Algemene samenvatting casus AIS 2
Voorbeelden van gegevensbestanden – Casus 1 controles
- Reserveringssysteem (transactiebestand)
- ERP-systeem (stambestand)
- Klantenbestand (stambestand)
- Capaciteit bestand (stambestand)
- Registreren van prijzen (transactie en stambestand)
- Gegevensverwerking (stambestand)
GITC: back-ups, logging, user ID & password
Application controls: invoercontroles, transmissiecontrole, uitvoercontrole, gegevensverwerking
General IT controls die de continuïteit waarborgen van de onderneming
- Uitwijkmogelijkheden met back ups en recovery
- SLA: afspraken die zijn gemaakt die worden hierin vastgelegd
- Back-ups
- Virusscanner
- Noodstroom
- Beheer van functies d.m.v. inloggegevens (logische toegangsbeveiliging)
Verschillende application controls
- Volledigheidscontrole: zijn alle gegevens ingevoerd
- Hash total: in de gaten houden of de gegevens daadwerkelijk worden gecontroleerd en
gemuteerd
General IT controls voor algoritme
- Logische toegangsbeveiliging met competentiematrix/autorisatietabel
- Het werken met logfiles en loggin, hierin wordt vast gelegd en geregisteerd wie wat doet op
welk moment
Welke application controls kunnen worden toegepast
- Verbandscontrole en cijferbeoordeling: Three Way Match, verschillende stromen met
tegengestelde belangen.
- Uitvoercontrole: audit trail vaststellen
Casus 2 – Inkoop en massaproductie
Attentiepunten inkoop:
1. Inkoopcontracten
Risico: verplichtingen uit hoofde van contracten niet volledig vastgelegd
o IB: autorisatietabel (preventief)
2. Boeteclausules in contracten (boete als te weinig wordt afgenomen)
Risico: ten onrechte verantwoorden van boetes of het ten onrechte niet opnemen
van verplichtingen uit hoofde van boetes
o IB: contractenregister (preventief)
o IB: begrotingen bonussen/boetes (preventief)
o Analyse per leverancier (repressief)
, 3. Kortingsregelingen in contracten
Risico: Inkopen met hoge korting worden verantwoord als inkopen met lage
kortingen
o Contractenregister (preventief)
4. Wisselende inkoopprijzen
Risico: Inkopen met lage prijs worden verantwoord als inkopen met een hoge prijs
5. Inkopen in vreemde valuta
Risico: Inkopen met een lage koers worden verantwoord als inkopen met hoge koers
Risico: De verplichting in vreemde valuta en daarmee het valutarisico niet juist
geregistreerd
o Werken met een v.v.p. en rekening koersverschillen (preventief)
o Analyse op rekening koersverschillen (repressief)
6. Inkoopproces verregaand geautomatiseerd
Risico: Afhankelijk van automatisering
Risico: Gegevens kunnen door onbevoegden worden gewijzigd
o Bevoegdheden in het systeem vastleggen (preventief)
o Logfiles (preventief/GITC)
7. Kwaliteit van goederen niet vooraf vast te stellen
Risico: Goederen met lage kwaliteit worden verantwoord als goederen met een
hogere kwaliteit
Attentiepunten voorraad
1. Erg kostbare gewilde artikelen
Risico: Goederen worden ontvreemd waardoor werkelijke voorraad niet
overeenkomt met administratieve voorraad
2. Goederen beperkt houdbaar
Risico: Onvoldoende rekening gehouden met afwaardering wegens incourantheid
Risico: Goederen worden ten onrechte als niet meer houdbaar verantwoord en
buiten de boeken verkocht
3. Goederen in consignatie (goederen eigendom van leverancier)
Risico: Goederen van de leverancier worden verantwoord als eigen goederen
o Registratie in voorraadadministratie (perventief)
o Speciaal aandacht tijdens inventarisatie (repressief)
Attentiepunten massaproductie
1. Dure machines eventueel in combinatie met risico op stilstand van machines als gevolg van
verstoring in productieproces
Risico: Er worden ten onrechte uren stilstand gerapporteerd waardoor de
gerapporteerde productie onvolledig is
o Controle door hoofd bedrijfsbureau (repressief)
o Vierogenprincipe (repressief)
2. Afval tijdens productieproces
Risico: Grondstoffen worden onterecht als afval verantwoord waardoor waarden de
onderneming verlaten dan wel de productie onvolledig verantwoord wordt
Risico: Opbrengsten van afval worden niet verantwoord
