stuvia 23hoofdlijnen bestuurlijke informatiesystemen

8/19/2019 Stuvia 23hoofdlijnen bestuurlijke informatiesystemen

1/46

Hoofdlijnen bestuurlijkeinformatieverzorging

door

frederiksa

De Marktplaats voor het Kopen en Verkopen van je Studiemateriaal

Koop en Verkoop al je samenvattingen, aantekeningen, onderzoeken, scripties, collegedictaten, en

nog veel meer..

www.stuvia.com

http://www.stuvia.com/user/frederiksahttp://www.stuvia.com/http://www.stuvia.com/http://www.stuvia.com/http://www.stuvia.com/user/frederiksa


2/46


3/46

Door: A. Frederiks 2

InhoudHoofdstuk 1 – Organisatie en informatie ........................................................................................................ 4

1.1 Bestuurlijke informatie.......................................................................................................................... 4

1.2 Informatie- en communicatietechnologie ............................................................................................ 5

1.3 Informatiesystemen en decentralisatie ................................................................................................ 5

1.4 Informatieverzorging en strategie ........................................................................................................ 6

1.5 Besturen van organisaties ..................................................................................................................... 6

1.6 Het besturingsparadigma ...................................................................................................................... 7

1.7 Managementcyclus ............................................................................................................................... 7

1.8 Rol van accountant, controller en informatiemanager ......................................................................... 7

Hoofdstuk 2 – Interne beheersing en informatie ............................................................................................ 8

2.1 Beheersingsbegrippen........................................................................................................................... 8

2.2 Kwaliteit en kwaliteitscriteria ................................................................................................................ 9

2.3 Belang van interne beheersing ........................................................................................................... 12

2.5 De COSO- rapporten ............................................................................................................................ 12

2.7 Pijlers van bestuurlijke informatievoorziening ................................................................................... 14

2.8 Instrumentarium van de interne beheersing en administratieve organisatie .................................... 17

2.9 Corporate governance ........................................................................................................................ 18

Hoofdstuk 4 – Informatiesystemen ............................................................................................................... 20

4.1 Het begrip informatiesysteem ............................................................................................................ 20

4.2 Onderdelen van een informatiesysteem ............................................................................................ 20

4.3 Indelingen van informatiesystemen ................................................................................................... 23

4.4 Managementinformatiesystemen ...................................................................................................... 24

4.5 Integratie van informatiesystemen ..................................................................................................... 24

Hoofdstuk 5 – IT- control ............................................................................................................................... 26

5.1 Risico’s en IT (informatietechnologie)................................................................................................. 26

5.2 IT- governance ..................................................................................................................................... 265.3 IT- risicomanagement ......................................................................................................................... 27

5.4 IT- beheersingsmaatregelen en informatiebeveiliging ....................................................................... 29

5.5 Risicobeheersing in een geïntegreerde informatieomgeving ............................................................. 30

5.6 Valkuilen bij IT- beveiliging .................................................................................................................. 31

Hoofdstuk 7 – Het inkoopproces ................................................................................................................... 32

7.1 Risico’s, attentiepunten en beheersingsmaatregelen van het inkoopproces ..................................... 32

7.2 Het geven van inkoopopdrachten ....................................................................................................... 33

7.3 Uitvoering van inkoopopdrachten ...................................................................................................... 34

Stuvia.com - De Marktplaats voor het Kopen en Verkopen van je Studiemateriaal


4/46


7.4 Ontvangst van goederen ..................................................................................................................... 34

7.5 Controle van de inkoopfacturen ......................................................................................................... 35

7.6 Crediteurenadministratie .................................................................................................................... 36

7.7 Betaling van de inkoopfacturen .......................................................................................................... 36

Hoofdstuk 8 – Het voorraadproces ............................................................................................................... 36

8.1 Risico’s, attentiepunten en beheersingsmaatregelen ten aanzien van het voorraadproces ............. 36

8.2 Ontvangst van goederen ..................................................................................................................... 38

8.3 Registratie van de goederen ............................................................................................................... 38

8.4 Opslag van goederen ........................................................................................................................... 39

8.5 Afgifte van goederen ........................................................................................................................... 40

8.6 Inventarisatie van de goederenvoorraad ............................................................................................ 40

Hoofdstuk 10 – Het verkoopproces............................................................................................................... 41

10.1 Risico’s, attentiepunten en beheersingsmaatregelen ten aanzien van het verkoopproces ............. 41

10.2 Samenstellen van offertes ................................................................................................................ 42

10.3 Orderontvangst en orderacceptatie ................................................................................................. 43

10.4 Factureren van de order ................................................................................................................... 43

10.5 Afgifte van goederen ......................................................................................................................... 44

10.6 Debiteurenadministratie ................................................................................................................... 44

10.7 verkopen tegen contante betaling .................................................................................................... 45

Hoofdstuk 12 – Typologie inleiding ............................................................................................................... 45

12.1 Typologie van organisaties ................................................................................................................ 45



5/46


Hoofdstuk 1 – Organisatie en informatie

1.1 Bestuurlijke informatie

Het doel van bestuurlijke informatieverzorging is het op efficiënte wijze verstrekken van relevante en

betrouwbare informatie.Informatie is pas bestuurlijk als deze gebruikt wordt voor de realisatie van de ondernemingsdoelstellingen.

Bestuurlijke informatieverzorging maakt onder andere gebruik van de boekhouding (financiële

administratie).

Bestuurlijke informatieverzorging wordt gebruikt voor 3 verschillende zaken:

1. Informatie in het kader van het delegeren van taken en het afleggen van verantwoording:

wanneer het takenpakket van een functionaris om een doelstelling te bereiken zo omvangrijk is

dat hij de taken niet meer alleen kan uitvoeren dan moet hij taken gaan delegeren. De

gedelegeerde taken hebben een subdoelstelling die de hoofddoelstelling ondersteunen. De

mensen aan wie de taken zijn gedelegeerd moeten met behulp van informatie, verantwoordingafleggen aan een hoger niveau over het behalen van de subdoelstellingen.

2. Informatie voor het nemen van beslissingen: op basis van relevante en betrouwbare informatie

kunnen beslissingen worden genomen.

3. Informatie ten behoeve van het doen functioneren van de organisatie: het gaat hier om het delen

van kennis om:

a.

De organisatie in staat te stellen de doelstellingen te realiseren.

b.

Het op elkaar afstemmen van activiteiten van twee verschillende afdelingen.

c.

Het doorcommuniceren van een genomen beslissing.

Definitie van Starreveld over bestuurlijke informatieverzorging:

Alle activiteiten met betrekking tot het systematisch verzamelen, vastleggen en verwerken van gegevens,

gericht op het verstrekken van informatie ten behoeve van het besturen, doen functioneren en het

beheersen van een huishouding, en ten behoeve van de verantwoording die daarover moet worden

afgelegd.

Horizontale informatiestromen: heeft vooral betrekking op het doen functioneren van een organisatie (op

hetzelfde niveau).

Verticale informatiestromen hebben betrekking op:

- Het nemen van beslissingen

- Geven van opdrachten aan lagere niveaus

-

Afleggen van verantwoording aan hogere niveaus- Het afstemmen van activiteiten

Alle 3 de eerder genoemde punten komen onder andere tot uiting via verticale informatiestromen.



6/46


7/46


-

Kosten en baten van decentralisatie: zijn uiteindelijk de baten hoger dan de kosten? Zo ja, dan

wordt decentralisatie gekozen.

- Gebruikerseisen (voor- en nadelen):

o Lange informatiestromen vertraging

o Ondoorzichtiger

o

Gewenst niveau van controle/beveiliging

o Beheersbaarheid etc.

1.4 Informatieverzorging en strategie

Om te overleven dien je over een concurrentievoordeel te beschikken. Een onderneming zal voor een

strategie moeten kiezen om een concurrentievoordeel te behalen/behouden.

De factoren die een concurrentievoordeel opleveren noemt men kritische succesfactoren (KSF’s). Een

onderneming zal zich op enkele KSF’s moeten focussen core business (je kunt niet overal de beste in

zijn). Het bepalen van de KSF’s gebeurt door middel van een extern onderzoek naar de kansen en

bedreigingen. Daarna wordt een intern onderzoek verricht naar de sterkten en zwakten van de

bedrijfsprocessen. Dan worden de bedrijfsprocessen in verband gebracht met de KSF’s in een matrix. Deze

matrix moet ervoor zorgen dat informatie-elementen worden onderscheiden die de basis vormen voor de

rapportages aan het management. Het gaat hier om het vaststellen van variabelen (omzet, klachten,

bezettingsgraad e.d.) waarover gerapporteerd moet worden. Voor iedere variabele worden normen

voorgeschreven, prestatie-indicatoren genoemd. Eens in de zoveel tijd wordt hierover gerapporteerd aan

het management.

Conclusie:

-

KSF’s vaststellen (extern)

-

Bedrijfsprocessen vaststellen (intern)

-

Matrix bedrijfsprocessen en KSF’s

- Managementrapportages

Balanced scorecard (van Kaplan en Norten): uitgangspunt bij dit model is dat niet financiële

prestatiemaatstaven/indicatoren bepalend zijn voor financiële indicatoren.

De balanced scorecard onderscheidt 4 dimensies. Per dimensie worden 4 of 5 meetbare kritieke prestatie-

indicatoren (KPI’s). De 4 dimensies zijn:

-

Innovatief perspectief

- Financieel perspectief

- Klantenperspectief

- Intern perspectief

1.5 Besturen van organisaties

Indeling beslissingsniveaus:

- Strategisch

- Tactisch

-

Operationeel



8/46


Strategisch beslissingen hebben betrekking op afstemming met externe omgeving.

