Administratieve organisatie M3
Hoofdstuk 3 – betrouwbaarheid en interne controle
Interne controle: controle door of namens de leiding en toezichthoudende organen op de oordeelsvorming
en activiteiten van anderen. Toetsen van de werkelijkheid aan de norm. Interne controle is vooral gericht
op betrouwbaarheid door middel van preventieve en repressieve maatregelen van interne controle.
Interne beheersing gaat verder dan betrouwbaarheid en omvat alle activiteiten die nodig zijn om de
gestelde doelen te bereiken.
Beperkingen van interne controle zijn:
Management besluit zelf niet de interne controlevoorschriften na te leven.
Het maken van fouten of vergissingen door medewerkers.
Samenspaning.
Maatregelen van interne controle kunnen preventief en repressief zijn. Preventieve maatregelen hebben
te maken met de opzet van de organisatie. De repressieve maatregelen zijn vooral op controle gericht.
Preventieve maatregelen van interne controle Repressieve maatregelen van interne controle
- Begrotingen, normen en tarieven - Cijferbeoordeling
- Functiescheiding - Verbandscontroles
- Procedures en richtlijnen - Detailcontroles
- Beveiliging van waarden - Waarneming ter plaatse
- Preventieve IT-controls - Repressieve IT-controls
- Het inrichten van een administratie
Begrotingen, normen en tarieven
Organisaties kunnen begrotingen gebruiken om opbrengsten en kosten te plannen en op elkaar af te
stemmen. Wanneer je wilt controleren of een begroting op zorgvuldige wijze tot stand is gekomen let je op
de volgende zaken: de betrouwbaarheid van de bij het opstellen van de begroting gebruikte basisgegevens,
de aannemelijkheid van de bij het opstellen van de begroting gebruikte veronderstellingen, de
rekenkundige juistheid en de functiescheiding bij de totstandkoming van de begroting.
Functiescheiding
Functiescheiding ontstaat wanneer de directie medewerkers verantwoordelijk stelt voor afzonderlijke
taken en functiegebieden. Hiervoor zijn twee redenen: het is efficiënt en effectief. In de tweede plaats zal
de directie ook willen anticiperen op mogelijk onbetrouwbaar handelen van de medewerkers. Er worden
verschillende soorten functies gekarakteriseerd:
Beschikkend – medewerkers binden de organisatie aan derden.
Bewarend – medewerker wordt verantwoordelijk gesteld voor het zorgvuldig bewaren van
goederen of andere waarden.
Uitvoerend – medewerkers die uitvoerende taken verrichten (productiemedewerker).
Registrerend – financiële administratie.
Controlerend – controleren in opdracht van de directie of de informatie betrouwbaar is.
Procedures en richtlijnen
Om de organisatie te beschermen tegen de mogelijke gevolgen van belangrijke risico’s zal de directie aan
de medewerkers aanwijzingen geven. Procedures bestaan uit een reeks van vast voorgeschreven
handelingen die medewerkers moeten volgen voor het geval een procedure van toepassing is. Een richtlijn
geeft de richting aan van handelen voor medewerkers, meestal met een door de leiding bepaalde
bandbreedte.
, Beveiliging van waarden
De mate van beveiliging zal in overeenstemming moeten zijn met de kans en omvang van het
waardeverlies dat door de organisatie loopt.
Cijferbeoordeling
Door cijfers op een overzicht met elkaar te vergelijken, kan een indruk worden verkregen van de
betrouwbaarheid van de cijfers op dit overzicht.
Verbandscontroles
De kern van verbandscontroles is dat vastleggingen van verschillende medewerkers met elkaar in relatie
worden gebracht. Door middel van verbandscontroles wordt voornamelijk de werking van functiescheiding
gecontroleerd.
Detailcontroles
Bij detailcontroles controleer je een of enkele transacties gedetailleerd, zoals een factuurcontrole.
Detailcontroles die zich alleen op de juistheid van de getallen richten noem je gegevensgericht.
Detailcontroles die zich alleen op de werking en naleving van procedures en richtlijnen richten, noem je
systeemgericht.
Waarneming ter plaatse
Door middel van waarneming ter plaatse controleert de administratie niet alleen of de beveiliging goed
functioneert maar ook of de informatie over een voorraad of capaciteit betrouwbaar is.
