Controleprocessen
Hoofdstuk 6: Organisatie van controleprocessen ten behoeve van de informatieverwerking
1
Obj. LT
Beslissingsprocessen
Beleidsvorming en beslissing
Beleidsplan
Obj. MT Beslissing jaarl. actieplannen
Obj. KT Probleemanalyse
4 Beleidsbegroting
4 Jaarlijkse budgetten
Beslissing uitvoering plan
Budgetvoorstel
Taakopdracht Controleprocessen
strategisch
6 tactisch
4
7
Operationele processen
Programmatie van uitvoering
Instructies
Resultaten operationeel
Uitvoering
2
1
Controleprocessen
Inhoudstafel Hoofdstuk 6 Controleprocessen 1. 2. 3. 4. 5. 6.
Belang van controleprocessen Interne controle Controle op beslissingen Controle op het operationeel bedrijfsgebeuren Controle op normen Controle op administratie
materieel administratieve controle formeel administratieve controle
7. Six Sigma
3
1. Belang van controleprocessen Opdat een organisatie goed zou functioneren moeten beslissings- en operationele processen worden gecontroleerd. Het goed functioneren van een organisatie houdt in: dat van de verleende bevoegdheden een juist gebruik gemaakt wordt; dat de te verrichten opdrachten tijdig en op de juiste wijze worden uitgevoerd; dat de ter beschikking staande middelen in voldoende mate zijn beveiligd; dat de ter beschikking staande middelen worden aangewend voor het doel waarvoor zij volgens de voorschriften zijn bestemd; dat de administratie correct wordt gevoerd.
4
2
Controleprocessen
Interne controle (internal audit) De controle die door of namens de leiding wordt uitgeoefend op de activiteiten binnen de organisatie ten behoeve van de leiding. Dit is het geheel van onderling samenhangende maatregelen die de volledigheid juistheid tijdigheid en het geoorloofd zijn van bedrijfsactiviteiten garanderen.
5
Externe controle Wordt uitgeoefend in opdracht van bv. eigenaars of aandeelhouders van bedrijven, financiële experts, overheid, regulatoren en anderen die in het maatschappelijk verkeer als ‘belanghebbenden’ (stakeholders) worden aangeduid. Deze controle gebeurt dus t.b.v. anderen dan diegenen die met de leiding belast zijn van het bedrijf waar de controle wordt verricht.
6
3
Controleprocessen
De interne controle verloopt in volgende fasen:
Vaststellen van normen Registreren van de werkelijkheid Confrontatie van werkelijkheid met norm Vaststellen van eventuele afwijkingen Analyseren van geconstateerde afwijkingen naar oorzaken Rapporteren aan leiding
Van de administratieve organisatie wordt verwacht dat zij het gehele controleproces systematisch ondersteunt.
7
2. Vormen van interne controle
Naar Naar Naar Naar
de gewenste conclusie: pos. - neg. basisgegevens: goederen - bewijzen werkwijze: detail - totaal object: beslissingen – operaties - normen
Controle Controle Controle Controle
op op op op
beslissingen bedrijfstoestand en operationeel bedrijfsgebeuren normen administratie
8
4
Controleprocessen
2. Vormen van interne controle
Naar de gewenste conclusie:
Positieve controle Had alles wat geboekt is, ook effectief geboekt mogen worden? --> opsporen van fictieve verkoopfacturen Negatieve controle Is alles wat geboekt had moeten worden, ook effectief geboekt? --> opsporen van reële maar niet geboekte aankoopfacturen
9
Naar basisgegevens:
Inventarisatie: vaststellen door nagaan van fysieke aanwezigheid Controle met bewijsstukken: vaststellen door nagaan van bewijsstukken Verbandcontrole: vaststellen door nagaan van een verband dat oorzakelijk zou moeten aanwezig zijn bv. Liquide middelen: beginsaldo + ontvangsten van debiteuren + overige ontvangsten – betalingen aan crediteuren – overige betalingen = eindsaldo
10
5
Controleprocessen
Naar werkwijze:
Detailcontrole: elke post wordt gecontroleerd Totaalcontrole: enkel totalen worden gecontroleerd. Die totalen worden langs een andere weg berekend, waarna nagegaan wordt of de berekende totalen ook aangetroffen worden in de betreffende registraties. Partiële controle: door het nagaan van de correctheid van een steekproef conclusies nemen over de totale populatie
11
Naar het object:
Controle op de beslissingen: Zijn de beslissingen die werden genomen en de opdrachten die werden gegeven, juist geweest? Zijn de verwachtingen bij de beleidsbepaling juist geweest? Controle op het operationele bedrijfsgebeuren: Is steeds op het juiste moment gehandeld en maken de werkzaamheden voldoende vooruitgang? Zijn de opdrachten efficiënt uitgevoerd? Controle op normen: Zijn de toegepaste normen nog valabel? Controle op de administratie: Is de door de administratie versterkte informatie juist en volledig en efficiënt verwerkt?
