Geautomatiseerde systemen



Dovnload 19.17 Kb.
Datum27.09.2016
Grootte19.17 Kb.

Geautomatiseerde systemen

Een geautomatiseerd informatiesysteem (GIS) kan invloed hebben op:



  1. De te verrichten werkzaamheden door de accountant ten aanzien van administratieve organisatie en interne controle.

  2. De inschatting van het inherent en intern controle risico.

  3. De opzet en uitvoering van systeemgerichte en gegevensgerichte werkzaamheden.

Een accountant dient over voldoende kennis van geautomatiseerde systemen te beschikken om de benodigde werkzaamheden voor zijn controle uit te voeren. Indien het de accountant ontbreekt aan deze deskundigheid schakelt hij een andere deskundige in (veelal de EDP-auditor), waarvoor RAC 620 van toepassing is.



Planningsfase en risicoanalyse


  • Belang en complexiteit van GIS-activiteiten;

  • Beschikbaarheid GIS-gegevens voor controle.

De accountant beoordeelt de invloed van GIS op de jaarrekening.

Organisatiestructuur van GIS-activiteiten (aparte afdeling automatisering, geïntegreerde competentietabel).
Algemeen inherent risico automatisering: betrouwbaarheid en continuïteit van het geautomatiseerde systeem.

Algemene interne controlemaatregelen:

General controls: algemene controlemaatregelen, vb:



  • Plaats in organisatie (scheiding tussen gebruikers- en automatiseringsorganisatie)

  • Taakverdeling binnen automatiseringsafdeling (scheiding tussen ontwikkeling, beheer en verwerken)

  • Standaardpakket of specifieke toepassingen

  • Logische toegangsbeveiliging

  • Change management (nieuwe en veranderingen in programmatuur: wie doet dit, testen, acceptatie door gebruikers)

  • Fysieke toegangsbeveiliging

Application controls: specifieke, toepassingsgerichte controlemaatregelen gericht op correcte, volledige en tijdige invoer, vb:



  • Vooraf invoeren van totaal, voor vergelijken van volledige invoer

  • Debet-credit controle, volledige invoer

  • Signaal bij bedragen groter dat een x-bedrag, correcte invoer

  • Mutatiedatum in het verleden, tijdige invoer

  • Doorlopende nummering

Gebruikerscontrole: handmatige controles, buiten automatisering om ter controle van input - output vb:



  • Aansluitingen

  • cijferanalyse

  • Controlerende tussenrekeningen en tussentijdse proef/saldibalans

  • Controle met documenten

  • Vergelijken van interne gegevens met externe informatie

  • Fysieke beveiliging eigendommen

  • Kas- en voorraadopnames


Specifieke risico’s en interne controlemaatregelen:

  • Ontbreken van een zichtbare accountingtrail

  • Standaard verwerkingsproces transacties

  • Ontbreken van functiescheidingen (indien toegang niet goed is geregeld)

  • Grotere kans op fouten in het ontwikkelen, onderhoud en het werken van het GIS; deze fouten zullen ook niet snel worden opgemerkt

  • Verminderen van menselijke fouten m.n. in de verwerking

  • Automatisch initiëren van transacties / boekingen; vereenvoudiging maar vereist ook de benodigde autorisaties vooraf.

  • Afhankelijkheid van geautomatiseerd systeem

  • Meer toezicht en controlemiddelen voorhanden



Controlewerkzaamheden


Het aanwezig zijn van een (gecompliceerd) geautomatiseerd systeem heeft in principe geen invloed op de uitvoering van de werkzaamheden van de accountant om te komen tot een oordeel bij de jaarrekening. Het verandert wel de aard, omvang en samenstelling van werkzaamheden.
In de huidige maatschappij is het wegdenken van automatisering onmogelijk. De kleinste bedrijven beschikken wel over een computer, al is het alleen al voor het registreren van afspraken of het voeren van de boekhouding.

Als accountant kun je dus niet langer de geautomatiseerde systemen buiten beschouwing laten, al is het alleen al vanuit je adviserende functie.

De accountant is ook verplicht in managementletters in te gaan op de Wet Computercriminaliteit. Hierdoor dient hij in zijn onderzoek aandacht te besteden aan de betrouwbaarheid en continuïteit van het GIS.

