen samenvoegen tot één toegangsstructuur.

• Procedures en rapporten worden gestandaardiseerd binnen verschillende bedrijfstakken, vooral handig met fusies en overnames omdat een ERP systeem de verschillende systemen kan vervangen voor een enkel uniform systeem.

• De Klantenservice verbetert omdat werknemers snel toegang hebben tot bestellingen, voorraden, verzendgegevens en vroegere klantgegevens.

• Productiebedrijven ontvangen nieuwe bestellingen op tijd, en de automatisering van het productieproces bevorderd de productiviteit.

Enkele nadelen zijn:

• ERP systemen zijn duur.

• Het invoeren van een ERP systeem kost heel veel tijd.

• Veranderingen in het bedrijfsproces. Een belangrijke oorzaak van mislukkingen in het ERP systeem is dat het in kaart brengen van huidige bedrijfsactiviteiten in het ERP systeem mislukt.

• Complexiteit. Het samenvoegen van verschillende bedrijfsactiviteiten en systemen, met elk een ander proces en andere regels, zorgt voor problemen.

• Weerstand. Weerstand onder werknemers is een veelvoorkomende reden waarom de invoering van een ERP systeem mislukt. Werknemers moeten hun werkwijze veranderen en er is veel training en ervaring nodig om het ERP systeem effectief te kunnen gebruiken.

Omdat ERP systemen complex en duur zijn, is het kiezen van een dergelijk systeem niet makkelijk. Een manier om een geschikt systeem te kiezen is het selecteren van een pakket ontworpen voor jouw industrie. Alhoewel de systemen erg duur zijn, is het niet verstandig om een goedkoop systeem aan te schaffen; op lange termijn kan dit meer kosten opleveren als het systeem niet volledig voldoet (aanpassingen zijn erg duur). Om het risico van het kopen van een verkeerd pakket te verminderen, is het verstandig om onderzoek te doen naar de beste leveranciers. Deze ERP leveranciers bieden vaak drie soorten services: het geven van advies, het product aanpassen aan de (persoonlijke) wens van de klant (customization) en ondersteuning.

Hoofdstuk 3: Documentatie

Documentation omvat de beschrijvingen, flowcharts, diagrammen en andere geschreven materialen die uitleggen hoe een systeem werkt; het dekt de wie, wat, wanneer, waar, waarom en hoe van data invoer, verwerking, opslag, informatieoutput en systeemcontroles. De tabellen, diagrammen e.d. worden bijgestaan door een narrative description van het systeem, een geschreven stap-voor-stap uitleg van de systeemcomponenten en interacties. In dit hoofdstuk ligt de nadruk op data flow diagrams en flowcharts.

Data Flow Diagrams

Een data flow diagram (DFD) beschrijft grafisch de datastroom binnen een organisatie, gebruik makend van de volgende elementen:

• data source en data destination: entiteiten die de data, geproduceerd door het systeem, verzenden of ontvangen. Een entiteit kan tegelijkertijd zowel een bron als een bestemming zijn.

• Data flow: de verplaatsing van data tussen processes, stores, sources en destinations. Data die zich verplaatsen moet getransformeerd worden.

• Processes: representeert de transformatie van de data; data input moet getransformeerd worden in data output.

• Data store: een opslagplaats voor data.

Een DFD is onderverdeeld in lagere niveaus om meer details in kaart te brengen. Het hoogste level wordt een context diagram genoemd, omdat het de lezer een overzicht biedt van het gehele systeem, inclusief een overzicht van bovenstaande elementen.

Flowcharts

Een flowchart is een analytische techniek met als doel het beschrijven van enkele aspecten van een informatiesysteem op een duidelijke, beknopte en logische manier. Flowcharts maken gebruik van een standaard set van symbolen om een illustratieve beschrijving te geven van transactieprocessen en datastromingen binnen een systeem. Flowcharts bieden aanzienlijke voordelen:

• Een illustratieve representatie is veel makkelijker te begrijpen dan een narrative description.

• Zowel de accountant als de eigenaar van een onderneming kunnen de flowchart gebruiken als een werkinstrument tijdens discussies.

• Flowcharts bieden een eenvoudige manier om data direct vast te leggen tijdens bijvoorbeeld interviews, als er gebruik gemaakt kan worden van een computergestuurd tekenprogramma.

Enkele nadelen zijn:

• Sommige mensen vinden het niet fijn werken of begrijpen ze niet.

• Veel flowcharts zijn slecht getekend en zijn daarom niet zo behulpzaam als dat ze zouden moeten zijn.

• Het is tijdrovend om een flowchart te maken als men niet voldoende ervaring heeft op dat gebied.

De symbolen, gebruikt bij het maken van een flowchart kunnen onderverdeeld worden in 4 categoriën:

1. Input/output symbols: vertegenwoordigt apparaten of media die de input leveren of de output meten van processen.

2. Processing symbols: laat zien welke type apparaten worden gebruikt om data te verwerken of tonen wanneer een proces handmatig wordt uitgevoerd.

3. Storage symbols: representeren de apparaten die de data opslaan.

4. Flow and miscellaneous symbols: geven de datastroom weer; waar flowcharts beginnen of eindigen, waar beslissingen worden gemaakt en wanneer er toelichting moet worden gegeven.

Een document flowchart is een flowchart dat een document volgt ‘van de wieg tot het graf’. Het laat zien waar elk document vandaan komt, de distributie, de doelen waarvoor het document wordt gebruikt, het uiteindelijke doel en verder alles wat er gebeurt in de tussentijd; het illustreert de stroom van documenten en informatie tussen verschillende verantwoordelijkheidniveaus binnen een organisatie.

Een document flowchart is voornamelijk handig bij het analyseren van procedures voor interne controle. Document flowcharts die deze interne en controle beschrijven en beoordelen worden ook wel internal control flowcharts genoemd. Ze kunnen zwakheden en inefficiënties in het systeem ontdekken.

Een system flowchart is een schematisch overzicht van de stroom van data door een serie operaties in een geautomatiseerd data-verwerkingssysteem. Het laat zien hoe data wordt vastgelegd en in het systeem wordt gezet, het laat de processen zien die werken met de data en het toont de systeem output.

Een program flowchart is een schematische representatie van een reeks van logische activiteiten uitgevoerd door een computer (uitgevoerd door een programma op deze computer). Het beschrijft de specifieke logica om een proces uit te voeren weergegeven op een system flowchart.

Hoofdstuk 4: Databases

In dit hoofdstuk wordt omschreven wat een database inhoudt, en hoe een database verschilt van andere systemen.

Databases

Een database bestaat uit een set verbonden, centraal gecoördineerde databestanden (files). Een database wordt dus opgebouwd uit verschillende files, records en fields. Databases zijn in eerste instantie ontwikkeld om de enorme toename van master files tegen te gaan. Daar zit dan ook het verschil tussen een database system en een file-oriented system. In de eerstgenoemde is data een organisatorisch hulpmiddel dat wordt gebruikt en beheerd door de gehele organisatie en niet alleen door één specifieke afdeling. Een database management system (DBMS) is de intermediair waarmee twee systemen met elkaar communiceren, in dit geval de database en de verschillende toepassingsprogramma’s. De database, de DBMS en de toepassingsprogramma’s vormen samen het database system. De database administrator (DBA) is verantwoordelijk voor het systeem.

Tegenwoordig heeft men voor het maken van strategische beslissingen toegang nodig tot enorme hoeveelheden data. Organisaties bouwen daarom verschillende databases die gezamenlijk een data warehouse vormen. Een data warehouse bevat zowel gedetailleerde als samengevatte data voor een aantal jaar en wordt gebruikt voor het maken van analyses en niet voor transactieverwerkingen (ze ondersteunen wel de transactieverwerking processen, en worden periodiek geüpdatet). Het gebruik van een data warehouse voor het maken van strategische beslissingen wordt meestal aangeduid met de term business intelligence. Er worden twee belangrijke technieken gebruikt in business intelligence:

1. Online analytical processing (OLAP): met behulp van vraagstellingen (het geven van opdrachten aan een database) wordt het onderzoek naar veronderstelde relaties in data geleid.

2. Data mining: maakt gebruik van verfijnde statistische analyses, inclusief kunstmatige intelligentie technieken , om onhypothetische relaties in data te ontdekken.

Databases bieden organisaties de volgende voordelen:

• Data integration: master files worden gecombineerd in grote groepen data, met toegang tot toepassingsprogramma’s.

• Data sharing: data is makkelijker beschikbaar voor gemachtigde gebruikers.

• Minimal data redundancy and data inconsistencies: data hoeft nog maar eenmalig worden opgeslagen in het system.

• Data independence: de data en de programma’s die daar gebruik van maken zijn onafhankelijk van elkaar en kunnen dus ook onafhankelijk van elkaar aangepast worden zonder de ander daarbij te beïnvloeden.

• Cross-functional analysis: verbanden/relaties tussen twee verschillende gegevens kunnen makkelijker gelegd worden.

Een Database systeem scheid de opslag van data van het gebruik van data. Dit kan gedaan worden op twee manieren: de logical view is de manier waarop men de data organiseert en begrijpt (bijv. in een tabel). De physical view geeft aan hoe en waar data fysiek is opgesteld en opgeslagen.

Een schema beschrijft de logische structuur van een database. Er zijn drie verschillende soorten schema’s: het conceptual-level schema, de kijk van een organisatie op de hele database, bevat alle data elementen en de relaties daartussen. Het external-level schema, de kijk van een individuele gebruik naar delen van de database (subschema). Het internal level schema, een gedetailleerdere kijk (‘low-level view’) op de database.

Een data dictionary bevat informatie over de structuur van een database. Verder bestaat een database management system (DBMS) uit verschillende talen: de data definition language (DDL), de taal die de logical en physical view met elkaar verbindt. Het creëert de data dictionary en de database, beschrijft de logical view voor elke gebruiker en specificeert beperkingen in de veiligheid rondom de database records of fields. De data manipulation language (DML), past de inhoud van de database aan (updaten, verwijderen e.d.).

Data query language (DQL), de taal die wordt gebruikt om bepaalde data op te halen, te sorteren, te bestellen en te presenteren in antwoord op gebruikersvragen (engels). Deze laatst genoemde is beschikbaar voor gebruikers, de andere twee zijn alleen beschikbaar voor beheerders en programmeurs.

Een DBMS wordt gekenmerkt door een data model, de abstracte representatie van de inhoud van een database. De meeste modellen zijn relational data models, omdat ze eenvoudig gebruik maken van tabellen. In deze tabellen representeert elke rij een unieke entity of record. Elke kolom vertegenwoordigt een field waar de attributes worden opgeslagen. Uit deze tabellen worden relaties tussen verschillende data gelegd.

Een tuple (rij) bevat informatie over een specifiek voorval in een database tabel. Elke rij in het voorraad tabel bevat bijvoorbeeld alle relevante gegevens over een specifiek voorraad item.

De relational data models hebben verschillende kenmerken (attributes).

Een primary key is een database attribute, of een combinatie van attributes dat een specifieke rij in het tabel identificeert. Een foreign key wordt gebruikt om tabellen met elkaar te koppelen en betreft een attribuut dat in een ander tabel de foreign key is.

Er zijn twee manieren om een database te ontwerpen. De eerste manier wordt normalization genoemd. Het proces waarbij de richtlijnen (‘third normal form, 3NF’) worden gevolgd om een database te ontwerpen dat geen delete, insert of update anomalies bevat; alles wordt opgeslagen in één grote tabel.

Een delete anomaly komt voor wanneer er een rij uit een tabel wordt verwijderd en dit resulteert in het verlies van alle informatie over een entiteit.

Een insert anomaly is een probleem dat zich voordoet wanneer attributes die niet worden gekarakteriseerd door de primary key worden opgeslagen in een tabel. Informatie over leveranciers wordt bijvoorbeeld opgeslagen in een tabel waarin alle aankopen worden weergegeven. Echter, de data wat betreft nieuwe potentiële of alternatieve leveranciers kan niet toegevoegd worden omdat zich nog geen aankopen hebben voorgedaan. De kolom met ordergrootte zou dan op nul komen te staan, dit is echter niet mogelijk omdat dit de primary key is.

Een update anomaly ontstaat wanneer veranderingen niet goed kunnen worden doorgevoerd. Indien bijvoorbeeld het adres van een klant verschillende keren wordt opgeslagen (per verkoop), dan moet verandering van deze gegevens worden toegepast in elke rij waarin deze data voorkomt, gebeurt dit niet, dan kan dit leiden tot tegenstrijdigheden.

Een tweede manier is Semantic data modeling waarin de ontwerper gebruik maakt van zijn kennis van bedrijfsprocessen en informatiebehoeften om een diagram te creëren dat laat zien wat men in de database moet opnemen. Een voordeel van deze manier boven die van normalization is het gebruik van de kennis van de ontwerper, een tweede voordeel is dat het model wordt afgestemd op het bedrijfsproces en het beleid van de organisatie en door het vergemakkelijken van de communicatie met systeemgebruikers zal het nieuwe systeem beter inspelen op de gebruikersbehoeften.

Hoofdstuk 5: Computerfraude

Dit hoofdstuk introduceert het onderwerp fraude. Wat is fraude? Hoe wordt fraude ontdekt? Hoe kwetsbaar is het systeem?

Introductie van het begrip fraude

Fraude is het verkrijgen van een oneerlijk voordeel ten opzichte van een ander persoon. De term wordt ook wel aangegeven met het begrip sabotage. Indien aan onderstaande voorwaarden wordt voldaan, kan er gesproken worden van fraude:

• Een valse verklaring, vertegenwoordiging of openbaring.

• Sprake van een materieel feit, wat leidt tot het handelen van een gegeven persoon.

• De bedoeling om te misleiden.

• Een gerechtvaardigd vertrouwen

• Schade voor het slachtoffer

Fraudeplegers worden vaak omschreven als white-collar criminals (zakenlui die fraude plegen).

Fraude kan twee verschillende vormen aannemen:

• Misappropriation of assets: de diefstal van bedrijfsmiddelen. Een bepalende factor is bijvoorbeeld het ontbreken van interne controles.

• Fraudulent Financial reporting: opzettelijk of roekeloos gedrag, hetzij door handelen of nalatigheid, dat resulteert in misleidende financiële verslagen. Op deze manier kunnen bijvoorbeeld investeerders en crediteuren worden misleid, de aandelenkoers kan worden aangepast of problemen binnen een bedrijf kunnen worden verdoezeld.

De ‘Treadway Commission’ (nationale commissie voor frauduleuze financiële verslaggeving) onderscheidt vier acties die kunnen helpen bij het verminderen van frauduleuze verslaggeving:

1. Het creëren van een omgeving dat bijdraagt aan de integriteit van financiële verslaggeving.

2. Identificeren en begrijpen van factoren die kunnen leiden tot fraude.

3. Beoordelen van het risico van fraude in de onderneming.

4. Het ontwikkelen en uitvoeren van interne controles, met als doel het voorkomen van fraude.

Een asset misappropriation komt wel zeventien keer vaker voor dan fraudulent Financial reporting, alleen de bedragen die hiermee gemoeid zijn, zijn wel een stuk kleiner. De nadruk in de onderneming ligt dus vaak bij de laatstgenoemde.

De SAS No.99 (‘Statement on Auditing Standards’) stelt dat tot de vereisten van een accountant moeten behoren:

• Het begrijpen van fraude

• Het bespreken van de risico’s van frauduleuze onjuistheden

• Het verkrijgen van informatie

• Het identificeren, het evalueren en het reageren op risico’s

• Het evalueren van resultaten van controles

• Het documenteren en bespreken van bevindingen

• Het opnemen van een technologische focus

Fraudeplegers

In een onderzoek naar de psychologische en demografische kenmerken van white-collar criminals en andere criminelen, zijn belangrijke verschillen ontdekt: ‘fraudeplegers zijn net zoals jij en ik’. De meeste hebben geen strafblad. Sommige worden gedreven door nieuwsgierigheid, het verlangen naar kennis of de uitdaging van het verslaan van een systeem. Vaak gebeurt het plegen van fraude onder drie condities:

• Pressure: de prikkel of de motivatie van een persoon voor het plegen van fraude. De financiële situatie, de levensstijl, of de emotionele toestand van een persoon zijn voorbeelden van prikkels.

• Opportunity: de conditie of situatie dat een persoon of organisatie toestaat om drie dingen te doen:

  • Plegen van fraude.

  • Verbergen van fraude.

    • Lapping

    • Kiting

  • Het omzetten van het resultaat van de fraude in persoonlijk gewin. Bijvoorbeeld door de verkoop van gestolen voorraad of goederen, of door persoonlijk gewin in de vorm van behoud van baan of door promoties.

• Rationalization: staat fraudeplegers toe om hun gedrag te rechtvaardigen. Dit neemt verschillende vormen aan: rechtvaardiging (ik heb alleen datgene genomen wat ze aan me verschuldigd zijn), houding (de regels gelden niet voor mij), gebrek aan persoonlijke integriteit (krijgen wat ik wil is belangrijker dan eerlijkheid). Sommige fraudepleger rationaliseren dat ze niet een echt persoon kwetsen, slechts een computer systeem of een bedrijf dat het geld toch niet mist.

Lapping is de situatie waarin een werknemer de mogelijkheid heeft om een openstaande schuld aan klant A door te schakelen naar zichzelf, en het vervolgens te verbergen door betalingen van een andere klant te gebruiken om de openstaande schuld aan A te voldoen.

Kiting is de situatie waarin geld wordt gecreëerd door middel van het tijdsgat tussen het moment dat een cheque wordt gestort en het moment dat het geld daadwerkelijk van een rekening wordt afgeschreven. Stort €1.000 in bank A, schrijf vervolgens een cheque uit met datzelfde bedrag en stort dat geld op een rekening in bank B. Het geld in bank B is onmiddellijk beschikbaar, terwijl het geld nog niet van de rekening bij bank A is afgeschreven. Op deze manier heb je korte tijd €2.000 tot je beschikking, totdat het bedrag wordt afgeschreven. Dit proces wordt achtereenvolgens herhaald.

