Hoofdstuk 6: Organisatie van controleprocessen ten behoeve van de informatieverwerking 1
Download ReportTranscript Hoofdstuk 6: Organisatie van controleprocessen ten behoeve van de informatieverwerking 1
Hoofdstuk 6: Organisatie van
controleprocessen ten behoeve van
de informatieverwerking
1
Obj. LT
Beslissingsprocessen
Beleidsvorming
en beslissing
Beleidsplan
Obj. MT
Beslissing jaarl.
actieplannen
Obj. KT
Probleemanalyse
4
Beleidsbegroting
4
Jaarlijkse
budgetten
Beslissing
uitvoering plan
Budgetvoorstel
Taakopdracht
Controleprocessen
strategisch
Programmatie
van uitvoering
6
tactisch
4
Resultaten
operationeel
7
Operationele
processen
Instructies
Uitvoering
2
Inhoudstafel Hoofdstuk 6
Controleprocessen
1.
2.
3.
4.
5.
6.
Belang van controleprocessen
Interne controle
Controle op beslissingen
Controle op het operationeel bedrijfsgebeuren
Controle op normen
Controle op administratie
materieel administratieve controle
formeel administratieve controle
7. Six Sigma
3
1. Belang van controleprocessen
Opdat een organisatie goed zou functioneren moeten beslissings- en
operationele processen worden gecontroleerd.
Het goed functioneren van een organisatie houdt in:
dat van de verleende bevoegdheden een juist gebruik gemaakt
wordt;
dat de te verrichten opdrachten tijdig en op de juiste wijze worden
uitgevoerd;
dat de ter beschikking staande middelen in voldoende mate zijn
beveiligd;
dat de ter beschikking staande middelen worden aangewend voor
het doel waarvoor zij volgens de voorschriften zijn bestemd;
dat de administratie correct wordt gevoerd.
4
Interne controle (internal audit)
De controle die door of namens de leiding wordt
uitgeoefend op de activiteiten binnen de organisatie ten
behoeve van de leiding.
Dit is het geheel van onderling samenhangende
maatregelen die de
volledigheid
juistheid
tijdigheid
en het geoorloofd zijn van bedrijfsactiviteiten garanderen.
5
Externe controle
Wordt uitgeoefend in opdracht van bv. eigenaars of
aandeelhouders van bedrijven, financiële experts,
overheid, regulatoren en anderen die in het
maatschappelijk verkeer als ‘belanghebbenden’
(stakeholders) worden aangeduid.
Deze controle gebeurt dus t.b.v. anderen dan diegenen die
met de leiding belast zijn van het bedrijf waar de controle
wordt verricht.
6
De interne controle verloopt in
volgende fasen:
Vaststellen van normen
Registreren van de werkelijkheid
Confrontatie van werkelijkheid met norm
Vaststellen van eventuele afwijkingen
Analyseren van geconstateerde afwijkingen naar
oorzaken
Rapporteren aan leiding
Van de administratieve organisatie wordt verwacht dat zij
het gehele controleproces systematisch ondersteunt.
7
2. Vormen van interne controle
Naar
Naar
Naar
Naar
de gewenste conclusie: pos. - neg.
basisgegevens: goederen - bewijzen
werkwijze: detail - totaal
object: beslissingen – operaties - normen
Controle
Controle
Controle
Controle
op
op
op
op
beslissingen
bedrijfstoestand en operationeel bedrijfsgebeuren
normen
administratie
8
2. Vormen van interne controle
Naar de gewenste conclusie:
Positieve controle
Had alles wat geboekt is, ook effectief geboekt mogen
worden? --> opsporen van fictieve verkoopfacturen
Negatieve controle
Is alles wat geboekt had moeten worden, ook effectief
geboekt? --> opsporen van reële maar niet geboekte
aankoopfacturen
9
Naar basisgegevens:
Inventarisatie:
vaststellen door nagaan van fysieke aanwezigheid
Controle met bewijsstukken:
vaststellen door nagaan van bewijsstukken
Verbandcontrole:
vaststellen door nagaan van een verband dat oorzakelijk zou
moeten aanwezig zijn
bv. Liquide middelen:
beginsaldo + ontvangsten van debiteuren + overige ontvangsten
– betalingen aan crediteuren – overige betalingen = eindsaldo
10
Naar werkwijze:
Detailcontrole:
elke post wordt gecontroleerd
Totaalcontrole:
enkel totalen worden gecontroleerd. Die totalen worden
langs een andere weg berekend, waarna nagegaan wordt of
de berekende totalen ook aangetroffen worden in de
betreffende registraties.
Partiële controle:
door het nagaan van de correctheid van een steekproef
conclusies nemen over de totale populatie
11
Naar het object:
Controle op de beslissingen:
Zijn de beslissingen die werden genomen en de opdrachten
die werden gegeven, juist geweest?
Zijn de verwachtingen bij de beleidsbepaling juist geweest?
Controle op het operationele bedrijfsgebeuren:
Is steeds op het juiste moment gehandeld en maken de
werkzaamheden voldoende vooruitgang?
