Controleprocessen Hoofdstuk 6: Organisatie van controleprocessen ten behoeve van de informatieverwerking

4 4 4 7 6 Obj. LT Obj. MT Obj. KT Instructies Resultaten Uitvoering Controleprocessen Obj. LT Beslissingsprocessen Beleidsvorming en beslissing Beleidsplan Obj. MT Beslissing jaarl. actieplannen Obj. KT Probleem- analyse 4 4 4 Beslissing uitvoering plan Beleids- begroting Jaarlijkse budgetten Budgetvoorstel Operationele processen Taakopdracht 7 Programmatie van uitvoering Instructies Controle-processen 6 Resultaten Uitvoering strategisch tactisch operationeel

Inhoudstafel Hoofdstuk 6 Controleprocessen 1. Belang van controleprocessen 2. Interne controle 3. Controle op beslissingen 4. Controle op het operationeel bedrijfsgebeuren 5. Controle op normen 6. Controle op administratie materieel administratieve controle formeel administratieve controle 7. Six Sigma

1. Belang van controleprocessen Opdat een organisatie goed zou functioneren moeten beslissings- en operationele processen worden gecontroleerd. Het goed functioneren van een organisatie houdt in: dat van de verleende bevoegdheden een juist gebruik gemaakt wordt; dat de te verrichten opdrachten tijdig en op de juiste wijze worden uitgevoerd; dat de ter beschikking staande middelen in voldoende mate zijn beveiligd; dat de ter beschikking staande middelen worden aangewend voor het doel waarvoor zij volgens de voorschriften zijn bestemd; dat de administratie correct wordt gevoerd.

Interne controle (internal audit) Controleprocessen Interne controle (internal audit) De controle die door of namens de leiding wordt uitgeoefend op de activiteiten binnen de organisatie ten behoeve van de leiding. Dit is het geheel van onderling samenhangende maatregelen die de volledigheid juistheid tijdigheid en het geoorloofd zijn van bedrijfsactiviteiten garanderen.

Controleprocessen Externe controle Wordt uitgeoefend in opdracht van bv. eigenaars of aandeelhouders van bedrijven, financiële experts, overheid, regulatoren en anderen die in het maatschappelijk verkeer als ‘belanghebbenden’ (stakeholders) worden aangeduid. Deze controle gebeurt dus t.b.v. anderen dan diegenen die met de leiding belast zijn van het bedrijf waar de controle wordt verricht.

De interne controle verloopt in volgende fasen: Controleprocessen De interne controle verloopt in volgende fasen: Vaststellen van normen Registreren van de werkelijkheid Confrontatie van werkelijkheid met norm Vaststellen van eventuele afwijkingen Analyseren van geconstateerde afwijkingen naar oorzaken Rapporteren aan leiding Van de administratieve organisatie wordt verwacht dat zij het gehele controleproces systematisch ondersteunt.

2. Vormen van interne controle Controleprocessen 2. Vormen van interne controle Naar de gewenste conclusie: pos. - neg. Naar basisgegevens: goederen - bewijzen Naar werkwijze: detail - totaal Naar object: beslissingen – operaties - normen Controle op beslissingen Controle op bedrijfstoestand en operationeel bedrijfsgebeuren Controle op normen Controle op administratie

2. Vormen van interne controle Controleprocessen 2. Vormen van interne controle Naar de gewenste conclusie: Positieve controle Had alles wat geboekt is, ook effectief geboekt mogen worden? --> opsporen van fictieve verkoopfacturen Negatieve controle Is alles wat geboekt had moeten worden, ook effectief geboekt? --> opsporen van reële maar niet geboekte aankoopfacturen

Naar basisgegevens: Inventarisatie: Controleprocessen Naar basisgegevens: Inventarisatie: vaststellen door nagaan van fysieke aanwezigheid Controle met bewijsstukken: vaststellen door nagaan van bewijsstukken Verbandcontrole: vaststellen door nagaan van een verband dat oorzakelijk zou moeten aanwezig zijn bv. Liquide middelen: beginsaldo + ontvangsten van debiteuren + overige ontvangsten – betalingen aan crediteuren – overige betalingen = eindsaldo

Naar werkwijze: Detailcontrole: elke post wordt gecontroleerd Controleprocessen Naar werkwijze: Detailcontrole: elke post wordt gecontroleerd Totaalcontrole: enkel totalen worden gecontroleerd. Die totalen worden langs een andere weg berekend, waarna nagegaan wordt of de berekende totalen ook aangetroffen worden in de betreffende registraties. Partiële controle: door het nagaan van de correctheid van een steekproef conclusies nemen over de totale populatie

Naar het object: Controle op de beslissingen: Controleprocessen Naar het object: Controle op de beslissingen: Zijn de beslissingen die werden genomen en de opdrachten die werden gegeven, juist geweest? Zijn de verwachtingen bij de beleidsbepaling juist geweest? Controle op het operationele bedrijfsgebeuren: Is steeds op het juiste moment gehandeld en maken de werkzaamheden voldoende vooruitgang? Zijn de opdrachten efficiënt uitgevoerd? Controle op normen: Zijn de toegepaste normen nog valabel? Controle op de administratie: Is de door de administratie versterkte informatie juist en volledig en efficiënt verwerkt?