Veel mogelijkheden tot het plegen van fraude ontstaan door een gebrekkig systeem of door een gebrek aan interne controle. Andere mogelijkheden ontstaan wanneer een onderneming een onduidelijk beleid voert, er niet in slaagt om eerlijkheid na te streven of niet in staat is om fraudeplegers aan te pakken. Een volledig overzicht is te vinden in ‘table 5-4’.

Computerfraude

Computer fraud is een illegale handeling waarvoor kennis van computertechnologie essentieel is voor het plegen, voor het onderzoeken of voor het vervolgen van de misdaad.

Computersystemen zijn kwetsbaar voor fraude vanwege de volgende redenen:

1. Mensen die onbevoegd toegang kunnen verkrijgen tot de database van een organisatie kunnen in korte tijd enorme hoeveelheden data stelen, vernietigen of aanpassen.

2. Zowel werknemers, klanten en leveranciers hebben vaak toegang tot de database.

3. Slechts één gegeven hoeft maar te worden aangepast zonder toestemming, en het hele systeem werkt niet meer naar behoren.

4. Computersystemen zijn kwetsbaar voor beveiligingsrisico’s

5. Kortsluitingen, waterbeschadiging.

Computerfraude komt om verschillende redenen steeds vaker voor:

• Niet iedereen is het eens over wat onder computerfraude valt, bijvoorbeeld het maken van illegale kopietjes.

• Lang niet alle fraude wordt gedetecteerd.

• Veel fraude wordt niet gemeld, veel bedrijven denken dat dit resulteert in slechte publiciteit.

• Veel netwerken zijn niet voldoende beveiligd.

• Op internet staat uitgebreid beschreven hoe je fraude moet plegen.

• De wetshandhaving kan de groei niet bijhouden.

• Het berekenen van eventuele verliezen is moeilijk.

Computerfraude kan gecategoriseerd worden met behulp van het ‘data processing model’. Dit model verdeelt fraude in vier verschillende vormen:

• ‘Input fraud’: wijzigingen aanbrengen in de input van een systeem.

• ‘Processor fraud’: onbevoegd gebruik maken van een systeem.

• ‘Computer instructions fraud’: het knoeien met de computer software dat de data verwerkt van een organisatie. Bijvoorbeeld door wijzigingen aan te brengen, illegale kopietjes te maken of door er gebruik van te maken op een ongeoorloofde wijze.

• ‘Data fraud’: het veranderen of beschadigen van gegevensbestanden of het kopiëren, gebruiken of doorzoeken van de gegevensbestanden zonder toestemming.

• ‘Output fraud’: Stelen of misbruik maken van de output van een organisatie.

Preventiemaatregelen voor het herkennen en voorkomen van fraude zijn o.a.:

• Maak het plegen van fraude ‘minder waarschijnlijk’.

  • Geven van autoriteit aan afdelingen

  • Ontwikkelen van een organisatiecultuur dat streeft naar integriteit

  • compensatie

• Maak het moeilijker om fraude te plegen.

  • Scheiding van functies

  • Interne controles

• Verbeteren van de detectiemethoden

  • Ontwikkelen van een meldingspunt voor fraude

  • Software installeren.

• Verminderen van fraudeverliezen

  • Verzekeringen afsluiten

  • Back-ups maken

Hoofdstuk 6: Fraudetechnieken

Dit hoofdstuk gaat dieper in op de meest voorkomende fraudetechnieken in drie delen, betreffende computeraanvallen en misbruik, Social engineering (misleiding met als doel het verkrijgen van onbevoegde toegang tot informatiebronnen) en ‘malware’. In deze samenvatting worden voornamelijk de begrippen besproken, omdat deze de hoofdlijn zijn van het hoofdstuk.

Computeraanvallen en misbruik

Een veelvoorkomende computeraanval is hacking, de onbevoegde toegang, aanpassing of gebruik van een elektronisch apparaat of een onderdeel van het computersysteem.

Een botnet is een netwerk van krachtige en gevaarlijke ‘hijacked’ computers. Hijacking is het verkrijgen van de controle over een computer om zo illegale activiteiten uit te voeren, zonder kennis van de eigenaar (kaping). Bot herders installeren software (Trojans, e-mails) op ‘onwetende’ computers dat reageert op de elektronische instructies van de hackers. Bot herders maken gebruik van een combinatie van meerdere gekaapte computers, genaamd zombies, om zo verschillende internetaanvallen voor te bereiden. Botnets worden gebruikt om een denial-of-service (DoS) attack uit te voeren. Dit is een computeraanval waarin de ‘aanvaller’ zoveel e-mail ‘bommen’ stuurt dat de e-mail service overbelast raakt. Een andere vorm is het versturen van zoveel verzoeken voor internetpagina’s zodat de webserver het begeeft.

Spamming is het tegelijkertijd versturen van dezelfde ongewenste e-mails naar vele mensen, vaak als doel om iets te verkopen. Spammers organiseren ook dictionary attacks, door het versturen van lege e-mails naar willekeurige e-mailadressen kunnen ze erachter komen of er sprake is van een geldig e-mailadres. Niet bestaande e-mailadressen worden namelijk teruggestuurd. Is er sprake van een geldig mailadres, dan wordt deze op de spammer lijst gezet.

Hackers creëren splogs (combinatie van spam en blog) met daarin links naar websites die zij beheren om zo hun plaats in de googleranglijst te verhogen. Deze ranglijst geeft aan hoe vaak verwezen wordt naar een bepaalde webpagina door andere webpagina’s.

Spoofing is het aanbrengen van wijzigingen in bijvoorbeeld een e-mail bericht, zodat het lijkt alsof iemand anders het heeft verstuurd. Spoofing kan verschillende vormen aannemen:

1. E-mail spoofing: aanpassen van het e-mailadres.

2. Caller ID spoofing: weergave van het verkeerde nummer.

3. IP address spoofing: aanpassen van het IP-adres.

4. Address Resolution Protocol (ARP) spoofing: versturen van valse ARP berichten naar een ‘Ethernet LAN’. ARP is een computer netwerk protocol dat het hardware adres bepaalt zonder dat het IP of netwerk adres bekend is.

5. SMS spoofing: aanpassen van de naam en het nummer.

6. Web-page spoofing/ phishing: houdt in dat men e-mails stuurt zogenaamd vanuit iemand die het slachtoffer kent.

7. DNS spoofing: veranderen van het ID van een ‘Domain Name System’.

Een zero-day attack is een aanval tussen het moment dat er een nieuwe zwakheid in de software wordt ontdekt en de tijd dat een software ontwikkelaar een patch heeft uitgegeven dat het probleem oplost. Een patch is een code vrijgegeven door softwareontwikkelaars die bepaalde kwetsbaarheden oplost.

Bij cross-site scripting (XSS) wordt gebruik gemaakt van zwakheden in de beveiliging van een internetpagina om zo een kwaadaardige link te creëren die een ongewenste code injecteert op een website

Een buffer overflow attack komt voor wanneer de hoeveelheid ingevoerde gegevens in een programma groter is dan de hoeveelheid geheugen van dat programma. Dit zal er voor zorgen dat het systeem crasht of er wordt een commando gegeven dat volledige administratieve bevoegdheid verleent aan de hacker.

In een SQL injection (insertion) attack wordt er een kwaadaardig ‘SQL query’ geplaatst in de input, zodanig dat het wordt uitgevoerd door een applicatieprogramma.

Een man-in the middle (MITM) attack plaatst een hacker tussen een klant en een host en onderschept het netwerkverkeer daartussen.

Masquerading/ impersonation is doen alsof men een bevoegde gebruik is om toegang te verkrijgen tot een systeem. Dit is mogelijk als de fraudeur de inloggegevens heeft weten te bemachtigen of door gebruik te maken van een computer waar al is ingelogd.

Piggybacking is een praktijk met verschillend betekenissen, en komt in feite neer op meeliftgedrag. Het kan betekenen dat men gebruik maakt van het Wi-Fi netwerk van iemand anders, maar het kan ook betekenen dat men die geen toegang heeft tot bepaalde ruimtes toch binnen weet te komen. Men vindt het namelijk onbeleefd om de deur achter iemand te sluiten.

Password cracking komt voor wanneer een indringer de systeembeveiliging doordringt, zich het bestand met de geldige wachtwoorden eigen maakt, deze decodeert en het vervolgens gebruikt om toegang te krijgen tot het systeem.

War dialing is het zoeken naar een inactieve modem met behulp van een computer die duizend telefoonnummers belt. Eenmaal eentje gevonden, kan een hacker toegang tot het netwerk verkrijgen waarmee de lijn verbonden is.

Bij War driving wordt er gezocht naar onbeschermde draadloze netwerken.

Phreaking is de aanval op telefoonsystemen om zo vrije toegang te verkrijgen op de telefoonlijn of deze telefoonlijnen gebruiken voor het overbrengen van virussen.

Data diddling is het veranderen van data voordat, tijdens of nadat deze is ingevoerd in het systeem.

Data leakage is het onbevoegd kopiëren van bedrijfsgegevens, vaak zonder dat daarbij bewijst wordt achtergelaten. Bij podslurping wordt gebruik gemaakt van een klein apparaat met opslagcapaciteit, bijvoorbeeld een iPod, om onbevoegde gegevens van een computer te downloaden.

Salami technique is een fraudetechniek waarin kleine hoeveelheden geld wordt gestolen van heel veel verschillende accounts. Een vorm van salami technique is de round-down technique, gebruikt in financiële instellingen die interest uitbetalen. De programmeur geeft de computer instructies om alle interestbedragen naar beneden af te ronden naar twee decimalen. De fractie van elke naar beneden afgeronde cent dat overblijft wordt gestort op de rekening van de programmeur.

Economic espionage betreft de diefstal van informatie en intellectuele eigendom.

Cyber-extortion is de bedreiging van een bedrijf of persoon als een bepaald bedrag niet wordt betaald.

Cyber-bullying is het gebruik maken van computertechnologie om een ander persoon te benadelen.

Sexting is de uitwisseling van seksuele expliciete tekstberichten en foto’s met andere mensen door middel van een telefoon.

In het geval van Internet terrorism maken hackers gebruik van het internet om het elektronische verkeer te verstoren en om schade te brengen aan computers en communicaties, dit kan gezien worden als een soort van pesterij.

Internet misinformation is het gebruik maken van het internet om valse of misleidende informatie te verspreiden.

Fraudeurs verzenden ook e-mail threats, dit zijn bedreigingen die worden verstuurd per e-mail.

Bij internet auction fraud wordt gebruik gemaakt van een veilingsite om andere mensen te frauderen.

Internet pump-and-dump fraud is een methode waarbij gebruik wordt gemaakt van het internet om de prijs van een aandeel te doen laten stijgen om het vervolgens te verkopen. Zo verspreiden ze bijvoorbeeld extreem optimistische of valse informatie over het desbetreffende bedrijf.

Bedrijven die online adverteren kunnen in rekening worden gebracht voor elke klik op hun advertentie. Een gevaar hiervan is echter click fraud, de manipulatie van het aantal klikken op een advertentie. Bedrijven kunnen zo bijvoorbeeld de advertentiekosten van de concurrent flink ophogen, maar daarentegen kunnen webmasters, die krijgen betaald per klik, hun commissie ook flink verhogen.

Web cramming is de ontwikkeling van een gratis en waardeloze website, maar waarbij de telefoonkosten van de klanten die hebben toegestemd toch maandenlang in rekening worden gebracht, ook al heeft deze klant geannuleerd.

In het geval van software piracy wordt software gekopieerd zonder dat men hier toestemming voor heeft verkregen.

Social engineering

Social engineering is de misleiding van mensen met als doel het verkrijgen van onbevoegde toegang tot informatiebronnen. Enkele procedures kunnen ervoor zorgen dat de kans op social engineering afneemt: laat je nooit volgen door iemand in een gebouw, log nooit in voor iemand anders, geef nooit vertrouwelijke informatie per telefoon of e-mail, deel nooit je wachtwoorden of gebruikersidentiteit en wees voorzichtig met mensen die je niet kent en die toegang proberen te krijgen via jou.

Enkele problemen en technieken worden hieronder besproken.

Identity theft is het doorgaan voor iemand anders door gebruik te maken van andermans identiteit, meestal voor financiële doeleinden.

Bij pretexting wordt gebruik gemaakt van een verzonnen scenario om de kans te vergroten dat een slachtoffer informatie wil prijsgeven.

Posing is het creëren van een schijnbaar wetmatig bedrijf. Informatie kan worden verkregen bij de zogenaamde verkoop waarna het product nooit wordt geleverd.

Phishing is het versturen van een e-mail uit naam van een wettelijk bedrijf waarin informatie wordt opgevraagd. De verzamelde informatie wordt gebruikt voor identiteitsdiefstal of om de slachtoffer geld afhandig te maken.

Vishing (voice phishing) is een vorm van phishing waarbij vertrouwelijk informatie wordt afgeven over de telefoon.

Carding betreft de activiteiten die zijn uitgevoerd met behulp van een gestolen creditcard, bijvoorbeeld het kopen en verkopen van gestolen credit card nummers. Door een kleine online aankoop kan men bepalen of de kaart nog steeds geldig is.

Pharming is het omleiden van website verkeer naar een vervalste website. Dit kan ook bereikt worden door bijvoorbeeld het telefoonnummer te vervalsen.

Evil twin is een draadloos netwerk met dezelfde naam, op deze manier kan vertrouwelijke informatie afhandig worden gemaakt doordat men onbewust verbinding maakt met dit netwerk.

Bij typosquatting, ook wel URL hijacking genoemd, worden gelijknamige websites opgezet, zodat gebruikers die een tikfout maken bij het invoeren van de URL , worden omgeleid naar een ongeldige website.

Tabnapping betreft het veranderen van een reeds geopende, maar inactief browsertabblad. Fraudeurs kunnen vervolgens de inhoud van het inactieve tabblad veranderen zonder dat dit opvalt, de pagina wordt dus als het ware vervalst. Ingevoerde gegevens worden nu doorgestuurd naar de fraudeurs.

Scavenging of dumpster diving is het zoeken naar persoonlijke of bedrijfsmatige dossiers om zo onbevoegde toegang te verkrijgen op vertrouwelijke informatie. Methodes zijn het afzoeken van afvalbakken, gemeentelijke vuilnisbakken en stadstortplaatsen naar documenten met deze informatie.

Bij Shoulder surfing worden mensen geobserveerd wanneer ze bijvoorbeeld vertrouwelijke informatie invoeren.

In het geval van Lebanese looping wordt er een ijzerdraadje aangebracht in de gleuf van een geldmachine zodat de pinpas er niet meer uitkomt, door het aanbieden van zogenaamde hulp kan vervolgens de pincode worden verkregen.

Skimming is het kopiëren van de magneetstrip van creditcards, op deze manier worden de gegevens van de kaart verkregen.

Bij chipping doet men zich voor als een onderhoudsmonteur, waarbij een kleine chip wordt geplaatst in een geldautomaat. Deze chip registreert de transactiegegevens.

Eavesdropping is het observeren van spraaktransmissies of datatransmissies bedoeld voor iemand anders. Een manier om signalen te onderscheppen is met behulp van een afluisterapparaat.

Malware

Malware is software dat gebruikt kan worden om schade toe te brengen. Hieronder worden enkele vormen van deze software beschreven.

Spyware betreft software dat de computergewoonten controleert en vervolgens de data naar iemand anders verstuurd, vaak gebeurt dit zonder toestemming van de gebruiker.

Adware kan gezien worden als een softwareapplicatie dat advertenties laat verschijnen terwijl het draait, dit is dan vaak een proefversie. Adware is een vorm van spyware.

Scareware is software dat verkocht wordt door gebruik te maken van technieken die gebaseerd zijn op angst voor bepaalde dingen in de computerwereld, bijvoorbeeld een melding van een zogenaamde virusscanner.

Ransomware houdt in dat programma’s en data worden gecodeerd totdat er losgeld wordt betaald om het te verwijderen.

Bij Key logging software wordt er gebruik gemaakt van spyware om de toetsaanslagen van een computergebruiker te registreren, hiermee kunnen bijvoorbeeld wachtwoorden worden gestolen.

Een Trojan horse is een set van schadelijke computerinstructies die verborgen zitten in een programma, deze functie kan schade toebrengen aan de computergegevens van de gebruiker.

Logic bombs of time bombs zijn software dat inactief is totdat zich een bepaalde omstandigheid voordoet of een bepaald tijdstip wordt gepasseerd. Programma’s en data kunnen bij activering worden vernietigd.

Een Trap door is een achterdeur in een systeem die de normale systeemcontroles omzeilt.

Bij Packet sniffing kan het dataverkeer worden bekeken wanneer deze zich verplaatst over het internet of andere netwerken.

Steganography programs zijn programma’s die de data van een bestand verbergen in een hostbestand, zoals een afbeelding of een muziekbestand. Op deze manier worden verborgen berichten verzonden die geen aandacht trekken.

Bij Superzapping wordt gebruik gemaakt van speciale software om systeemcontroles te omzeilen en illegale activiteiten uit te voeren.

Een Virus is een code die zich hecht aan software en zichzelf vermenigvuldigt. Tijdens deze vermenigvuldiging verspreid de virus zich naar andere systemen.

Bluesnarfing is het stelen van contactlijsten, afbeeldingen en andere data met behulp van bluethooth.

Bluebugging is het uitoefenen van controle over andermans telefoon om te kunnen bellen, om tekstberichten te versturen, om oproepen te beluisteren of om tekstberichten te lezen.

Hoofdstuk 7: Controle en AISs

Waarom nemen bedreigingen rondom Accounting Information Systems toe? De meeste organisaties ervaren gebreken in de controle van de veiligheid en integriteit van hun computersysteem. Een reden voor deze tekortkoming is dat informatie beschikbaar is voor een ongekend aantal werknemers, een andere reden is dat informatie, verdeeld over verschillende computernetwerken, moeilijk te controleren is en verder hebben alle klanten en leveranciers toegang tot elkaars systeem en data. Dat bedrijven er vaak niet alles aan lijken te doen om hun data te beschermen heeft ook zo zijn redenen: sommige bedrijven zien het verlies van cruciale informatie als een onwaarschijnlijke bedreiging. De overgang van gecentraliseerde computersystemen naar op internet gebaseerde systemen vereist een ander soort controle, die niet altijd bekend is. Veel bedrijven realiseren zich niet dat informatie een strategische bron is die beschermd moet worden. Controle vergt veel productiviteit en brengt extra kosten met zich mee.