Zijn de opdrachten efficiënt uitgevoerd?
Controle op normen:
Zijn de toegepaste normen nog valabel?
Controle op de administratie:
Is de door de administratie versterkte informatie juist en
volledig en efficiënt verwerkt?
12
3. Controle op beslissingen
Zijn de verwachtingen waarvan bij de beleidsbepaling werd
uitgegaan, juist geweest?
= verwachtingscontrole
Zijn de beslissingen die werden genomen en de opdrachten die
werden gegeven, juist geweest?
= beleidscontrole
Is steeds binnen de toegelaten bevoegdheden gehandeld?
= bevoegdheidcontrole
13
Voorbeeld Verwachtingscontrole:
een distributiebedrijf
Objectieven voor volgend jaar:
15% stijging van verkoopontvangsten
netto-winst voor belastingen naar 10%
Gekozen strategie op basis van verkoopvoorspellingen marketing:
stimuleren verkoop, verhogen verkoopprijs
publiciteit opvoeren
Resultaat na beslissingen en controle op beslissingen:
Verwachtingscontrole
Stijgende verkoop betekent ook meer inkopen (lange levertijd):
-> Opstellen van gewijzigde cash flow projectie
14
Verwachtingscontrole en
Beleidscontrole
Een wetenschappelijke aanpak gebaseerd op het
gebruik van informatie-theorie
Beschouw willekeurige gebeurtenis E met waarschijnlijkheid van
voorkomen gelijk aan p. In de informatie-theorie wordt de
informatie-inhoud van een bericht dat zegt dat de gebeurtenis zich
heeft voorgedaan, uitgedrukt door: log2(1/p).
0
p
1
15
Entropie
Beschouw compleet systeem van n elkaar wederzijds uitsluitende
gebeurtenissen E1, E2, E3, .... , En.
De respectievelijke a priori waarschijnlijkheden van voorkomen van deze
gebeurtenissen zijn p1, p2, p3, ..., pn.
Wanneer wij een bericht ontvangen dat zegt dat Ei zich heeft voorgedaan is
de ontvangen informatie gelijk aan log2(1/ pi) = - log2 pi.
De waarschijnlijkheid dat wij juist deze boodschap ontvangen is gelijk aan de
waarschijnlijkheid dat Ei zich voordoet (pi).
De verwachte waarde van de informatie-inhoud van een bericht dat zegt dat
zich één van de gebeurtenissen Ei heeft voorgedaan is dus gelijk aan:
n
p log
i
2
(1/p i)
i 1
Maximale onzekerheid log2(N) indien alle pi =1/N; 0 indien één pi=1
16
Nieuwe waarschijnlijkheden
Wat is de verwachte informatie-inhoud van een boodschap die de a priori
waarschijnlijkheid pi omzet tot de a posteriori waarschijnlijkheid qi?
Beschouwen wij één gebeurtenis E en een boodschap die zegt dat de
aanvankelijk waarschijnlijkheid p nu q is geworden.
Veronderstel nu dat wij een tweede boodschap verkrijgen die zegt dat E
zich effectief heeft voorgedaan.
De ontvangen informatie is dan
log2(1/p) op basis van de a priori waarschijnlijkheid pi en
log2(1/q) op basis van de a posteriori waarschijnlijkheid qi.
Informatie inhoud van boodschap die zegt dat p nu q is geworden:
log2(1/p) – log2(1/q) = log2(q/p)
0 p q
1
17
Beschouwen wij nu opnieuw een compleet systeem van n elkaar wederzijds
uitsluitende gebeurtenissen. Wij berekenen de verwachte informatieinhoud van een boodschap die de a priori waarschijnlijkheid pi omzet tot a
posteriori waarschijnlijkheid qi.
Als Ei zich uiteindelijk voordoet is de informatie-inhoud log2(qi/pi) bits. De
waarschijnlijkheid dat zo iets zich voordoet is qi.
LOG2 (X)
8
6
Log2(q/p) = 0 wanneer q = p
Log2(q/p) < 0 wanneer q < p
Log2(q/p) > 0 wanneer q > p
4
2
0
1
4
7
10 13 16 19 22 25 28 31 34 37 40 43 46 49 52 55 58 61 64
-2
-4
X
18
Compleet systeem van n gebeurtenissen
De verwachte informatie-inhoud van een boodschap die de a priori
probabiliteit pi omzet tot a posteriori probabiliteit qi is dan:
n
qi log 2(qi / pi)
i 1
Informatie-inhoud van het voorkomen van E1
Deze uitdrukking is altijd > 0 behalve wanneer qi = pi
i' s
Indien qi=1 dan wordt de uitdrukking: log2(1/pi)
(informatie-inhoud van een determinerende boodschap)
Toepassing van informatie-theorie concepten ten behoeve van
verwachtingscontrole: analyse van budgetvarianties
19
Budgetvarianties
3.00
Realisatie 1: proportioneel
Realisatie 2: graad van afwijking van proportionaliteit?