3. Controle op beslissingen Controleprocessen 3. Controle op beslissingen Zijn de verwachtingen waarvan bij de beleidsbepaling werd uitgegaan, juist geweest? = verwachtingscontrole Zijn de beslissingen die werden genomen en de opdrachten die werden gegeven, juist geweest? = beleidscontrole Is steeds binnen de toegelaten bevoegdheden gehandeld? = bevoegdheidcontrole

Voorbeeld Verwachtingscontrole: een distributiebedrijf Controleprocessen Voorbeeld Verwachtingscontrole: een distributiebedrijf Objectieven voor volgend jaar: 15% stijging van verkoopontvangsten netto-winst voor belastingen naar 10% Gekozen strategie op basis van verkoopvoorspellingen marketing: stimuleren verkoop, verhogen verkoopprijs publiciteit opvoeren Resultaat na beslissingen en controle op beslissingen: Verwachtingscontrole Stijgende verkoop betekent ook meer inkopen (lange levertijd): -> Opstellen van gewijzigde cash flow projectie

Verwachtingscontrole en Beleidscontrole Controleprocessen Verwachtingscontrole en Beleidscontrole Een wetenschappelijke aanpak gebaseerd op het gebruik van informatie-theorie Beschouw willekeurige gebeurtenis E met waarschijnlijkheid van voorkomen gelijk aan p. In de informatie-theorie wordt de informatie-inhoud van een bericht dat zegt dat de gebeurtenis zich heeft voorgedaan, uitgedrukt door: log2(1/p). 0 p 1

Controleprocessen Entropie Beschouw compleet systeem van n elkaar wederzijds uitsluitende gebeurtenissen E1, E2, E3, .... , En. De respectievelijke a priori waarschijnlijkheden van voorkomen van deze gebeurtenissen zijn p1, p2, p3, ..., pn. Wanneer wij een bericht ontvangen dat zegt dat Ei zich heeft voorgedaan is de ontvangen informatie gelijk aan log2(1/ pi) = - log2 pi. De waarschijnlijkheid dat wij juist deze boodschap ontvangen is gelijk aan de waarschijnlijkheid dat Ei zich voordoet (pi). De verwachte waarde van de informatie-inhoud van een bericht dat zegt dat zich één van de gebeurtenissen Ei heeft voorgedaan is dus gelijk aan: Maximale onzekerheid log2(N) indien alle pi =1/N; 0 indien één pi=1

Nieuwe waarschijnlijkheden Controleprocessen Nieuwe waarschijnlijkheden Wat is de verwachte informatie-inhoud van een boodschap die de a priori waarschijnlijkheid pi omzet tot de a posteriori waarschijnlijkheid qi? Beschouwen wij één gebeurtenis E en een boodschap die zegt dat de aanvankelijk waarschijnlijkheid p nu q is geworden. Veronderstel nu dat wij een tweede boodschap verkrijgen die zegt dat E zich effectief heeft voorgedaan. De ontvangen informatie is dan log2(1/p) op basis van de a priori waarschijnlijkheid pi en log2(1/q) op basis van de a posteriori waarschijnlijkheid qi. Informatie inhoud van boodschap die zegt dat p nu q is geworden: log2(1/p) – log2(1/q) = log2(q/p) 0 p q 1

Log2(q/p) < 0 wanneer q < p Log2(q/p) > 0 wanneer q > p Controleprocessen Beschouwen wij nu opnieuw een compleet systeem van n elkaar wederzijds uitsluitende gebeurtenissen. Wij berekenen de verwachte informatie- inhoud van een boodschap die de a priori waarschijnlijkheid pi omzet tot a posteriori waarschijnlijkheid qi. Als Ei zich uiteindelijk voordoet is de informatie-inhoud log2(qi/pi) bits. De waarschijnlijkheid dat zo iets zich voordoet is qi. Log2(q/p) = 0 wanneer q = p Log2(q/p) < 0 wanneer q < p Log2(q/p) > 0 wanneer q > p

Compleet systeem van n gebeurtenissen Controleprocessen Compleet systeem van n gebeurtenissen De verwachte informatie-inhoud van een boodschap die de a priori probabiliteit pi omzet tot a posteriori probabiliteit qi is dan: Deze uitdrukking is altijd > 0 behalve wanneer qi = pi Indien qi=1 dan wordt de uitdrukking: log2(1/pi) (informatie-inhoud van een determinerende boodschap) Toepassing van informatie-theorie concepten ten behoeve van verwachtingscontrole: analyse van budgetvarianties Informatie-inhoud van het voorkomen van E1

Budgetvarianties Realisatie 1: proportioneel Controleprocessen Budgetvarianties 3.00 Realisatie 1: proportioneel Realisatie 2: graad van afwijking van proportionaliteit?