12
6
Controleprocessen
3. Controle op beslissingen
Zijn de verwachtingen waarvan bij de beleidsbepaling werd uitgegaan, juist geweest? = verwachtingscontrole Zijn de beslissingen die werden genomen en de opdrachten die werden gegeven, juist geweest? = beleidscontrole Is steeds binnen de toegelaten bevoegdheden gehandeld? = bevoegdheidcontrole
13
Voorbeeld Verwachtingscontrole: een distributiebedrijf Objectieven voor volgend jaar: 15% stijging van verkoopontvangsten netto-winst voor belastingen naar 10% Gekozen strategie op basis van verkoopvoorspellingen marketing:
stimuleren verkoop, verhogen verkoopprijs publiciteit opvoeren
Resultaat na beslissingen en controle op beslissingen: Verwachtingscontrole Stijgende verkoop betekent ook meer inkopen (lange levertijd): -> Opstellen van gewijzigde cash flow projectie 14
7
Controleprocessen
Verwachtingscontrole en Beleidscontrole
Een wetenschappelijke aanpak gebaseerd op het gebruik van informatie-theorie Beschouw willekeurige gebeurtenis E met waarschijnlijkheid van voorkomen gelijk aan p. In de informatie-theorie wordt de informatie-inhoud van een bericht dat zegt dat de gebeurtenis zich heeft voorgedaan, uitgedrukt door: log2(1/p).
0
p
1
15
Entropie
Beschouw compleet systeem van n elkaar wederzijds uitsluitende gebeurtenissen E1, E2, E3, .... , En. De respectievelijke a priori waarschijnlijkheden van voorkomen van deze gebeurtenissen zijn p1, p2, p3, ..., pn. Wanneer wij een bericht ontvangen dat zegt dat Ei zich heeft voorgedaan is de ontvangen informatie gelijk aan log2(1/ pi) = - log2 pi. De waarschijnlijkheid dat wij juist deze boodschap ontvangen is gelijk aan de waarschijnlijkheid dat Ei zich voordoet (pi). De verwachte waarde van de informatie-inhoud van een bericht dat zegt dat zich één van de gebeurtenissen Ei heeft voorgedaan is dus gelijk aan: n
∑p
i
log 2 (1/p i)
i =1
Maximale onzekerheid log2(N) indien alle pi =1/N; 0 indien één pi=1
16
8
Controleprocessen
Nieuwe waarschijnlijkheden
Wat is de verwachte informatie-inhoud van een boodschap die de a priori waarschijnlijkheid pi omzet tot de a posteriori waarschijnlijkheid qi? Beschouwen wij één gebeurtenis E en een boodschap die zegt dat de aanvankelijk waarschijnlijkheid p nu q is geworden. Veronderstel nu dat wij een tweede boodschap verkrijgen die zegt dat E zich effectief heeft voorgedaan. De ontvangen informatie is dan log2(1/p) op basis van de a priori waarschijnlijkheid pi en log2(1/q) op basis van de a posteriori waarschijnlijkheid qi.
Informatie inhoud van boodschap die zegt dat p nu q is geworden: log2(1/p) – log2(1/q) = log2(q/p)
0 pÆ q
1
17
Beschouwen wij nu opnieuw een compleet systeem van n elkaar wederzijds uitsluitende gebeurtenissen. Wij berekenen de verwachte informatieinhoud van een boodschap die de a priori waarschijnlijkheid pi omzet tot a posteriori waarschijnlijkheid qi. Als Ei zich uiteindelijk voordoet is de informatie-inhoud log2(qi/pi) bits. De waarschijnlijkheid dat zo iets zich voordoet is qi. LOG2 (X) 8
6
Log2(q/p) = 0 wanneer q = p Log2(q/p) < 0 wanneer q < p Log2(q/p) > 0 wanneer q > p
4
2
0 1
4
7
10 13 16 19 22 25 28 31 34 37 40 43 46 49 52 55 58 61 64
-2
-4 X
18
9
Controleprocessen
Compleet systeem van n gebeurtenissen De verwachte informatie-inhoud van een boodschap die de a priori probabiliteit pi omzet tot a posteriori probabiliteit qi is dan: n
∑ qi log 2 ( qi / pi ) i =1
Informatie-inhoud van het voorkomen van E1
Deze uitdrukking is altijd > 0 behalve wanneer qi = pi
∀ i' s
Indien qi=1 dan wordt de uitdrukking: log2(1/pi) (informatie-inhoud van een determinerende boodschap)
Toepassing van informatie-theorie concepten ten behoeve van verwachtingscontrole: analyse van budgetvarianties
19
Budgetvarianties
3.00
Realisatie 1: proportioneel Realisatie 2: graad van afwijking van proportionaliteit? 20
10
Controleprocessen
Toegepast op budgetanalyse budgetfracties = relatieve frequenties die vooraf worden bepaald -> komen dus overeen met a priori probabiliteiten (pi) uitgavenfracties = relatieve frequenties die achteraf worden vastgesteld -> komen dus overeen met a posteriori probabiliteiten (qi) verwachte waarde van een bericht dat a priori probabiliteiten pi omzet naar a posteriori probabiliteiten qi = verwachte waarde van een bericht dat aangeeft hoe de budgetfracties zich uiteindelijk in uitgavenfracties hebben vertaald -> verwachtingscontrole qi log2(qi/pi) = 0 wanneer de overschrijding die een afdeling van zijn budget heeft gemaakt volledig proportioneel is aan de globale overschrijding van het budget van alle afdelingen tezamen. n > 0 meer dan proportioneel qi log 2(qi / pi ) < 0 minder dan proportioneel
