ICAIS ESAA – SAMENVATTING READER
Samenvatting Instellingstentamen en Landelijk Schriftelijk ICAIS
IICC Model...............................................................................................................................................3
GOV - GOVERNANCE................................................................................................................................4
GOV - Corporate Governance Code.........................................................................................................5
GOV – RvC en PIV.....................................................................................................................................6
GOV – Agency – governance issues.........................................................................................................7
GOV – In-control-statement....................................................................................................................7
RM – Risicomanagement.........................................................................................................................9
RM – 8 stappenmodel..............................................................................................................................9
RM - 3 Lines of Defense (3LoD)................................................................................................................9
STRAT – Strategie – scholen / proces.....................................................................................................10
STRAT – Strategie - modellen / inhoudelijke strategie...........................................................................11
STRAT – Strategie - beïnvloedende factoren (determinanten)..............................................................12
STRAT – Strategie - control model.........................................................................................................13
MC - COP’S – Lang..................................................................................................................................13
MC - COP’S - Kort...................................................................................................................................16
MC - Management Control....................................................................................................................17
MC - Enkele specifieke functies.............................................................................................................17
PC - Process Control...............................................................................................................................20
PC – Procesrisicoanalyse – RM...............................................................................................................21
PC – RACI...............................................................................................................................................21
PC – Verantwoordingen.........................................................................................................................22
PC – Administratieve sturingsmaatregelen............................................................................................22
TYP - Typologie – Starreveld large.........................................................................................................23
ICT – Uitbesteding / ISAE 3402..............................................................................................................24
ICT – SLA................................................................................................................................................24
ICT - GITC’s.............................................................................................................................................25
ICT - Application controls.......................................................................................................................25
ICT - Afdelingen......................................................................................................................................26
ICT - GO/SO/BO......................................................................................................................................27
ICT - B,C,V..............................................................................................................................................27
1
,ICT - Changemanagement......................................................................................................................27
ICT - Complexiteit..................................................................................................................................28
ICT – IT audit..........................................................................................................................................28
ICT – ERP................................................................................................................................................29
ICT – Datawarehousing / BI / Big Data...................................................................................................30
ICT – SBR / XBRL.....................................................................................................................................32
ICT – Cloud.............................................................................................................................................32
ICT – BYOD.............................................................................................................................................34
ICT – Continuous Monitoring.................................................................................................................35
ICT – SLA (service level agreement).......................................................................................................35
ICT – RfID...............................................................................................................................................36
ICT – AI / algoritme / machine learning.................................................................................................36
ICT – IoT.................................................................................................................................................37
ICT – Process Mining..............................................................................................................................37
ICT – Blockchain.....................................................................................................................................38
PIV - Managementinformatie................................................................................................................39
ERM – COSO model...............................................................................................................................40
ADR........................................................................................................................................................43
2
,IICC Model
De IICC-benadering bestaat uit 4 cycles: Toezichthoudende control cyclus (TC), Strategische control
cyclus (SC), Management Control cyclus (MC) en Proces control cyclus (PC). De beantwoording zal aan
de hand van deze cycli plaatsvinden.
In control zijn betekend: het geheel aan activiteiten om de organisatie, binnen de dynamische omgeving,
te sturen en te beheersen, waarmee organisatiedoelen op een beheerste wijze, binnen redelijke grenzen,
mogelijk maakt en de negatieve effecten worden voorkomen of beperkt; en waarover, door de
verantwoordelijken, verantwoording kan worden afgelegd.
TC – Sturing
o Governance
o Risicoanalyse
o Sturen op basis bevindingen accountant / IA
o Accountantsverslag, Management letter
o Meerjarenplan
o ICT: loss of revenue door deficient controls (imago). ISO 27000/27001.
TC – Beheersing
o Periodieke informatie (verzameling)
- Missie, visie, doelstellingen (en updates hiervan)
- Toekomstverwachtingen
- Risico-analyse
o Gesprekken topmanagement
o ‘In control statement’
SC – Sturing
o Beleid & strategie missie, visie, strategie, bedrijfsplan.