20
Toegepast op budgetanalyse
budgetfracties = relatieve frequenties die vooraf worden bepaald -> komen
dus overeen met a priori probabiliteiten (pi)
uitgavenfracties = relatieve frequenties die achteraf worden vastgesteld ->
komen dus overeen met a posteriori probabiliteiten (qi)
verwachte waarde van een bericht dat a priori probabiliteiten pi omzet naar a
posteriori probabiliteiten qi = verwachte waarde van een bericht dat
aangeeft hoe de budgetfracties zich uiteindelijk in uitgavenfracties hebben
vertaald -> verwachtingscontrole
qi log2(qi/pi)
= 0 wanneer de overschrijding die een afdeling van zijn budget heeft gemaakt volledig
proportioneel is aan de globale overschrijding van het budget van alle afdelingen
tezamen.
n
> 0 meer dan proportioneel
qi log 2(qi / pi )
< 0 minder dan proportioneel
i 1
Indicatie voor beleidscontrole
21
Voorbeeld
Gebied
A
B
C
totaal
Budget
Gebied
A
B
C
totaal
Budget
1
3
6
10
pi
qi
qi/pi
Budget % Real 1
Real 1 %
0,1
2
0,1
0,3
6
0,3
0,6
12
0,6
1
20
1
log2(qi/pi) qi*log2
1
3
6
10
Budget % Real 2
Real 2 %
0,1
4
0,2
2
1
0,2
0,3
2
0,1 0,333333 -1,58496
-0,1585
0,6
14
0,7 1,166667 0,222392 0,155675
1
20
1
0,197178
1
1
1
0
0
0
0
0
0
0
22
Interpretatie
Gegeven dat de onderneming globaal gezien haar budget met een
bepaald percentage heeft overschreden, wordt het als goed
beschouwd wanneer een afdeling een kleinere percentsgewijze
toename vertoont en minder goed wanneer de procentuele
toename groter is. Een hoger resultaat duidt op significante
afwijkingen.
Gebaseerd op ervaringscijfers uit het verleden
Norm aanleggen en van daaruit beslissen over het ‘significante
karakter’ van de afwijkingen
= verwachtingscontrole
Disproportionaliteit in overschrijding van budget door afdelingen
binnen het totaal van alle afdelingen van het bedrijf.
= beleidscontrole
23
Inhoudstafel Hoofdstuk 6
Controleprocessen
1.
2.
3.
4.
5.
6.
Belang van controleprocessen
Interne controle
Controle op beslissingen
Controle op het operationeel bedrijfsgebeuren
Controle op normen
Controle op administratie
materieel administratieve controle
formeel administratieve controle
7. Six Sigma
24
4. controle op operationeel
bedrijfsgebeuren (operations control)
Efficiëntiecontrole
Controle over het feit of er altijd economisch is
gehandeld.
begrote verbruik aan grondstoffen versus werkelijk verbruik
begrote aankoopprijzen versus werkelijke aankoopprijzen
werkelijke machinebezetting versus normale machinebezetting
Voortgangscontrole
Is steeds op het juiste moment gehandeld en maken de
werkzaamheden voldoende vooruitgang!
Vooral bij de opvolging van complexe projecten zoals de lancering van
een nieuw product
Technieken: netwerkplanning, bv. PERT (Program Evalutation and
Review Technique), GANTT charts
25
5. Controle op de bij de controle
gehanteerde normen
De normen op basis waarvan het bedrijfsbeleid of het operationele
bedrijfsgebeuren kan worden getoetst mogen geenszins als
statische onveranderlijke grootheden worden beschouwd.
wisselwerking
norm
<->
resultaat
Controle van norm noodzakelijk om bij significante afwijkingen te
kunnen onderscheiden naar:
tekortkomingen in beleid of uitvoering;
te corrigeren onvolmaaktheden in de normstelling.
26
6. Controle op de administratie
Controle op beslissingen
Controle op operationele bedrijfstoestand
Controle op normen
Door middel van de administratie
Controle op de administratie
Materieel administratieve controle:
controle op de juistheid en de volledigheid van de administratie als uitdrukking
van het bedrijfsgebeuren (bedrijfseconomisch)
bijv. verband tussen uitgaven en daarvoor genoten prestaties ;
verband tussen afgeleverde goederen en ontstane vorderingen
Formeel administratieve controle:
controle op de juistheid en de efficiëntie van de administratieve verwerking
27
Materieel administratieve controle
1. Verbandcontrole
2. Controle-technische functiescheidingen
3. Verificatie
28
1. Verbandcontrole
Controle door middel van het leggen van een verband dat op basis
van bedrijfseconomische principes moet bestaan.
Voorbeeld: de correctheid van de administratieve behandeling van een
verkooptransactie kan op basis van het noodzakelijk bestaan van een
aantal verbanden worden gecontroleerd.
verkooporderadministratie, voorraadadministratie, facturatie,
debiteurenadministratie, boekhouding
Verband tussen al deze registraties moet kloppen!
Voorbeeld 2: crediteur (leverancier) biedt factuur ter betaling aan
29
2. Controle-technische functiescheidingen
Het invoeren van een zodanige taakverdeling en het aanbrengen
van zodanige beperkingen in de bevoegdheden van de
verschillende functionarissen, zozeer dat transacties niet buiten de
administratieve verantwoording kunnen worden gehouden.