∑ i =1
Indicatie voor beleidscontrole
21
Voorbeeld Gebied A B C totaal
Budget
Gebied A B C totaal
Budget
1 3 6 10
pi qi qi/pi Budget % Real 1 Real 1 % 0,1 2 0,1 0,3 6 0,3 0,6 12 0,6 1 20 1
log2(qi/pi) qi*log2
1 3 6 10
Budget % Real 2 Real 2 % 0,1 4 0,2 2 1 0,2 0,3 2 0,1 0,333333 -1,58496 -0,1585 0,6 14 0,7 1,166667 0,222392 0,155675 1 20 1 0,197178
1 1 1
0 0 0
0 0 0 0
22
11
Controleprocessen
Interpretatie
Gegeven dat de onderneming globaal gezien haar budget met een bepaald percentage heeft overschreden, wordt het als goed beschouwd wanneer een afdeling een kleinere percentsgewijze toename vertoont en minder goed wanneer de procentuele toename groter is. Een hoger resultaat duidt op significante afwijkingen. Gebaseerd op ervaringscijfers uit het verleden Norm aanleggen en van daaruit beslissen over het ‘significante karakter’ van de afwijkingen = verwachtingscontrole
Disproportionaliteit in overschrijding van budget door afdelingen binnen het totaal van alle afdelingen van het bedrijf. = beleidscontrole 23
Inhoudstafel Hoofdstuk 6 Controleprocessen 1. 2. 3. 4. 5. 6.
Belang van controleprocessen Interne controle Controle op beslissingen Controle op het operationeel bedrijfsgebeuren Controle op normen Controle op administratie
materieel administratieve controle formeel administratieve controle
7. Six Sigma
24
12
Controleprocessen
4. controle op operationeel bedrijfsgebeuren (operations control)
Efficiëntiecontrole Controle over het feit of er altijd economisch is gehandeld.
begrote verbruik aan grondstoffen versus werkelijk verbruik begrote aankoopprijzen versus werkelijke aankoopprijzen werkelijke machinebezetting versus normale machinebezetting
Voortgangscontrole Is steeds op het juiste moment gehandeld en maken de werkzaamheden voldoende vooruitgang!
Vooral bij de opvolging van complexe projecten zoals de lancering van een nieuw product Technieken: netwerkplanning, bv. PERT (Program Evalutation and Review Technique), GANTT charts
25
5. Controle op de bij de controle gehanteerde normen De normen op basis waarvan het bedrijfsbeleid of het operationele bedrijfsgebeuren kan worden getoetst mogen geenszins als statische onveranderlijke grootheden worden beschouwd.
wisselwerking norm
<->
resultaat
Controle van norm noodzakelijk om bij significante afwijkingen te kunnen onderscheiden naar: tekortkomingen in beleid of uitvoering; te corrigeren onvolmaaktheden in de normstelling.
26
13
Controleprocessen
6. Controle op de administratie Controle op beslissingen Controle op operationele bedrijfstoestand Controle op normen Door middel van de administratie Controle op de administratie
Materieel administratieve controle: controle op de juistheid en de volledigheid van de administratie als uitdrukking van het bedrijfsgebeuren (bedrijfseconomisch) bijv. verband tussen uitgaven en daarvoor genoten prestaties ; verband tussen afgeleverde goederen en ontstane vorderingen
Formeel administratieve controle: controle op de juistheid en de efficiëntie van de administratieve verwerking 27
Materieel administratieve controle
1. Verbandcontrole 2. Controle-technische functiescheidingen 3. Verificatie
28
14
Controleprocessen
1. Verbandcontrole
Controle door middel van het leggen van een verband dat op basis van bedrijfseconomische principes moet bestaan.
Voorbeeld: de correctheid van de administratieve behandeling van een verkooptransactie kan op basis van het noodzakelijk bestaan van een aantal verbanden worden gecontroleerd. verkooporderadministratie, voorraadadministratie, facturatie, debiteurenadministratie, boekhouding Verband tussen al deze registraties moet kloppen! Voorbeeld 2: crediteur (leverancier) biedt factuur ter betaling aan
29
2. Controle-technische functiescheidingen
Het invoeren van een zodanige taakverdeling en het aanbrengen van zodanige beperkingen in de bevoegdheden van de verschillende functionarissen, zozeer dat transacties niet buiten de administratieve verantwoording kunnen worden gehouden.