— Missie: bestaansrecht, kort statement, waar staan we voor, overtuigingen, tijdloos
— Visie: bril vanuit waar je kijkt, langere periode, waar gaan we voor, onderscheidend
— Strategie: plan hoe de doelstellingen worden gerealiseerd
— Bedrijfsplan uitkomsten strategieproces
— Doelstellingen: output of outcome
o Strategie op basis van een risicoanalyse.
o Doelen / marktkeuzen strategische kansen en bedreigingen
o Strategische partners
o Bedrijfs-/organisatieplan (SWOT/PEST-analyse)
o Controlontwerpprincipes (strategische inrichting van de organisatie)
o Uitkomsten risicoanalyses
o ICT: wel of niet outsourcen? ICT beleid, ICT plan, informatiebeleid. .
SC – Beheersing
o Periodieke informatie (gesprekken met middle management)
o Is bij de strategierealisatie binnen de grenzen van de R.A. geopereerd?
o Zijn de gerealiseerde strategische resultaten in overeenstemming met de beoogde resultaten?
o Is er tussentijds geanticipeerd op wijzigingen in strategische kwesties?
MC – Sturing
o Implementatie strategie, inrichting organisatie, sturen van gedrag.
o Vormgeving organisatie
- Vormgeving via COP’s implementatie en uitvoering van de strategie
- Organisatiestructuur vertaling doelstellingen in organisatiestructuur met functiescheidingen
- Vormgeving TBV’s procesverantwoordelijken aanstellen
- Vormgeving via creëren van afdelingen (bijv. R&D, ICT ontwikkeling)
- Vormgeving van processen (bijv. ICT-processen omtrent sourcing)
- Vormgeving door procedures en richtlijnen opstellen
o Financieel
3
, - Sturing door begrotingen per afdeling
- Sturing via kostenplaatsenstructuur, tarieven
o Overige:
- Sturing van gedrag via procesinrichting
- Sturing van gedrag via code of ethics
- Sturing via procedures/procesbeschrijvingen waarin aan proceseisen wordt voldaan
- Procedures en richtlijnen opstellen en handhaven (procuratiehouderschema, limieten)
- Uitvoering risicoanalyse
- Uitkomsten risicoanalyse implementeren en concretiseren in de organisatie (WCGW)
MC – Beheersing
o Periodieke informatie (gesprekken procesverantwoordelijken)
o Informatie over implementatie van sturingsmiddelen
o Informatie over effectiviteit van getroffen maatregelen
o Naleving richtlijnen
PC – Sturing
o Procesdoelstellingen effectiviteit en efficiëntie van de interne processen
o Sturen op:
- Input
- Proces
- Output
- Outcome
o Procesverantwoordelijkheden
o Procesentiteiten (goederen/diensten, mensen, middelen, ICT, informatie over proces/voortgang)
o Checklists, werkinstructies
o Sturing door periodieke risicoanalyses uit te voeren
o Sturing via eisen aan documentatie bij boekingen (Manual JE)
o ICT: Procescontrols inrichten (application controls, bijv. 3-way match), toegangsreg. (vier niveaus)
PC – Beheersing
o Periodieke informatie
o Gesprekken uitv. medewerkers
o Werking procescontrols
o Opvolging van procedures
GOV - GOVERNANCE
Governance: goed bestuurd: de goede dingen doen en de dingen goed doen. Wijze waarop een
organisatie wordt bestuurd, wijze waarop toezicht gehouden wordt en wijze waarop verantwoording wordt
afgelegd.
1. Besturen richting geven aan de organisatie, verwerven van middelen en het
besteden/beheren daarvan. Drie rollen:
a. Formative role: het bepalen van de identiteit, het imago, de hiërarchie van waarden en de
stijl van leiding geven van de onderneming;
b. Performance role: het richt zich op het bepalen van de strategie en doelstellingen.
c. Conformance role: Afleggen van verantwoordingen (aan toezichthouders, fiscale
autoriteiten) en het toezicht op de naleving van wet- en regelgeving en de integriteit.
2. Toezicht houden vaststellen of de juiste dingen gedaan worden en of de dingen juist gedaan
worden. Periodieke informatie voorziening is nodig voor de sturing en bijsturing. Bijv. door RvC.
3. Verantwoorden afleggen aan actoren in de interne organisatie en extern
(stakeholders/shareholders). Via periodieke rapportages van bestuurders aan toezichthouders
(RvC/RvT), auditbevindingen van accountants rapporteren aan AC of RvC, IA afdeling die
rapporteert aan RvC, verantwoording aan AvA door RvC, verantwoordingen aan analisten,
journalisten.
