Volledige samenvatting van alle stof van BIV-IB, met uitsplitsing naar de 4 fasen binnen BIV-IB, behandeling van alle artikelen en beschrijving van de samenhang tussen de fasen.
Inleiding & NV COS 315
In het vak BIV-IB wordt vanuit de ‘managers bril’ naar organisaties gekeken: hoe kan hij zijn
organisatie zodanig organiseren en beheersen dat met een redelijke mate van zekerheid de
organisatiedoelstellingen gerealiseerd kunnen worden? Hierbij dus: beheersing processen en
bestuurlijke informatie die daarvoor benodigd is en wijze waarop kwaliteit van deze informatie
kan worden gewaarborgd.
Er is een zekere link met de controle:
- Via het audit risk model: inherente risico’s en interne controlerisico’s: ‘gevaarlijk’ om je te
beperken tot opzet/bestaan, ook rekening houden met gedrag (integriteit, ethiek)
- Via NVCOS 315: Risico’s op afwijkingen van materieel belang identificeren. Dit vereist
inzicht in de entiteit en haar omgeving, met inbegrip van haar interne beheersing.
Waarom is in control of interne beheersing nodig?
- Agency perspectief: mensen zijn gericht op hun eigen belang, beperkt rationeel en risico-
avers. Controls beperken hierin het risico en de informatie-asymmetrie.
- Institutioneel perspectief: om goed te doen en te conformeren aan de externe normen en
verwachtingen. Controls worden gekozen om legitimiteit (‘recht om te regeren’) te
verkrijgen.
Belang is afgelopen jaren toegenomen als gevolg van steeds weer bekend worden van nieuwe
schandalen, verbreding van de belanghebbenden en druk vanuit wet- en regelgeving.
De verantwoordelijkheden zijn opgedeeld in ‘three lines of defense’:
- 1st line: management is verantwoordelijk voor haar eigen processen
- 2nd line: ondersteuning management (financial control, security, inspectie e.d.)
- 3rd line: controle over samenwerking 1 en 2 (internal audit)
Onderscheid BIV/AO/IC:
- BIV = verzameling en verdeling van informatie, kan niet zonder normen
- AO = organisatie die zich bezig houdt met BIV, organisatorische maatregelen
- IC = toetsen aan de norm, zekerheid over betrouwbaarheid informatie verkrijgen
Verschil control en controle: Control = huidig / vooruitkijkend
Controle = achteraf / terugkijkend (IST versus SOLL)
Interne controle is controle op of door de leiding (toetsen aan de norm), internal control is het
beheerst behalen van organisatiedoelen.
Starreveld (jaren ’60)
Starreveld is gericht op typologie, waardenkringloop en functiescheiding. Hij wil vanuit
typologieën naar beheersing, met de waardenkringloop kunnen verbandcontroles worden
uitgevoerd en met functiescheiding dienen tegengestelde belangen gecreëerd te worden.
Dit was allemaal nodig omdat Starreveld een beroepsmatig negatief mensbeeld had. Hij hield
zich totaal niet bezig met de factor ‘mens’ (imago e.d.). Hij zegt: mens kan fouten maken, mens
kan niet doen wat je vraagt, mens kan frauderen. Dus: mens moet je vooral controleren.
Tevens speelde IT in de tijd van Starreveld nog geen rol.
Je bent volgens Starreveld in control als:
- Financiële informatie betrouwbaar en relevant is
o Ingaande kasstromen volledig & uitgaande kasstromen juist
- Bezitting/data beschermd zijn tegen fraude, diefstal e.d.
3
,Vanuit de waardenkringloop kunnen verbandcontroles worden uitgevoerd:
Dus: vaststellen
betrouwbaarheid
financiële informatie:
volledigheid opbrengsten
en schulden en juistheid
kosten en vorderingen.
Starreveld deelt organisaties in naar typologieën. Hierbij twee hoofdcriteria:
- Productie wel of niet voor de markt
o Wel voor de markt: verband opgeofferde en verkregen waarde
o Niet voor de markt: ideële organisaties, begroting belangrijkste
- Organisaties met of zonder goederenstroom
o Wel goederenstroom: wet van samenhang tussen toestand en gebeuren: handel en
productie
o Zonder goederenstroom: dienstverlening, financiële instrumenten
Bij volgorde geldt: “wet van het rationeel verband tussen opgeofferde en verkregen zaken”.