Voorbeeld: persoon die tegelijk verantwoordelijk is voor aan- en verkoop kan leiden tot verduistering van bedrijfswinsten door het buiten de administratie houden van bepaalde transacties
Invoeren van zodanige beperkingen in de bevoegdheden van functionarissen dat:
ieder van hen slechts een beperkt aantal schakels in een waardenomloopproces kan beïnvloeden. beheersfuncties, bewarende functies en registrerende functies niet worden vermengd (niet door dezelfde persoon worden waargenomen).
30
15
Controleprocessen
Functiescheiding
Beheersfuncties:
Bewaarfuncties
Deze oefenen beheersmacht uit over goederen en geld, maar hebben ze niet in bewaring. bv. bestuurders, procuratiehouders, verkopers Deze zijn gehouden tot het bewaren van goederen en geld en mogen die uitsluitend ontvangen of afgeven op machtiging van beheersfuncties
Registrerende functies
Deze verzorgen de informatieverwerking zoveel mogelijk onafhankelijk van het beheren en bewaren.
31
3. Verificatie
Opname van de werkelijke aanwezige bedrijfsmiddelen en vergelijking hiervan met de corresponderende administratieve gegevens
Methode: inventarisatie van aanwezige voorraden, goederen, financiële middelen Varianten:
Simultane opneming: volledige controle over alle voorraaditems over zeer korte periode probleem: kan productieproces worden stilgelegd?
Geregelde partiële opneming (cycle counting) continue en systematische controle van voorraaditems over periode van 1 jaar op basis van een vooraf ontworpen cyclus waarbij fysieke voorraadtoestand van elk voorraadartikel minstens éénmaal per jaar wordt nagezien(ABC) Voordelen cycle counting: productie niet stilleggen; tijdige detectie en verbetering van fouten, kleinere kans van te lage of te hoge voorraad 32
16
Controleprocessen
ABC-analyse
Een methode die een assortiment van producten onderverdeelt in veel, middelmatig en weinig gevraagde producten
% van de totale vraag of 95 80 omzet A
B 20 50
C % van het aantal producten uit het totale assortiment
A-groep: betreft 20% van de producten uit het assortiment die verantwoordelijk zijn voor 80% van de vraag (omzet)
33
Formeel administratieve controle
Algemene invloeden van automatisering op interne controle: verzwakking interne controle? Door de integratie van voorheen meervoudige registraties in 1 systeem valt de mogelijkheid weg om de verwerking door verschillende instanties te laten verrichten en de uitkomsten administratief te vergelijken (minder verbandcontrole) Verschillende administratieve handelingen die voorheen in verschillende achtereenvolgende bewerkingsfasen werden verricht, vinden nu – zonder verdere menselijke tussenkomst - in 1 verwerkingsproces plaats (minder controletechnische functiescheidingen) Juistheid en volledigheid van (enige) input belangrijker dan voorheen Gevolgen: een verzwakking van sommige facetten van de materieel administratieve controle; een evolutie in materieel administratieve controle (inbouwen van controletechnische functiescheidingen in de automatiseringsafdeling); een versterking van het belang van formeel administratieve controle. 34
17
Controleprocessen
Maar… Informatiesystemen laten ook nieuwe controle op fraude toe!
Totaal aangerekende uren 30 25 20 15 10 5 0
1
2
3
4
5
6
7
8
9 10
Dag
35
Fraude Detectie
Identificatie van foute acties (gekende fraude)
Identificatie van acties door verkeerde personen
rechten
Identificatie van verdachte acties
BI, reporting
patronen
Identificatie van foute acties (ongekende fraude)
Clustering, outliers
36
18
Controleprocessen
Typische toepassingen Overheid, Verzekeringen, Kredietkaarten, Telecom, Audit, Facturen en betalingen, Tax
Autoverzekeringen: # ongevallen Witwaspraktijken Ziekteverzekering
Telecommunicatie
Voorschrijfgedrag Onverenigbaarheden Afwijkingen van profiel
Benford's Law
Voorraden, leveranciers, … Anti-terrorisme …
37
Voorbeeld: Ziekteverzekering
Controle op prestaties (arts) Controle op ontvangsten (patiënt) Controle op uitbetalingen (bediende) Voorspeld
fraude
Fraude
OK
10
5 (valse negatieven)
Werkelijk OK
100 (valse
1000
positieven) 38
19
Controleprocessen
Formeel administratieve controle
Formeel administratieve controle:
controle op informatiesysteemontwikkeling; controle op de eigenlijke informatieverwerking; controle op de beveiliging.
39
Controle op systeemontwikkeling
Een kwaliteitsvol informatiesysteem ontwikkelen is niet evident:
Kwaliteitsmodellen voor informatiesystemen duiden meestal 5 hoofdgebieden aan voor kwaliteit (en geven indicatoren en meetvoorschriften per gebied).