Voorbeeld: persoon die tegelijk verantwoordelijk is voor aan- en
verkoop kan leiden tot verduistering van bedrijfswinsten door het
buiten de administratie houden van bepaalde transacties
Invoeren van zodanige beperkingen in de bevoegdheden van
functionarissen dat:
ieder van hen slechts een beperkt aantal schakels in een waardenomloopproces kan beïnvloeden.
beheersfuncties, bewarende functies en registrerende functies niet worden
vermengd (niet door dezelfde persoon worden waargenomen).
30
Functiescheiding
Beheersfuncties:
Bewaarfuncties
Deze oefenen beheersmacht uit over goederen en geld, maar
hebben ze niet in bewaring.
bv. bestuurders, procuratiehouders, verkopers
Deze zijn gehouden tot het bewaren van goederen en geld en
mogen die uitsluitend ontvangen of afgeven op machtiging van
beheersfuncties
Registrerende functies
Deze verzorgen de informatieverwerking zoveel mogelijk
onafhankelijk van het beheren en bewaren.
31
3. Verificatie
Opname van de werkelijke aanwezige bedrijfsmiddelen en
vergelijking hiervan met de corresponderende administratieve
gegevens
Methode: inventarisatie van aanwezige voorraden, goederen, financiële
middelen
Varianten:
Simultane opneming:
volledige controle over alle voorraaditems over zeer korte periode
probleem: kan productieproces worden stilgelegd?
Geregelde partiële opneming (cycle counting)
continue en systematische controle van voorraaditems over periode van 1
jaar op basis van een vooraf ontworpen cyclus waarbij fysieke
voorraadtoestand van elk voorraadartikel minstens éénmaal per jaar wordt
nagezien(ABC)
Voordelen cycle counting: productie niet stilleggen; tijdige detectie en verbetering
van fouten, kleinere kans van te lage of te hoge voorraad
32
ABC-analyse
Een methode die een assortiment van producten onderverdeelt in veel,
middelmatig en weinig gevraagde producten
% van de
totale
vraag of 95
80
omzet
A
B
20 50
C
% van het aantal producten uit
het totale assortiment
A-groep: betreft 20% van de producten uit het assortiment die
verantwoordelijk zijn voor 80% van de vraag (omzet)
33
Formeel administratieve controle
Algemene invloeden van automatisering op interne controle: verzwakking interne
controle?
Door de integratie van voorheen meervoudige registraties in 1 systeem valt de
mogelijkheid weg om de verwerking door verschillende instanties te laten
verrichten en de uitkomsten administratief te vergelijken (minder verbandcontrole)
Verschillende administratieve handelingen die voorheen in verschillende
achtereenvolgende bewerkingsfasen werden verricht, vinden nu – zonder verdere
menselijke tussenkomst - in 1 verwerkingsproces plaats (minder controletechnische functiescheidingen)
Juistheid en volledigheid van (enige) input belangrijker dan voorheen
Gevolgen:
een verzwakking van sommige facetten van de materieel administratieve
controle;
een evolutie in materieel administratieve controle (inbouwen van controletechnische functiescheidingen in de automatiseringsafdeling);
een versterking van het belang van formeel administratieve controle.
34
Maar…
Informatiesystemen
laten ook nieuwe
controle op fraude
toe!
Totaal aangerekende uren
30
25
20
15
10
5
0
1
2
3
4
5
6
Dag
7
8
9 10
35
Fraude Detectie
Identificatie van foute acties (gekende fraude)
Identificatie van acties door verkeerde personen
rechten
Identificatie van verdachte acties
BI, reporting
patronen
Identificatie van foute acties (ongekende fraude)
Clustering, outliers
36
Typische toepassingen
Overheid, Verzekeringen, Kredietkaarten, Telecom, Audit,
Facturen en betalingen, Tax
Autoverzekeringen: # ongevallen
Witwaspraktijken
Ziekteverzekering
Telecommunicatie
Voorschrijfgedrag
Onverenigbaarheden
Afwijkingen van profiel
Voorraden, leveranciers, …
Anti-terrorisme …
Benford's Law
37
Voorbeeld: Ziekteverzekering
Controle op prestaties (arts)
Controle op ontvangsten (patiënt)
Controle op uitbetalingen (bediende)
Voorspeld
Fraude
fraude
10
OK
5
(valse
negatieven)
Werkelijk
OK
100
(valse
1000
positieven)
38
Formeel administratieve controle
Formeel administratieve controle:
controle op informatiesysteemontwikkeling;
controle op de eigenlijke informatieverwerking;
controle op de beveiliging.
39
Controle op systeemontwikkeling
Een kwaliteitsvol informatiesysteem ontwikkelen is niet evident:
Kwaliteitsmodellen voor informatiesystemen duiden meestal 5
hoofdgebieden aan voor kwaliteit (en geven indicatoren en
meetvoorschriften per gebied).
Ontwikkeling gebeurt in fasen (analyse, ontwerp, bouw, implementatie).