Toegepast op budgetanalyse Controleprocessen Toegepast op budgetanalyse budgetfracties = relatieve frequenties die vooraf worden bepaald -> komen dus overeen met a priori probabiliteiten (pi) uitgavenfracties = relatieve frequenties die achteraf worden vastgesteld -> komen dus overeen met a posteriori probabiliteiten (qi) verwachte waarde van een bericht dat a priori probabiliteiten pi omzet naar a posteriori probabiliteiten qi = verwachte waarde van een bericht dat aangeeft hoe de budgetfracties zich uiteindelijk in uitgavenfracties hebben vertaald -> verwachtingscontrole qi log2(qi/pi) = 0 wanneer de overschrijding die een afdeling van zijn budget heeft gemaakt volledig proportioneel is aan de globale overschrijding van het budget van alle afdelingen tezamen. > 0 meer dan proportioneel < 0 minder dan proportioneel Indicatie voor beleidscontrole

Controleprocessen Voorbeeld

Controleprocessen Interpretatie Gegeven dat de onderneming globaal gezien haar budget met een bepaald percentage heeft overschreden, wordt het als goed beschouwd wanneer een afdeling een kleinere percentsgewijze toename vertoont en minder goed wanneer de procentuele toename groter is. Een hoger resultaat duidt op significante afwijkingen. Gebaseerd op ervaringscijfers uit het verleden Norm aanleggen en van daaruit beslissen over het ‘significante karakter’ van de afwijkingen = verwachtingscontrole Disproportionaliteit in overschrijding van budget door afdelingen binnen het totaal van alle afdelingen van het bedrijf. = beleidscontrole

Inhoudstafel Hoofdstuk 6 Controleprocessen 1. Belang van controleprocessen 2. Interne controle 3. Controle op beslissingen 4. Controle op het operationeel bedrijfsgebeuren 5. Controle op normen 6. Controle op administratie materieel administratieve controle formeel administratieve controle 7. Six Sigma

4. controle op operationeel bedrijfsgebeuren (operations control) Controleprocessen 4. controle op operationeel bedrijfsgebeuren (operations control) Efficiëntiecontrole Controle over het feit of er altijd economisch is gehandeld. begrote verbruik aan grondstoffen versus werkelijk verbruik begrote aankoopprijzen versus werkelijke aankoopprijzen werkelijke machinebezetting versus normale machinebezetting Voortgangscontrole Is steeds op het juiste moment gehandeld en maken de werkzaamheden voldoende vooruitgang! Vooral bij de opvolging van complexe projecten zoals de lancering van een nieuw product Technieken: netwerkplanning, bv. PERT (Program Evalutation and Review Technique), GANTT charts

5. Controle op de bij de controle gehanteerde normen Controleprocessen 5. Controle op de bij de controle gehanteerde normen De normen op basis waarvan het bedrijfsbeleid of het operationele bedrijfsgebeuren kan worden getoetst mogen geenszins als statische onveranderlijke grootheden worden beschouwd. wisselwerking norm <-> resultaat Controle van norm noodzakelijk om bij significante afwijkingen te kunnen onderscheiden naar: tekortkomingen in beleid of uitvoering; te corrigeren onvolmaaktheden in de normstelling.

6. Controle op de administratie Controleprocessen 6. Controle op de administratie Controle op beslissingen Controle op operationele bedrijfstoestand Controle op normen Door middel van de administratie Controle op de administratie Materieel administratieve controle: controle op de juistheid en de volledigheid van de administratie als uitdrukking van het bedrijfsgebeuren (bedrijfseconomisch) bijv. verband tussen uitgaven en daarvoor genoten prestaties ; verband tussen afgeleverde goederen en ontstane vorderingen Formeel administratieve controle: controle op de juistheid en de efficiëntie van de administratieve verwerking

Materieel administratieve controle Controleprocessen Materieel administratieve controle 1. Verbandcontrole 2. Controle-technische functiescheidingen 3. Verificatie

Controleprocessen 1. Verbandcontrole Controle door middel van het leggen van een verband dat op basis van bedrijfseconomische principes moet bestaan. Voorbeeld: de correctheid van de administratieve behandeling van een verkooptransactie kan op basis van het noodzakelijk bestaan van een aantal verbanden worden gecontroleerd. verkooporderadministratie, voorraadadministratie, facturatie, debiteurenadministratie, boekhouding Verband tussen al deze registraties moet kloppen! Voorbeeld 2: crediteur (leverancier) biedt factuur ter betaling aan

2. Controle-technische functiescheidingen Controleprocessen 2. Controle-technische functiescheidingen Het invoeren van een zodanige taakverdeling en het aanbrengen van zodanige beperkingen in de bevoegdheden van de verschillende functionarissen, zozeer dat transacties niet buiten de administratieve verantwoording kunnen worden gehouden. Voorbeeld: persoon die tegelijk verantwoordelijk is voor aan- en verkoop kan leiden tot verduistering van bedrijfswinsten door het buiten de administratie houden van bepaalde transacties Invoeren van zodanige beperkingen in de bevoegdheden van functionarissen dat: ieder van hen slechts een beperkt aantal schakels in een waarden- omloopproces kan beïnvloeden. beheersfuncties, bewarende functies en registrerende functies niet worden vermengd (niet door dezelfde persoon worden waargenomen).