Ontwikkeling gebeurt in fasen (analyse, ontwerp, bouw, implementatie). Periodes waarin systemen moeten gereed zijn, worden steeds korter. Wat is een ‘goed’ of ‘slecht’ informatiesysteem?
functionaliteit bruikbaarheid onderhoudbaarheid betrouwbaarheid portabiliteit
Het capability maturity model (CMM) is een model uit de wereld van software-engineering voor het beschrijven van kwaliteitsniveaus (5) waarop bedrijven zich – op het vlak van het ontwikkelen van informatiesystemen – kunnen bevinden. 40
20
Controleprocessen
Het CMM model Continu Verbeterende Processen
Managed Managed (4) (4)
Voorspelbare Processen Standaard en Consistente Processen Gedisciplineerde Processen
Optimizing Optimizing (5) (5)
Defined Defined (3) (3)
Repeatable Repeatable (2) (2)
Initial Initial (1) (1)
41
Het CMM model
Initial
Repeatable
Een standaard proces van informatiesysteemontwikkeling is gedefinieerd met bijhorende documentatie Verantwoordelijkheden (project managers, software ontwikkelaars) goed gedefinieerd
Managed
Planning en managen van nieuwe informatiesystemen is gebaseerd op ervaring met vergelijkbare systemen Herhaling van eerdere successen op het vlak van informatiesystemen
Defined
Ontwikkeling van informatiesystemen kan gekarakteriseerd worden als ad-hoc, ongestructureerd, en chaotisch Vrijwel geen processen gedefinieerd
Ontwikkelingsproces is voorspelbaar en trends kunnen worden gedetecteerd; risico’s worden onderkend en gemanaged Er worden (kwantitatieve) doelstellingen gesteld voor het ontwikkelingsproces en de kwaliteit van de resulterende informatiesystemen
Optimizing
Streven naar continue verbeteringen van het ontwikkelingsproces; constante focus op continue verbetering Software project teams analyseren fouten en bestuderen mogelijke verbetering De opgedane ervaringen en ‘lessons learned’ worden gedeeld met andere projecten 42
21
Controleprocessen
Resultaten van investeringen in informatiesystemen 3%
2%
software geleverd en nooit gebruikt (47%) software nooit geleverd (28%)
20% 47%
software aanvankelijk gebruikt, daarna afgedankt (20%) software gebruikt na aanpassing (3%)
28%
software direct bruikbaar na levering (2%)
43
Hoofdgebieden voor systeemkwaliteit
Functionaliteit:
Bruikbaarheid:
Kan het systeem gemakkelijk worden aangepast, bv ten gevolge van externe ontwikkelingen?
Betrouwbaarheid:
Kan het systeem effectief probleemloos in de werkomgeving worden geïntegreerd?
Onderhoudbaarheid:
Vervult het systeem de functionaliteit (de werkzaamheden) die ervan worden verwacht?
Is het systeem bestendig? Kan het 24 op 24h door medewerkers worden gebruikt, waar ze zich ook bevinden?
Portabiliteit:
Kan het systeem gemakkelijk worden overgedragen van het ene hardware platform naar het andere? 44
22
Controleprocessen
Diskwaliteit in informatiesystemen
Principe: hoe later in de ontwikkeling van systemen fouten worden ontdekt, hoe groter de inspanning om deze te verhelpen. 300
R elatieve K ost
250
Kost van foutcorrectie
240
200 150 100
100
50
40 2
0 0
1 1.Analyse
14
6
2 2.Design
3
4
3.Codering
5
6
7
8
4.Integratie 5.Test 6.Operatie
45
Diskwaliteit in informatiesystemen
Moet vermeden kunnen worden -> preventieve maatregelen Hoe fouten voorkomen bij het ontwikkelen van informatiesystemen? Door gebruik van formele methoden bij analyse en ontwerp van systeem. Door gebruik van standaarden bij de bouw van een systeem. Door gebruik van integriteitsregels en triggers (automatisch aanroep) in implementatie.
Moet snel ontdekt kunnen worden -> detectieve maatregelen
Voorbeeld: Event (voorraadmutatie) – conditie (bestelpunt overschreden) – actie (plaatsen van bestelling)
Quality Control, testen Het inspecteren van het op te leveren systeem
Moet snel ‘verholpen’ kunnen worden -> correctieve maatregelen Het effectief corrigeren van gevonden fouten (-> gevaar voor het ontstaan van nieuwe fouten...)
46
23
Controleprocessen
Testen Testen = het gebruiken van een systeem met de bedoeling om fouten te vinden
Programmatest:
Integratietest:
onderzoek of een verzameling van programma’s – die deel uitmaken van een applicatie – op een correcte wijze samenwerken.
Systeemtest:
onderzoek of een programma de vereiste functionaliteit – in alle omstandigheden – correct uitvoert.
onderzoek naar hardware, software, telecommunicatielijnen, ..., en documentatie die bij aanwending van het systeem zullen worden gebruikt.
Acceptatietest:
eindtest waarbij eindgebruikers zich uitspreken over alle facetten van het ontwikkelde systeem. 47
Kosten van controle op systeemontwikkeling
De maatregelen die in het kader van kwaliteitszorg moeten worden genomen, kosten geld ...