Ofwel: afnemende mogelijkheid om volledigheid opbrengsten te baseren op verband tussen
in- en output, dus ook meer controlemaatregelen benodigd.
Doel van Starreveld is om uiteindelijk tot ‘totaal omspannende verbandcontroles’ te komen.
4
,Bij functiescheiding wordt onderscheid gemaakt tussen:
- Beschikken (bevoegdheid hebben);
- Bewaren (zorgdragen voor ‘opslag’ goederen en geldmiddelen);
- Registreren (vastleggen);
- Controleren (toezicht en controle uitoefenen);
- Uitvoeren (rest; uitvoerende werkzaamheden).
Controletechnische functiescheiding betreft ‘het zodanig indelen van functies (naar de aard
van de activiteiten) dat belangtegenstellingen worden gecreëerd, om daarmee te komen tot
een betrouwbaar informatiesysteem. Belangrijk is dat de aard van de functies worden gebruikt
om functiescheiding te creëren (dus niet per se 1 extra poppetje toevoegen).
Dit is de enige keer dat Starreveld rekening houdt met de factor ‘mens’.
‘Nadeel’ Starreveld: helpt niet tot het bereiken van ondernemingsdoelstellingen. Helpt enkel
om organisaties te organiseren en tot betrouwbare informatie te komen: ‘Starreveld helpt je
niet om verder te komen’: hiervoor heb je het aspect gedrag nodig.
5
,Romney & Steinbart (jaren ‘70/’80)
Auteurs gaan specifiek in op de bedrijfsprocessen en de informatie die deze processen
opleveren. Ze richten zich hierbij op de key processen van organisaties, ze noemen deze de
‘cycles’: ze draaien constant rond.
AIS = Accounting Information System (BIV in de VS):
Systeem bestaande uit mensen, procedures en informatie technologie waarin alle activiteiten
vastliggen, die binnen de processen plaatsvinden, om een specifiek doel te bereiken.
Volgens R&S in control als: je de cycles goed in beeld hebt, de risico’s hierin onderkent en
maatregelen hebt genomen, zodat de informatievoorziening dermate betrouwbaar is, dat je
goede beslissingen kan nemen.
Vergelijking met Starreveld:
- Overeenkomst: Beide onderkennen de ‘ik geef iets en krijg iets’ relatie. R&S noemen dit
de ‘give and get relatie’, Starreveld ‘opgeofferde en verkregen waarde’
- Verschillen:
o Starreveld wil totaal omspannende verbandcontroles eruit halen, dit willen R&S niet.
Want zij richten zich op individuele cycles en hoe deze te beheersen zijn.
o R&S focussen zich in tegenstelling tot Starreveld totaal niet op de volledigheid van de
opbrengsten, namelijk Amerikaans ingestoken: volledigheid is door de bonuscultuur van
geringe betekenis.
o R&S behandelen ook nog IT: ze onderkennen de ‘data processing cycle’. Met data input
(vastleggen data o.b.v. events), data processing (verwerking) en output (hoe het
zichtbaar is).
Boritz (2005)
Boritz gaat in op de integriteit en kwaliteit van informatie. Veel organisaties managen hun data
niet goed. Boritz komt als eerste met een algemeen aanvaarde definitie van integriteit van
informatie en een bijbehorende framework (gericht op zowel financiële als niet-financiële
informatie)
Kwalitatieve informatie is relevant, betrouwbaar en bruikbaar.
De basis van informatiekwaliteit is informatie integriteit = de informatie geeft een getrouwe
weergave van de werkelijkheid.
Informatie kan echter nooit 100% betrouwbaar zijn, vanwege:
- beperkingen systemen;
- betrokkenheid van mensen;
- en met name: strijdigheid tussen core attributes (tijdigheid en relevantie: als je informatie
snel wilt hebben, is dit relevanter, maar neemt de juistheid en betrouwbaarheid is)
De tolerantiegrenzen hierin zijn afhankelijk van de gebruikers.
Boritz komt met vier kenmerken van informatie integriteit, waaraan informatie minimaal moet
voldoen, wil er sprake zijn van informatie die een getrouwe weergave van de werkelijkheid
geeft. Dit betreffen de core attributes:
1. Juistheid: informatie correspondeert van de realiteit.
2. Volledigheid: de mate van volledigheid is de bovengrens van de mate van de juistheid
die haalbaar is.