Tactisch op dit niveau vindt structurering (organisatiestructuur) van de organisatie plaats.

Verschillende structureringsmogelijkheden:

-

Functionele oriëntatie (afdeling inkoop, verkoop etc.)

-

Procesoriëntatie

-

Matrixoriëntatie (combinatie van proces en functionele oriëntatie)

- Projectoriëntatie

- Netwerkoriëntatie (online netwerk, bijvoorbeeld Amazon.com)

Operationeel uitvoering van bedrijfsactiviteiten.

1.6 Het besturingsparadigma

- Het bestuurd systeem is het systeem dat bestuurt en dus beheerst wordt.

-

Het besturend systeem is het systeem dat het bestuurd systeem bestuurt en beheerst.

- Het informatiesysteem wordt door het besturend systeem gebruikt om het bestuurd systeem

mee te besturen en beheersen.

Ook de omgeving zorgt voor informatie die het besturend systeem kan gebruiken.

Voorbeeld: het bestuurd systeem betreft een organisatie. Het besturend systeem is dan het management.

Het management haalt informatie uit de omgeving en informatiesystemen om de organisatie te besturen

en te beheersen.

1.7 Managementcyclus

Aansturen van mensen, zodat ze zich in de gewenste positie/richting begeven.

Cyclus bestaat uit 5 stappen:

-

Plannen

- Inrichten

- Uitvoeren

- Evalueren

- Bijsturen

Inrichten betreft het kiezen van de juiste structuur om de planning te kunnen realiseren. Wanneer

bijsturing nodig is kunnen de activiteiten worden aangepast (single loop learning) of de norm/het plan

(double loop learning).

1.8 Rol van accountant, controller en informatiemanager

Accountant: het controleproces van de accountant bestaat uit het beoordelen van de kwaliteit van het

systeem van interne controle en het vaststellen van de betrouwbaarheid van informatie (controle

jaarrekening).



9/46


Controller: intermediair tussen werkvloer en management. Rietdijk en andere onderscheiden:

- Business advocate: sterk gericht op alle niveaus en minder gericht op de financiële administratie

en de betrouwbaarheid ervan.

- Corporate policeman: ziet zijn rol meer als buitenstaander die slechts verantwoordelijk is voor de

betrouwbaarheid van financiële informatievoorziening.

-

Financieel adviseur: combinatie bovengenoemde. Ondersteunen van het management op

financieel gebied.

Informatiemanager: informatiesystemen inrichten, op elkaar afstemmen e.d. Soms wordt de

informatiemanager gevraagd een IT- strategie te ontwikkelen. De informatiemanager maakt dan deel uit

van het management en wordt dan CIO genoemd (Chief Information Officer).

Hoofdstuk 2 – Interne beheersing en informatie

2.1 Beheersingsbegrippen

Organisatiebeheersing is erop gericht de organisatie zo efficiënt mogelijk haar doelen te laten realiseren.

Om de organisatie te kunnen beheersen is informatiebeheersing en IT- beheersing noodzakelijk. BIV

houdt zich bezig met informatieverzorging.

Planning, beheersing en besturing kunnen niet los van elkaar gezien worden. Door te plannen en te

besturen probeer je iets te beheersen.

Control (beheersing) is iets anders dan controle. Controle is een onderdeel van control. Door middel van

controle kun je beheersen. Wanneer je niet controleert, kun je geen afwijkingen vaststellen, kun je niet

bijsturen en dus ook niet beheersen.

Controle = het nemen van maatregelen (constituerend) om afwijkingen van de doelstellingen te

voorkomen (terugkijkend). Door de resultaten te toetsen aan de maatregelen kun je afwijkingen

ontdekken.

Control = controle + het nemen van beslissingen (vooruitkijken) om de gesignaleerde afwijkingen tot een

minimum te beperken.

Controle omvat: terugkijken en constitueren.

Control omvat: constitueren, terugkijken en vooruitkijken.

Bestuurlijke informatieverzorging gaat om:

- het besturen van de organisatie met behulp van informatie die nodig is om taken te delegeren en

verantwoording af te leggen,

-

het nemen van beslissingen en

-

het doen functioneren van de organisatie.

Het doel van BIV is dus om deze informatie, die relevant en betrouwbaar moet zijn, te verstrekken aan het

management, zodat zij kunnen besturen.

Omdat een relatie bestaat tussen besturen en beheersen, is voor interne beheersing dezelfde informatie

nodig als voor het besturen.



10/46


De doelen van interne beheersing zijn:

- Betrouwbare informatieverzorging

- Juridische conflicten vermijden

- Beperken van onjuiste beslissingen

-

Juiste ingaande en uitgaande kasstromen

Er zijn 4 categorieën afwijkingen op de doelen:

- Informatie die niet in overeenstemming is met de werkelijkheid

- Wet- en regelgeving worden niet nageleefd

- De bedrijfsvoering is niet effectief en efficiënt

- Geld verlaat ten onrechte de organisatie

Naast internal control bestaat ook management control. De doelstellingen van management control zijn

hetzelfde als die voor internal control. Er bestaan alleen verschillen in de hoofdlijnen. Bij management

control gaat het vooral om het beheersen van het gedrag van werknemers om de doelstellingen te

bereiken. Bij internal control gaat het vooral om het beheersen van de operationele processen.

Er zijn 3 management controlproblemen te onderscheiden:

- Medewerkers weten niet wat van hen verwacht wordt.

-

Medewerkers zijn niet gemotiveerd.

-

Medewerkers beschikken niet over de gewenste capaciteiten.

Belangrijke kenmerken van management control:

- Sterke gedragsmatige oriëntatie: het gaat vooral om het beïnvloeden van gedrag en niet van

processen. Er zijn verschillende instrumenten om gedrag te beïnvloeden: beloning,

organisatiecultuur, trainingen, juiste voorbeeld geven, ondernemingsmissie en gedragscodes.-

Insteek vanuit de strategie van de organisatie: managementcontrol heeft als taak het doorvoeren

van de strategie op tactisch en operationeel niveau. Managementcontrol houdt zich niet bezig

met het ontwerpen van de strategie, maar alleen met de implementatie van de strategie. Top

down implementeren: door de organisatie heen duwen van de strategie. Van

ondernemingsniveau naar taakuitvoering.

2.2 Kwaliteit en kwaliteitscriteria

Er is sprake van kwaliteit wanneer iets voldoet aan de gestelde toetsingscriteria. Control en controle

houden zich voor een groot deel bezig met het toetsen van de behaalde resultaten (terugkijkend karakter)

aan de gestelde normen (constituerend karakter). Control en controle houden zich daarom bezig met

kwaliteit. Kwaliteit is een subjectief begrip, omdat de kwaliteitscriteria (normen) van persoon tot persoon

kunnen verschillen.

Er zijn 2 kwaliteitsmodellen:

- INK- model

- KAD- model

Het INK- model is een algemeen kwaliteitsmodel terwijl het KAD- model een kwaliteitsmodel is dat zich

specifiek op BIV richt.



11/46


INK- model

Het INK- model spreekt over aandachtsgebieden en niet over harde criteria waaraan moet worden

voldaan. Het model biedt slechts houvast. Deze 5 aandachtsgebieden moeten bijdragen aan het behalen

van de doestellingen van een onderneming. De 5 aandachtsgebieden zijn:

1.

Leiderschap

2.

Strategie en beleid

3.

Management van medewerkers:

- Personeelsbeleid

- Investeren in kennis en vaardigheden

- Beloningssystemen etc.

4. Management van middelen: middelen (geld, kennis, technologie, materialen en faciliteiten)

moeten effectief en efficiënt worden aangewend bij de uitvoer van activiteiten van de organisatie.

5.

Management van processen: de manier waarop de organisatie haar processen afbakent,

ontwerpt, beheerst en zodanig verbetert of vernieuwt (administratieve organisatie).

Naast deze aandachtsgebieden onderscheidt het INK- model 4 resultaatgebieden. Per resultaatgebiedworden maatstaven gekozen (soll positie) waaraan de huidige situatie getoetst moet worden (ist positie).

De resultaatgebieden zijn:

1.

Klanten en leveranciers: meten van de waardering van klanten en leveranciers.

2.

Medewerkers: voorziet de organisatie en het uit te voeren werk in de behoeften van de

werknemer?

3. Maatschappij: de mate waarin de organisatie aan maatschappelijk verantwoord ondernemen

doet.

4. Bestuur en financiers: de waardering die het bestuur en de financiers hebben ten aanzien van de

prestaties van het management, behalen van de financiële en operationele doelstellingen en devisie van het management.

Door op deze gebieden het resultaat te meten, moeten misschien veranderingen worden doorgevoerd in

de aandachtsgebieden. Voorbeeld: het werk voorziet niet in de behoefte van de medewerkers

(resultaatgebied). Hiervoor moeten veranderingen worden doorgevoerd in het managen van

medewerkers (aandachtsgebied).

KAD- model

KAD staat voor kwaliteit van de administratieve dienstverlening.

Het KAD- model breidt het besturingsparadigma uit. Bij het besturingsparadigma ging het om hetbesturend systeem dat het bestuurd systeem bestuurt met behulp van het informatiesysteem en

informatie uit de omgeving. Het KAD- model heeft betrekking op het informatiesysteem en de

maatregelen. Het KAD- model onderscheidt 4 manieren van besturing.

1.

Regeling invoer: een maatregel met betrekking tot het invoeren van informatie. Voorbeeld: bij

het elektronisch invoeren van informatie wordt gebruik gemaakt van standaardformulieren.

Wanneer je bepaalde velden niet invult weigert het systeem de invoer. Alle velden moeten dus

eerst ingevuld worden wil het systeem de informatie opslaan.