Preventiekosten Detectiekosten Faalkosten = kosten voor het nemen van correctieve maatregelen of kosten als gevolg van onvoldoende kwaliteit (-> gederfde omzet)
Totale kwaliteitskosten
Preventie & detectiekosten
kosten
faalkosten kwaliteitsgraad
48
24
Controleprocessen
Overzicht formeel administratieve controle
Controle op informatiesysteemontwikkeling Controle op eigenlijke informatieverwerking
Controle tijdens het invoeren, respectievelijk uitvoeren van gegevens (in- en uitvoeracceptatiecontroles) Controle op eigenlijke gegevensverwerking (updaten, verwijderen, toevoegen). Gegevensbewaringscontroles: controles op het feit of de gegevens – na verlies of beschadiging – nog kunnen worden gerecupereerd
Controle op beveiliging
49
Invoer/uitvoer – acceptatiecontroles
Volgorde controle:
Formatcontrole
ten behoeve van de verwerking is het soms noodzakelijk dat gegevens in een welbepaalde volgorde worden ingelezen. Controle op de overeenstemming tussen de gespecificeerde format (data type, woordlengte) en de vormkenmerken van het aangeboden gegeven. voorbeeld:bedrag: numeriek, 6 cijfers waarvan 1 na de komma
Volledigheidscontrole:
controle op de volledigheid van ieder gegeven afzonderlijk en op de volledigheid van het geheel van de ingevoerde gegevens Voorbeelden: woonplaats + postcode tijdsregistratie voor salarisprogramma: de namen van de werknemers waarvoor geen tijdsregistratie beschikbaar is, moeten ter controle worden voorgelegd. 50
25
Controleprocessen
Invoer/uitvoer – acceptatiecontroles
Structuurcontrole: wanneer bepaalde invoergegevens formeel administratief in een logisch verband tot elkaar moeten staan, kan men het bestaan van dat verband controleren.
Voorbeelden: Controle van datum en aantal dagen in de maand. Controle van het verband tussen geslacht en militiestatus. Controle van het mogelijk verband tussen modeltype en kleur van een artikel. In een boekhoudkundige toepassing kan een bepaalde grootboekrekening normaal maar tegenover een beperkt aantal andere grootboekrekeningen in een journaalpost voorkomen...
51
Invoer/uitvoer – acceptatiecontroles
Redelijkheidscontroles:
Bij redelijkheidscontrole wordt een norm aangelegd, waarbinnen een bepaalde variabele zich moet bewegen en indien dit niet het geval is, wordt een mogelijke fout gesignaleerd. Redelijkheidscontroles zijn gebaseerd op waarschijnlijkheden: Waarschijnlijkheden evolueren in de tijd en zijn situatiegebonden. > dynamisch aanpassen Een overschrijding van een waarschijnlijkheidsgrens moet (onder voorwaarden) altijd mogelijk zijn (overschrijding is verschillend van absolute foutenindicatie) Voorbeelden:
Het maandelijks aantal gewerkte uren moet (redelijkerwijze) liggen tussen 0 en 200. Het factuurbedrag voor een klantenfactuur moet (redelijkerwijze) liggen tussen 3€ en 30.000€. Loonstijgingen > 15% worden gesignaleerd 52
26
Controleprocessen
Invoer/uitvoer – acceptatiecontroles
Controle door middel van het opnemen van redundante gegevens (redundantie in syntactische zin)
controlewoorden (checkwords) is een overtollig element dat wordt ingevoerd met een ander element om op grond van het overtollig element de validiteit van het andere element op te volgen
Klantnummer + klantnaam (= overtollig element)
controlegetallen (check digits): controle of ingevoerde code syntactisch juist is. Controlegetallen moeten toelaten om meest frequent voorkomende invoerfouten te detecteren, o.a. in code is 1 cijfer fout in code zijn 2 aangrenzende cijfers omgewisseld
53
Controlegetallen Methoden:
Deling door priemgetal, rest van deling = controlegetal (vb code postrekeningnrs : 97 000-0178485-05 000-0188485-05) Modulus-11 techniek 123
3*2 = 6 2*3 = 6 1*4 = 4 16 controlecijfer 6
Volgend 11-voud: 22
1236
54
27
Controleprocessen
Automatisch corrigeren van fouten (bij gebruik van controlegetallen) Mutatie
Code
Controlegetal
berekening
a
123
6
(3*2)+(2*3)+(1*4)
b
256
9
(6*2)+(5*3)+(2*4)
c
689
0
(9*2)+(8*3)+(6*4)
d
109
0
(9*2)+(0*3)+(1*4)
Verticale natelling 057
Indien invoer 133 ipv 123 en verticale natelling is nu 067
a: (3*2) + (x*3) + (1*4) = 11-voud – 6, dus x = 2 55
Overzicht
Controle op informatiesysteemontwikkeling Controle op informatieverwerking
Controle op in- en uitvoer (in- en uitvoeracceptatiecontroles) Controle op eigenlijke gegevensverwerking Controle op het bewaren van gegevens
Controle op beveiliging
56
28
Controleprocessen
Gegevensverwerkingscontroles (processing controls)
Hardware controles