Functiescheiding Beheersfuncties: Bewaarfuncties Controleprocessen Functiescheiding Beheersfuncties: Deze oefenen beheersmacht uit over goederen en geld, maar hebben ze niet in bewaring. bv. bestuurders, procuratiehouders, verkopers Bewaarfuncties Deze zijn gehouden tot het bewaren van goederen en geld en mogen die uitsluitend ontvangen of afgeven op machtiging van beheersfuncties Registrerende functies Deze verzorgen de informatieverwerking zoveel mogelijk onafhankelijk van het beheren en bewaren.

Controleprocessen 3. Verificatie Opname van de werkelijke aanwezige bedrijfsmiddelen en vergelijking hiervan met de corresponderende administratieve gegevens Methode: inventarisatie van aanwezige voorraden, goederen, financiële middelen Varianten: Simultane opneming: volledige controle over alle voorraaditems over zeer korte periode probleem: kan productieproces worden stilgelegd? Geregelde partiële opneming (cycle counting) continue en systematische controle van voorraaditems over periode van 1 jaar op basis van een vooraf ontworpen cyclus waarbij fysieke voorraadtoestand van elk voorraadartikel minstens éénmaal per jaar wordt nagezien(ABC) Voordelen cycle counting: productie niet stilleggen; tijdige detectie en verbetering van fouten, kleinere kans van te lage of te hoge voorraad

ABC-analyse % van het aantal producten uit het totale assortiment Controleprocessen ABC-analyse Een methode die een assortiment van producten onderverdeelt in veel, middelmatig en weinig gevraagde producten % van de totale vraag of omzet A B C 95 80 20 50 % van het aantal producten uit het totale assortiment A-groep: betreft 20% van de producten uit het assortiment die verantwoordelijk zijn voor 80% van de vraag (omzet)

Formeel administratieve controle Controleprocessen Formeel administratieve controle Algemene invloeden van automatisering op interne controle: verzwakking interne controle? Door de integratie van voorheen meervoudige registraties in 1 systeem valt de mogelijkheid weg om de verwerking door verschillende instanties te laten verrichten en de uitkomsten administratief te vergelijken (minder verbandcontrole) Verschillende administratieve handelingen die voorheen in verschillende achtereenvolgende bewerkingsfasen werden verricht, vinden nu – zonder verdere menselijke tussenkomst - in 1 verwerkingsproces plaats (minder controle-technische functiescheidingen) Juistheid en volledigheid van (enige) input belangrijker dan voorheen Gevolgen: een verzwakking van sommige facetten van de materieel administratieve controle; een evolutie in materieel administratieve controle (inbouwen van controle-technische functiescheidingen in de automatiseringsafdeling); een versterking van het belang van formeel administratieve controle.

Maar… Informatiesystemen laten ook nieuwe controle op fraude toe! Controleprocessen Maar… Informatiesystemen laten ook nieuwe controle op fraude toe!

Fraude Detectie Identificatie van foute acties (gekende fraude) Controleprocessen Fraude Detectie Identificatie van foute acties (gekende fraude) BI, reporting Identificatie van acties door verkeerde personen rechten Identificatie van verdachte acties patronen Identificatie van foute acties (ongekende fraude) Clustering, outliers

Typische toepassingen Controleprocessen Typische toepassingen Overheid, Verzekeringen, Kredietkaarten, Telecom, Audit, Facturen en betalingen, Tax Autoverzekeringen: # ongevallen Witwaspraktijken Ziekteverzekering Voorschrijfgedrag Onverenigbaarheden Telecommunicatie Afwijkingen van profiel Voorraden, leveranciers, … Anti-terrorisme … Benford's Law

Voorbeeld: Ziekteverzekering Controleprocessen Voorbeeld: Ziekteverzekering Controle op prestaties (arts) Controle op ontvangsten (patiënt) Controle op uitbetalingen (bediende) Voorspeld Fraude OK Werkelijk fraude 10 5 (valse negatieven) 100 (valse positieven) 1000

Formeel administratieve controle Controleprocessen Formeel administratieve controle Formeel administratieve controle: controle op informatiesysteemontwikkeling; controle op de eigenlijke informatieverwerking; controle op de beveiliging.

Controle op systeemontwikkeling Controleprocessen Controle op systeemontwikkeling Een kwaliteitsvol informatiesysteem ontwikkelen is niet evident: Ontwikkeling gebeurt in fasen (analyse, ontwerp, bouw, implementatie). Periodes waarin systemen moeten gereed zijn, worden steeds korter. Wat is een ‘goed’ of ‘slecht’ informatiesysteem? Kwaliteitsmodellen voor informatiesystemen duiden meestal 5 hoofdgebieden aan voor kwaliteit (en geven indicatoren en meetvoorschriften per gebied). functionaliteit bruikbaarheid onderhoudbaarheid betrouwbaarheid portabiliteit Het capability maturity model (CMM) is een model uit de wereld van software-engineering voor het beschrijven van kwaliteitsniveaus (5) waarop bedrijven zich – op het vlak van het ontwikkelen van informatiesystemen – kunnen bevinden.