Elke potentiële negatieve of ongewenste gebeurtenis wordt een threat, oftwel bedreiging genoemd. Het potentiële verlies, wanneer de bedreiging werkelijkheid wordt, wordt de impact of exposure genoemd. Ten slotte, de kans dat zo’n bedreiging werkelijkheid wordt, wordt de likelihood genoemd.

Controle-begrippen

Internal controls zijn de controles binnen een bedrijf met als doel dat informatie correct wordt verwerkt. Interne controlesystemen hebben ook beperkingen, zoals gevoeligheid voor eenvoudige fouten en vergissingen, foutieve beslissingen en besluitvorming, ‘management overrides’ en samenspanning.

Het ontwikkelen van een interne controlesysteem vereist een grondige kennis ten aanzien van de mogelijkheden en risico’s van information technology (IT).

Internal controls hebben drie belangrijke functies:

1. Preventive controls: detecteren problemen voordat ze ontstaan, bijv. door het inhuren van gekwalificeerd personeel.

2. Detective controls: het ontdekken van problemen die niet zijn voorkomen, bijv. het narekenen van berekeningen.

3. Corrective controls: zowel het identificeren als corrigeren van problemen en de daaruit voortvloeiende fouten.

Internal control worden vaak ingedeeld in twee categorieën:

1. General controls: controles die zorgen voor een stabiele omgeving wat betreft de controle in een onderneming en het informatiesysteem, zoals bijvoorbeeld de veiligheid en de IT infrastructuur.

2. Application controls: controles die transactiefouten en fraude in toepassingsprogramma’s voorkomen, detecteren en corrigeren.

Robert Simons onderkende vier soorten controlelevels die een onderneming helpt het conflict tussen creativiteit en controle te doen overeenstemmen:

• Belief system: een zakelijke houding bijgebracht door het hogere management die de kernwaarden van de onderneming proberen over te brengen op de werknemers, met als doel dat deze werknemers deze waarden nastreven. Een belief system richt zijn aandacht op de manier waarop de organisatie waarde creëert en werknemers helpt te begrijpen welke richting het management op wilt.

• Boundary system: een system dat werknemers helpt om ethisch te handelen door het stellen van grenzen die een werknemer niet mag overschrijden. Werknemers mogen handelen zolang ze maar binnen bepaalde maatstaven blijven, zoals het voldoen aan een minimum prestatienorm, het vermeiden van verboden activiteiten en het negeren van handelswijzen die de reputatie van de onderneming zouden kunnen aantasten.

• Diagnostic control system: een systeem van prestatiemeting dat de werkelijke prestatie vergelijkt met de beoogde prestatie.

• Interactive control system: een systeem dat managers helpt om de aandacht van de ondergeschikten te richten op belangrijke strategische kwesties en ze meer te betrekken bij beslissingen. Informatie wordt besproken tijdens ‘face-to-face’ vergaderingen met iedereen uit de organisatie.

In 1977 werd de Foreign Corrupt Practices Act (FCPA) aangenomen om te voorkomen dat bedrijven buitenlandse functionarissen omkochten om bepaalde zaken gedaan te krijgen. Deze wetgeving vereist dat alle beursgenoteerde bedrijven redelijk gedetailleerde documentatie bijhouden en beschikken over een systeem van interne controle.

Toch kwamen er steeds nieuwe gevallen van fraude aan het licht, met als gevolg de oprichting van de Sarbanes-Oxley Act (SOX) in 2002. Betrekking hebbende op beursgenoteerde bedrijven met als doel het voorkomen van fraude in financiële verslagen d.m.v. transparantie in financiële rapporten, het bieden van bescherming voor investeerders, de interne controle van beursgenoteerde bedrijven aanscherpen en het bestraffen van managers die fraude plegen.

Enkele andere aspecten van de SOX zijn: nieuwe regels voor controleurs en het management, nieuwe rollen voor het ‘audit committee’ en nieuwe eisen wat betreft de interne controle. Ten slotte zorgde de SOX voor oprichting van de Public Company Accounting Oversight Board (PCAOB). Een bestuur bestaande uit vijf leden die het controleberoep controleert.

Drie verschillende frameworks

Deze paragraaf bespreekt drie frameworks die gebruikt worden bij het ontwikkelen van interne controlesystemen.

De allereerste betreft de Control Objectives for Information and Related Technology (COBIT) framework: COBIT is een framework voor het gestructureerd inrichten en beoordelen van een IT-omgeving. Het stelt managers in staat om verschillende veiligheids –en controlepraktijken van de IT-omgeving te vergelijken (benchmarken). Verder verzekert het de gebruikers ervan dat er adequate IT veiligheid en controle bestaat en het staat controleurs toe om hun interne controle adviezen te onderbouwen en te adviseren over IT-beveiliging en zaken wat betreft de controle.

De controle in dit framework wordt vanuit drie invalshoeken bekeken:

1. Business objectives: om te voldoen aan de doelstelling van een onderneming, moet informatie voldoen aan 7 criteriacategorieën.

2. IT resources: mensen, applicatiesystemen, technologie, faciliteiten en data.

3. IT processes: onderverdeeld in vier domeinen: plannen en organiseren, aanschaf en implementatie, levering en ondersteuning en controle en evaluatie.

De COBIT framework wordt in hoofdstuk 8 nader besproken.

Een tweede framework is het Committee of Sponsoring Organizations (COSO). Dit is een managementmodel, bestaande uit een aantal private organisaties: ‘American Accounting Association’, ‘American Institute of Certified Public Accountants’, ‘Insitute of Internal Auditors’, ‘Institute of Management Accountants’, ‘Financial Executives Institute’.

In 1992 heeft het comité aanbevelingen gedaan en richtlijnen aangegeven ten aanzien van de interne controle en beheersing: de Internal Control – Integrated Framework (IC). Vijf componenten van het IC framework zijn:

• Interne omgeving

• Controle activiteiten

• risicobeoordeling

• informatie en communicatie

• controleren

Bovenstaande componenten behoren tot het nieuwere model van COSO: het Risk Management – Integrated Framework (ERM). Een model breder dan het oudere model, en richt zich op het gehele interne beheerssyteem. Enkele basiselementen van ERM zijn: bedrijven zijn gevormd om waarde te creëren voor zijn gebruikers; het management moet beslissen hoeveel onzekerheid het wil toelaten indien het waarde creëert, onzekerheid resulteert in risico’s, met als gevolg dat iets negatiefs de mogelijkheid van een onderneming om waarde te creëren of te behouden aantast; onzekerheid resulteert in kansen, de mogelijkheid dat iets positiefs de mogelijkheid van een onderneming om waarde te creëren of te behouden aantast; de ERM framework kan zowel onzekerheid beheren als het creëren en behouden van waarde.

Het ERM framework is uitgebreider dan het IC framework, en richt zich meer op een aanpak die zich richt op risico dan op een aanpak gebaseerd op controle. Het voegt drie extra elementen toe aan het COSO model:

1. vaststellen van doelstellingen

2. Identificeren van gebeurtenissen

3. Risicobeheersing (reactie)

De interne omgeving

De Internal environment is de cultuur van een onderneming dat helpt bij het bepalen van het risicobewustzijn van werknemers. Het is de fundering voor alle ander ERM componenten. Een internal environment bestaat uit:

1. filosofie, werkwijze en risk appetite

2. de raad van bestuur

3. streven naar integriteit, ethische waarden en competentie

4. organisatiestructuur

5. toewijzing van autoriteit en verantwoordelijkheid

6. ‘human resource’ standaarden

7. externe invloeden

Filosofie, werkwijze en risk appetite

Elke organisatie heeft zijn eigen filosofie, gedeelde overtuigingen en opvattingen ten aanzien van bijvoorbeeld risico’s, procedures, communicatie en besluitvorming. Ondernemingen hebben ook een risk appetite: de hoeveelheid risico die men wil accepteren om bepaalde doelstellingen te behalen. Des te meer verantwoord de filosofie en de werkwijze, en hoe beter deze zijn gecommuniceerd, hoe groter de kans dat werknemers zich verantwoordelijk zullen gedragen.

De raad van bestuur

Een betrokken raad van bestuur vertegenwoordigt aandeelhouders en biedt een onafhankelijk oordeel van het management. Beursgenoteerde bedrijven zijn verplicht tot een audit committee: een comité dat verantwoordelijk is voor de toezicht op de interne controle, het proces van financiële verslaggeving en voor overeenstemming met wetten en regels. Het comité bestaat meestal uit buitenstaanders

Streven naar integriteit, ethische waarden en competentie

Integriteit begint aan de top, wanneer werknemers de opvattingen van het management overnemen wat betreft risico’s en controle. Bedrijven steunen integriteit o.a. door actieve onderwijzing, het vermijden van onrealistische verwachtingen of prikkels die oneerlijk en illegaal gedrag motiveren, het consequent belonen van eerlijk gedrag, het ontwikkelen van een schriftelijke gedragscode, werknemers opleggen om oneerlijke of illegale gedragingen te melden en het maken van een verbintenis tot competentie (deskundigheid/ vakbekwaamheid).

Organisatiestructuur

Een organisatiestructuur biedt een raamwerk voor plannen, uitvoeren, controleren en bewaken van activiteiten. Enkele aspecten van een organisatiestructuur zijn bijvoorbeeld: centralisatie of decentralisatie van autoriteit of een directe of indirecte (matrix) rapportering. Het gaat hierbij om de keuzes die een onderneming maakt met betrekking tot bepaalde kwesties.

Toewijzing van autoriteit en verantwoordelijkheid

Autoriteit en verantwoordelijkheid worden toegewezen d.m.v. formele functiebeschrijvingen, training, dienstregelingen, budgets, gedragscodes en schriftelijke beleidslijnen en procedures. De policy and procedures manual beschrijft de correcte gang van zaken, beschrijft de benodigde kennis en ervaring, verklaart procedures, legt uit hoe transacties geregeld moeten worden en vormt een opsomming van de middelen die nodig zijn voor de uitvoering van bepaalde taken.

‘Human resource’ standaarden

‘Human resource’ beleid kan effectief zijn bij het bevorderen van eerlijkheid, efficiëntie en loyale service. Het beleid moet deskundigheid, competentie, ethisch gedrag en integriteit nastreven. Hierbij zijn de volgende beleidsregels en procedures van belang:

1. aannemen van personeel: kandidaat kwalificaties kunnen geëvalueerd worden door het bekijken van ieders cv, met behulp van referenties, interviews en background checks: het praten met referenties, controleren op een strafblad, krediet-onderzoek en het controleren van onderwijs en werkervaring.

2. Compenseren, evalueren en promoveren

3. Training

4. Het managen van ontevreden werknemers

5. Ontslaan

6. Vakanties en wisseling van taak: fraude dat de constante aandacht van de fraudeur vereist, zal worden ontdekt zodra de fraudeur vrije tijd neemt.

7. Geheimhoudingsovereenkomsten en ‘fidelity bond insurance’: ‘fidelity bond insurance’ beschermt bedrijven tegen de verliezen van fraude.

8. Vervolgen en opsluiten van fraudeplegers: vaak wordt fraude niet gerapporteerd of vervolgd. Dit heeft verschillende redenen: fraude kan een ramp betekenen voor publieke relaties of het kan zwakke plekken in het systeem onthullen die nog meer fraude kunnen uitlokken; rechtbanken hebben het vaak druk met gewelddadige misdaden, en hebben minder aandacht voor ‘computermisdaden’ omdat daar geen lichamelijk letsel op van toepassing is; fraude is moeilijke, kostbaar en tijdrovend om te onderzoeken en te vervolgen; veel wetshandhavers, advocaten en rechters beschikken niet over de benodigde computervaardigheden om computermisdaden te onderzoeken en te vervolgen; de straffen voor fraude zijn vaak laag.

Externe invloeden

Externe invloeden zijn bijvoorbeeld opgelegde verplichtingen met betrekking tot aandelenuitgifte, de ‘Financial Accounting Standards Board (FASB)’, de ‘Public Company Accounting Oversight Board (PCAOB)’, en de ‘Securities and Exchange Commission (SEC)’. Andere externe invloeden zijn vereisten opgesteld door regelgevende instanties, zoals banken, nutsbedrijven en verzekeringsmaatschappijen.

Vaststellen van doelstellingen

Een onderneming kent verschillende soorten doelen. Strategic objectives zijn ‘high-level’ doelen die afgestemd zijn op de missie van een organisatie en die deze missie ondersteunen. Operations objectives zijn doelen die zich bezighouden met de effectiviteit en efficiëntie van de bedrijfsuitoefening. Reporting objectives zijn doelen die de nauwkeurigheid, de compleetheid en de betrouwbaarheid van interne en externe bedrijfsrapporten verzekeren, van zowel financiële als niet-financiële aard.. En tot slot, Compliance objectives zijn doelen die de onderneming helpt te voldoen aan bepaalde wetten en regelgeving.

Identificeren van gebeurtenissen

Een event is een gebeurtenis afkomstig van interne of externe bronnen, die de uitvoering van een strategie of het nastreven van doelen beïnvloedt. Events kunnen zowel negatief als positief zijn. Het management moet proberen om vooraf zowel alle negatieve als positieve gebeurtenissen in te schatten.

Risicobeoordeling en Risicobeheersing

Inherent risk bestaat voordat het management stappen heeft genomen om de kans en de impact van een gebeurtenis te beheersen. Residual risk is datgene wat overblijft nadat het management interne controle heeft uitgevoerd of een ander soort van reactie. Ondernemingen moeten de inherent risk beoordelen, vervolgens moeten ze een reactie daarop ontwikkelen en ten slotte moeten ze de residual risk beoordelen. Het management kan op vier verschillende manieren reageren op risico:

1. Reduceren: het terugdringen van de kans en de impact van risico, door het verwezenlijken van een effectief intern controlesysteem.

2. Accepteren: het accepteren van de kans en de impact van risico. Risico kan geaccepteerd worden als het binnen het risico tolerantiebereik ligt, bijvoorbeeld een risico met een kleine kans en een kleine impact.

3. Delen: het delen van risico of de risico overdragen door bijvoorbeeld verzekering of uitbesteding.

4. Vermijden: het vermijden van risico door niet die activiteiten te verrichten die extra risico meebrengen.

De kans en impact van risico moeten samen worden gezien in samenhang. De kans kan heel klein zijn, echter de impact heel groot.

Een goed intern controlesysteem bevat zowel ‘preventive controls’, ‘detective controls’ en ‘corrective controls’ (herstel van problemen).

De voordelen van een interne controle procedure moeten de kosten overtreffen. Kosten zijn hierbij vaak beter te meten dan de voordelen (klanttevredenheid, toegenomen verkoop en productiviteit). Een manier om de waarde van interne controle te berekenen omvat het concept expected loss: het wiskundige product van impact en kans.

Expected loss = impact X likelihood

De waarde van een controle procedure is vervolgens het verschil tussen de expected loss met de controle procedures en de expected loss zonder deze controle procedures.

Controle activiteiten

Control activities is het beleid en de procedures die redelijke zekerheid bieden dat controle doelstelling worden gehaald en dat de reacties op risico’s worden uitgevoerd. Controles zijn een stuk effectiever wanneer ze in het systeem worden opgenomen wanneer deze wordt gebouwd, in plaats van daarna. Het is belangrijk dat de controle activiteiten worden opgenomen in het systeem voor het einde van het jaar, tijdens de vakantieperiode. In deze periode komt de meeste fraude voor (vanwege de vakantie zijn er minder mensen op de werkvloer, studenten hebben ook vakantie en hebben meer tijd, aanvallen van hackers nemen toe).

Controle procedures worden ondergeschikt in de volgende categorieën:

1. Autorisatie van transacties en activiteiten.

2. Scheiding van taken.

3. Projectontwikkeling en ‘acquisitie’ controles

4. Change management controles

5. Ontwikkeling en gebruik van documenten en gegevens

6. Veilig stellen van activa en gegevens

7. Onafhankelijke prestatiecontroles

Autorisatie van transacties en activiteiten

Het management heeft niet de tijd om elke activiteit en beslissing te controleren. Daarom maakt men gebruik van authorization: het verlenen van macht aan een werknemer om bepaalde functies uit te voeren namens de onderneming. Werknemers die worden toegestaan om routine transacties te verrichten zonder speciale toestemming hebben general authorization. Een werknemer die toestemming nodig heeft voor een bepaalde transactie verkrijgt specific authorization.

Computersystemen kunnen gebruik maken van digital signatures: een manier om een document te ondertekenen met gegevens die niet kunnen worden vergeten.

Scheiding van functies

Een goede interne controle vereist dat er niet aan één bepaalde werknemer teveel verantwoordelijkheid wordt gegeven, dit kan namelijk een situatie creëren waarin men de mogelijkheid heeft om fraude te plegen.

De scheiding van functies kan worden opgesplitst in segregation of accounting duties en segregation of system duties.

Segregation of accounting duties wordt bereikt wanneer de volgende functies worden gescheiden:

1. Authorization: goedkeuring van transacties en beslissingen

2. Recording: opstellen van source documents; invoeren van data in online systemen; onderhouden van journals, ledgers, files of databases; opstellen van prestatierapporten.

3. Custody: beheer van geld, gereedschap, voorraad of vaste activa; ontvangen van binnenkomende cheques; uitschrijven van cheques.

Zodra iemand twee van bovenstaande activiteiten samen uitvoert, kan dat problemen opleveren.

Het detecteren van fraude waarbij twee of meer mensen samenwerken om de interne controle te dwarsbomen (collusion), is een stuk lastiger.

Segregation of systems duties heeft als doel het voorkomen dat één bepaalde persoon niet onbeperkte toegang heeft tot het gehele systeem. Dit wordt bereikt door het onderscheiden van onderstaande functies:

• ‘System administration’: system administrators zorgen ervoor dat alle informatie systeem elementen probleemloos en efficiënt werken.