Pariteitscontrole: bij de oneven pariteitsregel zorgt men ervoor dat het totaal aantal 1-bits in de binaire voorstelling oneven is door al naargelang als redundant gegeven een 0 of 1 bit toe te voegen Dubbele lees en schrijfcontrole: na het schrijven van de gegevens op schijf, worden ze opnieuw gelezen en vergeleken met de kopie die nog in het werkgeheugen aanwezig is Dubbel circuit: berekeningen in twee circuits laten uitvoeren en resultaten vergelijken
57
Gegevensverwerkingscontroles (processing controls)
Software (geprogrammeerde controles)
Controle op niet of dubbel verwerken Controletotalen: totalen voor verwerking vergelijken met totalen na verwerking, bijvoorbeeld optellen van artikelnummers, klantennummers en hoeveelheden bij inlezen en dan vergelijken met totalen na verwerking Volgordecontroles: Juistheid van de volgorde controleren als bijvoorbeeld gegevens in alfabetische oplopende of aflopende volgorde ingevoerd worden Afgrendelingsteken: aanbrengen van een teken bij een gegeven zodat het niet tweemaal kan verwerkt worden (bijv. om te vermijden dat iemand tweemaal zou betaald worden) Controle op rekenkundige juistheid Redelijkheidscontrole en controlecijfers (zie vroeger) Nulcontrole: voor ieder gegeven dat verwerkt wordt, de negatieve waarde ervan extra bijhouden, op het einde de som maken en controleren of die nul is Herhaling van berekening: berekening tweemaal uitvoeren, bijvoorbeeld a x b en b x a en nagaan of de resultaten dezelfde zijn 58
29
Controleprocessen
Business Continuity
Downtime: Period of time in which a system is not operational Fault-tolerant computer systems: Redundant hardware, software, and power supply components to provide continuous, uninterrupted service High-availability computing: Designing to maximize application and system availability Load balancing: Distributes access requests across multiple servers Mirroring: Backup server that duplicates processes on primary server Recovery-oriented computing: Designing computing systems to recover more rapidly from mishaps Disaster recovery planning: Plans for restoration of computing and communications disrupted by an event such as an earthquake, flood, or terrorist attack Business continuity planning: Plans for handling mission-critical functions if systems go down 59
Overzicht
Controle op informatiesysteemontwikkeling Controle op informatieverwerking
Controle op in- en uitvoer (in- en uitvoeracceptatiecontroles) Controle op eigenlijke gegevensverwerking Controle op het bewaren van gegevens
Controle op beveiliging
60
30
Controleprocessen
Controle op het bewaren van de gegevens
Controles of de gegevens zozeer worden bewaard dat het recupereren van gegevens –na eventueel verlies of beschadiging van gegevens – steeds kan gebeuren.
Backup-kopie en recovery faciliteiten grootvader-vader-zoon principe pas als de juistheid van de zoon is vastgesteld, wordt de grootvader met de bijhorende mutaties vrijgegeven Log bestand before images after images roll-back utility roll-forward utility
61
Overzicht
Controle op informatiesysteemontwikkeling Controle op informatieverwerking
Controle op in- en uitvoer (in- en uitvoeracceptatiecontroles) Controle op eigenlijke gegevensverwerking Controle op het bewaren van gegevens
Controle op beveiliging
62
31
Controleprocessen
Controle op beveiliging
Computerbeveiliging wordt belangrijker
Groeiend computergebruik in organisaties Toenemend aantal personen dat met computers overweg kan Mogelijkheid om van op afstand via publieke of private netwerken binnen te dringen in computers (wireless!)
Computercriminaliteit: van ‘hackers’ tot ‘computerterroristen’
ongeoorloofd toegang verschaffen tot een computersysteem en het consulteren of kopiëren van vertrouwelijke gegevens; het aftappen van lijnen, het onderscheppen van elektromagnetische emissies van beeldschermen; het ongeoorloofd wijzigen of verwijderen van computerdata; het ongeoorloofd wijzigen van software om daar onrechtstreeks voordeel uit te halen; computersystemen ongeoorloofd uitschakelen of onbruikbaar maken (denial-ofservice aanvallen); het versturen van virussen, SPAM, …
63
Contemporary Security Challenges and Vulnerabilities
Figure 10-1
64
32
Controleprocessen
Computervirussen
Een programma dat ontwikkeld is met het doel om andere programma’s aan te tasten en/of gegevensbestanden te beschadigen. Een virus ‘hecht zich’ aan een gewoon programma. Door dit programma op te starten wordt het virus geactiveerd, waarna het – al dan niet na een ‘incubatietijd’ - ongewenste activiteiten uitvoert.