Periodes waarin systemen moeten gereed zijn, worden steeds korter.
Wat is een ‘goed’ of ‘slecht’ informatiesysteem?
functionaliteit
bruikbaarheid
onderhoudbaarheid
betrouwbaarheid
portabiliteit
Het capability maturity model (CMM) is een model uit de wereld van
software-engineering voor het beschrijven van kwaliteitsniveaus (5) waarop
bedrijven zich – op het vlak van het ontwikkelen van informatiesystemen –
kunnen bevinden.
40
Het CMM model
Continu Verbeterende
Processen
Managed
(4)
Voorspelbare
Processen
Standaard en Consistente
Processen
Gedisciplineerde
Processen
Initial
(1)
Optimizing
(5)
Defined
(3)
Repeatable
(2)
41
Het CMM model
Initial
Repeatable
Een standaard proces van informatiesysteemontwikkeling is gedefinieerd met bijhorende
documentatie
Verantwoordelijkheden (project managers, software ontwikkelaars) goed gedefinieerd
Managed
Planning en managen van nieuwe informatiesystemen is gebaseerd op ervaring met
vergelijkbare systemen
Herhaling van eerdere successen op het vlak van informatiesystemen
Defined
Ontwikkeling van informatiesystemen kan gekarakteriseerd worden als ad-hoc,
ongestructureerd, en chaotisch
Vrijwel geen processen gedefinieerd
Ontwikkelingsproces is voorspelbaar en trends kunnen worden gedetecteerd; risico’s
worden onderkend en gemanaged
Er worden (kwantitatieve) doelstellingen gesteld voor het ontwikkelingsproces en de
kwaliteit van de resulterende informatiesystemen
Optimizing
Streven naar continue verbeteringen van het ontwikkelingsproces; constante focus op
continue verbetering
Software project teams analyseren fouten en bestuderen mogelijke verbetering
De opgedane ervaringen en ‘lessons learned’ worden gedeeld met andere projecten
42
Resultaten van investeringen in
informatiesystemen
3%
software geleverd en
nooit gebruikt (47%)
2%
software nooit geleverd
(28%)
20%
47%
software aanvankelijk
gebruikt, daarna
afgedankt (20%)
software gebruikt na
aanpassing (3%)
28%
software direct bruikbaar
na levering (2%)
43
Hoofdgebieden voor systeemkwaliteit
Functionaliteit:
Bruikbaarheid:
Kan het systeem gemakkelijk worden aangepast, bv ten gevolge van externe
ontwikkelingen?
Betrouwbaarheid:
Kan het systeem effectief probleemloos in de werkomgeving worden
geïntegreerd?
Onderhoudbaarheid:
Vervult het systeem de functionaliteit (de werkzaamheden) die ervan worden
verwacht?
Is het systeem bestendig? Kan het 24 op 24h door medewerkers worden
gebruikt, waar ze zich ook bevinden?
Portabiliteit:
Kan het systeem gemakkelijk worden overgedragen van het ene hardware
platform naar het andere?
44
Diskwaliteit in informatiesystemen
Principe: hoe later in de ontwikkeling van systemen fouten worden
ontdekt, hoe groter de inspanning om deze te verhelpen.
300
250
Relatieve Kost
Kost van foutcorrectie
240
200
150
100
100
50
40
0
1
1.Analyse
14
6
2
0
2
2.Design
3
4
3.Codering
5
6
7
4.Integratie 5.Test 6.Operatie
8
45
Diskwaliteit in informatiesystemen
Moet vermeden kunnen worden -> preventieve maatregelen
Hoe fouten voorkomen bij het ontwikkelen van informatiesystemen?
Door gebruik van formele methoden bij analyse en ontwerp van systeem.
Door gebruik van standaarden bij de bouw van een systeem.
Door gebruik van integriteitsregels en triggers (automatisch aanroep) in
implementatie.
Moet snel ontdekt kunnen worden -> detectieve maatregelen
Voorbeeld: Event (voorraadmutatie) – conditie (bestelpunt overschreden) – actie
(plaatsen van bestelling)
Quality Control, testen
Het inspecteren van het op te leveren systeem
Moet snel ‘verholpen’ kunnen worden -> correctieve maatregelen
Het effectief corrigeren van gevonden fouten
(-> gevaar voor het ontstaan van nieuwe fouten...)
46
Testen
Testen = het gebruiken van een systeem met de bedoeling om fouten te vinden
Programmatest:
Integratietest:
onderzoek of een verzameling van programma’s – die deel uitmaken van een
applicatie – op een correcte wijze samenwerken.
Systeemtest:
onderzoek of een programma de vereiste functionaliteit – in alle omstandigheden
– correct uitvoert.
onderzoek naar hardware, software, telecommunicatielijnen, ..., en documentatie
die bij aanwending van het systeem zullen worden gebruikt.
Acceptatietest:
eindtest waarbij eindgebruikers zich uitspreken over alle facetten van het
ontwikkelde systeem.
47
Kosten van controle op
systeemontwikkeling
De maatregelen die in het kader van kwaliteitszorg moeten worden
genomen, kosten geld ...