2. Regeling uitvoer: een maatregel met betrekking tot de uitvoer van informatie. Het

informatiesysteem produceert informatie. Daarbij moet de uitvoer aan bepaalde criteria voldoenanders wordt de uitvoer geblokkeerd. Voorbeeld: een betaling mag pas plaatsvinden als de



12/46


inkoopfactuur, bestelorder en orderontvangst gecontroleerd zijn. Wanneer dit niet het geval is

blokkeert het systeem de betalingen.

3. Doorvoerregeling voorwaarts (preventief): je treft van te voren maatregelen, zodat het proces

goed verloopt.

4.

Doorvoerregeling achterwaarts: het proces is niet naar behoren verlopen. Naar aanleiding

hiervan worden achteraf maatregelen getroffen om het proces te verbeteren of te vernieuwen.

Benchmarking

Een middel om de kwaliteit te verbeteren is benchmarking. Het vergelijken van afdelingen met

goedlopende afdelingen om te leren van de goedlopende afdelingen. Het doel is delen van het beleid van

de goedlopende afdeling door te voeren naar andere afdelingen (interne benchmarking). Competitieve

benchmarking: vergelijking tussen twee concurrerende bedrijven.

Algemene benchmarking: vergelijking tussen 2 niet concurrerende bedrijven.

Kwaliteitscriteria

Vanuit BIV gezien zijn er 4 categorieën kwaliteitscriteria:1. Kwaliteit van de strategie:

Er wordt onderscheidt gemaakt in bedoelde strategieën (invented strategies) en opkomende

strategieën (emergent strategies). Bedoeld is gepland en opkomend is niet gepland. Een strategie

is goed als:

a.

Na implementatie van de strategie de onderneming beter is geworden dan daarvoor.

b. De bedoelde strategie wordt gerealiseerd.

2. Kwaliteit van de bedrijfsvoering:

a. Het management de juiste tactische en operationele beslissingen neemt,

b. De uitvoerders van die beslissingen op de juiste wijze verantwoordelijk gesteld kunnen

worden enc.

Dat de organisatie functioneert zoals het zou moeten.

Maatstaf hiervoor is operationeel excelleren: het zodanig op orde hebben van je interne

processen, zodat daaruit een concurrentievoordeel voortvloeit.

3. Kwaliteit van informatie (kwaliteitsspectrum):

Informatie moet effectief en efficiënt zijn. Informatie is effectief als deze betrouwbaar en

relevant is. Informatie is betrouwbaar wanneer deze valide (juist), volledig en accuraat is.

Informatie is relevant wanneer deze nauwkeurig, tijdig en begrijpelijk is.

Invalide informatie = boven gestelde norm.

Onvolledige informatie = onder de gestelde norm.

Niet accurate informatie = alles wat onjuist is en wat niet onder valide en volledigheid valt.



13/46


4.

Kwaliteit van de IT- infrastructuur:

De kwaliteit van een geautomatiseerd informatiesysteem wordt getoetst aan:

- Kostenbeheersing van IT

- Naleving van weten regelgeving (op het terrein van computercriminaliteit).

-

Beschikbaarheid

-

Vertrouwelijkheid (vertrouwelijke informatie moet vertrouwelijk blijven)

-

Onderhoudbaarheid

- Overdraagbaarheid (van DOS naar MSWindows).

2.3 Belang van interne beheersing

De eerder genoemde doelen van internal control zijn tevens belangen:

- Betrouwbare informatie om juiste beslissingen te kunnen nemen om de organisatie te kunnen

besturen (belang van het management).

- Juridische conflicten vermijden. Als een organisatie dit nastreeft dan zullen ze ook fraude

vermijden. Als fraude gepleegd wordt, brengt dit de continuïteit van de organisatie in gevaar.

Organisaties doen aan internal control om de continuïteit te waarborgen.

- Een ander belang van internal control is de volledigheid van ingaande kasstromen en de juistheid

van uitgaande kasstromen. Als hier fouten optreden, omdat niet aan interne beheersing wordt

gedaan, brengt dit eveneens de continuïteit van de onderneming in gevaar.

Een accountant zal vooral belang hechten aan betrouwbare informatie en het management zal vooral

belang hechten aan de kwaliteit van de bedrijfsvoering.

2.5 De COSO- rapporten

Aan bod is gekomen wat internal control is en wat de doelen hiervan zijn, maar hoe doe je nu aan internal

control?

In het COSO- rapport wordt een vijftal componenten van internal control onderscheiden:

1. Controleomgeving

2. Risicobeoordeling

3.

Controlehandelingen

4.

Informatie en communicatie

5.

Bewaking van de goede werking

(zie blz. 59 COSO- huis)

1. Controleomgeving: dit is de basis voor interne beheersing. De controleomgeving is de cultuur van

de organisatie. Hierbij gaat het om in hoeverre mensen in de organisatie het belang van internal

control inzien. Als dit erg klein is, dan zal het management meer activiteiten moeten nemen om

te komen tot interne beheersing. De controleomgeving bestaat uit:

a.

Integriteit en ethische waarden

b. Aanwezigheid van functiebeschrijvingen

c. De taakopvatting van de Raad van Bestuur en RvC toezicht houden en beheersen

d. Manier waarop management met risico’s omgaat

e. Communicatielijnen in de organisatie



14/46


2.

Risicoanalyse: nadat de fundering (controleomgeving) in kaart is gebracht gaat men kijken naar

de risico’s die zich voor kunnen doen. De houding van de manager ten aanzien van risico’s speelt

hierbij een belangrijke rol. De houding van de manager bepaalt welke risico’s hij wel of niet

acceptabel vindt. Daarbij maakt de manager een kosten- en batenafweging. De vraag die gesteld

moet worden: wat als ik geen maatregelen neem, hoe groot zijn dan de gevolgen? Als de

gevolgen groot zijn, zal de manager maatregelen treffen.

(zie blz. 61 risicokaart)

De risicokaart houdt rekening met de gevolgen van het risico, de kans dat het risico zich voordoet

en de houding van de manager.

Risicoanalyse richt zich op het treffen van maatregelen ten aanzien van risico’s met betrekking tot

beheersingsproblemen, zodat het restrisico tot een aanvaardbaar niveau wordt teruggebracht.

Stappen:

a.

Eerst worden de beheersingsproblemen in kaart gebracht.b. Bepaald wordt, welke beheersingsproblemen het belangrijkste zijn. Voor deze

problemen worden preventieve maatregelen ingevoerd.

c. Voor de beheersingsproblemen die minder belangrijk zijn, worden geen preventieve

maatregelen ingevoerd. Bij deze risico’s worden achteraf maatregelen ingevoerd

(repressieve maatregelen).

d. Restrisico’s: er blijven altijd beheersingsproblemen bestaan die niet zijn aan te pakken

met preventieve of repressieve maatregelen. Dit zijn risico’s verbonden met

ondernemerschap.

3.

BeheersingsmaatregelenWanneer de risico’s in kaart zijn gebracht, worden de maatregelen vastgesteld. 3 typen

beheersingsmaatregelen:

- Preventieve maatregelen: vaak organisatorisch van aard.

- Repressieve maatregelen: vaak specifieke controlehandelingen.

- Correctieve maatregelen: problemen die door repressieve maatregelen zijn ontdekt, worden

met correctieve maatregelen opgelost.

4.

Informatie en communicatie

Informatie en communicatie worden gebruikt om de organisatie en mensen onder controle te

krijgen:- Vastleggen van transacties

- Matchen van interne documenten met externe bescheiden

- Bevestigingen aan derden

- Communicatie van procedures en taken

-

Afleggen van verantwoording etc.

5. Bewaking van de goede werking

Monitoring houdt in dat de kwaliteit van het systeem van interne beheersing wordt vastgesteld.

Er bestaan 2 vormen van monitoring:- Monitoring als continu proces



15/46


-

Monitoring als een specifieke evaluatie op een bepaald moment

Monitoring kan gezien worden als beheersingsmaatregel.

Doordat de omgeving van de organisatie verandert, is het mogelijk dat een intern beheersingssysteem

niet meer effectief is. Door middel van monitoring wordt de effectiviteit van het intern

beheersingssysteem in de gaten gehouden.

Om het risicomanagement beter af te bakenen is het ERM- COSO- rapport ontwikkeld. Het ERM- COSO-

rapport gaat verder dan het eerder beschreven COSO- rapport. Het ERM-COSO- rapport bestaat uit 8

componenten:

1. Interne omgeving (is gelijk aan controleomgeving): risicocultuur in kaart brengen en bepalen

welke risico’s het management acceptabel vindt.

2.

Het stellen van doelen: doelstellingen moeten aansluiten bij de missie en visie van de organisatie.

ERM onderscheid vier soorten doelstellingen:

a.

Strategische doelstellingen

b.

Operationele doelstellingenc. Verslaggevingdoelstellingen

d. Doelen met betrekking tot het naleven van weten regelgeving

3. Identificeren van kritieke gebeurtenissen (is hetzelfde als risicobeoordeling): welke risico’s

kunnen zich voordoen die de doelrealisatie negatief kunnen beïnvloeden? Hierbij moet zowel

met interne als met externe risico’s rekening worden gehouden.

4. Risico-inschatting: de kans dat een kritieke gebeurtenis zich voordoet en de gevolgen daarvan.

5. Besluit hoe gereageerd wordt op ingeschatte risico’s:

a. Wel of niet accepteren van risico’s

b. Wel of niet delen van risico’s met anderen

c.

Wel of niet vermijden van risico’s d.

Wel of niet beheersen van risico’s

6.

Beheersingsactiviteiten (is hetzelfde als controlehandelingen): welke maatregelen worden

genomen ten aanzien van de risico’s die wel beheerst zullen worden?

a. Preventieve maatregelen

b. Repressieve maatregelen

c. Correctieve maatregelen

7.