4. Werkgever selectie, benoeming en bezoldiging van topmanagement.
4
Samenvatting Instellingstentamen en Landelijk Schriftelijk ICAIS
IICC Model...............................................................................................................................................3
GOV - GOVERNANCE................................................................................................................................4
GOV - Corporate Governance Code.........................................................................................................5
GOV – RvC en PIV.....................................................................................................................................6
GOV – Agency – governance issues.........................................................................................................7
GOV – In-control-statement....................................................................................................................7
RM – Risicomanagement.........................................................................................................................9
RM – 8 stappenmodel..............................................................................................................................9
RM - 3 Lines of Defense (3LoD)................................................................................................................9
STRAT – Strategie – scholen / proces.....................................................................................................10
STRAT – Strategie - modellen / inhoudelijke strategie...........................................................................11
STRAT – Strategie - beïnvloedende factoren (determinanten)..............................................................12
STRAT – Strategie - control model.........................................................................................................13
MC - COP’S – Lang..................................................................................................................................13
MC - COP’S - Kort...................................................................................................................................16
MC - Management Control....................................................................................................................17
MC - Enkele specifieke functies.............................................................................................................17
PC - Process Control...............................................................................................................................20
PC – Procesrisicoanalyse – RM...............................................................................................................21
PC – RACI...............................................................................................................................................21
PC – Verantwoordingen.........................................................................................................................22
PC – Administratieve sturingsmaatregelen............................................................................................22
TYP - Typologie – Starreveld large.........................................................................................................23
ICT – Uitbesteding / ISAE 3402..............................................................................................................24
ICT – SLA................................................................................................................................................24
ICT - GITC’s.............................................................................................................................................25
ICT - Application controls.......................................................................................................................25
ICT - Afdelingen......................................................................................................................................26
ICT - GO/SO/BO......................................................................................................................................27
ICT - B,C,V..............................................................................................................................................27
1
,ICT - Changemanagement......................................................................................................................27
ICT - Complexiteit..................................................................................................................................28
ICT – IT audit..........................................................................................................................................28
ICT – ERP................................................................................................................................................29
ICT – Datawarehousing / BI / Big Data...................................................................................................30
ICT – SBR / XBRL.....................................................................................................................................32
ICT – Cloud.............................................................................................................................................32
ICT – BYOD.............................................................................................................................................34
ICT – Continuous Monitoring.................................................................................................................35
ICT – SLA (service level agreement).......................................................................................................35
ICT – RfID...............................................................................................................................................36
ICT – AI / algoritme / machine learning.................................................................................................36
ICT – IoT.................................................................................................................................................37
ICT – Process Mining..............................................................................................................................37
ICT – Blockchain.....................................................................................................................................38
PIV - Managementinformatie................................................................................................................39
ERM – COSO model...............................................................................................................................40
ADR........................................................................................................................................................43
2
,IICC Model
De IICC-benadering bestaat uit 4 cycles: Toezichthoudende control cyclus (TC), Strategische control
cyclus (SC), Management Control cyclus (MC) en Proces control cyclus (PC). De beantwoording zal aan
de hand van deze cycli plaatsvinden.
In control zijn betekend: het geheel aan activiteiten om de organisatie, binnen de dynamische omgeving,
te sturen en te beheersen, waarmee organisatiedoelen op een beheerste wijze, binnen redelijke grenzen,
mogelijk maakt en de negatieve effecten worden voorkomen of beperkt; en waarover, door de
verantwoordelijken, verantwoording kan worden afgelegd.
TC – Sturing
o Governance
o Risicoanalyse
o Sturen op basis bevindingen accountant / IA
o Accountantsverslag, Management letter
o Meerjarenplan
o ICT: loss of revenue door deficient controls (imago). ISO 27000/27001.
TC – Beheersing
o Periodieke informatie (verzameling)
- Missie, visie, doelstellingen (en updates hiervan)
- Toekomstverwachtingen
- Risico-analyse
o Gesprekken topmanagement
o ‘In control statement’
SC – Sturing
o Beleid & strategie missie, visie, strategie, bedrijfsplan.