Preventiekosten
Detectiekosten
Faalkosten = kosten voor het nemen van correctieve maatregelen of
kosten als gevolg van onvoldoende kwaliteit (-> gederfde omzet)
Totale
kwaliteitskosten
Preventie & detectiekosten
kosten
faalkosten
kwaliteitsgraad
48
Overzicht formeel administratieve
controle
Controle op informatiesysteemontwikkeling
Controle op eigenlijke informatieverwerking
Controle tijdens het invoeren, respectievelijk uitvoeren van
gegevens (in- en uitvoeracceptatiecontroles)
Controle op eigenlijke gegevensverwerking (updaten,
verwijderen, toevoegen).
Gegevensbewaringscontroles: controles op het feit of de
gegevens – na verlies of beschadiging – nog kunnen worden
gerecupereerd
Controle op beveiliging
49
Invoer/uitvoer – acceptatiecontroles
Volgorde controle:
Formatcontrole
ten behoeve van de verwerking is het soms noodzakelijk dat gegevens
in een welbepaalde volgorde worden ingelezen.
Controle op de overeenstemming tussen de gespecificeerde format
(data type, woordlengte) en de vormkenmerken van het aangeboden
gegeven.
voorbeeld:bedrag: numeriek, 6 cijfers waarvan 1 na de komma
Volledigheidscontrole:
controle op de volledigheid van ieder gegeven afzonderlijk en op de
volledigheid van het geheel van de ingevoerde gegevens
Voorbeelden:
woonplaats + postcode
tijdsregistratie voor salarisprogramma: de namen van de
werknemers waarvoor geen tijdsregistratie beschikbaar is, moeten
ter controle worden voorgelegd.
50
Invoer/uitvoer – acceptatiecontroles
Structuurcontrole: wanneer bepaalde invoergegevens formeel
administratief in een logisch verband tot elkaar moeten staan, kan
men het bestaan van dat verband controleren.
Voorbeelden:
Controle van datum en aantal dagen in de maand.
Controle van het verband tussen geslacht en militiestatus.
Controle van het mogelijk verband tussen modeltype en kleur van
een artikel.
In een boekhoudkundige toepassing kan een bepaalde
grootboekrekening normaal maar tegenover een beperkt aantal
andere grootboekrekeningen in een journaalpost voorkomen...
51
Invoer/uitvoer – acceptatiecontroles
Redelijkheidscontroles:
Bij redelijkheidscontrole wordt een norm aangelegd, waarbinnen een
bepaalde variabele zich moet bewegen en indien dit niet het geval is,
wordt een mogelijke fout gesignaleerd. Redelijkheidscontroles zijn
gebaseerd op waarschijnlijkheden:
Waarschijnlijkheden evolueren in de tijd en zijn situatiegebonden. > dynamisch aanpassen
Een overschrijding van een waarschijnlijkheidsgrens moet (onder
voorwaarden) altijd mogelijk zijn (overschrijding is verschillend van
absolute foutenindicatie)
Voorbeelden:
Het maandelijks aantal gewerkte uren moet (redelijkerwijze) liggen tussen 0 en 200.
Het factuurbedrag voor een klantenfactuur moet (redelijkerwijze) liggen tussen 3€ en
30.000€.
Loonstijgingen > 15% worden gesignaleerd
52
Invoer/uitvoer – acceptatiecontroles
Controle door middel van het opnemen van redundante
gegevens (redundantie in syntactische zin)
controlewoorden (checkwords) is een overtollig element dat wordt
ingevoerd met een ander element om op grond van het overtollig
element de validiteit van het andere element op te volgen
Klantnummer + klantnaam (= overtollig element)
controlegetallen (check digits): controle of ingevoerde code
syntactisch juist is.
Controlegetallen moeten toelaten om meest frequent voorkomende
invoerfouten te detecteren, o.a.