Standaard en Consistente Controleprocessen Het CMM model Initial (1) Repeatable (2) Defined (3) Managed (4) Optimizing (5) Gedisciplineerde Processen Standaard en Consistente Voorspelbare Continu Verbeterende

Het CMM model Initial Repeatable Defined Managed Optimizing Controleprocessen Het CMM model Initial Ontwikkeling van informatiesystemen kan gekarakteriseerd worden als ad-hoc, ongestructureerd, en chaotisch Vrijwel geen processen gedefinieerd Repeatable Planning en managen van nieuwe informatiesystemen is gebaseerd op ervaring met vergelijkbare systemen Herhaling van eerdere successen op het vlak van informatiesystemen Defined Een standaard proces van informatiesysteemontwikkeling is gedefinieerd met bijhorende documentatie Verantwoordelijkheden (project managers, software ontwikkelaars) goed gedefinieerd Managed Ontwikkelingsproces is voorspelbaar en trends kunnen worden gedetecteerd; risico’s worden onderkend en gemanaged Er worden (kwantitatieve) doelstellingen gesteld voor het ontwikkelingsproces en de kwaliteit van de resulterende informatiesystemen Optimizing Streven naar continue verbeteringen van het ontwikkelingsproces; constante focus op continue verbetering Software project teams analyseren fouten en bestuderen mogelijke verbetering De opgedane ervaringen en ‘lessons learned’ worden gedeeld met andere projecten

Resultaten van investeringen in informatiesystemen Controleprocessen Resultaten van investeringen in informatiesystemen

Hoofdgebieden voor systeemkwaliteit Controleprocessen Hoofdgebieden voor systeemkwaliteit Functionaliteit: Vervult het systeem de functionaliteit (de werkzaamheden) die ervan worden verwacht? Bruikbaarheid: Kan het systeem effectief probleemloos in de werkomgeving worden geïntegreerd? Onderhoudbaarheid: Kan het systeem gemakkelijk worden aangepast, bv ten gevolge van externe ontwikkelingen? Betrouwbaarheid: Is het systeem bestendig? Kan het 24 op 24h door medewerkers worden gebruikt, waar ze zich ook bevinden? Portabiliteit: Kan het systeem gemakkelijk worden overgedragen van het ene hardware platform naar het andere?

Diskwaliteit in informatiesystemen Controleprocessen Diskwaliteit in informatiesystemen Principe: hoe later in de ontwikkeling van systemen fouten worden ontdekt, hoe groter de inspanning om deze te verhelpen. Kost van foutcorrectie

Diskwaliteit in informatiesystemen Controleprocessen Diskwaliteit in informatiesystemen Moet vermeden kunnen worden -> preventieve maatregelen Hoe fouten voorkomen bij het ontwikkelen van informatiesystemen? Door gebruik van formele methoden bij analyse en ontwerp van systeem. Door gebruik van standaarden bij de bouw van een systeem. Door gebruik van integriteitsregels en triggers (automatisch aanroep) in implementatie. Voorbeeld: Event (voorraadmutatie) – conditie (bestelpunt overschreden) – actie (plaatsen van bestelling) Moet snel ontdekt kunnen worden -> detectieve maatregelen Quality Control, testen Het inspecteren van het op te leveren systeem Moet snel ‘verholpen’ kunnen worden -> correctieve maatregelen Het effectief corrigeren van gevonden fouten (-> gevaar voor het ontstaan van nieuwe fouten...)

Controleprocessen Testen Testen = het gebruiken van een systeem met de bedoeling om fouten te vinden Programmatest: onderzoek of een programma de vereiste functionaliteit – in alle omstandigheden – correct uitvoert. Integratietest: onderzoek of een verzameling van programma’s – die deel uitmaken van een applicatie – op een correcte wijze samenwerken. Systeemtest: onderzoek naar hardware, software, telecommunicatielijnen, ..., en documentatie die bij aanwending van het systeem zullen worden gebruikt. Acceptatietest: eindtest waarbij eindgebruikers zich uitspreken over alle facetten van het ontwikkelde systeem.

Kosten van controle op systeemontwikkeling Controleprocessen Kosten van controle op systeemontwikkeling De maatregelen die in het kader van kwaliteitszorg moeten worden genomen, kosten geld ... Preventiekosten Detectiekosten Faalkosten = kosten voor het nemen van correctieve maatregelen of kosten als gevolg van onvoldoende kwaliteit (-> gederfde omzet) Totale kwaliteitskosten faalkosten Preventie & detectiekosten kosten kwaliteitsgraad

Overzicht formeel administratieve controle Controleprocessen Overzicht formeel administratieve controle Controle op informatiesysteemontwikkeling Controle op eigenlijke informatieverwerking Controle tijdens het invoeren, respectievelijk uitvoeren van gegevens (in- en uitvoeracceptatiecontroles) Controle op eigenlijke gegevensverwerking (updaten, verwijderen, toevoegen). Gegevensbewaringscontroles: controles op het feit of de gegevens – na verlies of beschadiging – nog kunnen worden gerecupereerd Controle op beveiliging