Informatie en communicatie: worden ingezet om de organisatie en de mensen onder controle te

krijgen en te houden.

8.

Bewaking van de goede werking van het systeem: het vaststellen van de kwaliteit van het

systeem van interne beheersing.a. Periodieke toetsing (ook wel monitoring genoemd).

b. Doorlopende toetsing (ook wel continue monitoring genoemd).

2.7 Pijlers van bestuurlijke informatievoorziening

Het vak bestuurlijke informatievoorziening rust op twee pijlers, namelijk:

-

Het grondpatroon van informatieverzorging

-

De waardekringloop



16/46


Het grondpatroon van informatieverzorging

In het algemeen heeft elk informatieverzorgingproces dezelfde structuur. De structuur bestaat uit drie

onderdelen:

1. Invoer

2.

Verwerken m.b.v. procedures bestaande uit gegevensverzamelingen

3.

Uitvoer

Het verweken van gegevens doet het systeem volgens richtlijnen. Het systeem koppelt ingevoerde

gegevens met bestaande gegevens.

Aan de hand van het grondpatroon kunnen drie controles op het informatiesysteem worden

onderscheiden:

1. Gebruikerscontroles: controles gericht op de in- en uitvoer van gegevens

2.

Geprogrammeerde controles: controles gericht op de verwerking van gegevens

3.

Integriteitcontroles: controles gericht op het vaststellen van de juistheid van procedures

De waardekringloop:

De waardekringloop vormt de basis voor controletechnische functiescheiding en controleverbanden:

De vierkanten geven de voorraden aan en de ovale vormen de handelingen. De stippellijnen geven aan

dat sprake is van controletechnische functiescheiding.

Controletechnische functiescheiding (preventieve maatregel):

Controletechnische functiescheiding houdt in dat tegengestelde belangen worden gecreëerd tussen

verschillede functionarissen en/of afdelingen. De controletechnische functiescheiding kan in strijd zijn

met hetgeen dat mensen moeten samenwerken in organisaties. Daarom zal voor het invoeren van

controletechnische functiescheiding eerst een kosten- en batenafweging gemaakt moeten worden.

Baten van controletechnische functiescheiding: tegengaan van opbrengstverlies door fraude.

Kosten van controletechnische functiescheiding: hogere personeelskosten, doordat één persoon niet

meer alle taken uitvoert.



17/46


In het kader van controletechnische functiescheiding worden 5 functies onderscheiden, te weten:

1. Beschikkende functies: kan de organisatie binden aan derden. De beschikkende functionaris heeft

de bevoegdheid om zelf beslissingen te nemen. Beschikkende functies zijn: inkopen, verkopen,

ontvangen van geld en betalen.

2.

Bewarende functies: moet ervoor zorgen dat goederen, geld of andere waarden worden

ontvangen en afgegeven. Magazijnmeester bijvoorbeeld.

3.

Registrerende functies: leggen gegevens vast over inkopen, verkopen, geldontvangsten en

betalingen (kortom de gegevens van de beschikkende handelingen). Deze vastleggingen leiden

tot veranderingen in de goederenvoorraad, geldvoorraad, debiteuren en crediteuren. De

registrerende taak is meestal voorbehouden aan de financiële afdeling.

4. Controlerende functies: toetsen de realisatie (ist- positie) aan de gestelde normen (soll- positie).

5. Uitvoerende functies: alles wat niet onder de andere functies valt is uitvoerend. Deze

functionarissen moeten uitvoeren wat de beschikkende functionaris hen oplegt.

De beschikkende functionaris geeft opdracht tot iets.

Deze opdracht wordt door de financiële afdeling geregistreerd.De bewarende functionaris geeft goederen af in opdracht van de beschikkende functionaris. Deze afgifte

wordt door de financiële afdeling geregistreerd.

De uitvoerende functionaris produceert in opdracht van de beschikkende functionaris. De productie

wordt geregistreerd door de financiële afdeling.

De registrerende functionaris registreert de opdracht, de afgifte en de productie. De controlerende

functionaris vergelijkt de registraties in het grootboek, met de feitelijke opdracht, afgifte en productie.

Controleverbanden (repressieve maatregel):

2 soorten controleverbanden:

-

De wet van samenhang tussen opgeofferde waarden en verkregen waarden: je moet eerst ietsopofferen om iets te verkrijgen. Tussen wat verkregen is en wat opgeofferd is bestaat een

verband. Voorbeeld: voor het vervaardigen van eindproducten (iets wat is verkregen) is inzet van

arbeid, kapitaal en grondstoffen nodig (hetgeen wat is opgeofferd).

- De wet van samenhang tussen toestand en gebeuren:

o Toestanden voorraadgrootheden

o Gebeuren stroomgrootheden

BETA- formule:

Beginvoorraad – Eindvoorraad + inkopen (of Toename) = verkopen (of Afname)

Bij de beschrijving van verbanden tussen toestanden stroomgrootheden, wordt ook wel gesproken vaneen netwerk van controleverbanden.



18/46


Netwerk van controleverbanden:

2.8 Instrumentarium van de interne beheersing en administratieve

organisatie

Controleprocedures die bijdragen aan een betere beheersing van de organisatie:

- Detailcontrole, totaalcontrole en deelwaarneming:

Detailcontrole alles wordt gecontroleerd. Bijvoorbeeld alle crediteuren op de saldilijst.

Deelwaarneming slechts enkele gegevens worden gecontroleerd (steekproef).

Totaalcontrole het totaal van de saldilijst wordt gecontroleerd met behulp van de BETA-

formule.

- Directe en indirecte controle:

Directe controle wordt toegepast op processen, procedures en taakopdrachten (preventieve

controle). Indirecte controle wordt uitgevoerd op de uitkomsten van processen, procedures en

taakopdrachten (repressieve controle).

Directe controle wordt ook wel action control genoemd en indirecte controle, results control.

-

Formele e materiële controle:

Formele controle: het toetsen van de ist- positie aan de procedures (= soll positie) hoe zou het

moeten gaan?

Materiële controle: het toetsen van de ist- positie aan de feitelijke toestanden en gebeurtenissen

wat gebeurt nu in werkelijkheid?

-

Negatieve en positieve controle:

Negatieve controle is een controle op volledigheid (kan niet steekproefsgewijs geschieden).

Positieve controle is gericht op juistheid.



19/46


-

Bevoegdheidscontrole:

De bevoegdheidscontrole richt zich op het controleren of de functionarissen de juiste

bevoegdheden hebben. Deze controle vindt plaats aan de hand van opgestelde procedures

(procesbeschrijvingen). Een bevoegdheidscontrole is daarom altijd een formele controle.

-

Voortgangscontrole:

De voortgangscontrole is gericht op de continuïteit van de bedrijfsprocessen. Hierbij wordt gelet

op de tijdigheid en juistheid van de uitvoering van bedrijfsprocessen. De processen moeten

voldoen aan de gestelde normen. Bij een voortgangscontrole wordt gebruik gemaakt van een

voorwaartse en achterwaartse koppeling:

Voorwaarts sturen

Achterwaarts bijsturen

En voor bedrijven met een geautomatiseerd systeem:

-

Geprogrammeerde controle:

De geprogrammeerde controle is een controle gericht op de gegevensverwerking in eengeautomatiseerd systeem. Het systeem stelt eisen aan de invoer voor de verwerking van

gegevens. Edit tests = de invoer moet aan bepaalde vormvereisten voldoen.

Batch- totaal = alle factuurbedragen worden handmatig (met Excel) bij elkaar opgeteld (batch-

totaal). Dit totaal wordt in het systeem ingevoerd. Het systeem berekent daarna zelf een batch-

totaal aan de hand van alle factuurbedragen. De twee totalen worden vervolgens vergeleken of

deze gelijk zijn aan elkaar.

Hash- totaal = niet alleen alle factuurbedragen worden in het controlegetal opgenomen, maar

ook andere getallen (zoals klantnummer en datum) worden opgenomen.

Wanneer bovengenoemde controles al ingebouwd zijn in de software en dus niet

geprogrammeerd hoeven te worden, spreek je van ingebouwde controles i.p.v.geprogrammeerde controles.

- Integriteitcontrole:

Integriteitcontroles zijn vergelijkbaar met controles op betrouwbaarheid van informatie. Een

integriteitcontrole controleert de integriteit van het informatiesysteem en heeft betrekking op de

systeemprocedures en de bestaande gegevensverzamelingen. 3 hoofdgroepen van

integriteitcontroles:

o Integriteitcontroles op de opzet van het informatiesysteem

o Integriteitcontroles op de beveiliging van het informatiesysteem

o

Integriteitcontroles op de werking van het informatiesysteem

- Gebruikerscontrole:

Controle op de invoer (is de gegevensinvoer juist) en uitvoer (klopt de uitgedraaide factuur met

de werkelijkheid) van gegevens.

2.9 Corporate governance

Naar aanleiding van verschillende boekhoudschandalen zijn wetten en codes ontwikkeld op het gebied

van corporate governance. Met corporate governance wordt goed ondernemingsbestuur mee bedoeld.



20/46


In de VS kennen ze de Sarbanes- Oxley act (SOX) en in Nederland kennen we de Code- Tabaksblat. Het

grote verschil tussen een wet en een code is dat de naleving van een wet verplicht is en van een code dus

niet. Als van de code wordt afgeweken, moet men wel kunnen uitleggen waarom wordt afgeweken.

Corporate governance gaat onder andere in op de volgende punten:

-

Toezicht door de Public Company Accounting Oversight Board

-

Onafhankelijkheid van de accountant

- Verantwoordelijkheden van het management

- Uitbreiding financiële rapportage etc.