in code is 1 cijfer fout
in code zijn 2 aangrenzende cijfers omgewisseld
53
Controlegetallen
Methoden:
Deling door priemgetal, rest van deling = controlegetal
(vb code postrekeningnrs : 97
000-0178485-05
000-0188485-05)
Modulus-11 techniek
123
3*2 = 6
2*3 = 6
1*4 = 4
16
controlecijfer 6
Volgend 11-voud: 22
1236
54
Automatisch corrigeren van fouten
(bij gebruik van controlegetallen)
Mutatie
Code
Controlegetal
berekening
a
123
6
(3*2)+(2*3)+(1*4)
b
256
9
(6*2)+(5*3)+(2*4)
c
689
0
(9*2)+(8*3)+(6*4)
d
109
0
(9*2)+(0*3)+(1*4)
Verticale natelling 057
Indien invoer 133 ipv 123 en verticale natelling is nu 067
a: (3*2) + (x*3) + (1*4) = 11-voud – 6, dus x = 2
55
Overzicht
Controle op informatiesysteemontwikkeling
Controle op informatieverwerking
Controle op in- en uitvoer
(in- en uitvoeracceptatiecontroles)
Controle op eigenlijke gegevensverwerking
Controle op het bewaren van gegevens
Controle op beveiliging
56
Gegevensverwerkingscontroles
(processing controls)
Hardware controles
Pariteitscontrole: bij de oneven pariteitsregel zorgt men ervoor
dat het totaal aantal 1-bits in de binaire voorstelling oneven is
door al naargelang als redundant gegeven een 0 of 1 bit toe te
voegen
Dubbele lees en schrijfcontrole: na het schrijven van de
gegevens op schijf, worden ze opnieuw gelezen en vergeleken
met de kopie die nog in het werkgeheugen aanwezig is
Dubbel circuit: berekeningen in twee circuits laten uitvoeren en
resultaten vergelijken
57
Gegevensverwerkingscontroles
(processing controls)
Software (geprogrammeerde controles)
Controle op niet of dubbel verwerken
Controletotalen: totalen voor verwerking vergelijken met totalen na
verwerking, bijvoorbeeld optellen van artikelnummers, klantennummers en
hoeveelheden bij inlezen en dan vergelijken met totalen na verwerking
Volgordecontroles: Juistheid van de volgorde controleren als
bijvoorbeeld gegevens in alfabetische oplopende of aflopende volgorde
ingevoerd worden
Afgrendelingsteken: aanbrengen van een teken bij een gegeven zodat
het niet tweemaal kan verwerkt worden (bijv. om te vermijden dat iemand
tweemaal zou betaald worden)
Controle op rekenkundige juistheid
Redelijkheidscontrole en controlecijfers (zie vroeger)
Nulcontrole: voor ieder gegeven dat verwerkt wordt, de negatieve
waarde ervan extra bijhouden, op het einde de som maken en controleren
of die nul is
Herhaling van berekening: berekening tweemaal uitvoeren,
bijvoorbeeld a x b en b x a en nagaan of de resultaten dezelfde zijn
58
Business Continuity
Downtime: Period of time in which a system is not operational
Fault-tolerant computer systems: Redundant hardware, software, and
power supply components to provide continuous, uninterrupted service
High-availability computing: Designing to maximize application and system
availability
Load balancing: Distributes access requests across multiple servers
Mirroring: Backup server that duplicates processes on primary server
Recovery-oriented computing: Designing computing systems to recover
more rapidly from mishaps
Disaster recovery planning: Plans for restoration of computing and
communications disrupted by an event such as an earthquake, flood, or
terrorist attack
Business continuity planning: Plans for handling mission-critical functions if
systems go down
59
Overzicht
Controle op informatiesysteemontwikkeling
Controle op informatieverwerking
Controle op in- en uitvoer
(in- en uitvoeracceptatiecontroles)
Controle op eigenlijke gegevensverwerking
Controle op het bewaren van gegevens
Controle op beveiliging
60
Controle op het bewaren van de
gegevens
Controles of de gegevens zozeer worden bewaard dat het
recupereren van gegevens –na eventueel verlies of beschadiging
van gegevens – steeds kan gebeuren.
Backup-kopie en recovery faciliteiten
grootvader-vader-zoon principe
pas als de juistheid van de zoon is vastgesteld, wordt de
grootvader met de bijhorende mutaties vrijgegeven
Log bestand
before images
after images
roll-back utility
roll-forward utility
61
Overzicht
Controle op informatiesysteemontwikkeling
Controle op informatieverwerking
Controle op in- en uitvoer
(in- en uitvoeracceptatiecontroles)
Controle op eigenlijke gegevensverwerking
Controle op het bewaren van gegevens
Controle op beveiliging
62
Controle op beveiliging
Computerbeveiliging wordt belangrijker
Groeiend computergebruik in organisaties
Toenemend aantal personen dat met computers overweg kan
Mogelijkheid om van op afstand via publieke of private netwerken binnen te
dringen in computers (wireless!)
Computercriminaliteit: van ‘hackers’ tot ‘computerterroristen’
ongeoorloofd toegang verschaffen tot een computersysteem en het consulteren
of kopiëren van vertrouwelijke gegevens;
het aftappen van lijnen, het onderscheppen van elektromagnetische emissies
van beeldschermen;
het ongeoorloofd wijzigen of verwijderen van computerdata;
het ongeoorloofd wijzigen van software om daar onrechtstreeks voordeel uit te
halen;
computersystemen ongeoorloofd uitschakelen of onbruikbaar maken (denial-ofservice aanvallen);
het versturen van virussen, SPAM, …
63
Contemporary Security Challenges and Vulnerabilities
Figure 10-1
64
Computervirussen
Een programma dat ontwikkeld is met het doel om andere programma’s
aan te tasten en/of gegevensbestanden te beschadigen.
Een virus ‘hecht zich’ aan een gewoon programma. Door dit programma op te
starten wordt het virus geactiveerd, waarna het – al dan niet na een
‘incubatietijd’ - ongewenste activiteiten uitvoert.
Soorten virussen:
Gewone virussen
Macro-virussen
Bestand-virussen
Bootsector-virussen (opstartsector-virussen)
Logische virussen
Paard van Troje
Logische bom
Dropper
Hoax (nep-virus)
Worm
65
Virus of Hoax
VIRUS WARNING!!!!!!!!