Invoer/uitvoer – acceptatiecontroles Controleprocessen Invoer/uitvoer – acceptatiecontroles Volgorde controle: ten behoeve van de verwerking is het soms noodzakelijk dat gegevens in een welbepaalde volgorde worden ingelezen. Formatcontrole Controle op de overeenstemming tussen de gespecificeerde format (data type, woordlengte) en de vormkenmerken van het aangeboden gegeven. voorbeeld:bedrag: numeriek, 6 cijfers waarvan 1 na de komma Volledigheidscontrole: controle op de volledigheid van ieder gegeven afzonderlijk en op de volledigheid van het geheel van de ingevoerde gegevens Voorbeelden: woonplaats + postcode tijdsregistratie voor salarisprogramma: de namen van de werknemers waarvoor geen tijdsregistratie beschikbaar is, moeten ter controle worden voorgelegd.

Invoer/uitvoer – acceptatiecontroles Controleprocessen Invoer/uitvoer – acceptatiecontroles Structuurcontrole: wanneer bepaalde invoergegevens formeel administratief in een logisch verband tot elkaar moeten staan, kan men het bestaan van dat verband controleren. Voorbeelden: Controle van datum en aantal dagen in de maand. Controle van het verband tussen geslacht en militiestatus. Controle van het mogelijk verband tussen modeltype en kleur van een artikel. In een boekhoudkundige toepassing kan een bepaalde grootboekrekening normaal maar tegenover een beperkt aantal andere grootboekrekeningen in een journaalpost voorkomen...

Invoer/uitvoer – acceptatiecontroles Controleprocessen Invoer/uitvoer – acceptatiecontroles Redelijkheidscontroles: Bij redelijkheidscontrole wordt een norm aangelegd, waarbinnen een bepaalde variabele zich moet bewegen en indien dit niet het geval is, wordt een mogelijke fout gesignaleerd. Redelijkheidscontroles zijn gebaseerd op waarschijnlijkheden: Waarschijnlijkheden evolueren in de tijd en zijn situatiegebonden. -> dynamisch aanpassen Een overschrijding van een waarschijnlijkheidsgrens moet (onder voorwaarden) altijd mogelijk zijn (overschrijding is verschillend van absolute foutenindicatie) Voorbeelden: Het maandelijks aantal gewerkte uren moet (redelijkerwijze) liggen tussen 0 en 200. Het factuurbedrag voor een klantenfactuur moet (redelijkerwijze) liggen tussen 3€ en 30.000€. Loonstijgingen > 15% worden gesignaleerd

Invoer/uitvoer – acceptatiecontroles Controleprocessen Invoer/uitvoer – acceptatiecontroles Controle door middel van het opnemen van redundante gegevens (redundantie in syntactische zin) controlewoorden (checkwords) is een overtollig element dat wordt ingevoerd met een ander element om op grond van het overtollig element de validiteit van het andere element op te volgen Klantnummer + klantnaam (= overtollig element) controlegetallen (check digits): controle of ingevoerde code syntactisch juist is. Controlegetallen moeten toelaten om meest frequent voorkomende invoerfouten te detecteren, o.a. in code is 1 cijfer fout in code zijn 2 aangrenzende cijfers omgewisseld

Controlegetallen Methoden: Controleprocessen Controlegetallen Methoden: Deling door priemgetal, rest van deling = controlegetal (vb code postrekeningnrs : 97 000-0178485-05 000-0188485-05) Modulus-11 techniek 123 3*2 = 6 2*3 = 6 1*4 = 4 16 controlecijfer 6 Volgend 11-voud: 22 1236

Automatisch corrigeren van fouten (bij gebruik van controlegetallen) Controleprocessen Automatisch corrigeren van fouten (bij gebruik van controlegetallen) Mutatie Code Controlegetal berekening a 123 6 (3*2)+(2*3)+(1*4) b 256 9 (6*2)+(5*3)+(2*4) c 689 (9*2)+(8*3)+(6*4) d 109 (9*2)+(0*3)+(1*4) Verticale natelling 057 Indien invoer 133 ipv 123 en verticale natelling is nu 067 a: (3*2) + (x*3) + (1*4) = 11-voud – 6, dus x = 2

Overzicht Controle op informatiesysteemontwikkeling Controleprocessen Overzicht Controle op informatiesysteemontwikkeling Controle op informatieverwerking Controle op in- en uitvoer (in- en uitvoeracceptatiecontroles) Controle op eigenlijke gegevensverwerking Controle op het bewaren van gegevens Controle op beveiliging

Gegevensverwerkingscontroles (processing controls) Controleprocessen Gegevensverwerkingscontroles (processing controls) Hardware controles Pariteitscontrole: bij de oneven pariteitsregel zorgt men ervoor dat het totaal aantal 1-bits in de binaire voorstelling oneven is door al naargelang als redundant gegeven een 0 of 1 bit toe te voegen Dubbele lees en schrijfcontrole: na het schrijven van de gegevens op schijf, worden ze opnieuw gelezen en vergeleken met de kopie die nog in het werkgeheugen aanwezig is Dubbel circuit: berekeningen in twee circuits laten uitvoeren en resultaten vergelijken