3. Tijdigheid: tijdigheid wordt aangetast door veranderingen in het echte leven, heeft
tevens invloed op de juistheid en volledigheid van informatie.
4. Validiteit: geldigheid en autorisatie: informatie laat echte condities, relaties en regels
zien i.p.v. fysieke objecten. Ook change management valt hieronder. Als informatie
door juiste functionarissen gewijzigd wordt, weet je dat informatie valide is.
6
,Om deze toepasbaar te maken, komt hij met zeven kritische succesfactoren, de enablers:
1. Beveiliging: fysieke en logische toegangsbeveiliging van de informatie, ter voorkoming
van ongeautoriseerde aanpassing van data en ter bescherming van vertrouwelijkheid.
2. Beschikbaarheid en toegankelijkheid: gebruikers moeten informatie kunnen
raadplegen op een manier die voldoet aan hun behoeften. Dit hangt ook samen met
beveiliging: toegankelijkheid is voor ieder individueel verschillend.
3. Begrijpelijkheid: informatie moet begrijpelijk zijn en hiermee voldoen aan de eisen van
de gebruikers. Kennis, training en motivatie helpt de begrijpelijkheid te vergroten.
Management moet snappen welke informatie zij leest.
4. Consistentie (vergelijkbaarheid): de informatie dient stabiel te zijn (in tijd en in grootte).
T.a.v. managementinformatie dient dit bijvoorbeeld elke maand op dezelfde wijze tot
stand te zijn gekomen. Mede afhankelijk van complexiteit van systemen.
5. Betrouwbaarheid en voorspelbaarheid: betreft de consistentie hoe informatie is
gemeten en gepresenteerd naar de gebruikers
6. Verifieerbaarheid en controleerbaarheid: de mate waarin een onafhankelijk waarnemer
met dezelfde processen exact dezelfde resultaten krijgt
7. Geloofwaardigheid en zekerheid (assurance): de procedures die worden uitgevoerd
om de verifieerbaarheid en controleerbaarheid te versterken (interne controle
maatregelen). Bijvoorbeeld autorisaties en controleslagen die uitgevoerd worden.
Hoe meer gewicht de enablers hebben, hoe beter de core attributes worden en hoe
betrouwbaarder dus de informatie is.
Is erg actueel, bijvoorbeeld kijkend naar de betrouwbaarheid van de data van het RIVM t.a.v.
Corona. Afgelopen periode gebleken dat sterfte- en besmettingscijfers niet altijd kloppen. Issue
hierin zit in een aantal aspecten:
- Beschikbaarheid: de cijfers waren voor RIVM Nederland niet beschikbaar zoals gewenst.
- Begrijpelijkheid: zit met name in feit of het voor NL’ers begrijpelijk is wat de cijfers nu
eigenlijk zeggen.
- Consistentie: komt dagelijks op zelfde wijze tot stand, echter in het weekend niet altijd
goed en vooral niet tijdig.
- Betrouwbaar: kloppen de cijfers vandaag wel weer? Men gaat twijfelen.
- Verifieerbaarheid: zou geen issue moeten zijn, eenduidig verzameling van data.
Tee et al. (2007)
Tee gaat ook in op kwaliteit, maar specifiek van data en niet zozeer van informatie. Uit
empirisch onderzoek blijkt namelijk dat veel informatiesystemen substantiële fouten bevatten.
De belangrijkste boodschap van Tee is: maak data belangrijk! Dat zal uiteindelijk leiden tot
minder fouten in data.
Tee kent 7 dimensies van datakwaliteit: accuraatheid, betrouwbaarheid, consistentie, precisie,
tijdigheid, begrijpelijkheid en bruikbaarheid.
Het belang van de dimensies is afhankelijk van de behoeften van de stakeholders en de
invulling kan dus ook per organisatie en per stakeholder verschillen.
Om dit te vereenvoudigen worden er drie hoofddimensies onderscheiden:
1. Accuraatheid: de informatie correspondeert met hetgeen je daadwerkelijk wenst te
meten (de data klopt);
2. Tijdigheid: de informatie is up-to-date;
3. Relevantie: de informatie is geschikt om te gebruiken voor het doel waarvoor deze is
verzameld.
7
, Datakwaliteit wordt beïnvloed door de omgeving. Met name een rol spelen:
- Strategisch belang:
o Datakwaliteit als strategische hulpbron: Is het bruikbaar om concurrenten voor te
blijven?
o Wat zijn de huidige mogelijkheden/capaciteiten van de systemen? Ook is hiervoor een
fysieke infrastructuur nodig en goed opgeleide medewerkers.