• ‘Network management’: network managers zorgen ervoor dat apparatuur wordt gekoppeld aan de interne en externe netwerken van de organisatie en dat deze netwerken goed functioneren.

• Security management: het management dat ervoor zorgt dat de systemen veilig zijn en worden beschermd tegen interne en externe bedreigingen.

• Change management: het proces dat ervoor zorgt dat veranderingen soepel en efficiënt verlopen en dat deze veranderingen de betrouwbaarheid, de veiligheid, de vertrouwelijkheid, de integriteit en de beschikbaarheid van het systeem niet negatief beïnvloeden.

• ‘users’: gebruikers registeren transacties, keuren de te verwerken gegevens goed en maken gebruikt van systeem output.

• ‘system analysis’: system analysts helpen gebruikers bij het bepalen van de informatie die zij nodig hebben en ontwerpen een systeem om aan die behoeften te voldoen.

• ‘programming’: programmers maken gebruik van het ontwerp van de system analysts en ontwikkelen een systeem door het ontwikkelen van computer programma’s.

• ‘computer operations’: computer operators zorgen ervoor dat de software draait op de computers van het bedrijf. Ze zorgen ervoor dat data goed wordt ingevoerd, dat data goed wordt verwerkt en dat er output wordt geproduceerd wanneer dat nodig is.

• Information system library: een verzameling van databases, bestanden en programma’s opgeslagen in een afzonderlijke opslagruimte.

• ‘data control’: een data control group zorgt ervoor dat basisgegevens (‘source data’) worden goedgekeurd, ze controleren het werk met behulp van de computer, ze combineren de input en de output, ze houden een rapport bij van invoerfouten zodat deze gecorrigeerd kunnen worden en opnieuw kunnen worden ingevoerd en ze distribueren systeem output.

Projectontwikkeling en ‘acquisitie’ controles

Belangrijk systeemontwikkelingen controles zijn:

1. steering committe: een uitvoerend comité dat zich bezighoudt met het plannen en toezicht houden op de functies van het informatiesysteem. Het comité bestaat meestal uit management van de systeemafdeling, de controleur en ander management dat beïnvloed wordt door de functies van het informatiesysteem.

2. Strategic master plan: een meerjarenplan van een organisatie dat dient als een technologische stappenplan/draaiboek en dat belicht welke projecten de onderneming moet voltooien om zijn doelstellingen op lange termijn te behalen.

3. Project development plan: een document dat laat zien hoe een project zal worden voltooid. Er moeten vragen beantwoord worden zoals: welke taken moeten worden uitgevoerd? Wie zal deze taken uitvoeren? Wanneer moet het project klaar zijn? Wat zijn de kosten met betrekking tot het project? Een ander onderdeel hiervan zijn project milestones: belangrijke momenten waar vooruitgang wordt beoordeeld en feitelijke en geschatte tijden van voltooiing met elkaar worden vergeleken.

4. Data processing schedule: een schema dat laat zien wanneer elke taak moet worden uitgevoerd.

5. System performance measurements: metingen die als doel hebben om een systeem te evalueren en te beoordelen. Belangrijke meetinstrumenten zijn bijvoorbeeld de throughput (output per tijdseenheid), utilization (tijdspercentage dat een systeem productief wordt gebruikt) en de response time (hoe lang duurt het voordat een systeem reageert).

6. Post-implementation review: een beoordeling nadat een nieuw systeem enige tijd heeft geopereerd. Het doel hiervan is om er zeker van te zijn dat het nieuwe systeem voldoet aan de geplande doelstellingen en verwachtingen.

Sommige ondernemingen huren een systems integrator: een persoon of bedrijf die ervoor zorgt dat verschillende subsystemen een eenheid vormen en samen functioneren. De voornaamste taak is systeemintegratie. Bedrijven die gebruik maken van systems integratos moeten gebruik maken van dezelfde processen en controles als interne projecten, maar ter aanvulling moeten ze duidelijke specificaties ontwikkelen en moeten ze toezicht houden op het project.

Change management controles

Dit onderdeel wordt besproken in hoofdstuk 10.

Ontwikkeling en gebruik van documenten en gegevens

De juiste vormgeving en het juiste gebruik van elektronische en papieren documenten zorgt voor een bijdrage aan nauwkeurige en volledige registratie van alle relevante transactiedata.

Hun vorm en inhoud moet bijvoorbeeld zo simpel mogelijk worden gehouden en een minimum aantal fouten bevatten.

Veilig stellen van activa records en gegevens

Niet alleen moet de informatie beschermd worden, ook geld en activa moet beschermd worden. Belangrijk hierbij is om een passend beleid en procedure na te streven, om een nauwkeurige registratie van alle activa bij te houden, om beperkingen op te leggen met betrekking tot de toegang tot activa en om de gegevens en documenten goed te beschermen (bijv. vuurbestendige opslagplaatsen, maken van back-ups).

Onafhankelijke prestatiecontroles

Onafhankelijke controles, uitgevoerd door een buitenstaander, dragen bij aan de nauwkeurigheid van de verwerking van bijvoorbeeld transacties. Ze omvatten de volgende:

1. ‘top-level reviews’: het management moet de bedrijfsresultaten controleren en vergelijken met de gebudgetteerde prestaties, met de prestaties van voorgaande periode en met de prestaties van concurrenten.

2. Analytical review: een onderzoek naar de relaties tussen verschillende datasets (een stijging van verkoop op krediet leidt tot een stijging in de debiteurenpost).

3. Het combineren van onafhankelijke records.

4. Vergelijken van werkelijke hoeveelheden met geregistreerde hoeveelheden.

5. ‘double-entry accounting’ (dubbel boekhouden).

6. Onafhankelijke beoordeling: nadat een transactie is verwerkt, zal een tweede persoon het werk van de eerste persoon beoordelen.

Informatie en communicatie

Informatie en communicatie zijn een belangrijk component in zowel het ERM model als in een AIS. Communicatie behoort ook tot een hoofddoel van een AIS: verkrijgen, registreren, verwerken, opslaan, samenvatten en communiceren van informatie.

Een audit trail is een pad waardoor de verwerkingsresultaten van een transactie kunnen worden getraceerd vanaf het beginpunt tot de uiteindelijke output of andersom.

Controleren

Belangrijke methodes voor het controleren van prestaties zijn:

• Uitvoeren van ERM evaluaties.

• Toepassen van effectieve toezicht.

• Gebruik maken van verantwoordelijke accountingsystemen.

• Volgen van aangeschafte software and mobiele apparaten.

• Verrichten van periodieke controles.

• Inhuren van een Computer Security Officer (CSO) en een Chief Compliance Officer (CCO).

• Inhuren van forensic specialists.

• Installeren van software dat fraude detecteert.

• Invoeren van een fraude hotline.

Hoofdstuk 8: Controle van informatie

De COSO en COSO-ERM frameworks besteden veel aandacht aan interne controles, maar besteden niet genoeg aandacht aan de controle van informatietechnologie. De COBIT Framework doet dit wel. Doel is om het management te voorzien van informatie dat voldoet aan zeven criteria: effectiviteit, efficiency, vertrouwelijkheid, integriteit, beschikbaarheid, overeenstemming (interne politiek/externe wet- en regelgeving), betrouwbaarheid.

COBIT refereert naar verschillende domeinen, vier basis activiteiten, die bovenstaande criteria moeten verwezenlijken:

• ‘Plan and Organize (PO)’

• ‘Acquire and Implement (AI)’

• ‘Deliver and Support (DS)’

• ‘Monitor and Evaluate (ME)’

COBIT bestaat uit 34 processen verdeeld onder bovenstaande domeinen met 210 controles. Deze volledigheid is een van de krachten van COBIT. Sommigen zijn echter alleen geïnteresseerd in een enkel aspect van COBIT. De ´Trust Services framework’ verdeelde informatiesysteem controles onder in vijf categorieën, die het meest bijdragen aan betrouwbaarheid van het systeem: veiligheid, vertrouwelijkheid, privacy, verwerking van integriteit, beschikbaarheid. Dit framework is geen substituut voor COBIT, omdat het slechts een klein onderdeel is van COBIT.

Veiligheid is een fundering voor systeembetrouwbaarheid. Hoewel veiligheid een complex technisch onderwerp betreft, is het toch voornamelijk een management probleem en niet een informatietechnologie probleem.

Het idee van een defense-in-depth is om meerdere controle- lagen te introduceren met als doel het vermijden van één enkele stroring. Als een controle mislukt, kan een andere controle wel goed functioneren. Het doel van een time-based model of security is om een combinatie van detective en corrective controls aan te houden die een informatie beveiligingsincident vroeg genoeg identificeren, waardoor het verlies van informatie kan worden voorkomen. Dit doel kan uitgedrukt worden met behulp van een formule:

P = de tijd dat het duurt voordat een hacker door de preventive controls van een organisatie breekt.

D = de tijd dat het duurt voordat een aanval wordt gedetecteerd.

C = de tijd dat het duurt om op de aanval te reageren.

Als P > D + C, dan is de veiligheidsprocedure van een bedrijf effectief. Echter, een probleem is dat bovenstaande variabelen moeilijk meetbaar zijn in de praktijk. En mocht er wel een betrouwbare meting mogelijk zijn, nieuwe IT ontwikkelingen kunnen de validiteit van deze metingen weer teniet doen.

Basisstappen van hackers

De basisstappen die criminelen toepassen om een informatiesysteem aan te vallen, zijn als volgt:

1. Verkenning: het nauwkeurig bestuderen van het doel.

2. Social engineering: misleiding met als doel het verkrijgen van onbevoegde toegang tot informatiebronnen. Vaak wordt deze toegang verkregen door het misleiden van een werknemer. Een aanval bekend als ‘spear phishing’ houdt in dat men e-mails stuurt zogenaamd vanuit iemand die het slachtoffer kent. De ‘spear phishing e-mail’ vraagt het slachtoffer op een link te klikken dat een Trojaans paard bevat, hierdoor krijgt de hacker toegang tot het systeem.

3. Het scannen en in kaart brengen van het doel.

4. Onderzoek: het vinden van zwakke plekken in bovenstaand doel.

5. Uitvoeren van de aanval.

6. Wissen van sporen.

Preventive controls

Voorbeelden van preventive controls zijn:

1. Training: werknemers moeten bijvoorbeeld leren wat piggybacking inhoudt. Piggybacking komt zowel voor bij de hoofdingang als binnen in een gebouw, en betekent dat men die geen toegang heeft tot deze ruimtes toch binnen weet te komen. Men vindt het namelijk onbeleefd om de deur achter iemand te sluiten.

2. Controle op gebruikerstoegang: authentication en authorization.

3. Controle op fysieke toegang: sloten, bewakers.

4. Controle op netwerktoegang: firewalls

5. Apparaat en software controle

Controle op gebruikerstoegang

Er zijn twee gerelateerde typen controles die betrekking hebben op de gebruikerstoegang: authentication en authorization. Authentication is het controleren van ieders identiteit die zichzelf toegang probeert te verschaffen tot het systeem. Deze controle heeft ook betrekking op apparaten. Er zijn drie soorten controles uit te voeren:

• • ‘Something they know’: wachtwoorden, persoonlijk identificatienummer.

  • ‘Something they have’: ID-kaart.

  • Biometric identifier: unieke persoonlijke kenmerken zoals vingerafdrukken, stempatronen of netvlies afdrukken.

Geen van bovenstaande methodes zijn echter onfeilbaar, een proces dat multifactor authentication wordt genoemd wordt daarom als zeer effectief beschouwd. Hierbij wordt gebruik gemaakt van meerdere authenticatiemethodes. Bij multimodal authentication wordt gebruik gemaakt van meerdere soorten legitimatiegegevens van dezelfde soort controle.

Authorization controls worden meestal uitgevoerd met behulp van een access control matrix: een intern bijgehouden tabel dat aangeeft tot welke delen van het systeem gebruikers toegang hebben en welke bijbehorende acties moeten worden uitgevoerd. Wanneer iemand dan toegang tot een bepaalde informatiebron probeert te verschaffen voert het systeem een compatability test uit, waarmee bepaalt wordt of deze persoon geautoriseerd is tot deze toegang. De computer koppelt de authenticatie gegevens van deze zelfde persoon met de access control matrix om te bepalen of men toegang dient te hebben tot deze bron.

Controle op netwerktoegang

Een border router is een apparaat dat een informatiesysteem verbindt met het internet. Achter de border router treft men de firewall, een combinatie van veiligheidsregels dat buitenstaanders ervan moet weerhouden om in te breken in de databases en e-mails van een organisatie. Een demilitarized zone (DMZ) plaatst de webservers en e-mail servers van een onderneming in een apart netwerk dat zich bevindt buiten het bedrijfsnetwerk maar toegankelijk is via het internet. Deze computers communiceren met de buitenwereld.

Informatie bereikt het internet en interne locale netwerken in de vorm van pakketten. Documenten worden dus eerst verdeeld in pakketten, vervolgens worden deze pakketten verstuurd naar hun bestemming. Het apparaat dat de pakketjes ontvangt moet deze dus weer in elkaar zetten om het originele document te verkrijgen. Het Transmission Control Protocol (TCP) specificeert de procedures voor het verdelen van bestanden in pakketten en de methodes voor het hermonteren van het originele document of bestand op plaats van bestemming. Het Internet protocol (IP) specificeert de structuur van de pakketten en de manier waarop deze verzonden worden naar de juiste bestemming. Ieder IP pakket bestaat uit twee delen: een ‘header’ en een ‘body’. De ‘header’ bevat zowel de herkomst en bestemming van het pakketje, als de informatie over het type data dat de ‘body’ bevat. Routers lezen het bestemmingsadres in de ‘headers’ om te bepalen waar het pakket vervolgens heen moet worden gestuurd.

Een aantal regels, een access control list (ACL) genoemd, bepaalt welke pakketjes worden toegestaan en welke worden geloosd. Elk pakketje dat niet wordt geloosd, wordt aan een firewall onderworpen. Static packet filtering scant een IP pakket enkel op de inhoud van de bron -en het bestemmingsadres.

Firewalls gebruiken een meer geavanceerde techniek dan (border) routers. De meeste firewalls gebruiken bijvoorbeeld stateful packet filtering: ontwikkelt en onderhoudt een tabel van alle connecties tussen de computers binnen de organisatie en het internet. De firewall raadpleegt vervolgens dit tabel om te bepalen of een binnenkomend pakket onderdeel uitmaakt van een voordurende communicatie geïnitieerd door een intern computernetwerk. Echter de effectiviteit van dit systeem is beperkt. Mail waarvan het IP adres niet op de lijst van onacceptabele afzenders staat of waarvan de afzender de echte bron probeert te verbergen, kan toegang aan worden verleend.

Een proces waarbij ook de data-inhoud van een pakket wordt gecontroleerd wordt deep packet inspection genoemd. Dit vergt wel extra tijd en moeite. Dit laatste proces is de kern van een nieuw type veiligheidstechnologie genaamd intrusion prevention systems (IPS), dat patronen in de ‘verkeersstroom’ controleert, in plaats van het controleren van een individueel pakket, om zo aanvallen te identificeren en automatisch te blokkeren. IPSs maken gebruik van verschillende technieken om ongewenste patronen te ontdekken. Het systeem wordt nog niet gezien als vervanging voor de huidige firewall, maar als een handige aanvulling.

De meeste organisaties maken allereerst gebruik van border routers om de overduidelijke slechte pakketjes eruit te filteren, vervolgens sturen ze de rest naar de firewall, die gebruik maakt van stateful packet filtering of deep packet inspection. De IPS controleert dan het verkeer dat de firewall heeft gepasseerd met als doel het identificeren en blokkeren van verdachte patronen die kunnen wijzen op een mogelijke aanval.

De Remote Authentication Dial-In User Service (RADIUS) is een standaard methode om de identiciteit van gebruiker te controleren die een poging doen om ‘dial-in access’ te verkrijgen (netwerktoegang). Dial-in access is het verbinden van een apparaat met een netwerk via een modem. Een gebruiker maakt verbinding met een ‘Remote Access Server (RAS)’ (inbelserver) en gebruikt vervolgens log-in gegevens om zich aan te melden. De RAS-server stuurt deze gegevens door naar de RADIUS server, die de identificatie controleert. Pas na controle kan toegang worden verschaft. Een probleem is dat modems goedkoop en makkelijk te installeren zijn, waardoor werknemers zelfstandig modems gaan installeren, die een makkelijke toegang geven voor hackers. Een efficiënte manier om dit soort modems te ontdekken is door gebruik te maken van war dialing software, dat elk telefoonnummer belt, die in verbinding lijkt te staan met de organisatie, om te identificeren welke er zijn aangesloten met een modem.

In het boek staan nog een paar veiligheidsprocedures beschreven die van toepassing zijn als gebruik wordt gemaakt van een draadloos netwerk.

Apparaat en software controle

Endpoints is de collectieve term voor werkstations, servers, printers en andere apparaten die de netwerk van een organisatie omvatten. Drie specifieke onderwerpen zijn hier van belang:

1. Endpoint configuratie: endpoints kunnen veiliger gemaakt worden door het wijzigen van hun standaardconfiguraties. Elke programma dat in gebruik is bevat gebreken, vulnerabilities. Elk optioneel programma dat niet wordt gebruikt moet daarom worden uitgeschakeld. Vulnerability scanners kunnen gebruikt worden om ongebruikte, en dus nutteloze programma’s te identificeren die potentiële veiligheidsbedreigingen bevatten. Dit proces, waarbij onnodige functies worden uitgeschakeld wordt hardening genoemd.

2. ‘User account management’:Het managen van alle gebruikersaccounts. Accounts met administratieve rechten, zijn de belangrijkste doelen voor hackers. Veel vulnerabilities hebben namelijk alleen invloed op deze accounts. Daarom moeten werknemers die administratieve rechten hebben naast dit account ook een account hebben met beperkte rechten.