If you receive een e-mail titled "It
take Guts to Say Jesus" DO NOT
open it. It will erase everything on
your hard drive. Forward this letter
out to as many people as you can.
This is a new, very malicious virus
and not many people know about it.
This information was announced
yersterday morning from IBM;
please share it with everyone that
might access the Internet. Once
again, pass this along to
EVERYONE in your adressbook so
that this may be stopped.
Sircam-A wormvirus
Hoax
66
SPAM
E-mail die op grote schaal ongevraagd wordt toegestuurd.
Om te kunnen ‘spammen’ zijn e-mail adressen nodig. Die kunnen met
speciale software, met zoekcriteria, worden gevonden.
SPAM kan ook worden veroorzaakt door verzenders die slecht op de hoogte
zijn van netiquette.
67
68
Phishing
69
Beveiligingsmaatregelen
Fysieke beveiliging
Computers en werkstations in ruimtes onderbrengen die
beveiligd zijn.
Key-lock op PC plaatsen
Speciale maatregelen
Beveiliging tegen virussen
Preventieve maatregelen
Repressieve maatregelen
Detectieve maatregelen
70
Beveiliging tegen virussen
Preventief: hoe voorkom je virusbesmetting?
Strenge controle op downloaden, freeware software
Absoluut verbod op illegaal kopiëren van software
Firewalls, Virusscanners
Repressief: hoe negatieve invloeden van infecties minimaliseren?
Detectief: hoe gevolgen verhelpen wanneer eventuele
virusbesmetting aanwezig is?
Alert reageren en optreden
Cleaning software
klant
leverancier
Internet
firewall
Computerinfrastructuur
zakenpartner
DB
71
Beveiliging bij datacommunicatie
Encryptie: een proces waarbij gegevens vanuit een originele, leesbare en
begrijpelijke vorm, worden omgezet in een vorm die bedoeld is om
onbegrijpelijk te zijn, behalve voor wie de middelen heeft om de originele
vorm te herstellen -> decryptie.
bericht
Vercijfering
Vercijferd
bericht
Ontcijfering
bericht
cryptosysteem
72
Beveiliging bij toegang tot
gegevens
Identificatie (het bepalen van de identiteit) en Authentificatie (het verifiëren
van de identiteit)
Op basis van iets dat de persoon weet: pincode, wachtwoord (vast ‘paswoord’ ->
extended handshaking’ (‘challenge response’))
Op basis van iets dat de persoon bezit (combinatie): smartcard, token, sleutel,
certificaat (-> Internet)
Digitale certificaten
Trusted third party
Public key infrastructure
Op basis van fysieke eigenschap van persoon (biometrische gegeven), bv.
vingerafdruk, stemgeluid
Autorisatie: het toekennen van rechten
Er zorg voor dragen dat de geïdentificeerde instantie enkel handelingen verricht
waartoe hij machtiging heeft
Hoe? door instructies voor autorisatie in te bouwen in een data(base)-model
Rol van moderne datatalen (SQL): grant- en revoke-instructies
grant {recht} on {gegeven} to {instantie}
73
Auditing
MIS audit: Identifies all of the controls that govern
individual information systems and assesses their
effectiveness
Security audits: Review technologies, procedures,
documentation, training, and personnel
74
Six Sigma
Ontwikkeld in Motorola in 1980’s
Een methodologie voor het verbeteren van proces kwaliteit door
het minimaliseren van “defecten”
Defect is elke fout die leidt tot klant ontevredenheid
Verminderen van procesvariatie
Doelstelling is lagere kosten, hogere productiviteit, en betere
klanttevredenheid
Sigma geeft weer hoe vaak defecten mogen voorkomen
Hoe hoger sigma, hoe lager de kans op defecten
Hoe lager de kans op defecten, hoe hoger de kwaliteit
Gebruikt o.a. bij Bank of America, Motoral, GE, IBM, Kodak, …
Lean management!
75
Six Sigma: stappen
Define
Proces selecteren en definiëren
Measure
Processen beschrijven en metingen opzetten
Analyze
Huidige prestatie meten (nulmeting)
Procesdoel valideren
Oorzaken van defecten of fouten bepalen
Improve
Oplossingen bedenken en toetsen
Control
Implementatie voorbereiden en uitvoeren
Resultaten meten en rapporteren
Control
Define
Measure
Improve
Analyze
76
Normale verdeling
u-6 u-5 u-4 u-3 u-2 u-1 s u u+1 u+2s u+3 u+4 u+5 u+6
68.26%
95.44%
99.73%
99.993%
99.999943%
99.999998%
77
Defect Rate
Defect Rate
78
Voorbeeld toepassingen
Customer service
Orderverwerking
Hoeveel helpdesk calls worden beantwoord bij de eerste
oproep?
Hoeveel klachten komen binnen?
Hoeveel orders komen terug wegens incorrecte verzending?
Financieel
Hoeveel rekeningen worden betaald na de vervaldatum?
Hoeveel achterstallige facturen gaan verloren?
79