De volgende artikelen uit de SOX zijn belangrijk:

Artikel 302: beschrijf dat het management ieder kwartaal (d.m.v. ondertekening) moet verklaren dat de

organisatie een kwalitatief hoogstaand rapportageproces heeft, dat het proces regelmatig gecontroleerd

wordt en dat de rapportages juist, volledig en tijdig zijn.

Artikel 404 richt zich specifiek op de rapportage van de jaarrekening.

Om tot een verklaring te komen van artikel 304 en 404, worden volgende stappen uitgevoerd:

1. Beoordeel de opzet van de administratieve organisatie en interne controle

2. Bepaal welke functionaris de werking van AO en IC moet testen en daar verantwoordelijk voor is.

3.

Vraag de uitkomsten van deze testen op en beoordeel deze op effectiviteit

4.

Maak van de uitkomsten van ieder organisatieonderdeel één eindoordeel en leg hier

verantwoording over af aan het maatschappelijk verkeer.

Artikel 906: wanneer eindverantwoordelijke de jaarrekening ondertekent, verklaart hij hiermee dat deze

voldoet aan de effectenwetgeving in alle opzichten. Wanneer de eindverantwoordelijke onterecht een

verklaring van goedkeuring afgeeft, dan kan dat een boete van € 5 miljoen en een gevangenisstraf van tenhoogste 5 jaar tot gevolg hebben.

SOX gaat over AO en IC en wordt daarom interne governance genoemd. Code Tabaksblat gaat over het

besturen en beheersen en wordt externe governance genoemd. Code Tabaksblat richt zich tot de

auditcommissie, algemene vergadering van aandeelhouders, controlerend accountant, Raad van

Commissarissen en de Raad van Bestuur.



21/46


Hoofdstuk 4 – Informatiesystemen

4.1 Het begrip informatiesysteem

Informatie: gegevens worden pas informatie wanneer zij zinvol kunnen worden gebruikt. De gebruikers

van een informatiesysteem vormen een belangrijk onderdeel van het informatiesysteem.

Systeem: bij het informatiesysteem kan onderscheid worden gemaakt in de volgende taken:

1. Invoeren

2. Opslaan

3. Verwerken

4.

Presenteren/uitvoeren

Een geautomatiseerd informatiesysteem bestaat uit de volgende onderdelen:

1.

Hardware

2. Software

3.

Gegevens

4. Netwerken

5. Mensen en procedures

4.2 Onderdelen van een informatiesysteem

De 5 basiscomponenten vormen gezamenlijk de infrastructuur van een informatiesysteem.

Hardware

3 belangrijke fasen in de ontwikkeling van hardware:

-

Het tijdperk van de mainframes (jaren 60/70). Eén krachtige centrale computer van waaruit

gebruikers werden bediend door middel van werkstations. De hardware en software moesten

gedeeld worden.

- Het tijdperk van de personal computer (jaren 80/90). Ieder werkstation had zijn eigen hardware

en software. Nadeel: voor iedere pc moest afzonderlijk een printer, modem, databases worden

aangeschaft. Voordeel: door de compactheid kon de pc overal ingezet worden, ook thuis. Thuis

werd de pc voor andere doeleinden gebruikt waardoor nieuwe hardware nodig was (audio- en

videokaarten).

-

Het tijdperk van de netwerken (vanaf de jaren 90). De inzet van netwerken biedt de mogelijkheid

om pc’s met elkaar te verbinden, zodat gegevens en faciliteiten met elkaar gedeeld kunnen

worden. Belangrijk netwerk is internet.

Onderdelen van computerhardware:



22/46


Software

Een computerprogramma (software) bevat gedetailleerde instructies (programmeertaal) die erop gericht

zijn de computer een bepaalde taak te laten uitvoeren. Er zijn twee basisgroepen software te

onderscheiden:

-

Systeemsoftware: zorgt voor de werking van de verschillende onderdelen van de hardware.

Systeemsoftware stuurt de hardware aan zoals printer, beeldscherm, toetsenbord etc.

-

Applicatiesoftware: zorgt ervoor dat de gebruiker een zinvolle taak kan uitvoeren zoals

tekstverwerkers, spreadsheets, databases, spelletjes etc.

Applicatiesoftware kan niet zonder systeemsoftware. Wanneer de systeemsoftware met meerdere

applicatiesoftware kan werken noemt men dat multitasking. Op hetzelfde moment een word- document

schrijven en je e-mail openen. Naast multitasking is er ook timesharing. Deze mogelijkheid zorgt ervoor

dat meerdere gebruikers tegelijkertijd op dezelfde computer kunnen werken. Dit is mogelijk bij

mainframe computers, maar niet bij personal computers.

Ontwikkeling: opensource systemen worden niet door een bepaalde onderneming gemaakt en verkochtzoals Microsoft, maar worden op vrijwillige basis ontwikkeld door een groot aantal programmeurs. Steeds

meer ondernemingen stappen over naar opensource systemen om de afhankelijkheid van monopolisten

op de softwaremarkt te vermijden.

Grote bedrijfsomvattende systemen (opensource systemen) worden ook wel suites genoemd. Anderzijds

zijn er miniprogrammaatjes ook wel applets genoemd ze werken op elk type systeemsoftware.

Gegevens

In beginsel kan elk individueel programma zijn eigen gegevensbestanden vastleggen en beheren. Dat

betekent dat verschillende gegevens (financieel, personeel en verkoop) in aparte bestanden wordenopgeslagen. Op deze manier is het combineren van gegevens uit verschillende bestanden moeilijk, omdat

ze op verschillende manieren worden vastgelegd en beheerd. De kans is ook groot dat gegevens dubbel

worden opgeslagen dataredundantie. Het gebruik van informatiesystemen met afzonderlijke

gegevensbestanden kan snel tot grote integriteitproblemen leiden. Stel de klant staat op twee

verschillende manieren genoteerd (P. Jansen en P.T.E. Jansen) dan krijgt 1 klant 2 facturen opgestuurd.

Om dit te voorkomen wordt met databases gewerkt.

Netwerken

Het bekendste netwerk is internet. Internet is een netwerk van netwerken. Dit geeft aan dat het internet

is opgebouwd uit allerlei verschillende elementen die technisch gezien sterk variëren.

Technische componenten van een netwerk

Verbindingen binnen een netwerk kunnen op verschillende manieren tot stand worden gebracht:

- Koperen kabels

-

Glasvezelkabels

-

Radiogolven etc.

Een fysieke verbinding alleen is niet genoeg. Het is tevens noodzakelijk dat apparaten die van het netwerk

gebruik maken, elkaar kunnen ‘begrijpen’. Daarvoor zijn protocollen ontwikkeld. Protocollen bestaan uit

commando’s. Het protocol zorgt ervoor dat de data op dezelfde wijze wordt ingepakt en bij ontvangst

wordt uitgepakt.



23/46


Netwerkstructuren

Er zijn drie verschillende structuren waarin de meeste netwerken zijn georganiseerd.

Sterstructuur: één centrale computer die één- op- één verbindingen heeft met kleine computers. Nadeel:

het functioneren is geheel afhankelijk van de centrale computer + hoge investeringskosten. Voordeel:

wanneer één gebruikersterminal uitvalt, hebben de andere computers daar geen last van + hoge snelheid.

Ringstructuur: elk apparaat op het netwerk is verbonden met twee buren. Gegevens worden van

computer naar computer gestuurd totdat de geadresseerde is bereikt. De gegevens worden in één

richting over het netwerk verstuurd. Nadeel: het netwerk is erg afhankelijk van de individuele gebruikers.

Voordeel: simpel + weinig bekabeling.

Busstructuur: alle apparatuur die op het netwerk aangesloten is, deelt één gezamenlijk circuit dat niet

gesloten is. Daarom worden de gegevens steeds naar beide kanten gestuurd. Nadeel: langzaam. Voordeel:

simpel en weinig bekabeling.

Netwerken kunnen ook ingedeeld worden op basis van hun omvang:

- Local area netwerk LAN: beperkt tot de omvang van één of enkele gebouwen die bij elkaar in

de buurt gelegen zijn.

- Wide area netwerk WAN: deze netwerken bestaan uit meerdere technische componenten.

De toegankelijkheid van het internet

Om toegang te krijgen tot het internet dient een fysieke verbinding (kabel) met het internet tot stand te

worden gebracht. Hiervoor worden zogenaamde internet service providers (ISP’s) ingeschakeld.

Daarnaast moet een computer een eigen adres op het internet krijgen IP adres (internet protocol



24/46


adres). Tegenwoordig wordt naast het IP- adres ook nog een domeinnaam gebruikt. De domeinnaam is

makkelijker te onthouden dan het IP- adres, omdat het IP- adres uit cijfers bestaat. Elke domeinnaam is

gekoppeld aan een IP- adres. Domeinnamen eindigend op NL worden verzorgd door Stichting Internet

Domeinregistratie Nederland (SIDN). Domeinnamen eindigend op EU worden verzorgd door European

Registry of Internet Domain Names (EURID).

Een laatste indeling van internet:

- Internet

- Intranet: werkt hetzelfde als internet alleen is intranet niet voor iedereen toegankelijk. Alleen

werknemers uit de organisatie kunnen gebruik maken van dit netwerk.

- Extranet: Wanneer ook derden gebruik kunnen maken van het netwerk van een organisatie dan is

sprake van extranet.

Mensen en procedures

Zonder gebruikers geen informatiesysteem. Om het goede functioneren van het informatiesysteem te

garanderen zijn procedures aanwezig m.b.t. het gebruik van het informatiesysteem.