3. Software ontwerp: hackers nemen steeds vaker als doelwit kwetsbaarheden in toepassingsprogramma’s. De meeste programma’s maken bijvoorbeeld gebruik van een buffer, om gebruikersinput zoals naam- en adresgegevens te onthouden. Echter, als het programma niet met zorg aandacht besteedt aan de grootte van de ingevoerde data, dan kan een hacker de buffer doen laten overlopen door het invoeren van grote hoeveelheden data.

Detective controls

Er zijn vier soorten detective controls:

1. Log analysis: het onderzoeken van ‘logboeken’ om bewijs te ontdekken van mogelijke aanvallen. Het is vooral belangrijk om logboeken te analyseren van mislukte pogingen om in te loggen in een systeem en van mislukte pogingen om toegang te verkrijgen tot bepaalde informatiebronnen.

2. Intrusion detection systems (IDSs): Dit systeem bestaat uit een aantal sensors en een centraal controle-eenheid dat logboeken van het netwerkverkeer, dat de firewall heeft gepasseerd, creëert en vervolgens dit logboek onderzoekt op tekens van pogingen tot of succesvolle inbraken.

3. Verslagen van het management: belangrijk is dat het management zowel toezicht houdt op de systeemprestaties als de controles.

4. Testen van de beveiliging: naast bijvoorbeeld vulnerability scanners kan gebruik worden gemaakt van een penetration test: een geautoriseerde poging door een intern controleteam of een extern beveiliging adviesbureau om in te breken in het informatiesysteem van de organisatie.

Corrective controls

Deze sectie bespreekt drie belangrijke corrective controls:

• oprichting van een computer incident response team (CIRT): een team dat verantwoordelijk is voor het omgaan met grote beveiligingsincidenten. Tot de CIRT behoren zowel technische specialisten als een ‘senior operations management’, omdat sommige reacties op veiligheidsincidenten belangrijke economische gevolgen hebben. De CIRT zal het reactieproces leiden met behulp van de volgende vier stappen:

  • ‘recognition’: herkennen van een probleem.

  • ‘containment’: inperken van een probleem; directe actie.

  • ‘recovery’: herstellen van de schade.

  • ‘follow-up’: nabehandeling; Hoe deed het incident zich voor? Voorkomen van een dergelijk incident in de toekomst. Wordt er een poging gedaan om de fraudeur te vinden en te straffen?

• Benoeming van een ‘Chief Information Security Officer (CISO)’: een CISO is verantwoordelijk voor informatiebeveiliging en moet onafhankelijk zijn van andere informatiesysteem functies.

• Oprichten van een goed ontwikkeld patch management systeem: patch management is het proces van regelmatig toepassen van patches en updates op software. Een patch is een code vrijgegeven door softwareontwikkelaars die bepaalde kwetsbaarheden op lost. Dit systeem probeert een exploit op te lossen. Een exploit is de set van instructies om voordeel de halen uit een vulnerability zwakheid. Deze zijn vaak gewoon online te vinden.

Efficiency en effectiviteit

Veel bedrijven maken tegenwoordig gebruik van virtualization, dit is het voordeel dat behaald wordt door verschillende systemen tegelijkertijd te laten draaien op een moderne computer. Dit dringt kosten terug, doordat er bijvoorbeeld minder computers nodig zijn.

Een ander middel om zowel de efficiency als de effectiviteit te verbeteren is door cloud computing. Cloud computing is het kopen van software, opslag, infrastructuur of platforms van een derde partij (‘cloud provider’) op een betaling-per-gebruik of abonnementsbasis. ‘cloud providers’ maken gebruik van virtualization technologie om tegelijk toegang te verschaffen aan meerdere klanten.

Virtualization en cloud computing kunnen wel het risico van enkele bedreigingen verhogen, maar kunnen ook tegelijkertijd de algemene veiligheid verbeteren.

Hoofdstuk 9: Geheimhouding en privacy

Dit hoofdstuk gaat over twee belangrijke principes wat betreft betrouwbare systemen in de ‘Trust Services Framework’ en het beschermen van de privacy van persoonlijke informatie.

Geheimhoudingsprincipe

Deze paragraaf beschrijft de acties die genomen worden om de geheimhouding van gegevens te beschermen.

De eerste actie is de identificatie en classificatie van de informatie die beschermd moet worden, waar deze zich bevindt en wie toegang tot deze informatie heeft. Nadat deze informatie is geïdentificeerd, zal vervolgens (een van de doelen van COBIT) de informatie classificeren in termen van de waarde die het voor de onderneming heeft.

De tweede actie is het beschermen van de informatie met behulp van bijvoorbeeld encryption, dit is het transformeren van normale tekst, plaintext, in ‘onleesbare wartaal’, ciphertext. Dit is de enige manier om informatie te beschermen als het zich verplaatst over het web. In combinatie met encryption moet gebruik worden gemaakt van authentication, zodat niet iemand anders kan inloggen als de rechtmatige eigenaar, en physical access control, zodat niemand zichzelf toegang kan verschaffen tot de computer wanneer de eigenaar heeft ingelogd. Ook moet er rekening mee worden gehouden dat informatie dat wordt opgeslagen in een database wordt gedecodeerd om het te kunnen verwerken. Ieder die kan inloggen tot dit systeem heeft dus vrije beschikking over de informatie, met behulp van strenge toegangcontroles kan dit probleem worden verholpen. Al bovenstaande hulpmiddelen vallen onder het defence-in-depth principe.

De derde actie is de toegangscontrole tot gevoelige informatie. Naast authentication en authorization biedt information right management (IRM) software een extra beschermingslaag. Niet alleen beperkt het de toegang tot speciale informatiebronnen, het geeft ook de acties aan die individuen, die toegang hebben verkregen, kunnen uitvoeren (lezen, kopiëren, printen, downloaden). Vandaag de dag wordt er veel informatie uitgewisseld met zowel zakenrelaties als met klanten. Het is dus ook belangrijk dat uitgaande informatie wordt gecontroleerd, met het oog op bescherming van vertrouwelijke gegevens. Data loss prevention (DLP) software wordt hiervoor gebruikt, en komt feitelijk neer op een antivirusprogramma, maar dan andersom. Deze software is een preventive control.

Documenten worden gecodeerd met een digital watermark. Dit watermerk is een detective control dat een organisatie in staat stelt de vertrouwelijke informatie te identificeren die het document bevat. Wanneer vervolgens documenten met watermerk op het internet verschijnen, is dit een bewijs voor het falen van de controles. Als reactie daarop zullen er acties worden ondernomen.

De allerlaatste actie is training. Werknemers moeten weten welke informatie ze kunnen delen met buitenstaanders en welke informatie beschermd moet worden. Ze moeten bijvoorbeeld ook leren omgaan met encryptiesoftware en er altijd bewust van zijn dat er uitgelogd moet worden.

Privacy principe

Een verschil van het privacy principe met het geheimhoudingsprincipe is dat deze eerste zich meer richt op het beschermen van persoonlijke informatie in plaats van met organisatorische gegevens. De bovenstaande beschreven vereiste acties zijn wel hetzelfde, bijvoorbeeld de encryption van data, het geven van trainingen en het uitvoeren van toegangscontroles zijn hier ook van toepassing.

Een extra beschermingsmiddel zijn zogenoemde data masking programma’s, die persoonlijke klanteninformatie vervangen voor valse gegevens voordat de informatie naar het testsysteem wordt gestuurd.

Twee veel voorkomende inbreuken op de privacy zijn de spam en de identity theft. Spam is ongewenste e-mail dat ofwel reclameboodschappen bevat ofwel andere hinderlijke inhoud. Niet alleen gaan de efficiency voordelen van e-mail verloren, ook is het een bron van vele virussen. Enkele maatregelen zijn: de identiteit van de verzender moet duidelijk vermeld zijn in de header, de header moet duidelijk onderscheid maken tussen een reclameboodschap en een verzoek. De body moet een link bevatten waarmee men de optie heeft zich af te melden voor toekomstige mail van deze afzender, de body moet het geldige postadres van de afzender bevatten en organisaties moeten geen commerciële e-mail verzenden naar willekeurig uitgekozen adressen.

Identify theft is het onbevoegde gebruik van iemands persoonlijke informatie. Met deze informatie kunnen fraudeplegers bijvoorbeeld leningen verkrijgen of een nieuwe credit card aanvragen op naam van iemand anders (de financiële kant). Echter in toenemende mate wordt gebruik gemaakt van identity theft in de medische sector, wat voor aanzienlijke problemen kan zorgen.

De ‘Generally Accepted Privacy Principles (GAPP)’ definiëren de volgende tien internationaal erkende praktijken voor het beschermen van persoonlijke informatie:

1. Aantellen van management.

2. berichtgeving over het privacybeleid van de onderneming, alvorens persoonlijke informatie te verzamelen.

3. Keuze en instemming: het bieden van keuzes aan individuen en het vragen om toestemming voordat persoonlijke informatie wordt verzameld.

4. Verzameling: alleen het verzamelen van de benodigde informatie. Een reden tot bezorgdheid zijn cookies: een tekstbestand dat informatie opslaat over wat men heeft gedaan op een website, dit kan leiden tot bijvoorbeeld identity theft.

5. Gebruik en bewaring: organisaties mogen persoonlijke informatie alleen gebruiken en zolang bewaren zoals beschreven staat in de privacyvoorwaarden.

6. Toegang: een organisatie behoort individuen de mogelijkheid te bieden tot toegang en mogelijkheid tot aanbreng van wijzigingen in hun eigen persoonlijke informatie.

7. Openbaring aan een derde partij: alleen mogelijk wanneer dit beschreven staat in de algemene voorwaarden van het privacybeleid.

8. Veiligheid: beschermen van persoonlijke informatie tegen verlies en onbevoegde openbaarmaking.

9. Kwaliteit: het waarborgen van de volledigheid en nauwkeurigheid van de informatie. Bijvoorbeeld door men zelf toegang te laten verschaffen tot hun eigen informatie.

10. Toezicht en handhaving: aanstellen van een of meerdere werknemers die de nakoming van het privacybeleid handhaven.

Encryption

Decryption is het omgekeerde proces van encryption, en transformeert de ciphertext weer terug in plaintext. Beiden maken gebruik van een sleutel en een algoritme. Het encryptie proces verdeelt de plaintext in blokken, waarbij elk blok dezelfde lengte heeft als de lengte van de sleutel.

Drie belangrijke factoren bepalen de kracht van een encryption systeem:

• ‘key length’: langere sleutels bieden een sterkere encryptie door het aantal herhalende blokken in de ciphertext te reduceren.

• Algoritme: een algoritme is een formule om de sleutel te combineren met de tekst.

• Het managen van de sleutels: Afgezien van het belang van de lengte van de sleutel en de sterkte van het algoritme, als de sleutels zijn aangetast, kan de encryptie makkelijk worden gebroken. Sleutels moeten daarom veilig worden opgeslagen en worden beschermd met sterkte toegangscontroles. Key escrow is het proces dat kopieën maakt van alle sleutels die worden gebruikt door werknemers en het veilig opslaan van deze kopieën, zodat er geen problemen ontstaan als de werknemer die het heeft gecodeerd niet langer meer aanwezig is.

Er bestaan twee soorten encryptie systemen. Symmetric encryption systems maken gebruik van dezelfde sleutel voor zowel het coderen als het decoderen. Assymmetric encryption systems maken gebruik van twee verschillende sleutels. De ene sleutel, genaamd de public key, is wijdverspreid en beschikbaar voor iedereen. De andere sleutel, de private key, wordt geheim gehouden en is alleen bekend bij de eigenaar van dat paar sleutels. Symmetrische encryptie werkt sneller dan de asymmetrische encryptie, maar heeft twee aanzienlijke problemen. Ten eerste zowel de verzender als de ontvanger moeten bekend zijn met de gedeelde sleutel, dit betekend dat de partijen een veilige manier moeten vinden om de sleutel uit te wisselen (e-mailen is hierbij bijvoorbeeld al geen optie). Het tweede probleem is dat er twee verschillende sleutels nodig zijn als een organisatie zijn informatie wil delen met twee verschillende partijen, maar het niet de bedoeling is dat deze partijen de informatie van elkaar te weten komen. Assymetische encryptie lost deze problemen op, het maakt namelijk niet uit wie de public key kent, omdat elke gecodeerde tekst alleen gedecodeerd kan worden als de behorende private key bekend is. Echter, een aanzienlijk nadeel is de snelheid.

Hashing is het proces dat de plaintext transformeert in een korte code, genaamd een hash.

Een belangrijke kwestie voor transacties is nonrepudiation, het creëren van legaal bindende overeenkomsten die niet eenzijdig kunnen worden verworpen door een van de partijen. Dit wordt gedaan door beide partijen documenten te laten ondertekenen en het maken van kopieën. Hedendaags wordt nonrepudiation bereikt door met behulp van hashing en assymetric encryption, een digitale handtekening te creëren

Een belangrijk vraagstuk betreft: hoe verkrijgt de leverancier de public key van de klant? Deze vraag wordt beantwoordt door het gebruik van digital certificates en public key infrastructure.

Een digital certificate is een elektronisch document, gecreëerd en digitaal ondertekend door een vertrouwde derde partij (certificate authority), dat de identiteit van de eigenaar van een public key bevestigd. Het digitale certificaat bevat de public key van de partijen. Dit is dus een geautomatiseerde methode, voor het verkrijgen van een public key van een organisatie op van een individu.

Public key infrastructue (KPI): een methode voor encryptie dat gebruik maakt van twee sleutels: een public key en een private key. Met de PKI, kunnen beide sleutels gebruikt worden om een bericht te coderen, maar alleen de andere sleutel kan gebruikt worden om het bericht te decoderen.

Gecodeerde informatie dat zich verplaatst over het internet creëert een virtual private network (VPN): een netwerk dat de toegang regelt tot een ‘extranet’ met behulp van encryptie en authentication technologie.

Hoofdstuk 10: Integriteit en beschikbaarheid

In de vorige hoofdstukken zijn de eerste drie principes van systeem betrouwbaarheid geïdentificeerd in de Trust Services Framework: veiligheid, betrouwbaarheid en privacy. In dit hoofdstuk worden de overige twee principes van een betrouwbaar systeem besproken: verwerken van integriteit en beschikbaarheid.

Verwerken van integriteit

Een betrouwbaar systeem is een systeem dat informatie produceert dat nauwkeurig, compleet, actueel en geldig is. Hiervoor zijn drie soorten controles vereist: ‘input controls’, ‘processing controls’ en ‘output controls’. Het COIBT framework bespreekt zes soorten toepassingscontroles die moeten zorgen voor integriteit.

‘Input controls’

De geldigheid van input data wordt onder andere beheerst door ‘forms design’, waarbij documenten zo moeten ontworpen dat het de kans op fouten minimaliseert:

• Alle source documents moeten vooraf opeenvolgend worden genummerd. Zo kunnen ontbrekende documenten snel worden opgespoord.

• Turnaround document: output van een bedrijf die naar een externe partij worden gestuurd, die in veel van de gevallen wijzigingen toevoegen, om vervolgens teruggestuurd te worden als een input document. Op deze manier worden input errors geëlimineerd.

Voordat source documents in het systeem worden ingevoerd, moeten ze gecontroleerd worden op redelijkheid en fatsoen. Deze handmatige controle moet ondersteund worden met geautomatiseerde controles:

1. ‘Field check’: bepaalt of de karakters (cijfers/ letters) in het field van het juiste type zijn.

2. ‘Sign check’: bepaalt of de data in het field het juiste rekenkundige teken heeft (positief/ negatief).

3. ‘Limit check’: vergelijkt een numeriek bedrag met een vaste waarde.

4. ‘Range check’: test of een numeriek bedrag tussen een vooraf bepaalde onder –en bovenlimiet valt.

5. ‘Size check’: stelt vast of de input data past in het aangewezen field (een waarde van 458.976.253 past bijvoorbeeld niet binnen een 8 cijferig field).

6. ‘Completeness check’: bepaalt of alle vereiste data items van een bepaald input zijn ingevoerd.

7. ‘Validity check’: vergelijkt het accountnummer of ID code in de transactiedata met vergelijkbare data in de ‘master file’.

8. ‘Reasonableness test’: bepaalt de juistheid van de logische relatie tussen twee data items.

9. Check digit: ID nummers (zoals een personeelsnummer) kunnen een check digit bevatten, berekend uit andere cijfers/ nummers. Het systeem kan bijvoorbeeld een nieuwe werknemer een negen-cijferig nummer toewijzen, en daaruit een tiende cijfer berekenen, en deze toevoegen zodat er een tien-cijferig ID nummer ontstaat. Check digit verification is het herberekenen van check digit zodat vastgesteld kan worden dat er geen fouten zijn gemaakt.

Bovenstaande testen worden gebruikt voor zowel ‘batch processing’ als ‘online real-time processing’.

Extra ‘batch processing’ data controles:

1. ‘Batch processing’ werkt meer efficiënt als de transacties zodanig gesorteerd zijn dat de accounts in dezelfde volgorde staan als de records in de ‘master file’. Een sequence check test bepaalt of een batch van input data in de juiste numerieke of alfabetische volgorde staat.

2. Bijhouden van een foutenlogboek.

3. Batch totals vatten belangrijke waarden voor een batch samen van input gegevens:

   • Financial total: totaaloptelling van monetaire waarden in een field.

   • Hash total: totaalopstelling van een non-financieel numeriek field.

   • Record count: het aantal records in een batch.

Extra online data controles:

1. Prompting: controle dat gebruik maakt van de computer om het datainvoer proces te controleren. Het systeem vraagt elke data input aan en wacht dan op een acceptabel antwoord voordat een volgend item wordt aangevraagd.

2. Closed-loop verification: controleert de nauwkeurigheid van data input door het te gebruiken om andere gerelateerde informatie op te halen, bijvoorbeeld de link tussen een accountnummer en een naam.

3. Bijhouden van een transactielogboek: als een online bestand beschadigd raakt, kan het logboek het bestand weer reconstrueren.

‘Processing controls’

Belangrijke verwerkingscontroles zijn:

• ‘Data matching’: Soms moeten twee of meer data items gekoppeld worden voordat er een bepaalde actie kan plaatsvinden.