Soorten virussen:
Gewone virussen Macro-virussen Bestand-virussen Bootsector-virussen (opstartsector-virussen) Logische virussen Paard van Troje Logische bom Dropper Hoax (nep-virus) Worm 65
Virus of Hoax VIRUS WARNING!!!!!!!! If you receive een e-mail titled "It take Guts to Say Jesus" DO NOT open it. It will erase everything on your hard drive. Forward this letter out to as many people as you can. This is a new, very malicious virus and not many people know about it. This information was announced yersterday morning from IBM; please share it with everyone that might access the Internet. Once again, pass this along to EVERYONE in your adressbook so that this may be stopped. Sircam-A wormvirus
Hoax 66
33
Controleprocessen
SPAM
E-mail die op grote schaal ongevraagd wordt toegestuurd. Om te kunnen ‘spammen’ zijn e-mail adressen nodig. Die kunnen met speciale software, met zoekcriteria, worden gevonden. SPAM kan ook worden veroorzaakt door verzenders die slecht op de hoogte zijn van netiquette.
67
68
34
Controleprocessen
Phishing
69
Beveiligingsmaatregelen
Fysieke beveiliging
Computers en werkstations in ruimtes onderbrengen die beveiligd zijn. Key-lock op PC plaatsen Speciale maatregelen
Beveiliging tegen virussen
Preventieve maatregelen Repressieve maatregelen Detectieve maatregelen
70
35
Controleprocessen
Beveiliging tegen virussen
Preventief: hoe voorkom je virusbesmetting?
Strenge controle op downloaden, freeware software Absoluut verbod op illegaal kopiëren van software Firewalls, Virusscanners
Repressief: hoe negatieve invloeden van infecties minimaliseren? Detectief: hoe gevolgen verhelpen wanneer eventuele virusbesmetting aanwezig is?
Alert reageren en optreden Cleaning software
klant leverancier
Internet
firewall
Computerinfrastructuur
zakenpartner
DB 71
Beveiliging bij datacommunicatie
Encryptie: een proces waarbij gegevens vanuit een originele, leesbare en begrijpelijke vorm, worden omgezet in een vorm die bedoeld is om onbegrijpelijk te zijn, behalve voor wie de middelen heeft om de originele vorm te herstellen -> decryptie.
bericht
Vercijfering
Vercijferd bericht
Ontcijfering
bericht
cryptosysteem
72
36
Controleprocessen
Beveiliging bij toegang tot gegevens Identificatie (het bepalen van de identiteit) en Authentificatie (het verifiëren van de identiteit)
Op basis van iets dat de persoon weet: pincode, wachtwoord (vast ‘paswoord’ -> extended handshaking’ (‘challenge response’)) Op basis van iets dat de persoon bezit (combinatie): smartcard, token, sleutel, certificaat (-> Internet)
Digitale certificaten Trusted third party Public key infrastructure
Op basis van fysieke eigenschap van persoon (biometrische gegeven), bv. vingerafdruk, stemgeluid
Autorisatie: het toekennen van rechten
Er zorg voor dragen dat de geïdentificeerde instantie enkel handelingen verricht waartoe hij machtiging heeft Hoe? door instructies voor autorisatie in te bouwen in een data(base)-model Rol van moderne datatalen (SQL): grant- en revoke-instructies grant {recht} on {gegeven} to {instantie} 73
Auditing
MIS audit: Identifies all of the controls that govern individual information systems and assesses their effectiveness Security audits: Review technologies, procedures, documentation, training, and personnel
74
37
Controleprocessen
Six Sigma
Ontwikkeld in Motorola in 1980’s Een methodologie voor het verbeteren van proces kwaliteit door het minimaliseren van “defecten”
Defect is elke fout die leidt tot klant ontevredenheid Verminderen van procesvariatie
Doelstelling is lagere kosten, hogere productiviteit, en betere klanttevredenheid Sigma geeft weer hoe vaak defecten mogen voorkomen Hoe hoger sigma, hoe lager de kans op defecten Hoe lager de kans op defecten, hoe hoger de kwaliteit Gebruikt o.a. bij Bank of America, Motoral, GE, IBM, Kodak, … Lean management!
75
Six Sigma: stappen
Define Proces selecteren en definiëren Measure Processen beschrijven en metingen opzetten Analyze Huidige prestatie meten (nulmeting) Procesdoel valideren Oorzaken van defecten of fouten bepalen Improve Oplossingen bedenken en toetsen Control Implementatie voorbereiden en uitvoeren Resultaten meten en rapporteren
Control
Define Measure
Improve
Analyze
76
38
Controleprocessen
Normale verdeling
u-6σ u-5σ u-4σ u-3σ u-2σ u-1 σ s u u+1σ u+2σs u+3σ u+4σ u+5σ u+6σ 68.26% 95.44% 99.73% 99.993% 99.999943% 99.999998%
Defect Rate
77
Defect Rate
78
39
Controleprocessen
Voorbeeld toepassingen
Customer service
Orderverwerking
Hoeveel helpdesk calls worden beantwoord bij de eerste oproep? Hoeveel klachten komen binnen?
Hoeveel orders komen terug wegens incorrecte verzending?
Financieel
Hoeveel rekeningen worden betaald na de vervaldatum? Hoeveel achterstallige facturen gaan verloren?
79
40