4.3 Indelingen van informatiesystemen

Indeling op basis van omvang van of de wijze waarop betaald wordt voor het informatiesysteem:

- Freeware gratis

-

Shareware kleine vergoeding

-

Licentiesoftware jaarlijkse bijdrage

-

Commerciële software eenmalig bedrag

Indeling naar de rol van het informatiesysteem:

- Personeelsinformatiesystemen

- Financiële informatiesystemen

-

Productie-informatiesystemen

Indeling van informatiesystemen naar organisatieniveau:

- Strategisch

- Tactisch

- Operationeel

De belangrijkste indeling van informatiesystemen is de indeling naar doel. De applicatieportfoliomatrix:

Strategisch doel: deze informatiesystemen zijn van belang voor het realiseren van de strategie van de

onderneming.



25/46


Operationeel doel: deze informatiesystemen zijn van belang voor het dagelijks functioneren van de

onderneming.

Ondersteunend doel: deze informatiesystemen zijn gericht op het behalen van efficiëntievoordelen.

Hoge potentie: deze informatiesystemen hebben momenteel nog weinig waarde, maar wel hoge potentie

voor in de toekomst.

4.4 Managementinformatiesystemen

Ook bestaat een indeling van informatiesystemen op basis van de manier waarop managementinformatie

tot stand komt. Er worden 4 groepen informatiesystemen onderscheiden:

1. Transactieverwerkende systemen: verzamelen en verwerken van gegevens die betrekking

hebben op de dagelijkse transacties en ondersteunen van processen die zich afspelen op

operationeel niveau. Vormt een uiterst belangrijke basis voor de totale informatievoorziening

binnen de onderneming.

2. Informatieverwerkende systemen: spelen een belangrijke rol in de ondersteunende processen

binnen een organisatie. Het gaat bij deze systemen niet om operationele basisgegevens, maar om

informatie op een hoger aggregatie- of abstractieniveau. Voorbeelden van deze systemen zijn:

presentatiesoftware en technische tekenprogramma’s.

3. Managementsystemen: geven overzichten en rapportages die gericht zijn op het besturen van de

organisatie door het management.

4. Strategische systemen: zijn erop gericht op het ondersteunen van beslissingen die geen vaste

structuur kennen, omdat de beslissingen betrekking hebben op de lange termijn of, omdat ze zich

weinig voordoen. Deze systemen worden vooral door het topmanagement gebruikt. Om die

reden wordt daarom ook wel gesproken over Executive Information System (EIS) of Executive

Support System (ESS).

4.5 Integratie van informatiesystemen

De opslag van operationele gegevens vormt de basis voor informatie in hogere lagen van de organisatie.Wanneer het systeem wordt ingedeeld in subsystemen op basis van rol (personeel, financieel, verkoop



26/46


etc.) en er wordt een nieuw subsysteem geïmplementeerd, dan wordt vaak geen rekening met andere

subsystemen gehouden. Zo worden de gegevens vaak dubbel opgeslagen (dataredundantie), ontstaat het

risico dat gegevens niet consistent worden opgeslagen en moet het management gebruik maken van

gegevens uit verschillende systemen die niet goed op elkaar aansluiten.

De oplossing hiervoor zijn ERP- systemen.

Enterprise Resource Planning systemen (operationeel niveau)

Alle verschillende subsystemen worden geïntegreerd in één groter geheel en maken gebruik van één

onderliggende gegevensstructuur. De onderneming kan een keus maken tussen verschillende modules die

binnen het ERP- pakket beschikbaar zijn. Ook kunnen extra modules worden toegevoegd die ook gebruik

maken van dezelfde onderliggende gegevensstructuur. Door de opkomst van geïntegreerde

organisatiebrede systemen (zoals ERP- systemen), is duidelijk geworden dat de functionele

organisatiestructuur niet meer toereikend is en dat deze opnieuw moet worden ingedeeld vanuit het

oogpunt van de klant of leverancier. Basisstructuur ERP- systemen:

Managementrapportages met ERP- systemen

Hoewel managementrapportages m.b.v. ERP- systemen een stuk eenvoudiger zijn geworden, biedt hetERP- systeem geen complete oplossing voor het leveren van goede managementinformatie. Oorzaken:

-

Het ERP- systeem kent een transactiegerichte gegevensverwerking wat vooral voor operationeel

niveau van toepassing is. Aangezien het management beslissingen neemt op aggregatie- en/of

abstractie niveau is het ERP- systeem niet toereikend genoeg.

- Het ERP- systeem voorziet alleen in interne informatie. Op tactisch en strategisch niveau worden

beslissingen genomen op basis van interne en externe informatie.

Wanneer het ERP- systeem naast operationele zaken ook nog gebruik maakt van analysetaken kan dit ten

koste gaan van de operationele processen. Het ERP- systeem kan dan zo belast worden dat de goede

ondersteuning van de dagelijkse activiteiten in gedrang komt. Om die reden is het niet verstandig detotale managementrapportages te baseren op het ERP- systeem.

Datawarehouses (tactisch en strategisch niveau)

Om het management wel in hun informatiebehoeften te kunnen voorzien, kan gebruik gemaakt worden

van datawarehouses die zowel interne als externe informatie bevatten. Zonder ERP- systeem is de

inrichting van een datawarehouse bijna onmogelijk. Het ERP- systeem dient als basis voor de

datawarehouse.



27/46


Hoofdstuk 5 – IT- control

5.1 Risico’s en IT (informatietechnologie)

De risico’s van IT- systemen zijn groter dan bij niet geautomatiseerde systemen. Oorzaken:

-

De integrale functies binnen één systeem, maakt controle via controletechnische functiescheiding

moeilijker. Controle moet dan binnen het systeem plaatsvinden door middel van een

geprogrammeerde procedure of ingebouwde controle.

- De gegevensinvoer heeft als risico dat gegevens verkeerd worden ingevoerd. Doordat het

systeem met de foutieve data verder werkt, ontstaat een sneeuwbaleffect.

- Doordat interne computernetwerken gekoppeld zijn aan externe computernetwerken van

bijvoorbeeld de klant, maakt toegang tot interne informatiesystemen door externen eenvoudiger.

-

Doordat het systeem zo complex is, is het moeilijk te zien welke processen worden uitgevoerd en

of wel of geen controles plaatsvinden.

Enkele begrippen:

IT –governance heeft te maken met de wijze waarop het informatiesysteem wordt ingericht volgens

bepaalde standaarden.

IT- risicomanagement gaat om het signaleren van risico’s door middel van ingebouwde procedures en

controles.

IT- beheersing/control gaat om het treffen van beheersingsmaatregelen in de administratieve organisatie

(AO) om de informatie te beveiligen.

5.2 IT- governance

Corporate governance is gericht op het realiseren van goed ondernemingsbestuur met behulp van

standaarden (Code Tabaksblat/SOX). IT- governance is een onderdeel van corporate governance. In geval

de beheersingsmaatregelen betrekking hebben op IT, spreken we van IT- governance. Speciaal voor IT-

governance is ook een code ontwikkeld door ITGI (International IT Governance Institute), namelijk de

COBIT-code. De COBIT- code staat voor:

Control Objectives for Information and Related Technology.



28/46


De COBIT- standaard dient als vertrekpunt voor de te treffen beheersingsmaatregelen. Bepaalde

beheersingsmaatregelen vinden we in iedere organisatie terug:

- Het vastleggen van verantwoordelijkheden rond beveiliging, zodat dat duidelijk is wie waarvoor

verantwoordelijk is.

-

Het organiseren van trainingen op gebied van informatiebeveiliging.

-

Het rapporteren van informatiebeveiligingsproblemen

-

Het garanderen van de continuïteit van bepaalde bedrijfsprocessen als de IT- functie onverhoopt

zou uitvallen door middel van uitwijkfaciliteiten, back-up en recovery en voldoende

computerverwerkingscapaciteit.

Uitwijkfaciliteiten: het tijdelijk gebruik kunnen maken van de faciliteiten van een ander bedrijf.

Recovery: een team specialisten die zo snel mogelijk de boel weer op de rails krijgen.

5.3 IT- risicomanagement

Eerst moeten de risico’s in kaart worden gebracht, voordat beheersingsmaatregelen getroffen kunnen

worden. Er zal dus eerst een risicoanalyse moeten worden uitgevoerd. De risicoanalyse bestaat uit de

volgende drie stappen:

1. Risico-inventarisatie

2. Inschatten hoe groot de kans is dat een risico zich voordoet (rekening houdend met de getroffen

IT- controlemaatregelen).

3. Inschatten van de schade die optreedt als het risico zich voordoet.

Op basis van punt 2 en 3 wordt een kosten- batenanalyse gemaakt en wordt de prioriteit vastgesteld. Aan

de hand hiervan wordt bepaald welke risico’s als eerste afgedekt worden.

Een risicoanalyse moet periodiek worden uitgevoerd, omdat:

- De omgeving verandert en daarmee een verschuiving van de risico’s gepaard gaat.

- Er nieuwe risico’s kunnen optreden.

-

Er vastgelegd moet worden of de huidige controlemaatregelen nog goed functioneren.

De verschillende risico’s die zich het meest voordoen worden behandeld.

Virussen (risico 1)

Een computervirus is een klein computerprogramma dat ontworpen is, met als doel schade toe te

brengen bij computergebruikers. De bekendste virussen met verschillende effecten:

Melissa- virus

Het Melissa- virus maakt gebruik van beveiligingslekken in Microsoft Word, Microsoft Outlook en Outlook

Express. Zodra je een document opent dat besmet is met dit virus, dan wordt het e-mailprogramma

geopend en worden een groot aantal berichten verstuurd onder de naam van de ontvanger van het virus.

Het virus heeft geen invloed op de hardware, maar op het e-mailverkeer waardoor een zo grote belasting

op de mailservers ontstaat, dat geen e-mailverkeer meer mogelijk is.