• ‘File labels’: controleren of de juiste en de meest recente bestanden/dossiers zijn bijgewerkt. Zowel externe labels als interne labels, die in machine-taal zijn geschreven, worden gebruikt. Twee belangrijke interne labels zijn de header record en de trailer record. De header record bevat de bestandsnaam, de verloopdatum en andere identificatiegegevens en bevindt zich aan het begin van het bestand. De trailer record is gelokaliseerd aan het eind van het bestand en bevat de batch totals.

• Herberekenen van batch totals. Een veelvoorkomende fout is de transposition error, waarin twee aangrenzende cijfers per ongeluk zijn verwisseld (64 wordt geschreven van 46).

• Een cross-footing balance test en een zero-balance test: In een cross-footing balance wordt het totaal van zowel een rij als een kolom berekend Vervolgens wordt het totaal van alle rijen vergeleken met het totaal van alle kolommen. Deze horen dan aan elkaar gelijk te zijn. Een zero-balance check is een interne controle dat vereist dat de balans van een account gelijk moet zijn aan nul.

• ‘Write-protection mechanisms’: bescherming van data bestanden tegen overschrijven of wissen van de inhoud.

• Concurrent update controls: voorkomen dat twee of meer gebruikers dezelfde update tegelijk installeren, door een gebruiker buiten te sluiten totdat het systeem klaar is met updaten.

‘Output controls’

Belangrijke outputcontroles zijn:

1. ‘User review of output’: mening van gebruikers over de geproduceerde output.

2. ‘Reconciliation procedures’: periodiek, moeten alle transacties en andere systeemupdates worden verzoent met controlerapporten, update rapporten of andere controle mechanismes.

3. ‘External data reconciliation’: database totalen moeten periodiek verzoend worden met data buiten het systeem.

4. ‘Data transmission controls’: controles die het risico van transmissiefouten minimaliseren. Naast de Transmission Control Protocol (TCP) zijn de checksums en parity bits goede transmissicontroles.

Op bladzijde 299 en verder is een uitgebreid voorbeeld gegeven van het bovenstaande.

Beschikbaarheid

Interrupties in de bedrijfsactiviteiten veroorzaakt doordat het systeem niet beschikbaar is kan voor grote financiële verliezen zorgen. Belangrijke doelstellingen zijn dan ook om het risico van systeemuitval zoveel mogelijke te beperken en het herstel van normale operaties zo snel mogelijk te voltooien.

Eerstgenoemd doel kan worden bereikt met behulp van de volgende controles:

• ‘Preventive maintenance’

• Fault tolerance: de mogelijkheid van een systeem om door te blijven functioneren, in het geval dat een bepaald component faalt. Veel organisaties gebruiken bijvoorbeeld redundant arrays of independent drives (RAID), waarbij gegevens tegelijkertijd naar meerdere schrijfstations worden geschreven, zodat als een schrijf faalt, de gegevens niet verloren zijn.

• ‘Data center location and design’. Hier volgen enkele veelvoorkomende designelementen: verhoogde vloeren bieden bescherming tegen beschadiging veroorzaakt door overstroming, branddetectie vermindert de kans op brandschade en een uninterruptible power supply (UPS) systeem biedt bescherming in het geval van een langdurige stroomuitval, door gebruikt te maken van batterijkracht; het systeem kan dan net lang genoeg blijven opereren zodat er een back-up gemaakt kan worden van data.

• Training.

• ‘Patch management and antivirus software’.

Het snelle herstel van normale operaties kan bereikt worden door:

• Back-up procedures.

• Disaster recovery plan (DRP): een overzicht van de procedures/stappen die doorlopen moeten worden voor het herstel van de IT-functie, in het geval dat zich een noodgeval voordoet die het computersysteem uitschakelt. Een organisatie heeft drie opties voor het vervangen van hun IT infrastructuur:

  • Tekenen voor het gebruik van een cold site in combinatie met een contract dat de onderneming voorziet van de benodigde uitrusting voor een bepaalde periode. Een cold site is een leeg gebouw dat is voorzien van bedrading voor telefoon en internettoegang.

  • Tekenen voor het gebruik van een hot site, een faciliteit die niet alleen is voorzien van bedrading maar ook van alle benodigde computer- en kantoorapparatuur om de essentiële bedrijfsactiviteiten uit te voeren.

  • Een organisatie met een korte recovery time objective kan een tweede datacenter vestigen ten uitvoer van real-time mirroring.

• Business continuity plan (BCP): een plan dat het herstel van alle bedrijfsactiviteiten specificeert, in het geval van een enorme ramp.

Bij een back-up procedure zijn twee belangrijke vragen van toepassing: Hoeveel data zijn we bereid om te recreëren vanuit brondocumenten of te verliezen? Hoe lang kan de organisatie functioneren zonder informatiesysteem?

Het antwoord op de eerste vraag bepaalt het recovery point objective (RPO), welke de maximum hoeveelheid aan gegevens , die de organisatie potentieel bereid is om te verliezen, vertegenwoordigt. Het antwoord op de tweedevraag bepaalt het recovery time objective (RTO), welke de tijdsduur bepaalt dat de organisatie bereid is om te functioneren zonder informatiesysteem.

Voor organisaties waarop het antwoord op beiden nul is, is de oplossing het implementeren van real-time mirroring. Dit houdt in dat er twee kopieën van de database worden aangehouden in twee verschillende datacenters te allen tijde, en beiden worden direct geüpdatet als er een transactie plaatsvindt.

Er bestaan verschillende back-up procedures. Een volledige back-up is een exacte kopie van de volledige database, deze zijn echter kostbaar en daarom voeren de meeste bedrijven deze wekelijks uit en vullen ze dagelijks aan met gedeeltelijke back-ups. Er zijn twee typen gedeeltelijke back-ups. Een incremental backup kopieert alleen de data items die veranderd zijn sinds de laatste gedeeltelijke back-up. Een differential backup kopieert alle data items die veranderd zijn sinds de laatste volledige back-up.

Een archive is een kopie van een database, master file of software dat oneindig wordt aangehouden als een historisch overzicht.

Verandering

Change controls: het proces dat ervoor zorgt dat wijzigingen in de hardware, software of in het proces niet van invloed zijn op de betrouwbaarheid van het systeem. Zorgvuldig testen voordat veranderingen worden doorgevoerd verkleint de kans op veranderingen die systeemuitval veroorzaken. In het boek staan nog enkele andere principes ten aanzien van een goed ontwikkelde change control proces.

Hoofdstuk 12: Revenue Cycle

Dit hoofdstuk is een introductie van het begrip revenue cycle, een terugkerende reeks van bedrijfsactiviteiten en gegevensverwerking die verband houden met de levering van goederen en diensten aan klanten en het verzamelen van geld uit deze verkopen. Het voornaamste doel van een revenue cycle is om het juiste product op de juiste plaats en de juiste tijd voor de juiste prijs aan te bieden. Enkele belangrijke vraagstukken ontstaan rondom activiteiten zoals de invoer van verkooporders, de verzending, de facturatie en de geldinzameling. Dit hoofdstuk beschrijft hoe een informatiesysteem elk van deze activiteiten ondersteunt. In het hoofdstuk staat een uitgebreide uitleg van elk proces.

Informatiesysteem

De meeste organisatie gebruiken een ERP systeem. Het verkoopproces start bij het ontvangen van orders van klanten. Deze orders worden in het systeem gezet, en het systeem controleert bijvoorbeeld de aanwezige voorraad en geeft deze informatie door aan andere afdelingen, zoals de transportafdeling. Dit is slechts een klein onderdeel van het gehele verkoopproces.

Alle activiteiten hangen uiteindelijk samen met de database dat alle informatie bevat over klanten, voorraad en de prijzen. Een veelvoorkomende bedreiging is dan ook onjuiste datainvoer. Een tweede bedreiging in de revenue cycle is de ongeoorloofde openbaarmaking van gevoelige informatie. Een derde bedreiging is het verlies of de vernietiging van data. Controle is dus ook hierbij weer van groot belang.

Invoer van verkooporders

De ‘sales order entry process’ bestaat uit drie stappen: het ontvangen van de klantenorders, het controleren en goedkeuren van het klantenkrediet en het controleren van de aanwezige voorraad.

Een sales order is een document dat gevormd wordt tijdens de verkoop met daarin de artikelnummers, de hoeveelheden, de prijzen en de verkoopvoorwaarden. Voorheen werden klantenorders ingevoerd in het systeem door werknemers, tegenwoordig proberen bedrijven klanten zelf deze data in te laten voeren. Klanten kunnen daarbij gebruik maken van electronic data interchange (EDI), hierbij wordt gebruik gemaakt van geautomatiseerde communicaties en een standaard codeerschema om bedrijfsdocumenten elektronisch te verzenden in een formaat dat automatisch kan worden verwerkt door het informatiesysteem van de ontvanger. Dit komt erop neer dat klanten zelf hun orders kunnen versturen.

Een fundamentele bedreiging tijdens het invoerproces is dat belangrijke data ontbreekt of onjuist is. Een tweede bedreiging betreft de legitimiteit van de orders, als een bedrijf levert aan een klant die later ontkent dat hij de order heeft geplaatst, is er sprake van een potentieel verlies van activa. Doordat er veel gebruik wordt gemaakt van verkoop op krediet, ontstaat er een mogelijke bedreiging van dubieuze debiteuren. Het is dan ook belangrijk om het klantenkrediet van nieuwe klanten te controleren. Een credit limit is het maximum toegestane bedrag dat een klant op rekening mag kopen, gebaseerd op zijn vroegere krediet geschiedenis en het vermogen om te betalen. Een accounts receivable aging report sorteert de klantenaccounts naar de tijd dat deze openstaan. Het rapport verschaft bruikbare informatie voor de evaluatie van het huidige kredietbeleid, voor het inschatten van dubieuze debiteuren, en voor de beslissing of het kredietlimiet voor bepaalde klanten wordt vergroot.

Om te bepalen of er voldaan kan worden aan een bepaalde order zal de voorraad gecontroleerd moeten worden. Als er niet voldoende op voorraad is, zal er een back order voor deze items moeten worden gecreëerd. Dit document stelt de productieafdeling op de hoogte van het feit dat de productie moet worden gestart, of dat de inkoopafdeling de betreffende items moet bestellen. Zodra de beschikbaarheid is vastgesteld zal het systeem een picking ticket generen. Een picking ticket is een document dat ervoor zorgt dat de voorraadbeheer de goederen vrijgeeft aan de verzendafdeling. Om de efficiëntie te verhogen, zet de picking ticket de items meestal in de volgorde waarin ze zijn opgeslagen, in plaats van rangschikking naar verkooporders.

Naast het verwerken van klantenorders, omvat het ‘sales order entry process’ ook het beantwoorden van vragen van de klant. Klantenservice is zo belangrijk dat de meeste ondernemingen speciale software pakketen gebruiken, de zogenaamde customer relationship management (CRM) systems. Deze software organiseert de informatie over klanten zodanig dat de efficiëntie en persoonlijke service wordt bevorderd.

Verzending

De verzending van de gewenste goederen gebeurt in twee stappen. De eerste stap is de ‘picking and packing’ van de order, en de tweede stap is de daadwerkelijke verzending van de order.

Enkele problemen kunnen ontstaan doordat de verkeerde items of de verkeerde hoeveelheden worden gekozen. Een andere bedreiging betreft de diefstal van voorraad.

Bij de verzending wordt een packing slip geproduceerd. Dit is een document dat de hoeveelheid en beschrijving van elk item opslaat dat behoort tot een zending. De Bill of lading is een legaal contract dat de verantwoordelijkheid voor goederen vastlegt wanneer deze worden vervoerd. Het definieert de vervoerder, de bron, de eindbestemming, de verzendinstructies en de partij die het vervoer betaalt.

Als een verkoper weet dat een lading te laat zal aankomen, kan een onmiddellijke melding daarvan de klant helpen om zijn plannen te herzien.

Facturatie

De facturatie bestaat uit twee aparte, nauw verwante taken: het factureren en het updaten van de ‘accounts receivable’.

Het basisdocument dat wordt gecreëerd in het factureringsproces is de sales invoice. Dit is een document waarin het bedrag van verkoop en de eindbestemming op wordt vermeld (verkoopfactuur). Om te vermeiden dat een klant niet wordt gefactureerd, is taakverdeling binnen de organisatie een vereiste. Anders kan het voorkomen dat iemand die zowel de verzending als de facturering uitvoert, aan vrienden levert zonder dit in rekening te brengen. Een andere potentieel gevaar zijn factureringsfouten (prijsfouten e.d.).

De twee manieren om de registratie van de ‘accounts receivable’ te onderhouden zijn de open-invoice method en de balance-forward method. De open-invoice method is een methode voor het houden van debiteurenaccounts waarin klanten meestal betalen op basis van een factuur. Gebruikelijk worden er twee kopieën van de factuur verstuurd naar de klant, welke wordt gevraagd een van de twee terug te sturen met de betaling. Deze kopie is een turnaround document, ook wel een remittance advice genoemd.

In de balance-forward method betalen klanten doorgaans het bedrag dat op de monthly statement staat vermeld, in plaat van betaling naar aanleiding van individuele facturen. Een monthly statement vat alle transacties samen die optreden tijdens de afgelopen maand en ze informeren klanten over hun huidige rekeningsaldo. Veel bedrijven die gebruik maken van deze methode maken gebruik van een zogenoemd cycle billing proces, waarbij monthly statements geproduceerd worden voor een groepje klanten op verschillende tijdstippen. Er wordt bijvoorbeeld elke week een monthly statement voorbereidt voor een kwart van alle klanten.

Indien er sprake is van een retourzending, zal er een aanpassing moeten worden gedaan in een klantaccount. Alvorens deze aanpassing te maken moet de kredietmanager er zeker van zijn dat de goederen zijn geretourneerd en zich weer bevinden in de voorraad. Na kennisgeving van dit gegeven zal de kredietmanager een credit memo uitgeven, hetwelk de aanpassing toestaat.

Geldinzameling

Omdat geld en cheques makkelijk gestolen kunnen worden, is het van belang dat er goede maatregelen genomen worden. Enkele methodes om de afkomst van een geldoverdracht te identificeren worden hieronder beschreven.

Een eerste methode is het gebruik van een remittance advice (verzenden van twee kopieën). Een tweede methode is het opstellen van een remittance list. Dit is een document dat de naam en het bedrag van alle geldoverdrachten identificeert en dit naar de ‘accounts receivable’ verstuurd. Een derde methode is het gebruik van een lockbox, een postadres waar klanten geld naar kunnen overmaken Dit postadres bevindt zich bij een bank, welke de cheques elke dag overmaakt naar de rekening van de onderneming. Een electronic lockbox komt op hetzelfde neer, maar gebeurt elektronisch.

Een electronic funds transfer (EFT) is de overdracht van middelen tussen twee of meer organisaties of individuen met behulp van computers en andere geautomatiseerde technologie. Financial electronic data interchange (FEDI) is een combinatie van EFT en EDI dat zowel ‘remittance data’ als geldverkeer instructies in één elektronisch pakket verzamelt.

Functiescheiding is de meest effectieve controle voor het terugdringen van risico’s zoals diefstal. Zo is het bijvoorbeeld niet slim om de persoon die de controle heeft over het geld en de cheques, deze ook te laten overschrijven naar de rekening van de klant, dit kan leiden tot ‘lapping’.

De beste controle om het risico van onverwachte ontbrekende cashflows te reduceren is door gebruik te maken van een cash flow budget. Een cash flow budget laat de verwachte ingaande en uitgaande kasstromen zien voor een specifieke periode zodat een organisatie de behoefte aan een kortlopende lening kan inschatten.

Een compleet overzicht van alle bedreigingen/ gevaren en de daarbij behorende controles worden weergegeven in ‘table 12-1’.

Hoofdstuk 13: Expenditure cycle

De expenditure cycle is een terugkerende reeks van bedrijfsactiviteiten en gegevensverwerking die verband houden met de aanschaf en betaling van goederen en diensten. Dit hoofdstuk focust zich op de aanschaf van grondstoffen, eindproducten, leveringen en diensten. Net zoals in hoofdstuk 12 worden verschillende processen uitgebreid besproken. In de samenvatting worden vooral de kernbegrippen die hierbij van belang zijn belicht.

Informatiesysteem

De vier basis expenditure cycle activiteiten zijn: het bestellen van materiaal, voorraden en diensten; het ontvangen van materiaal, voorraden en diensten; goedkeuren van leveranciersfacturen; kasuitgaven.

Voor een vergelijking met de revenue cycle, zie: ‘table 13-1’. In ‘table 13-2’ worden net zoals in hoofdstuk 12 alle bedreigingen en de daarbij behorende controles weergegeven.

Bestellen van materiaal, voorraden en diensten

In deze fase moet er allereerst bepaald worden wat, wanneer en hoeveel te kopen, alvorens de leverancier uit te kiezen.

Een bekende aanpak om voorraad aan te houden wordt de economic order quantity (EOQ) genoemd. Een aanpak/formule waarin de optimale ordergrootte zodanig wordt berekend zodat de bestelkosten, de voorraadkosten en de ‘stockout’ kosten gezamenlijk worden geminimaliseerd (de optimale bestelorder grootte). De EOQ berekent hoeveel er besteld moet worden, echter de reorder point bepaalt wanneer er besteld dient te worden. Zodra dit punt, de minimum voorraad, bereikt wordt dient er een nieuwe bestelling te worden geplaatst. Deze optimale bestelgrootte kan wel leiden tot het aanhouden van aanzienlijke vooraadniveau’s, op zijn beurt zal dit weer leiden tot hogere ‘carrying costs’. Om het voorraadniveau terug te brengen wordt gebruik gemaakt van materials requirements planning en van een just-in-time (JIT) inventory system.

Materials requirements planning (MRP) is een aanpak dat het benodigde voorraadniveau probeert terug te dringen door verbetering van techniek. Doel is dat de aankopen zodanig worden gepland dat er aan de productiebehoeften/eisen wordt voldaan.