3. Uitval na productieproces
Voorbeelden van gegevensbestanden – Casus 1 controles
- Reserveringssysteem (transactiebestand)
- ERP-systeem (stambestand)
- Klantenbestand (stambestand)
- Capaciteit bestand (stambestand)
- Registreren van prijzen (transactie en stambestand)
- Gegevensverwerking (stambestand)
GITC: back-ups, logging, user ID & password
Application controls: invoercontroles, transmissiecontrole, uitvoercontrole, gegevensverwerking
General IT controls die de continuïteit waarborgen van de onderneming
- Uitwijkmogelijkheden met back ups en recovery
- SLA: afspraken die zijn gemaakt die worden hierin vastgelegd
- Back-ups
- Virusscanner
- Noodstroom
- Beheer van functies d.m.v. inloggegevens (logische toegangsbeveiliging)
Verschillende application controls
- Volledigheidscontrole: zijn alle gegevens ingevoerd
- Hash total: in de gaten houden of de gegevens daadwerkelijk worden gecontroleerd en
gemuteerd
General IT controls voor algoritme
- Logische toegangsbeveiliging met competentiematrix/autorisatietabel
- Het werken met logfiles en loggin, hierin wordt vast gelegd en geregisteerd wie wat doet op
welk moment
Welke application controls kunnen worden toegepast
- Verbandscontrole en cijferbeoordeling: Three Way Match, verschillende stromen met
tegengestelde belangen.
- Uitvoercontrole: audit trail vaststellen
Casus 2 – Inkoop en massaproductie
Attentiepunten inkoop:
1. Inkoopcontracten
Risico: verplichtingen uit hoofde van contracten niet volledig vastgelegd
o IB: autorisatietabel (preventief)
2. Boeteclausules in contracten (boete als te weinig wordt afgenomen)
Risico: ten onrechte verantwoorden van boetes of het ten onrechte niet opnemen
van verplichtingen uit hoofde van boetes
o IB: contractenregister (preventief)
o IB: begrotingen bonussen/boetes (preventief)
o Analyse per leverancier (repressief)
, 3. Kortingsregelingen in contracten
Risico: Inkopen met hoge korting worden verantwoord als inkopen met lage
kortingen
o Contractenregister (preventief)
4. Wisselende inkoopprijzen
Risico: Inkopen met lage prijs worden verantwoord als inkopen met een hoge prijs
5. Inkopen in vreemde valuta
Risico: Inkopen met een lage koers worden verantwoord als inkopen met hoge koers
Risico: De verplichting in vreemde valuta en daarmee het valutarisico niet juist
geregistreerd
o Werken met een v.v.p. en rekening koersverschillen (preventief)
o Analyse op rekening koersverschillen (repressief)
6. Inkoopproces verregaand geautomatiseerd
Risico: Afhankelijk van automatisering
Risico: Gegevens kunnen door onbevoegden worden gewijzigd
o Bevoegdheden in het systeem vastleggen (preventief)
o Logfiles (preventief/GITC)
7. Kwaliteit van goederen niet vooraf vast te stellen
Risico: Goederen met lage kwaliteit worden verantwoord als goederen met een
hogere kwaliteit
Attentiepunten voorraad
1. Erg kostbare gewilde artikelen
Risico: Goederen worden ontvreemd waardoor werkelijke voorraad niet
overeenkomt met administratieve voorraad
2. Goederen beperkt houdbaar
Risico: Onvoldoende rekening gehouden met afwaardering wegens incourantheid
Risico: Goederen worden ten onrechte als niet meer houdbaar verantwoord en
buiten de boeken verkocht
3. Goederen in consignatie (goederen eigendom van leverancier)
Risico: Goederen van de leverancier worden verantwoord als eigen goederen
o Registratie in voorraadadministratie (perventief)
o Speciaal aandacht tijdens inventarisatie (repressief)
Attentiepunten massaproductie
1. Dure machines eventueel in combinatie met risico op stilstand van machines als gevolg van
verstoring in productieproces
Risico: Er worden ten onrechte uren stilstand gerapporteerd waardoor de
gerapporteerde productie onvolledig is
o Controle door hoofd bedrijfsbureau (repressief)
o Vierogenprincipe (repressief)
2. Afval tijdens productieproces
Risico: Grondstoffen worden onterecht als afval verantwoord waardoor waarden de
onderneming verlaten dan wel de productie onvolledig verantwoord wordt
Risico: Opbrengsten van afval worden niet verantwoord
3. Uitval na productieproces