Aangezien alle organisaties beschikken over geautomatiseerde informatiesystemen, zijn er ook
maatregelen die ervoor moeten zorgen dat dit soort systemen betrouwbaar en continue functioneren.
General IT controls zijn algemene beheersmaatregelen die van toepassing zijn op alle programma
applicaties waarover de organisatie beschikt. Deze vormen de fundering. Belangrijke general IT controls:
Management & organisatie (top controls) – door de directie gestelde kaders waarbinnen de
informatietechnologie zich moet ontwikkelen.
Ontwikkelingsbeheer – de manier waarop de organisatie omgaat met nieuwe ontwikkelingen van
nieuwe informatiesystemen.
Wijzigingsbeheer – gericht op het beheerst doorvoeren van wijzigingen in de productieomgeving.
Beveiligingsbeheer – het nemen van een passend stelsel van beveiligingsmaatregelen is meer dan
ooit gewest.
Logische toegangsbeveiliging – noodzakelijke maatregel bij het gebruik van geautomatiseerde
informatiesystemen om ervoor te zorgen dat alleen de juiste personen toegang hebben tot de bij
hun functie passende bestanden en applicaties.
Operationeel beheer – registeren en analyseren van storingen.
De betrouwbare werking van programmatuur dient te worden gewaarborgd door een passend stelsel van
controlemaatregelen genaamd ‘application controls’. Application controls kunnen handmatig, handmatig
met behulp van de door een applicatie gegenereerde output en geautomatiseerd worden uitgevoerd.
Naast het onderscheid op automatisering kun je ook onderscheid maken ten aanzien van het moment
waarop deze worden uitgevoerd. Men maakt het volgende onderscheid:
Invoercontroles – invoer van gegevens in een programma volledig en juist is.
Verwerkingscontroles – geautomatiseerde verwerking van de gegevens kan gecontroleerd worden.
Hebben met name waarde als een relatie wordt gelegd tussen de vastleggingen van de ene afdeling
naar de andere.
Uitvoercontroles – vast te stellen of de uitvoer juist en volledig is.
Hoofdstuk 3 – betrouwbaarheid en interne controle
Interne controle: controle door of namens de leiding en toezichthoudende organen op de oordeelsvorming
en activiteiten van anderen. Toetsen van de werkelijkheid aan de norm. Interne controle is vooral gericht
op betrouwbaarheid door middel van preventieve en repressieve maatregelen van interne controle.
Interne beheersing gaat verder dan betrouwbaarheid en omvat alle activiteiten die nodig zijn om de
gestelde doelen te bereiken.
Beperkingen van interne controle zijn:
Management besluit zelf niet de interne controlevoorschriften na te leven.
Het maken van fouten of vergissingen door medewerkers.
Samenspaning.
Maatregelen van interne controle kunnen preventief en repressief zijn. Preventieve maatregelen hebben
te maken met de opzet van de organisatie. De repressieve maatregelen zijn vooral op controle gericht.
Preventieve maatregelen van interne controle Repressieve maatregelen van interne controle
- Begrotingen, normen en tarieven - Cijferbeoordeling
- Functiescheiding - Verbandscontroles
- Procedures en richtlijnen - Detailcontroles
- Beveiliging van waarden - Waarneming ter plaatse
- Preventieve IT-controls - Repressieve IT-controls
- Het inrichten van een administratie
Begrotingen, normen en tarieven
Organisaties kunnen begrotingen gebruiken om opbrengsten en kosten te plannen en op elkaar af te
stemmen. Wanneer je wilt controleren of een begroting op zorgvuldige wijze tot stand is gekomen let je op
de volgende zaken: de betrouwbaarheid van de bij het opstellen van de begroting gebruikte basisgegevens,
de aannemelijkheid van de bij het opstellen van de begroting gebruikte veronderstellingen, de
rekenkundige juistheid en de functiescheiding bij de totstandkoming van de begroting.
Functiescheiding
Functiescheiding ontstaat wanneer de directie medewerkers verantwoordelijk stelt voor afzonderlijke
taken en functiegebieden. Hiervoor zijn twee redenen: het is efficiënt en effectief. In de tweede plaats zal
de directie ook willen anticiperen op mogelijk onbetrouwbaar handelen van de medewerkers. Er worden
verschillende soorten functies gekarakteriseerd:
Beschikkend – medewerkers binden de organisatie aan derden.