Een just-in-time (JIT) inventory system refereert aan een systeem waarin materialen precies dan arriveren wanneer ze nodig zijn. De levering en productie worden dus zodanig op elkaar afgestemd dat er nauwelijks tot geen voorraden in de onderneming nodig zijn. De voorraadkosten worden hierdoor deels geëlimineerd.

Een aanzienlijk verschil tussen deze twee laatstgenoemde systemen is de productieplanning. MRP systemen plannen de productie zodanig dat er voldaan kan worden aan de verwachte verkopen. Hierbij wordt een optimale voorraad gereed product aangelegd. Dit systeem wordt vooral gebruikt bij producten met een voorspelbaar vraagpatroon. JIT systemen plannen de productie als reactie op de vraag. Voorraad gereed product wordt geëlimineerd, en in plaats daarvan moeten er voldoende grondstoffen worden aangehouden om snel te kunnen reageren op veranderingen in de productie, als gevolg van een verandering in de vraag. Dit systeem wordt vooral gebruikt bij producten die een relatief korte ‘levenscyclus’ hebben en een onvoorspelbaar vraagpatroon.

De noodzaak om goederen en voorraad te kopen resulteert vaak in de totstandkoming van een purchaserequisition, een (elektronisch) document dat de inkoper identificeert; de plaats en datum van levering specificeert; de artikelnummers, beschrijvingen, hoeveelheden en prijs identificeert; en een mogelijke leverancier aanwijst.

De laatste stap is het uitkiezen van een leverancier, hierbij moet o.a. rekening worden gehouden met de prijs, de kwaliteit en de betrouwbaarheid.

Een purchase order is een document dat een leverancier formeel verzoekt om een product voor aangewezen prijzen te verkopen en te leveren. Dit document is ook meteen een belofte om te voldoen aan de betaling en het wordt een contract zodra de leverancier accepteert. Een Blanket purchase order is een overeenkomst tot aankoop van aangewezen items en prijzen van een bepaalde leverancier voor een bepaalde periode, meestal van een jaar.

Nog een manier om de inkoopkosten en de voorraadkosten te reduceren is door gebruik te maken van een vendor-managed inventory (VMI) program. Dit is een praktijk waarin fabrikanten en distributeurs de voorraden van de klant beheren met behulp van electronic data interchange (EDI).

Één van de problemen bij de keuze van leveranciers is de uitgifte van kickbacks, zogenaamde geschenken uitgereikt door leveranciers aan inkopers met als doel om hun keuze positief te beïnvloeden. Dit kan de objectiviteit van de keuze beïnvloeden. Een simpele oplossing is om inkopers te verbieden om dergelijke geschenken aan te nemen.

Ontvangen van materiaal, voorraden en diensten

Een receiving report slaat alle details van elke levering op, inclusief de ontvangstdatum, de verzender, de verkoper en de ontvangen hoeveelheid.

In het geval dat er beschadigde of goederen van slechte kwaliteit worden ontvangen, zal er een debit memo worden opgesteld nadat de leverancier heeft toegezegd de goederen terug te nemen of een korting te verstrekken. Deze debit memo registreert deze aanpassing (een vermindering in de balans van een leverancier).

Goedkeuren van leveranciersfacturen

Zodra er een factuur is ontvangen is de ‘accounts payable’ afdeling verantwoordelijk voor het matchen van deze factuur met die van de purchase order en het receiving report. Deze combinatie wordt een voucher package genoemd.

Om een leveranciersfactuur te verwerken kan gebruik worden gemaakt van twee verschillende methodes. De nonvoucher system en de voucher system.

In een nonvoucher system wordt elk voucher package in de ‘accounts payable’ rekening geplaatst om vervolgens opgeslagen te worden in een ‘open-invoice file’. Nadat er een cheque is uitgeschreven, wordt de voucher package verplaatst naar de ‘paid-invoice file’.

In een voucher system wordt er een extra document, genaamd een disbursement voucher, aangemaakt zodra er een factuur goedgekeurd is voor betaling. Een disbursement voucher identificeert de leveranciers, toont de openstaande facturen en indiceert het nettobedrag dat betaald moet worden na aftrek van eventuele kortingen en vergoedingen. Dit systeem biedt drie voordelen boven die van een nonvoucher system. Ten eerste wordt het aantal cheques die moeten worden uitgeschreven gereduceerd (verschillende facturen kunnen worden ondergebracht in één disbursement voucher). Ten tweede is het disbursement voucher een intern ontwikkeld document dat genummerd kan worden, zodat het bijhouden van alle schulden vergemakkelijkt kan worden. En ten derde, omdat de voucher tegelijkertijd ook een goedkeuring tot betaling bevat, wordt de scheiding tussen het moment van goedkeuring en het moment van betaling vergemakkelijkt.

In het geval van herhalende aankopen, kiezen veel bedrijven ervoor om bovenstaand proces achterwege te laten, alle informatie is immers al bekend. Dit proces wordt evaluated receipt settlement (ERS) genoemd. Deze methode elimineert de vendor invoice uit het traditionele matching proces (vendor invoice, receiving report, purchase order).

Een procurement card is een creditcard dat werknemers van een onderneming kunnen gebruiken om specifieke items aan te schaffen, alleen bij een aangewezen leverancier. Aan zo’n kaart kan bijvoorbeeld een limiet worden gesteld.

Kasuitgaven.

De ‘kashouder’ is verantwoordelijk voor het betalen van leveranciers. Soms wordt er zelfs een korting verstrekt door leveranciers als er binnen een bepaalde periode wordt betaald, bijvoorbeeld binnen tien dagen in plaats van binnen dertig dagen.

Voor het afrekenen van kleine bedragen, zoals koffie of pennen, is het vaak logischer om contant te betalen. Hiervoor wordt een imprest fund opgesteld, een geldrekening met twee kenmerken. Allereerst is het vastgesteld op een vastbedrag en ten tweede zijn er vouchers vereist voor elke uitbetaling. De som van het contant geld plus de vouchers moet altijd gelijk zijn aan de vooraf bepaalde ‘fund balance’.

Hoofdstuk 14: Production cycle

Dit hoofdstuk beschrijft het concept production cycle, en alle daarbij behorende processen en gevaren. De production cycle is een terugkerende reeks van bedrijfsactiviteiten en gegevensverwerking die verband houden met de vervaardiging van producten. De vier basis activiteiten in de production cycle zijn: product design, ‘planning and scheduling’ productieactiviteiten en ‘cost accounting’.

Informatiesysteem

De vier basis activiteiten in de production cycle zijn: product design, ‘planning and scheduling’ productieactiviteiten en ‘cost accounting’

In ‘table 14-1’ worden alle bedreigingen en de daarbij behorende controles weergegeven.

Product design

Het doel van product design het is ontwerpen van een product dat voldoet aan de eisen van de klant in termen van kwaliteit, duurzaamheid en functionaliteit in combinatie met zo laag mogelijke productiekosten.

Bij het ontwerp van de producten worden er twee soorten output gecreëerd, allereerst een bill of materials, waarin de onderdeelnummers, de beschrijvingen en de hoeveelheden van alle componenten gebruikt in een eindproduct worden gespecificeerd. De tweede output is een operations list, welk de opeenvolging van stappen om een product te maken specificeert, maar ook welk apparatuur er moet worden gebruikt en de tijd dat men kwijt is per stap.

‘Planning and scheduling’

Twee methodes voor het plannen van de productie zijn: manufacturing resource planning (MRP-II) en lean manufacturing.

Manufacturing resource planning (MRP-II) zoekt naar de balans tussen de bestaande productiecapaciteit en benodigde grondstoffen om te kunnen voldoen aan de verwachte vraag. Manufacturing resource planning wordt ook wel aangeduid als ‘push management’ omdat goederen geproduceerd worden in afwachting van de marktvraag.

Lean manufacturing heeft als doel om de voorraden grondstof, halffabricaten en gereed product te minimaliseren of te elimineren. Lean manufacturing wordt ook wel aangeduid als ‘pull manufacturing’ omdat goederen worden geproduceerd in reactie op de marktvraag.

Een master production schedule (MPS) bepaalt hoeveel van elk product er zal worden geproduceerd en wanneer deze productie zal plaatsvinden. Andere documenten die gebruikt worden voor ‘planning and scheduling’ zijn een production order, een materials requisition en zogenaamde move tickets.

Een Production order is een document dat de machtiging heeft over de vervaardiging van een bepaalde hoeveelheid van een bepaald product. Hierin staan de te verrichten handelingen, de hoeveelheid die geproduceerd moet worden en de locatie waar de eindproducten moeten worden geleverd.

Een Materials requisition regelt de verplaatsing van de benodigde aantal grondstoffen vanuit de voorraadkamer naar de fabriekslocatie waar de productie zal starten.

Move tickets identificeren de interne verplaatsingen van onderdelen, de locatie waar deze naar toe moeten worden overgeheveld en de tijd van verplaatsing.

Productieactiviteiten

De derde stap in de production cycle is de daadwerkelijke productie van goederen. Het gebruik van verschillende vormen van IT in het productieproces wordt ook wel computer-integrated manufacturing (CIM) genoemd, oftewel een aanpak waarin een groot deel van het productieproces uitgevoerd wordt door geautomatiseerde apparatuur.

Alvorens te produceren moet men natuurlijk wel kunnen beschikken over de juiste uitrusting (machines en materialen). De aanschaf hiervan gebeurt vaak met behulp van een request for proposal (RFP) waarin een document met daarin vermeld de gewenste eigenschappen van een activa, wordt verstuurd naar elke potentiële aanbieder. Uiteindelijk wordt de leverancier met het beste bod geaccepteerd.

‘Cost accounting’

De meeste bedrijven gebruik ofwel job-order costing ofwel process costing om de productiekosten toe te wijzen. Job-order costing is een systeem dat de kosten toewijst aan specifieke productiebatches. Deze methode wordt gebruik wanneer een product of dienst duidelijk identificeerbaard/ herkenbaar is.

Process costing: een systeem dat de kosten toewijst aan een proces of bepaalde productie en vervolgens de gemiddelde kosten voor alle geproduceerde eenheden berekend. Deze methode wordt gebruikt bij massaproductie.

De keuze tussen een van beide processen zegt alleen iets over de methode die gebruikt wordt om de kosten toe te wijzen aan een bepaald product. Het zegt niets over de methodes om data te verzamelen. Een Job-time ticket wordt bijvoorbeeld gebruikt om de data omtrent de arbeidsactiviteit te verzamelen. Dit wordt gedaan door de tijd die een werknemer nodig heeft voor het uitvoeren van een specifieke taak te registreren. Verder kan het voorkomen dat productiekosten niet direct kunnen worden toegewezen aan een specifieke taak of proces, deze kosten worden dan manufacturing overhead genoemd.

Slecht ontworpen ‘cost accounting systems’ kunnen leiden tot de misallocatie van kosten aan producten, dit kan leiden tot onjuiste beslissingen en frustraties. Een activity-based costing system kan deze problemen matigen. Activity-based costing wijst de kosten toe aan de activiteiten die deze kosten hebben veroorzaakt. Dit systeem is anders dan de traditionele ‘cost accounting systems’ op drie verschillende manieren:

• Activity-based costing doet een poging om een groter aandeel overhead kosten direct toe te wijzen aan de producten.

• Activity-based costing maakt onderscheid tussen drie verschillende overheadcategorieën:

  • ‘Batch-related overhead’

  • ‘Product-related overhead’

  • ‘Companywide overhead’

• Activity-based costing probeert de allocatie van de overhead aan producten te rationaliseren door het identificeren van cost drivers, de factoren die een oorzaak-gevolg relatie hebben met een bepaalde kostenpost, oftewel die de omvang van de kosten bepalen.

Andere voordelen van activity-based costing zijn:

1. Verbeterde controle

2. Betere besluitvorming

3. Verbeterde ‘cost management’: Het effect van managementacties op de winstgevendheid van de onderneming kan worden gemeten.

Een probleem met lean manufacturing waarbij de voorraden sterk worden teruggedrongen, is dat de kosten die worden gemaakt om voorraad te creëren direct als kosten worden afgeboekt in plaats van deze te behandelen als een ‘asset’ en af te schrijven gedurende toekomstige periodes. Hetzelfde geldt voor arbeidskosten en overheadkosten. Bij een omschakeling van bijvoorbeeld massaproductie naar lean manufacturing zal dit het eerste jaar tot aanzienlijke kosten leiden.

Om dit probleem op te lossen kunnen bijvoorbeeld alle kosten toegewezen worden aan productlijnen in plaats van naar afdelingen. Men kan ook de overhead kosten als een aparte eenheid zien, in plaats van deze mee te rekenen in de kostprijs. Ter aanvulling van deze veranderingen in de structuur van prestatierapporten, zullen er ook nieuwe maatstaven moeten worden ontwikkeld. Een daarvan is de ‘throughput’, dit is een maatstaf voor de productie effectiviteit en toont het aantal goedgekeurde geproduceerd goederen in een bepaalde tijdspan.

Er bestaan vier categorieën kwaliteitskosten:

1. ‘Prevention costs’: kosten die ervoor zorgen dat er geen fouten in de productie voorkomen.

2. ‘Inspection costs’: kosten die fouten in de productie detecteren.

3. ‘Internal failure costs’: kosten die ontstaan doordat een product niet aan de gestelde eisen voldoet, voordat het wordt verzonden naar de klant.

4. ‘External failure costs’: kosten die ontstaan doordat een product niet aan de gestelde eisen voldoet nadat het is verzonden naar de klant.

Hoofdstuk 20: Systeemontwikkeling en systeemanalyse

Bedrijven hebben verschillende redenen om hun informatiesysteem te vervangen. Er treden bijvoorbeeld veranderingen op in de behoeften van de gebruiker of in die van het bedrijf, het bedrijf is onderhevig aan technologische ontwikkelingen, inefficiënte bedrijfsprocessen worden vervangen, verbetering van concurrentiepositie, verbeteren van de productiviteit, systeemintegratie of simpelweg door veroudering van het systeem.

Systeem ontwikkeling

Een systems development life cycle (SDLC) zijn de vijf stappen waaraan een onderneming onderhevig is indien ze besluiten om een nieuwe systeem te ontwikkelen en te implementeren:

1. Systems analysis: verzamelen van informatie over de aankoop, ontwikkeling of wijziging van een systeem.

2. Conceptual systems design: Er wordt een algemeen kader/framework ontwikkeld waarin de behoeften van de gebruikers worden geïmplementeerd en de problemen, ontwikkeld in de eerste fase, worden opgelost.

3. Physical systems design: de brede, gebruikersgeoriënteerde vereisten uit de tweede fase worden geïmplementeerd, door het creëren van een gedetailleerde set specificaties die gebruikt worden om de computerprogramma’s te coderen en te testen.

4. Implementation and conversion: de elementen en activiteiten van het systeem komen samen.

5. Operation and maintenance: controleren en onderhouden van het nieuwe systeem.

Het management, de accountants en andere gebruikers, het information systems steering committee, het projectontwikkelingteam en de system analysts moeten samenwerken om een AIS succesvol te ontwikkelen en uit te voeren.

Een information systems steering committee plant en houdt toezicht op het functioneren van het informatiesysteem. De system analysts zijn de mensen die gebruikers helpen om hun informatiebehoeften te bepalen en aan de hand daarvan een informatiesysteem ontwikkelen die aansluit bij deze behoeften.

Plannen van systeemontwikkeling

Een goede planning biedt vele voordelen en bespaart grote kosten. Een goede planning gebeurt met behulp van twee verschillende plannen. Een project development plan is een document dat laat zien hoe een project zal worden voltooid, inclusief de modules of taken die uitgevoerd moeten worden, wie deze gaat uitvoeren, de datum van voltooiing en de projectkosten. Een master plan biedt een planning op lange termijn. Het laat zien waar het systeem uit bestaat, hoe het ontwikkeld wordt, wie het zal ontwikkelen en hoe de benodigde bronnen worden verkregen.

De program evaluation and review technique (PERT) en de Gantt charts zijn technieken voor het plannen en controleren van systeemontwikkelingsactiviteiten. De PERT is een vaak gebruikte techniek voor het plannen, coördineren, controleren en plannen van complexe projecten zoals systeemimplementatie. Een Gantt chart is een staafdiagram dat gebruikt worden voor het plannen en controleren van een project. Projectactiviteiten worden links getoond en de tijdeenheid langs de bovenkant. De verwachte tijdsperiode per eenheid activiteit wordt gerepresenteerd met behulp van een horizontale staaf in het diagram.

Haalbaarheidsanalyse

Een feasibility study is een onderzoek om te bepalen of een ontwikkeling van een nieuwe toepassing of systeem praktisch is, en wordt uitgevoerd tijdens de system analysis. Er moeten vijf belangrijke aspecten worden beschouwd tijdens deze studie:

1. ‘Economic feasibility’

2. ‘Technical feasibility’

3. ‘Legal feasibility’

4. ‘Scheduling feasibility’

5. ‘Operational feasibility’

Veel organisaties maken tegenwoordig gebruik van een capital budgeting model, om de economische haalbaarheid van een project te meten. In zo’n model worden de kosten en baten geschat en vergeleken om te bepalen of het systeem kosteneffectief zal zijn. Er bestaan drie technieken die vaak worden gebruikt om zo’n capital budgeting model te realiseren. Een eerste techniek is de payback period, waarin wordt gekeken hoe lang het duurt voordat de nettobesparingen de initiële investering hebben terugverdiend. Een tweede methode is de net present value (NPV), waarin alle toekomstige cash flows worden verdisconteerd naar de huidige waarde. De allerlaatste methode is de internal rate of return (IRR). De IRR is de effectieve rentevoet indien de NPV gelijk is aan nul. De IRR wordt vergeleken met een minimum aanvaardbare rentevoet, meestal wordt het project met de hoogste IRR geselecteerd.

Gedragsaspecten

De behavioral aspects of change houdt in dat mensen hun gedrag veranderen naar aanleiding van een verandering in de organisatie. Bedrijven moeten dus ook rekening houden met de reacties van de werknemers.

Gedragsproblemen worden veroorzaakt door vele factoren:

• Angst; men vreest het onbekende.

• Gebrek aan steun van het topmanagement.