— Missie: bestaansrecht, kort statement, waar staan we voor, overtuigingen, tijdloos
— Visie: bril vanuit waar je kijkt, langere periode, waar gaan we voor, onderscheidend
— Strategie: plan hoe de doelstellingen worden gerealiseerd
— Bedrijfsplan uitkomsten strategieproces
— Doelstellingen: output of outcome
o Strategie op basis van een risicoanalyse.
o Doelen / marktkeuzen strategische kansen en bedreigingen
o Strategische partners
o Bedrijfs-/organisatieplan (SWOT/PEST-analyse)
o Controlontwerpprincipes (strategische inrichting van de organisatie)
o Uitkomsten risicoanalyses
o ICT: wel of niet outsourcen? ICT beleid, ICT plan, informatiebeleid. .
SC – Beheersing
o Periodieke informatie (gesprekken met middle management)
o Is bij de strategierealisatie binnen de grenzen van de R.A. geopereerd?
o Zijn de gerealiseerde strategische resultaten in overeenstemming met de beoogde resultaten?
o Is er tussentijds geanticipeerd op wijzigingen in strategische kwesties?
MC – Sturing
o Implementatie strategie, inrichting organisatie, sturen van gedrag.
o Vormgeving organisatie
- Vormgeving via COP’s implementatie en uitvoering van de strategie
- Organisatiestructuur vertaling doelstellingen in organisatiestructuur met functiescheidingen
- Vormgeving TBV’s procesverantwoordelijken aanstellen
- Vormgeving via creëren van afdelingen (bijv. R&D, ICT ontwikkeling)
- Vormgeving van processen (bijv. ICT-processen omtrent sourcing)
- Vormgeving door procedures en richtlijnen opstellen
o Financieel
3
, - Sturing door begrotingen per afdeling
- Sturing via kostenplaatsenstructuur, tarieven
o Overige:
- Sturing van gedrag via procesinrichting
- Sturing van gedrag via code of ethics
- Sturing via procedures/procesbeschrijvingen waarin aan proceseisen wordt voldaan
- Procedures en richtlijnen opstellen en handhaven (procuratiehouderschema, limieten)
- Uitvoering risicoanalyse
- Uitkomsten risicoanalyse implementeren en concretiseren in de organisatie (WCGW)
MC – Beheersing
o Periodieke informatie (gesprekken procesverantwoordelijken)
o Informatie over implementatie van sturingsmiddelen
o Informatie over effectiviteit van getroffen maatregelen
o Naleving richtlijnen
PC – Sturing
o Procesdoelstellingen effectiviteit en efficiëntie van de interne processen
o Sturen op:
- Input
- Proces
- Output
- Outcome
o Procesverantwoordelijkheden
o Procesentiteiten (goederen/diensten, mensen, middelen, ICT, informatie over proces/voortgang)
o Checklists, werkinstructies
o Sturing door periodieke risicoanalyses uit te voeren
o Sturing via eisen aan documentatie bij boekingen (Manual JE)
o ICT: Procescontrols inrichten (application controls, bijv. 3-way match), toegangsreg. (vier niveaus)
PC – Beheersing
o Periodieke informatie
o Gesprekken uitv. medewerkers
o Werking procescontrols
o Opvolging van procedures
GOV - GOVERNANCE
Governance: goed bestuurd: de goede dingen doen en de dingen goed doen. Wijze waarop een
organisatie wordt bestuurd, wijze waarop toezicht gehouden wordt en wijze waarop verantwoording wordt
afgelegd.
1. Besturen richting geven aan de organisatie, verwerven van middelen en het
besteden/beheren daarvan. Drie rollen:
a. Formative role: het bepalen van de identiteit, het imago, de hiërarchie van waarden en de
stijl van leiding geven van de onderneming;
b. Performance role: het richt zich op het bepalen van de strategie en doelstellingen.
c. Conformance role: Afleggen van verantwoordingen (aan toezichthouders, fiscale
autoriteiten) en het toezicht op de naleving van wet- en regelgeving en de integriteit.
2. Toezicht houden vaststellen of de juiste dingen gedaan worden en of de dingen juist gedaan
worden. Periodieke informatie voorziening is nodig voor de sturing en bijsturing. Bijv. door RvC.
3. Verantwoorden afleggen aan actoren in de interne organisatie en extern
(stakeholders/shareholders). Via periodieke rapportages van bestuurders aan toezichthouders
(RvC/RvT), auditbevindingen van accountants rapporteren aan AC of RvC, IA afdeling die
rapporteert aan RvC, verantwoording aan AvA door RvC, verantwoordingen aan analisten,
journalisten.
4. Werkgever selectie, benoeming en bezoldiging van topmanagement.
4