Gegevensverwerkingscontroles (processing controls) Controleprocessen Gegevensverwerkingscontroles (processing controls) Software (geprogrammeerde controles) Controle op niet of dubbel verwerken Controletotalen: totalen voor verwerking vergelijken met totalen na verwerking, bijvoorbeeld optellen van artikelnummers, klantennummers en hoeveelheden bij inlezen en dan vergelijken met totalen na verwerking Volgordecontroles: Juistheid van de volgorde controleren als bijvoorbeeld gegevens in alfabetische oplopende of aflopende volgorde ingevoerd worden Afgrendelingsteken: aanbrengen van een teken bij een gegeven zodat het niet tweemaal kan verwerkt worden (bijv. om te vermijden dat iemand tweemaal zou betaald worden) Controle op rekenkundige juistheid Redelijkheidscontrole en controlecijfers (zie vroeger) Nulcontrole: voor ieder gegeven dat verwerkt wordt, de negatieve waarde ervan extra bijhouden, op het einde de som maken en controleren of die nul is Herhaling van berekening: berekening tweemaal uitvoeren, bijvoorbeeld a x b en b x a en nagaan of de resultaten dezelfde zijn

Controleprocessen Business Continuity Downtime: Period of time in which a system is not operational Fault-tolerant computer systems: Redundant hardware, software, and power supply components to provide continuous, uninterrupted service High-availability computing: Designing to maximize application and system availability Load balancing: Distributes access requests across multiple servers Mirroring: Backup server that duplicates processes on primary server Recovery-oriented computing: Designing computing systems to recover more rapidly from mishaps Disaster recovery planning: Plans for restoration of computing and communications disrupted by an event such as an earthquake, flood, or terrorist attack Business continuity planning: Plans for handling mission-critical functions if systems go down

Overzicht Controle op informatiesysteemontwikkeling Controleprocessen Overzicht Controle op informatiesysteemontwikkeling Controle op informatieverwerking Controle op in- en uitvoer (in- en uitvoeracceptatiecontroles) Controle op eigenlijke gegevensverwerking Controle op het bewaren van gegevens Controle op beveiliging

Controle op het bewaren van de gegevens Controleprocessen Controle op het bewaren van de gegevens Controles of de gegevens zozeer worden bewaard dat het recupereren van gegevens –na eventueel verlies of beschadiging van gegevens – steeds kan gebeuren. Backup-kopie en recovery faciliteiten grootvader-vader-zoon principe pas als de juistheid van de zoon is vastgesteld, wordt de grootvader met de bijhorende mutaties vrijgegeven Log bestand before images after images roll-back utility roll-forward utility

Overzicht Controle op informatiesysteemontwikkeling Controleprocessen Overzicht Controle op informatiesysteemontwikkeling Controle op informatieverwerking Controle op in- en uitvoer (in- en uitvoeracceptatiecontroles) Controle op eigenlijke gegevensverwerking Controle op het bewaren van gegevens Controle op beveiliging

Controle op beveiliging Controleprocessen Controle op beveiliging Computerbeveiliging wordt belangrijker Groeiend computergebruik in organisaties Toenemend aantal personen dat met computers overweg kan Mogelijkheid om van op afstand via publieke of private netwerken binnen te dringen in computers (wireless!) Computercriminaliteit: van ‘hackers’ tot ‘computerterroristen’ ongeoorloofd toegang verschaffen tot een computersysteem en het consulteren of kopiëren van vertrouwelijke gegevens; het aftappen van lijnen, het onderscheppen van elektromagnetische emissies van beeldschermen; het ongeoorloofd wijzigen of verwijderen van computerdata; het ongeoorloofd wijzigen van software om daar onrechtstreeks voordeel uit te halen; computersystemen ongeoorloofd uitschakelen of onbruikbaar maken (denial-of-service aanvallen); het versturen van virussen, SPAM, …

Contemporary Security Challenges and Vulnerabilities Controleprocessen Contemporary Security Challenges and Vulnerabilities Figure 10-1

Controleprocessen Computervirussen Een programma dat ontwikkeld is met het doel om andere programma’s aan te tasten en/of gegevensbestanden te beschadigen. Een virus ‘hecht zich’ aan een gewoon programma. Door dit programma op te starten wordt het virus geactiveerd, waarna het – al dan niet na een ‘incubatietijd’ - ongewenste activiteiten uitvoert. Soorten virussen: Gewone virussen Macro-virussen Bestand-virussen Bootsector-virussen (opstartsector-virussen) Logische virussen Paard van Troje Logische bom Dropper Hoax (nep-virus) Worm

Virus of Hoax VIRUS WARNING!!!!!!!! Controleprocessen Virus of Hoax VIRUS WARNING!!!!!!!! If you receive een e-mail titled "It take Guts to Say Jesus" DO NOT open it. It will erase everything on your hard drive. Forward this letter out to as many people as you can. This is a new, very malicious virus and not many people know about it. This information was announced yersterday morning from IBM; please share it with everyone that might access the Internet. Once again, pass this along to EVERYONE in your adressbook so that this may be stopped. Sircam-A wormvirus Hoax

SPAM E-mail die op grote schaal ongevraagd wordt toegestuurd. Controleprocessen SPAM E-mail die op grote schaal ongevraagd wordt toegestuurd. Om te kunnen ‘spammen’ zijn e-mail adressen nodig. Die kunnen met speciale software, met zoekcriteria, worden gevonden. SPAM kan ook worden veroorzaakt door verzenders die slecht op de hoogte zijn van netiquette.