CIH- virus (Tsjernobyl virus)

Het CIH- virus vernietigt gegevens op de harde schijf van computers met het besturingssysteem Windows

95 en 98. Daarnaast bleek het virus in staat te zijn de processor te beschadigen waardoor de computer

onbruikbaar wordt.



29/46


I-love-you virus (meest geldverslindende virus)

Bij een e-mail is een attachment toegevoegd met als onderwerp ‘love letter’. Wanneer de bijlage geopend

wordt, dan wordt in de adressenlijst ingebroken en wordt de e-mail doorgestuurd naar alle contacten.

Daarnaast wordt de startpagina van je internet veranderd. Zodra je internet opent, download je ongewild

een programma. Het programma doorzoekt de computers op wachtwoorden en stuurt deze naar de

ontwerper van het virus. Bovendien tast het virus ook nog eens geluids- en fotobestanden aan.

Koernikova- virus (Nederlandse virusmaker)

Het virus wordt verspreid door middel van een e-mail. Als bijlage is een foto van de tennisster Anna

Koernikova toegevoegd. In werkelijkheid wordt bij opening van de bijlage het virus doorgestuurd naar alle

contacten.

Vormen van virussen

1.

Worm: een worm verspreidt zichzelf over computernetwerken via e-mail door in te breken in het

adressenbestand. Het I-love-you virus is het bekendste worm- virus.

2.

Trojan Horse (Trojaans paard): de Trojan Horse is een besmet programma dat verstopt zit in eenander programma. De gebruiker moet eerst het bijbehorend programma openen, voordat het

Trojaans paard actief wordt. De gevaarlijkste Trojaanse paarden zijn remote-

beheersprogramma’s die gebruikt worden voor het op afstand beheren van computersystemen.

Iemand anders kan dan vanaf zijn computer andere computers op afstand aansturen.

3.

Hoax (grap/mop): is een nepvirus. Het betreft een e-mailbericht dat computergebruikers

waarschuwt voor een nieuw virus. In werkelijkheid is er geen virus. Omdat gebruikers bang zijn

sturen de e-mail zo veel mogelijk door. Het gevolg is dat de mailserver overbelast raakt.

Hacking (risico 2)

Hacking kan gedefinieerd worden als het ongeautoriseerd toegang krijgen tot en gebruiken vannetwerkcomputers. De meeste hackers beperkt zich tot het toegang krijgen en doen verder niets.

Hackers gebruiken verschillende technieken, zoals:

- Password- crackers: dit is software die wachtwoorden kan kraken.

- Denial-of-serviceaanval: een hacker infecteert andere computers met een Trojan Horse virus,

zodat hij deze computers kan aansturen. Deze geïnfecteerde computersystemen worden zombies

genoemd. Aan de zombies wordt opdracht gegeven om heel veel informatieaanvragen bij een

website te doen waardoor de website niet meer te bezoeken is voor anderen.

-

Web-defacing: bij web-defacing wordt een website vervangen door een andere website. De

website van het ministerie van Justitie was vervangen door een site waarop een hakenkruis tezien was en de naam was veranderd in United States Department of Injustice.

Overige risico’s

- Stroomuitval kan grote schade toebrengen aan de hardware.

-

Werknemers kunnen door onvoldoende IT- training onopzettelijk schade aanrichten aan het

systeem.

-

Werknemers kunnen ook opzettelijk schade aanrichten aan het systeem.



30/46


5.4 IT- beheersingsmaatregelen en informatiebeveiliging

Verschillende beheersingsmaatregelen:

-

Geprogrammeerde controles hebben betrekking op de gegevensverwerking in het systeem.

- Integriteitcontroles hebben betrekking op procedures en het verzamelen van gegevens.

-

Gebruikerscontroles

hebben betrekking op het invoeren en uitvoeren van gegevens.- Fysieke controles bijvoorbeeld sloten op deuren van ruimtes waar computerhardware staat.

IT- beheersingsmaatregelen hebben als doel:

1.

De goede werking van de IT- infrastructuur te garanderen, en

2. Beveiligen van informatie

Informatiebeveiliging heeft 4 doelen:

1. Beschermen van de vertrouwelijkheid van informatie, zodat alleen personen toegang krijgen die

daartoe bevoegd zijn.

2.

Waarborgen van de integriteit van informatie, zodat informatie juist, accuraat en volledig is.3.

Waarborgen van de beschikbaarheid van informatie.

4.

Waarborgen van de authenticiteit van informatie, zodat met een redelijke zekerheid de herkomst

van informatie kan worden vastgesteld.

10 IT- beheersingsmaatregelen zullen worden behandeld:

1. Antivirussoftware: signaleert en verwijdert computervirussen. Het programma controleert

voortdurend: bestanden op de harde schijf, binnenkomende e-mails en gedownloade bestanden.

2.

Firewalls: is een software eventueel aangevuld met hardware die de computer beschermt tegen

indringers. In een firewall kan worden aangegeven welke computers van buiten het netwerk

toegang mogen krijgen en ook welke programma’s toegang mogen krijgen tot bronnen buiten het

netwerk.

3.

Back-upmaatregelen: van bestanden die zijn opgeslagen wordt een kopie gemaakt. Wanneer er

een storing is, gaan alleen bestanden verloren tot de laatste back-up. Omdat individuele

gebruikers vaak vergeten een back-up te maken, worden bestanden op een centrale server

opgeslagen. De automatiseringsafdeling zorgt dan voor en regelmatige back-up van de centrale

server, zodat belangrijke informatie niet verloren gaat.

4. Toegangscontrole: dient ervoor dat onbevoegden geen toegang kunnen krijgen tot pc’s, netwerk

of gegevens van een organisatie. De bekendste toegangcontrole is die van gebruikersnaam +

wachtwoord. Ook bestaat een chipkaart die wordt gebruikt om toegang te krijgen tot individuele

pc’s te beperken. Een andere vorm van toegangscontrole is met behulp van biometrische

gegevens: vingerafdruk, stem of iris om toegang te krijgen.

5. Encryptie: een bestand wordt gecodeerd, zodat het niet leesbaar is, totdat het bestand wordt

gedecodeerd. Voor het coderen gebruikt de verzender een codeersleutel. De ontvanger moet

over dezelfde codeersleutel beschikken om het bestand te kunnen decoderen en te lezen. Een

publieke codeersleutel zorgt ervoor dat je maar één codeersleutel gebruikt om een bestand aan

verschillende ontvangers te versturen, zodat niet voor iedere klant een aparte geheime

codeersleutel gebruikt hoeft te worden. Alleen de ontvanger maakt gebruik van een geheime

codeersleutel om het bestand te kunnen openen.



31/46


6.

Secure servers: voor een website worden wel eens aparte servers gebruikt om bijvoorbeeld af te

rekenen. De financiële gegevens worden vervolgens alleen op deze streng beveiligde server

bewaard, waardoor een organisatie niet al haar servers even streng hoeft te beveiligen.

7.

Virtual private networks (vpn): voorheen werd gebruik gemaakt van internet wanneer een

organisatie haar interne netwerk wilde aansluiten op netwerken van andere partijen (klanten en

leveranciers). Het risico bestaat dan dat een onbevoegde waar ook ter wereld toegang probeert

te krijgen tot het netwerk. Daarom kunnen organisaties gebruik maken van vpn’s. Dan kunnen

alleen partijen die toegang hebben, gebruik maken van het netwerk. Vpn maakt geen gebruik van

aparte communicatielijnen, maar van dezelfde communicatielijnen als internet. Het komt erop

neer dat de toegang tot het onderlinge netwerk extra beveiligd is en om die reden is sprake van

een virtual netwerk in plaats van een fysiek netwerk.

8.

Elektronische handtekening en elektronische certificaten: eerst was een digitale handtekening

niet rechtsgeldig, omdat niet met zekerheid kon worden vastgesteld of de handtekening bij de

juiste persoon hoorde. Tegenwoordig is de digitale handtekening wel rechtsgeldig, omdat metbehulp van een digitaal certificaat de echtheid kan worden vastgesteld. Het certificaat bevat de

naam van de houder van het certificaat, de vervaldatum, een uniek nummer en de digitale

handtekening. De certificaten worden uitgegeven door banken en creditcardorganisaties. Zonder

certificaat is je digitale handtekening niet geldig.

9. Software updates en patches: in software kunnen fouten zitten, waardoor het programma niet

optimaal functioneert, maar ook fouten die het voor hackers mogelijk maakt om in te breken. In

geval het om een ernstige fout gaat, kan de softwareleverancier een nieuwe versie maken en ter

beschikking stellen. De software is dan geüpgrade. Wanneer kleine onderdelen worden

aangepast, is sprake van een update of patch. In de meeste gevallen worden de patches viainternet verspreid onder de klanten.

10. Recoverymaatregelen: uitval van informatiesystemen (door natuurrampen, criminaliteit of

terroristische aanslagen) kan voor organisaties dramatische gevolgen hebben. In een dergelijk

geval moet een calamiteitenplan klaarliggen waarin is opgenomen hoe de goede werking van het

systeem kan worden verzekerd. Het plan bevat welke systemen de hoogste prioriteit hebben en

welke personen daarvoor verantwoordelijk zijn. Ook bevat het plan preventieve maatregelen die

genomen moeten worden om de gevolgen van een calamiteit te beperken.