Beveiliging PC-netwerken

Local Area Network (LAN): via een intern netwerk kunnen computers uit hetzelfde bedrijf met elkaar communiceren. Een risico is dat gebruikers via locale computers ongeautoriseerde toegang krijgen tot applicaties / systemen, bijvoorbeeld op het hoofdkantoor.


Wide Area Network (WAN): een bedrijf heeft een verbinding met de buitenwereld, bijvoorbeeld Internet. Een risico is dat derden van buiten het bedrijf via deze verbinding toegang kunnen krijgen tot de systemen van het bedrijf.
Aspecten van beveiliging:

  • Vertrouwelijkheid (exclusiviteit)

  • Betrouwbaarheid van gegevens

  • Beschikbaarheid van gegevens

  • Gegevensverwerking

Wat kan er fout gaan?



  • Gebruikers brengen ongeautoriseerd wijzigingen in systemen of applicaties aan of voegen deze toe.

  • Ongeautoriseerde software installeren

  • Onderscheppen en / of verminken van berichten (oplossing: encryptie)

  • Virussen (oplossing: virusscanner, firewall)

Toegang in systemen



  • Gebruikersnaam

  • Password (voor controle identiteit), eens in de zoveel tijd veranderen

  • Toetsenbordbeveiliging

  • Firewall (toegepast indien het netwerk is verbonden met een ander netwerk, denk aan Internet)

  • Van buitenaf: gebruikersnaam met password, terugbelmogelijkheid

Voorkomt ongeautoriseerde toegang
Bevoegdheden

  • Functie (gekoppeld aan gebruikersnaam)

  • Competentietabel

Voorkomt ongeautoriseerde mutaties
Logging en audit

  • Registratie van alle handelingen (veelal per gebruiker)

  • Controle op (pogingen tot) ongeautoriseerde toegang en mutaties

Fysieke beveiliging server



  • Toegang tot ruimte

  • Gebruikersnaam / password

Stroomvoorziening



  • Noodstroom

  • Of automatisch uitlogprogramma zodat gegevens niet verloren gaan

Backup en recovery


Uitwijkmogelijkheden



  • Continuïteitsplanning

Zie tabel pagina 33 en 34 van het artikel.


E-commerce
Gesloten netwerken (LAN) worden open netwerken (WAN).
Networkproviders: beheren en exploiteren infrastructuur voor tele- en datacommunicatie

Internet service providers: verlenen toegang tot Internet, ook ruimte ter beschikking stellen

Content providers: verkopen producten en diensten via Internet
Fasen:


  1. Reclamemedium: geen elektronische berichtenwisseling

  2. On line bestellen: via beveiligde transmissie bestelling plaatsen

  3. Interactie met afnemers: informatie is afgestemd op afnemer, hiervoor moet afnemer wel gegevens achterlaten en beschikken over een user-id en password

  4. virtuele organisatie: er komen geen medewerkers meer aan te pas.

Risico’s:



  • Authenticiteit: van wie is het bericht afkomstig?

  • Dubbel verzenden van berichten

  • Verlies van berichten

  • Onderscheppen van berichten (exclusiviteit)

  • Verkeerd inlezen van berichten (conversie, verwerking)

  • Manipulatie van ontvangen en opgeslagen berichten

Maatregelen:



  • Geprogrammeerde controles (bestaanbaarheid, waarschijnlijkheid, redelijkheid, verbanden, voortellingen)

  • Audit trail

  • Encryptie

  • Parallelle verzending

  • Gefragmenteerde verzending en sequencing

  • Logging en archivering

  • Toegangsbeveiliging

  • Firewall

  • Gestandaardiseerd emailindeling

  • Beveiligen server (zie artikel over beveiliging)

Accountantscontrole:



  • Cliënt attenderen op risico’s van open verbinding

  • Beoordelen systeem van registratie en bewaring ontvangen emails

  • Adviseren over controle en opslag van bestelgegevens (handmatig of geautomatiseerd)

  • Beoordelen controleerbaarheid van digitale goederen en diensten

  • Controle van transactieverwerking (vaak EDP-auditor)




De database wordt beschermd door het auteursrecht ©opleid.info 2017
stuur bericht

    Hoofdpagina