Bewarend – medewerker wordt verantwoordelijk gesteld voor het zorgvuldig bewaren van
goederen of andere waarden.
Uitvoerend – medewerkers die uitvoerende taken verrichten (productiemedewerker).
Registrerend – financiële administratie.
Controlerend – controleren in opdracht van de directie of de informatie betrouwbaar is.
Procedures en richtlijnen
Om de organisatie te beschermen tegen de mogelijke gevolgen van belangrijke risico’s zal de directie aan
de medewerkers aanwijzingen geven. Procedures bestaan uit een reeks van vast voorgeschreven
handelingen die medewerkers moeten volgen voor het geval een procedure van toepassing is. Een richtlijn
geeft de richting aan van handelen voor medewerkers, meestal met een door de leiding bepaalde
bandbreedte.
, Beveiliging van waarden
De mate van beveiliging zal in overeenstemming moeten zijn met de kans en omvang van het
waardeverlies dat door de organisatie loopt.
Cijferbeoordeling
Door cijfers op een overzicht met elkaar te vergelijken, kan een indruk worden verkregen van de
betrouwbaarheid van de cijfers op dit overzicht.
Verbandscontroles
De kern van verbandscontroles is dat vastleggingen van verschillende medewerkers met elkaar in relatie
worden gebracht. Door middel van verbandscontroles wordt voornamelijk de werking van functiescheiding
gecontroleerd.
Detailcontroles
Bij detailcontroles controleer je een of enkele transacties gedetailleerd, zoals een factuurcontrole.
Detailcontroles die zich alleen op de juistheid van de getallen richten noem je gegevensgericht.
Detailcontroles die zich alleen op de werking en naleving van procedures en richtlijnen richten, noem je
systeemgericht.
Waarneming ter plaatse
Door middel van waarneming ter plaatse controleert de administratie niet alleen of de beveiliging goed
functioneert maar ook of de informatie over een voorraad of capaciteit betrouwbaar is.
Aangezien alle organisaties beschikken over geautomatiseerde informatiesystemen, zijn er ook
maatregelen die ervoor moeten zorgen dat dit soort systemen betrouwbaar en continue functioneren.
General IT controls zijn algemene beheersmaatregelen die van toepassing zijn op alle programma
applicaties waarover de organisatie beschikt. Deze vormen de fundering. Belangrijke general IT controls:
Management & organisatie (top controls) – door de directie gestelde kaders waarbinnen de
informatietechnologie zich moet ontwikkelen.
Ontwikkelingsbeheer – de manier waarop de organisatie omgaat met nieuwe ontwikkelingen van
nieuwe informatiesystemen.
Wijzigingsbeheer – gericht op het beheerst doorvoeren van wijzigingen in de productieomgeving.
Beveiligingsbeheer – het nemen van een passend stelsel van beveiligingsmaatregelen is meer dan
ooit gewest.
Logische toegangsbeveiliging – noodzakelijke maatregel bij het gebruik van geautomatiseerde
informatiesystemen om ervoor te zorgen dat alleen de juiste personen toegang hebben tot de bij
hun functie passende bestanden en applicaties.
Operationeel beheer – registeren en analyseren van storingen.
De betrouwbare werking van programmatuur dient te worden gewaarborgd door een passend stelsel van
controlemaatregelen genaamd ‘application controls’. Application controls kunnen handmatig, handmatig
met behulp van de door een applicatie gegenereerde output en geautomatiseerd worden uitgevoerd.
Naast het onderscheid op automatisering kun je ook onderscheid maken ten aanzien van het moment
waarop deze worden uitgevoerd. Men maakt het volgende onderscheid:
Invoercontroles – invoer van gegevens in een programma volledig en juist is.
Verwerkingscontroles – geautomatiseerde verwerking van de gegevens kan gecontroleerd worden.
Hebben met name waarde als een relatie wordt gelegd tussen de vastleggingen van de ene afdeling
naar de andere.
Uitvoercontroles – vast te stellen of de uitvoer juist en volledig is.