- Management commitment:
o Betrokkenheid management: Sprake van veel inzet door en betrokkenheid van het
management?
o Extrinsieke beloningen: Zijn er beloningen gerelateerd aan datakwaliteit? Maar ook
positieve feedback, toenemend budget en trainingen vallen hieronder.
o Data champions: Zijn er medewerkers die het belang van datakwaliteit inzien en hier
ook hun best voor doen?
- Belang voor producten en services:
o Behoefte aan datakwaliteit voor producten en diensten: Wat is de invloed van data op
afnemers?
o Wettelijke vereisten: Zijn er eisen t.a.v. datakwaliteit vanuit wet- en regelgeving?
Bepaalde informatie dient een onderneming bijvoorbeeld openbaar/inzichtelijk te
maken/hebben.
o Contractuele vereisten: Zijn er contractuele verplichtingen omtrent het voorzien van
goede datakwaliteit?
o Concurrentiedruk: Is er een grote impact van informatie in relatie tot de druk van de
concurrentie? Ook noodzaak van data voor innovatie van producten.
Eigenlijk zegt Tee dat alles staat of valt met de invloed en houding van het management.
Vergelijking met Boritz:
- Overeenkomst: beiden gaan in op de kwaliteit van informatie/data en het belang hiervan.
- Verschillen:
o Boritz gaat over informatie en Tee over data en gegevens (moet nog omgezet worden
naar informatie). En o.b.v. informatie kan je beslissingen nemen, o.b.v. data niet.
o Boritz gaat in op de eisen waaraan informatie moet voldoen, dit doet Tee niet.
Aloini et al. (2007)
Aloini komt met 18 risicofactoren met betrekking tot implementatie ERP-systemen. Deze
factoren leiden tot bepaalde effecten, die weer leiden tot “falen”.
ERP = Enterprise Resource Planning = geïntegreerde softwarepakket
Hoofdkenmerken: - Centrale database, data-integratie en hergebruik
- Ondersteuning best-practice procesinrichting
Kenmerken: - Standaardprogrammatuur
- Gericht op ondersteuning alle bedrijfsprocessen in de organisatie
- Gaat over afdelingsgrenzen heen: m.a.w. deelsystemen worden geïntegreerd
Voordelen: - Gegevens hoeven maar 1x ingevoerd te worden: minder fouten & hergebruik
- Standaardisatie procedures en reports (efficiënter functioneel beheer)
- Geïntegreerde managementinformatie
Nadelen: - Erg duur (aanschaf en implementatie)
- Kan erg complex zijn
- Weerstand personeel (tegen nieuw systeem en nieuwe werkwijze)
- Standaardprogrammatuur komt vaak niet overeen met eisen/wensen
8
Les avantages d'acheter des résumés chez Stuvia:
Qualité garantie par les avis des clients
Les clients de Stuvia ont évalués plus de 700 000 résumés. C'est comme ça que vous savez que vous achetez les meilleurs documents.
L’achat facile et rapide
Vous pouvez payer rapidement avec iDeal, carte de crédit ou Stuvia-crédit pour les résumés. Il n'y a pas d'adhésion nécessaire.
Focus sur l’essentiel
Vos camarades écrivent eux-mêmes les notes d’étude, c’est pourquoi les documents sont toujours fiables et à jour. Cela garantit que vous arrivez rapidement au coeur du matériel.
Foire aux questions
Qu'est-ce que j'obtiens en achetant ce document ?
Vous obtenez un PDF, disponible immédiatement après votre achat. Le document acheté est accessible à tout moment, n'importe où et indéfiniment via votre profil.
Garantie de remboursement : comment ça marche ?
Notre garantie de satisfaction garantit que vous trouverez toujours un document d'étude qui vous convient. Vous remplissez un formulaire et notre équipe du service client s'occupe du reste.
Auprès de qui est-ce que j'achète ce résumé ?
Stuvia est une place de marché. Alors, vous n'achetez donc pas ce document chez nous, mais auprès du vendeur NiekSL26. Stuvia facilite les paiements au vendeur.
Est-ce que j'aurai un abonnement?
Non, vous n'achetez ce résumé que pour €6,49. Vous n'êtes lié à rien après votre achat.