5.5 Risicobeheersing in een geïntegreerde informatieomgeving

Een ERP- systeem kent een vergaande integratie van verschillende functies in één systeem. Daardoor zijn

de risico’s groter. De inzet van een ERP- systeem heeft een bijzonder grote invloed op de interne controle

binnen een organisatie. Binnen dit systeem worden registraties, die voorheen op verschillende plekken

binnen de organisatie gegenereerd, geïntegreerd. De controletechnische functiescheiding valt hierdoor

weg. Wanneer de invoergegevens niet betrouwbaar zijn, deugen de uitkomsten ook niet. Er moeten dus

controlemaatregelen getroffen worden om deze problemen te voorkomen.

Binnen de automatiseringsorganisatie moet functiescheiding worden ingevoerd. De ontwikkeling en het

gebruik van het systeem dient gescheiden te worden om de kans op fraude te verminderen. Ook dient

een scheiding aanwezig te zijn tussen de gegevensverwerking en de controle op de gegevensverwerking.



32/46


Integriteitcontroles: procedures en gegevensverzameling

De automatiseringsorganisatie kent een structuur waarin het volgende moet worden vastgelegd:

- De taakomschrijvingen

- Bevoegdheden

-

Verantwoordelijkheden

van de verschillende functionarissen die bij de automatisering betrokken zijn.

Alle procedures moeten schriftelijk worden vastgelegd.

Gebruikerscontroles invoer en uitvoer van gegevens.

De controle op invoer wordt door een andere functionaris uitgevoerd dan de functionaris die de gegevens

heeft ingevoerd.

Geprogrammeerde controles verwerking van gegevens.

De controles op de gegevensverwerking kunnen ingebouwd of geprogrammeerd zijn. De controle m.b.v.

voortelling (batch en hash- totaal) is hiervan een voorbeeld.

Andere geprogrammeerde controles: controle op nummers aan de hand van controlecijfer.

Redelijkheidcontrole: invoer wordt getoetst op aanvaardbaarheid.

Controle op waarden: bijvoorbeeld de invoer moet tussen 1 en 12 liggen anders blokkeert het systeem de

invoer van gegevens.

Fysieke controles bescherming tegen brand, water en inbraak.

5.6 Valkuilen bij IT- beveiliging

Naast kosten hebben IT- beheersingsmaatregelen ook andere negatieve gevolgen. Doordat eisen aan de

wachtwoorden worden gesteld, zijn ze voor de gebruiker moeilijker te onthouden. Mensen schrijven

wachtwoorden op, zodat het voor hackers nog gemakkelijker wordt gemaakt.

Ook de relatie tussen beveiliging en privacy staat op gespannen voet. Sommige medewerkers worden op

zodanige manier gecontroleerd waardoor de privacy in gedrang komt.

Ook worden door werkgevers persoonlijke gegevens van werknemers opgeslagen. Op dit punt bestaat de

Wet bescherming persoonsgegevens, waarin is vastgelegd welke gegevens werkgevers mogen opslaan en

hoe hiermee moet worden omgegaan. Wanneer een werknemer bezwaar heeft, kan hij/zij een klacht

indienen bij het College Bescherming Persoonsgegevens die de werkgever tot aanpassing kan verplichten.



33/46


Hoofdstuk 7 – Het inkoopproces

De inkoopfunctie is een beschikkende functie (het binden van de organisatie aan derden).

In dit hoofdstuk komen de risico’s met betrekking tot het inkoopproces aan bod en de

beheersingsmaatregelen die genomen moeten worden om deze risico’s te beheersen. Verder wordt de

AO van het inkoopproces behandeld.

7.1 Risico’s, attentiepunten en beheersingsmaatregelen van het

inkoopproces

Eerst wordt het risico genoemd en vervolgens de beheersingsmaatregel etc.

Risico 1: Inkopers worden door leveranciers beïnvloed d.m.v. geschenken en steekpenningen. Hierdoor is

de kans groot dat de inkoper bij de leverancier inkoopt die hem/haar een voordeel biedt. Het gevolg

hiervan is dat te veel wordt betaald in verhouding tot de geleverde kwaliteit.

Beheersingsmaatregelen:

- Het screenen van inkopers (preventief).

- Het belonen van inkopers als ze hun inkoopdoelstellingen m.b.t. prijs-kwaliteitverhouding halen

(preventief).

-

Het opstellen van een gedragscode die inkopers verbiedt om geschenken aan te nemen

(preventief).

-

Het toepassen van offerteprocedures: er moet bij verschillende leveranciers een offerte

aangevraagd worden en er wordt door twee inkopers bepaald welke leverancier de beste prijs-

kwaliteitverhouding heeft.

-

Vergelijken van de inkoopprijzen met marktgegevens (repressief). Het hoofd financiën

controleert de inkoopprijzen met de gemiddelde prijs waartegen de rest van de markt inkoopt.

- Het vergelijken van gemiddelde inkoopprijzen tussen inkopers (repressief).

Repressieve maatregelen kunnen een preventieve werking hebben. Inkopers weten dat ze achteraf

gecontroleerd worden.

Risico 2: Inkopers kopen te duur in, doordat niet tegen optimale condities wordt ingekocht (niet met

opzet).


-

Het toepassen van een offerteprocedure: er wordt bij verschillende leveranciers offertesaangevraagd. De beoordeling van de leveranciers op prijs-kwaliteitverhouding geschied door

twee inkopers.

- Het afstemmen van de inkoopprijs met de prijslijst (interne lijst met maximumprijzen waartegen

ingekocht wordt), voordat de inkoop wordt gesloten.

- Het belonen van de inkopers op basis van het inkoopresultaat.

Risico 3: Het te veel inkopen.


-

Inkoopafdeling niet zelf laten bepalen hoeveel ingekocht moet worden.- Een juiste voorraadadministratie bijhouden waaruit blijkt wat het voorraadniveau is.



34/46


Risico 4: Het te weinig inkopen.


- Het beoordelen van leveranciers op het leveren van de juiste afgesproken hoeveelheid.

-

Een juiste voorraadadministratie bijhouden waaruit blijkt wat het voorraadniveau is.

Risico 5: Tegen slechte kwaliteit inkopen.


- Inkopen bij vooraf gescreende leveranciers.

- Periodieke beoordeling van leveranciers op prijs-kwaliteitverhouding.

Risico 6: Het niet optimaal gebruik maken van inkoopkortingen als gevolg van niet tijdige betaling van de

inkoopfactuur waardoor te duur wordt ingekocht.

Beheersingsmaatregel:- Geautomatiseerde procedures die facturen op de vervaldatum automatisch betaalt.

Risico 7: Betalen voor niet geleverde goederen.

Beheersingsmaatregel:

- Controleren of de juiste hoeveelheid goederen in rekening zijn gebracht aan de hand van de

voorraadadministratie en de gegevens op de factuur.

De administratieve organisatie van het inkoopproces in het kort:

1.

het geven van een inkoopopdracht2.

uitvoeren van inkoopopdrachten

3.

ontvangst van goederen

4. controleren van inkoopfacturen

5. crediteurenadministratie bijwerken

6. betaling inkoopfacturen

7.2 Het geven van inkoopopdrachten

Bij productieondernemingen geeft het bedrijfsbureau inkoopopdrachten aan de afdeling inkoop. Het

bedrijfsbureau heeft de taak de ontvangen orders te coördineren. Het bedrijfsbureau moet aan de

productieafdeling doorgeven wat geproduceerd moet worden en in welke hoeveelheid. Op basis van de

productieplanning geeft het bedrijfsbureau opdracht aan de inkoopafdeling om goederen in te kopen.

Een productieonderneming kan ook op voorraad produceren. Er is dan altijd een bepaalde voorraad

aanwezig. Wanneer de bestelvoorraad bereikt is, wordt een inkoopopdracht gegeven. Het bedrijfsbureau

stelt in samenwerking met de inkoopafdeling vast wat het bestelniveau is en hoeveel ingekocht moet

worden, wanneer het bestelniveau bereikt is.



35/46


Het bereiken van het bestelniveau kan gesignaleerd worden door:

- De magazijnchef: de magazijnchef stelt vast dat het bestelniveau bereikt is en geeft dit door aan

het bedrijfsbureau. Het bedrijfsbureau controleert of het bestelniveau inderdaad bereikt is en

geeft zo nodig een inkoopopdracht aan de afdeling inkoop. De magazijnchef kan ook direct de

inkoopafdeling de opdracht tot inkopen geven. Het nadeel hiervan is dat de controle door het

bedrijfsbureau wordt overgeslagen met als gevolg dat misschien besteld wordt terwijl dit niet

nodig is.

- De voorraadadministratie: wanneer de voorraadadministratie een signaal geeft dat het

bestelniveau is bereikt, dan wordt een inkoopopdracht doorgegeven aan de afdeling inkoop.

- De inkoper: het geautomatiseerd systeem geeft een signaal aan de inkoper, wanneer het

bestelniveau is bereikt.

7.3 Uitvoering van inkoopopdrachten

1. Nagaan welke leveranciers de gevraagde artikelen kunnen leveren:

Een onderneming houdt een productdocumentatie bij. Hierin staan gegevens over het product en

welke leveranciers dat product leveren. Door een product op te zoeken in de documentatie kan

men de leveranciers aanklikken die het product leveren. Je komt dan in de

leveranciersdocumentatie terecht met informatie over de leverancier en welke producten de

leverancier verkoopt. Op basis van de verkregen gegevens worden leveranciers geselecteerd die

in aanmerking komen voor de levering van het product.

2. Leverancierscondities onderzoeken:

Tegen welke voorwaarden leveren de leveranciers?

Inkoper 1: vraagt offertes aan.

Inkoper 2: ontvangt de offertes en gaat na of van iedere leverancier een offerte is ontvangen.

Deze functiescheiding dient er voor om samenwerking tussen inkoper en leverancier te

voorkomen. Anders zou een inkoper offertes van andere levera

stuvia 23hoofdlijnen bestuurlijke informatiesystemen

Documents