• Slechte ervaring met voorgaande veranderingen.

• Gebrek aan communicatie: de redenen achter een verandering moeten goed worden uitgelegd aan werknemers.

• Ontwrichtende karakter van verandering.

• De manier waarop de verander wordt geïntroduceerd.

• Vooroordelen en emoties.

• Persoonlijke karakters en achtergrond.

Weerstand bij werknemers neemt meestal een van de drie volgende vormen aan: aggression (gedrag dat de effectiviteit van een systeem vernietigd of verzwakt), projection (het nieuwe systeem de schuld geven van alles wat fout gaat) en avoidance (negeren van een nieuw systeem in de hoop dat het probleem vanzelf verdwijnt).

Voor het voorkomen van gedragsproblemen kent men de volgende technieken:

• Geven van management support.

• Tegemoetkomen aan de behoeften van gebruikers.

• Betrekken van gebruikers.

• Wegnemen van angsten en het benadrukken van nieuwe mogelijkheden.

• Vermijden van emoties.

• Geven van trainingen.

• Heroverwegen van de prestatiebeoordeling.

• Open houden van communicatiewegen.

• Testen van het systeem.

• Houdt het systeem simpel en maak het menselijk.

• Controle houden over de gebruikersverwachtingen.

Systeemanalyse

Wanneer er behoefte is aan een nieuw of verbeterd systeem, zal allereerst een geschreven request for systems development worden klaargemaakt. Deze aanvraag beschrijft de huidige problemen, de redenen voor verandering, een voorstelling van de systeemdoelstellingen en de verwachte baten en kosten. Deze analyse bestaat uit vijf verschillende fases: een initial investigation, een systems survey, een feasibility study, de ‘information needs and systems requirements’ en het systems analysis report.

Een initial investigation is een voorafgaand onderzoek om te bepalen of een voorgesteld nieuw systeem nodig is, en of het überhaupt mogelijk is. Een proposal to conduct systems analysis wordt bereidt voor goedgekeurde projecten.

Een systems survey is het systematisch verzamelen van feiten omtrent het bestaande informatiesysteem. Meestal wordt deze taak uitgevoerd door een systems analysts. Voor het verzamelen van informatie kan een onderneming verschillende methodes gebruiken: het houden van een interview, het uitdelen van vragenlijsten/enquêtes, goed observeren en de laatste methode is systems documentation. Systems documentation beschrijft hoe de AIS behoort te werken. Het team moet alert zijn op verschillen tussen het huidige en het beoogde systeem, omdat deze belangrijk inzicht bieden wat betreft de problemen en de zwakheden (In table 20-4 worden van elke methode de voor –en nadelen besproken). De analyse wordt gedocumenteerd zodat het gebruikt kan worden tijdens de ontwikkeling. De documentatie bestaat o.a. uit kopieën van vragenlijsten, interview aantekeningen en modellen. Er is onderscheid te maken tussen physical models en logical models. Physical models beschrijven hoe een systeem functioneert door het beschrijven van de documentenstroom, de uitgevoerde computerprocessen en de mensen die ze uitgevoerd hebben, de gebruikte uitrusting en andere fysische elementen van een systeem. Logical models focussen zich op de essentiele activiteiten en de informatiestroom, niet op de fysische processen zoals het transformeren en opslaan van gegevens, dus ongeacht hoe deze stroom bereikt is. Een systems survey eindigt met een systems survey report.

Een feasibility study is een onderzoek om te bepalen of een ontwikkeling van een nieuwe toepassing of systeem praktisch is.

De ‘information needs and systems requirements’ worden medebepaald door vier verschillende strategieën: het vragen aan gebruikers wat ze nodig hebben, het analyseren van externe systemen (als er al een oplossing bestaat, ga dan niet ‘het wiel opnieuw uitvinden’), het onderzoeken van bestaande systemen en het creëren van ene prototype.

Het systems analysis report is een uitgebreid rapport, bereid aan het eind van de systeemanalyse en de design fase, dat de resultaten van de analyseactiviteiten samenvat en documenteert.

Hoofdstuk 21: Ontwikkeling van een AIS

In dit hoofdstuk worden drie verschillende manieren beschreven om een informatiesysteem te verkrijgen: het kopen van software, het intern ontwikkelen van software of het inhuren van een bedrijf om een systeem te ontwikkelen en te bedienen. Er worden ook drie manieren besproken om het ontwikkelingsproces te verbeteren: business process management, prototyping en computer-aided software engineering tools.

Het kopen van software

Canned software wordt verkocht aan gebruikers die dezelfde eisen hebben. Een nadeel is wel dat het mogelijk niet voldoet aan alle informatiebehoeften van een organisatie. Turnkey systems zijn software en hardware die samen worden verkocht als een pakket. De leverancier installeert het systeem en de gebruiker ‘turns on the key’. Het is ook mogelijk om software te huren van zogenoemde application service providers (ASPs), die software verkopen over het internet. Bedrijven die AIS software kopen, zullen de normale systems development life cycle volgen.

Bedrijven die grote, complexe systemen kopen, zullen leveranciers een request for proposal (RFP) sturen, met de vraag of ze een systeem willen voorstelen die aan hun behoeften voldoet op een vastgestelde datum. Door gebruik te maken van een RFP wordt tijd bespaart, wordt het besluitproces makkelijker gemaakt, zullen er minder fouten worden gemaakt en zal mogelijke onenigheid worden vermeden.

Voorstellen waarbij belangrijke informatie ontbreekt, niet aan de minimum eisen wordt voldaan of te onduidelijk zijn worden geëlimineerd.

De systeemprestaties kunnen worden vergeleken op verschillende manieren. Een benchmark problem is de dataverwerking van verschillende computersystemen. Achteraf worden de resultaten gebruikt om de systeemprestaties te meten en worden er vergelijkingen gemaakt tussen de systemen. Point scoring is een procedure waarin selectiecriteria gebruikt worden om de verdiensten van de verschillende leveranciers te evalueren. Aan elk criterium wordt een gewicht gehangen gebaseerd op het belang van dit criterium, de gemiddelde scores worden uiteindelijk met elkaar vergeleken.

Requirements costing is een evaluatiemethode waarin een lijst van alle gewenste toepassingen worden gemaakt. Als een voorgesteld systeem niet deze gewenste functie bezit, zullen de kosten voor het ontwikkelen of kopen van deze functie meewegen in de algemene kosten van het systeem. Deze methode maakt het mogelijk om verschillende systemen te vergelijken.

Interne ontwikkeling van software

Custom software is software dat intern ontwikkeld wordt zodat het kan voldoen aan de specifieke behoeften van een organisatie. Bedrijven huren soms ook een ander bedrijf in om deze software te ontwikkelen.

End-user computing (EUC) is het gebruik en de controle door eindgebruikers van hun eigen informatiesysteem. End-user computing biedt de volgende voordelen:

1. Gebruikerscreatie, gebruikerscontrole en gebruikersimplementatie.

2. Systemen die zijn ontwikkeld door eindgebruikers zullen eerder voldoen aan de behoeften van de gebruiker.

3. Veel vertragingen worden vermeden.

4. Vrijmaken van systeemmiddelen.

5. Veelzijdigheid en gebruiksgemak.

Aan end-user computing zijn ook enkele nadelen verbonden:

1. Logische - en ontwikkelingsfouten: minder ervaring in systeemontwikkeling.

2. Er wordt onvoldoende getest.

3. Inefficiënte systemen.

4. Slecht gecontroleerde en gedocumenteerde systemen.

5. Geen systeem compatibiliteit: geen goede onderlinge aansluitbaarheid van software en hardware.

6. Duplicatie/ overlapping van systemen en gegevens; verspilde middelen.

7. Hogere kosten.

Een help desk ondersteunt en controleert de activiteiten van ‘end-user activities’.

Uitbesteding

Outsourcing is het inhuren van een bedrijf om alle onderdelen van de dataverwerking over te nemen.

Enkele voordelen van outsourcing zijn:

1. Zakelijke oplossing: men kan zijn aandacht richten op andere activiteiten.

2. Gebruik van activa: activa wordt verkocht aan de opdrachtnemer, dit bespaart kosten.

3. Toegang tot betere deskundigheid en betere technologie.

4. Lagere kosten.

5. Minder ontwikkelingstijd.

6. Eliminatie van ‘pieken en dalen’ verbruik.

7. Versoepeling van ‘downsizing’ (inkrimping).

Enkele nadelen van outsourcing zijn:

1. Inflexibiliteit .

2. Controleverlies.

3. Verminderd competitief voordeel.

4. ‘locked-in’ systeem: het is duur en lastig om het proces van uitbesteding om te draaien.

5. Onvoltooide doelen.

6. Slechte service.

7. Verhoogd risico.

Business Process Management

Business process management (BPM) is een systematische aanpak om het bedrijfsproces van een organisatie constant te verbeteren en te optimaliseren. Deze aanpak is een verbetering op de zogenoemde business process reengineering (BPR) waarbij een drastische, eenmalige aanpak wordt gebruikt om een automatisch bedrijfsproces te verbeteren. Innovatieve bedrijfsprocessen kunnen een groot competitief voordeel bieden, wel moeten ze hierbij ondersteund worden van begin tot eind. Het is van belang dat een bedrijfsproces wendbaar is en zich makkelijk kan aanpassen aan veranderingen. Tot slot behoort een bedrijfsproces goed afgestemd te zijn op de strategie en de behoeften van een organisatie.

De automatisering en bevordering van bedrijfsprocessen worden gerealiseerd door een business process management system (BPMS). Een BPMS verbetert de communicatie en de samenwerking, zorgt voor de automatisering van bepaalde activiteiten en integreert met andere systemen en andere partners binnen de ‘value-chain’.

Een BPMS biedt meerdere voordelen: verbetering van interne controles, bevordering van taakverdeling, strengere applicatiecontroles en ten slotte zorgt de ingebouwde ‘audit-trail’ ervoor dat alle acties makkelijk kunnen worden gevolgd.

Prototyping

Prototyping is een aanpak voor systeemontwerp waarin een vereenvoudigd model van een informatiesysteem wordt ontwikkeld. Met dit model kan men experimenteren om te bepalen wat de plus- en minpunten van het systeem zijn. Prototypes worden meestal ontwikkeld als er grote onzekerheid heerst.

Een prototype doorloopt bij de ontwikkeling vier stappen. De allereerste stap is het specificeren van de basisbehoeften. In de tweede stap vindt de ontwikkeling van het eerste prototype plaats en in de derde stap wordt er met dit prototype geëxperimenteerd en wordt er gekeken of er aan de vereisten wordt voldaan; zo mogelijk wordt het model aangepast. In de vierde stap wordt er gebruik gemaakt van het prototype.

Er zijn twee soorten prototypes. De eerste zijn de operational protoypes, deze worden verder ontwikkeld in volledig functionerende systemen en de tweede zijn de nonoperational (throwaway) prototypes, deze worden verwijderd, maar de geïdentificeerde systeemvereisten worden gebruikt om een nieuw systeem te ontwikkelen.

Enkele voordelen van prototyping zijn:

1. Betere omschrijving van de gebruikersbehoeften.

2. Hogere betrokkenheid en tevredenheid van de gebruiker.

3. Snellere ontwikkelingstijd.

4. Minder fouten.

5. Meer ruimte voor veranderingen.

6. Minder kostbaar.

Enkele nadelen van prototyping zijn:

1. Aanzienlijke gebruikerstijd vereist.

2. Minder efficiënt gebruik van systeembronnen.

3. Er wordt onvoldoende getest en gedocumenteerd door de ontwikkelaars; dit doen de gebruikers.

4. Negatieve gedragsreacties.

5. Eindeloze ontwikkeling.

Computer-Aided Software Engineering

Computer-aided software (or systems) engineering (CASE) is een pakket van hulpmiddelen die ervaren ontwerpers kunnen gebruiken om een informatiesysteem te plannen, te analyseren, te ontwerpen, te programmeren en te onderhouden. Enkele voordelen zijn: verbeterde productiviteit, verbeterde kwaliteit van het programma, kostenbesparing, verbeterde controle procedures en vereenvoudigde documentatie. Enkele problemen zijn echter: incompatibiliteit, kosten en onbevredigde verwachtingen.

Hoofdstuk 22: Ontwerp, implementatie en exploitatie

Dit hoofdstuk beschrijft de overige vier fases uit de systems development life cycle (SDLC).

Conceptual systems design

In een conceptual systems design wordt er een algemeen kader/framework ontwikkeld waarin de behoeften van de gebruikers worden geïmplementeerd en de problemen, ontwikkeld in de eerste fase, worden opgelost. Deze fase bestaat uit drie verschillende stappen. De eerste stap is het evalueren van alternatieve ontwerpen, waarin men zich moet afvragen hoe goed het model voldoet aan de organisatorische en systeem doelstellingen, hoe goed het voldoet aan de gebruikersbehoeften, of het economisch uitvoerbaar is en hoe de voordelen zich verhouden tegenover de nadelen. De tweede stap is het creëren van conceptual design specifications (systeemvereisten) voor de volgende elementen: output, dataopslag, input en verwerkingsprocedures en activiteiten. Een conceptual systems design report is een document waarin alle resultaten van de conceptual systems design worden samengevat.

Physical systems design

In de fase, Physical systems design, worden de brede, gebruikersgeoriënteerde vereisten uit de tweede fase geïmplementeerd, door het creëren van een gedetailleerde set specificaties die gebruikt worden om de computerprogramma’s te coderen en te testen. Deze fase bestaat ook weer uit een aantal verschillende fases.

De eerste fase is de ‘output design’ waarin de aard, het formaat, de inhoud en de timing van rapporten, documenten en schermweergaven worden bepaald. Output valt meestal wel in een van de volgende categorieën:

• Scheduled reports: reporten die worden geproduceerd door een systeem op aangegeven tijdsintervallen.

• Special-purpose analysis reports: rapporten die aangevraagd worden door het management om een bepaald probleem of kans te onderzoeken.

• Triggered exception reports: vooraf opgemaakte rapporten die alleen worden gegenereerd onder bepaalde condities. Het rapport brengt de informatie over de bestaande condities onder de aandacht van de beslissingsmaker.

• Demand reports: rapporten die een vooraf gespecificeerde inhoud en formaat hebben maar die alleen worden gemaakt op aanvraag van het management of een andere werknemer.

De tweede fase is de ‘file and database design’, waarin data uit verschillende bedrijfsunits in compatibele formaat worden opgeslagen.

De derde fase is de ‘input design’, waarin wordt overwogen welke type data als input moet worden beschouwd en wat de optimale input methode is. Een belangrijke kwestie hierbij is nog steeds de ‘form design’, waarbij de vormgeving van een document centraal staat (lettertype, kleurgebruik, etc.). Bij ‘computer screen design’ wordt data direct ingevoerd in de computer.

De vierde fase is de ‘program design’ en vindt plaats in de volgende acht stappen:

1. Bepalen van de gebruikersbehoeften.

2. Creëren en documenteren een ontwikkelingsplan.

3. Opstellen van programma instructies; het proces genaamd, structured programming is een modulaire aanpak van de programmering, waarin elke module een specifieke functie uitvoert en gecontroleerd wordt door een controle module.

4. Testen van het programma; debugging is het proces van het ontdekken en elimineren van programmafouten.

5. Documenteren van het programma.

6. Trainen van programmagebruikers.

7. Installeren van het systeem.

8. Gebruik en wijzigen van het systeem; program maintenance is de herziening van een computerprogramma om te kunnen voldoen aan nieuwe programma instructies, om te kunnen voldoen aan systeemaanvragen (rapporten), zodat fouten gecorrigeerd kunnen worden en zodat men de inhoud van een bestand kan veranderen.

De vijfde fase is de ‘procedures and controls design’, waarin de procedures het gehele proces van input tot output beheersen, waarbij de controles een belangrijke rol spelen. Een physical systems design report geeft een overzicht van wat er is bereikt en dient als de basis voor beslissingen van het management omtrent de keuze om wel of niet door te gaan naar de systems implementation fase.

Systems implementation
Systems implementation is de taak om een volledig systeem te leveren aan een organisatie, te gebruiken voor dag-tot-dag operaties. Een implementation plan is een geschreven plan dat een overzicht schetst van hoe het systeem zal moeten worden uitgevoerd. Dit plan bevat o.a. een tijdschema voor voltooiing, de werknemer wie verantwoordelijk is voor elke activiteit, de kostenraming en de taak ‘mijlpalen’.

Het testen van het systeem is erg belangrijk, hieronder drie vormen van testen:

1. Walk-throughs: ‘stap-voor-stap’ beoordelingen van de procedures met als doel het vinden van fouten.

2. Processing test data: hypothetische transacties laten uitvoeren door het nieuwe systeem om te controleren op verwerkingsfouten.

3. Acceptance test: het testen van het nieuwe systeem door gebruik te maken van speciaal ontwikkelde transacties en aanvaardingscriteria. De testresultaten worden geëvalueerd om te bepalen of een systeem zal worden geaccepteerd.

Systems conversion

Conversion is het veranderen van het oude naar het nieuwe AIS. Hierbij kan een organisatie gebruik maken van vier conversie methodes:

1. Direct conversion: methode waarin het oude systeem wordt stopgezet, nadat het nieuwe systeem is gestart.

2. Parallel conversion: methode waarin het nieuwe en het oude systeem tegelijkertijd draaien totdat de organisatie er zeker van is dat het nieuwe systeem naar behoren functioneert.

3. Phase-in conversion/ modular conversion: methode waarin delen van het oude systeem geleidelijk aan worden vervangen door nieuwe, totdat het oude systeem geheel is vervangen.

4. Pilot conversion: methode waarin een systeem wordt geïmplementeerd in een deel van de organisatie. Nadelen zijn wel de lange conversietijd en de noodzaak het oude systeem te koppelen aan het nieuwe.

Operation and maintenance

De laatste fase is het controleren en onderhouden van het nieuwe systeem. Hiervoor wordt een post-implementation review uitgevoerd om te bepalen of het nieuwe systeem voldoet aan de geplande doelen. Het post-implementation report vat het bovenstaande samen.