Controleprocessen

Controleprocessen Phishing

Beveiligingsmaatregelen Controleprocessen Beveiligingsmaatregelen Fysieke beveiliging Computers en werkstations in ruimtes onderbrengen die beveiligd zijn. Key-lock op PC plaatsen Speciale maatregelen Beveiliging tegen virussen Preventieve maatregelen Repressieve maatregelen Detectieve maatregelen

Beveiliging tegen virussen Controleprocessen Beveiliging tegen virussen Preventief: hoe voorkom je virusbesmetting? Strenge controle op downloaden, freeware software Absoluut verbod op illegaal kopiëren van software Firewalls, Virusscanners Repressief: hoe negatieve invloeden van infecties minimaliseren? Detectief: hoe gevolgen verhelpen wanneer eventuele virusbesmetting aanwezig is? Alert reageren en optreden Cleaning software zakenpartner Internet firewall Computer- infrastructuur DB klant leverancier

Beveiliging bij datacommunicatie Controleprocessen Beveiliging bij datacommunicatie Encryptie: een proces waarbij gegevens vanuit een originele, leesbare en begrijpelijke vorm, worden omgezet in een vorm die bedoeld is om onbegrijpelijk te zijn, behalve voor wie de middelen heeft om de originele vorm te herstellen -> decryptie. bericht Vercijfering Ontcijfering Vercijferd bericht cryptosysteem

Beveiliging bij toegang tot gegevens Controleprocessen Beveiliging bij toegang tot gegevens Identificatie (het bepalen van de identiteit) en Authentificatie (het verifiëren van de identiteit) Op basis van iets dat de persoon weet: pincode, wachtwoord (vast ‘paswoord’ -> extended handshaking’ (‘challenge response’)) Op basis van iets dat de persoon bezit (combinatie): smartcard, token, sleutel, certificaat (-> Internet) Digitale certificaten Trusted third party Public key infrastructure Op basis van fysieke eigenschap van persoon (biometrische gegeven), bv. vingerafdruk, stemgeluid Autorisatie: het toekennen van rechten Er zorg voor dragen dat de geïdentificeerde instantie enkel handelingen verricht waartoe hij machtiging heeft Hoe? door instructies voor autorisatie in te bouwen in een data(base)-model Rol van moderne datatalen (SQL): grant- en revoke-instructies grant {recht} on {gegeven} to {instantie}

Controleprocessen Auditing MIS audit: Identifies all of the controls that govern individual information systems and assesses their effectiveness Security audits: Review technologies, procedures, documentation, training, and personnel

Six Sigma Ontwikkeld in Motorola in 1980’s Controleprocessen Six Sigma Ontwikkeld in Motorola in 1980’s Een methodologie voor het verbeteren van proces kwaliteit door het minimaliseren van “defecten” Defect is elke fout die leidt tot klant ontevredenheid Verminderen van procesvariatie Doelstelling is lagere kosten, hogere productiviteit, en betere klanttevredenheid Sigma geeft weer hoe vaak defecten mogen voorkomen Hoe hoger sigma, hoe lager de kans op defecten Hoe lager de kans op defecten, hoe hoger de kwaliteit Gebruikt o.a. bij Bank of America, Motoral, GE, IBM, Kodak, … Lean management!

Six Sigma: stappen Define Proces selecteren en definiëren Measure Controleprocessen Six Sigma: stappen Define Proces selecteren en definiëren Measure Processen beschrijven en metingen opzetten Analyze Huidige prestatie meten (nulmeting) Procesdoel valideren Oorzaken van defecten of fouten bepalen Improve Oplossingen bedenken en toetsen Control Implementatie voorbereiden en uitvoeren Resultaten meten en rapporteren Control Define Measure Analyze Improve

Normale verdeling Controleprocessen u-6 u-5 u-4 u-3 u-2 u-1  s u u+1 u+2s u+3 u+4 u+5 u+6 68.26% 95.44% 99.73% 99.993% 99.999943% 99.999998%

Controleprocessen Defect Rate Defect Rate

Voorbeeld toepassingen Controleprocessen Voorbeeld toepassingen Customer service Hoeveel helpdesk calls worden beantwoord bij de eerste oproep? Hoeveel klachten komen binnen? Orderverwerking Hoeveel orders komen terug wegens incorrecte verzending? Financieel Hoeveel rekeningen worden betaald na de vervaldatum? Hoeveel achterstallige facturen gaan verloren?