Uitwerkingen cases hoofdstuk 5

Transcriptie

1 Uitwerkingen cases hoofdstuk PCkrediet 1 Hoe beïnvloedt de invoering van het geautomatiseerde systeem bij PCkrediet de drie gebruiksmogelijkheden van informatie binnen de onderneming (informatie ten behoeve van het delegeren van taken en het afleggen van verantwoording; informatie voor het nemen van beslissingen; informatie ten behoeve van het doen functioneren van de organisatie)? De verandering van het proces binnen PCkrediet heeft een aantal belangrijke gevolgen. Het proces is aanzienlijk versneld. In de praktijk nam het oorspronkelijke proces mogelijk enkele dagen in beslag. In het nieuwe proces kan dit worden teruggebracht tot enkele uren. Een groot aantal taken dat vroeger over meerdere personen was verspreid, is nu geconcentreerd in een persoon. In plaats van specialisten maakt men nu gebruik van generalisten. Beslissingen worden door medewerkers op operationeel niveau genomen (employee empowerment). Klanten communiceren nog slechts met een enkele medewerker van de onderneming (eenloketgedachte). De totale procedure is nu sterk afhankelijk van de juiste werking van het informatiesysteem. De gebruiksmogelijkheden van informatie worden als volgt beïnvloed: Verantwoorden; aangezien de hele procedure zich steeds rond een enkele medewerker afspeelt, is de verantwoordingsstructuur veel helderder. In de oude procedure blijft het bij het optreden van een fout steeds de vraag wie verantwoordelijk is voor deze fout. Om dat vraagstuk beheersbaar te houden, is dan ook uitgebreide en gedetailleerde verantwoordingsinformatie nodig. In de nieuwe procedure is het verantwoordingsvraagstuk aanzienlijk vereenvoudigd, waardoor de verantwoordinginformatie kan worden verminderd. Als gevolg van de centralisatie van het proces en de inzet van het informatiesysteem kan verantwoordingsinformatie veel eenvoudiger en sneller worden gegenereerd. In de oude situatie kwam de verantwoordingsinformatie uit verschillende bronnen waardoor inconsistenties en integriteitproblemen konden ontstaan. Beslissen; in de meeste situaties worden operationele beslissingen decentraal (door de medewerker zelf) genomen. Alleen in uitzonderlijke situaties worden specialisten in de procedure ingeschakeld. Het informatiesysteem zorgt ervoor dat relevante beslissingsinformatie accuraat en tijdig beschikbaar is voor de medewerker. Besturen; aansturing van het proces door het management verloopt in de nieuwe situatie veel directer. Coördinatieproblemen zijn kleiner en de noodzaak voor het delen van kennis tussen verschillende betrokkenen in het proces is aanzienlijk afgenomen. Hoofdlijnen bestuurlijke informatievoorziening 1

2 2 Geef aan in hoeverre de inzet van het nieuwe geautomatiseerde systeem de internal control van PCkrediet zal beïnvloeden. Maak daarbij een onderscheid tussen de vier te onderscheiden doelen van internal control, te weten: (1) betrouwbare informatievoorziening; (2) volledigheid ingaande kasstromen en juistheid uitgaande kasstromen, (3) vermijden juridische conflicten en (4) minimaliseren risico onjuiste beslissingen. Betrouwbaarheid (informatie in overeenstemming met de werkelijkheid); als er geen sprake is van bewuste fouten, wordt in standaardsituaties de betrouwbaarheid van informatie positief beïnvloed door het feit dat er slechts één persoon bij de procedure betrokken is (geen inconsistentieproblemen) en door de inschakeling van het informatiesysteem. Er zijn echter ook risico s met betrekking tot de betrouwbaarheid van informatie. Zo is er geen sprake meer van functiescheiding (een persoon beheert het hele proces). Daarnaast bestaat er het risico dat het informatiesysteem in niet-standaardsituaties niet de juiste informatie verstrekt. Volledigheid ingaande (en juistheid uitgaande) kasstromen (waarden verlaten ten onrechte de organisatie); concentratie bij één persoon kan de volledigheid van de ingaande kasstromen (termijnbetalingen) zowel positief (minder schakels in het proces waardoor beter overzicht kan worden gehouden) als negatief beïnvloeden (minder controle, mogelijkheid tot fraude). Vermijden juridische conflicten (naleving wet- en regelgeving); ook hier geldt dat in standaardsituaties de inzet van het informatiesysteem de kans op juridische conflicten verkleint. Bij niet-standaardsituaties bestaat de kans dat het informatiesysteem onjuiste informatie verstrekt, met het risico van verkeerd gespecificeerde contracten (contractvoorwaarden die niet passen bij het risicoprofiel van de desbetreffende kredietnemer. Daarnaast kunnen zich veranderingen in de omgeving voordoen (bijvoorbeeld aanpassing van wet- en regelgeving) die niet tijdig of correct in het informatiesysteem worden verwerkt door een gebrek aan controle. Risico onjuiste beslissingen (bedrijfsvoering is niet efficiënt of effectief); concentratie bij één persoon heeft een positieve invloed op het beslissingsproces in standaardsituaties. In het verleden was de inzet van specialisten in standaardsituaties zeker niet efficiënt. De inzet van generalisten in plaats van specialisten kan echter leiden tot onjuiste beslissingen in niet-standaardsituaties. Zo kan het zijn dat de medewerker een situatie ten onrechte als een standaardsituatie inschat, waardoor noodzakelijk specialistische kennis niet wordt ingezet. Ook is het team van specialisten veel kleiner, waardoor mogelijk specialistische kennis verloren gaat of te weinig nieuwe specialistische kennis wordt opgebouwd. Om deze vier risico s simultaan aan te pakken, moet de functievermenging die is ontstaan door de hele kredietprocedure bij één persoon onder te brengen worden gecompenseerd door andere beheersingsmaatregelen. Het gaat om de volgende functievermenging: vastleggen klantorder (bij Zepp) en vastleggen kredietaanvraag enerzijds en controle kredietwaardigheid; goedkeuren krediet en opstellen contract; vaststellen kredietvoorwaarden en registratie daarvan; offerte vaststellen en verzenden. We herkennen in de nieuwe situatie duidelijk de basisprincipes van BPR (Business Process Re-engineering), namelijk: Laat de gebruikers van de uitkomsten van processen ook dat proces uitvoeren (uitkomst = kredietverstrekking; procesuitvoer = alle vorengenoemde handelingen die nu zijn vermengd). Laat degenen die de registratie doen van transacties ook de verdere verwerking doen (registratie = vastleggen order en kredietaanvraag; verwerking = controleren kredietwaardigheid en goed- dan wel afkeuren). 2 Uitwerkingen cases hoofdstuk 5

3 Geef medewerkers op zo laag mogelijk niveau in de organisatie zelfstandige beslissingsbevoegdheid (beslissen = goed- of afkeuring krediet; controleren = vaststellen dat geen kredieten ten onrechte zijn verstrekt). Als vervanging voor de functievermenging ten gevolge van BPR moet om de vier doelstellingen van internal control zeker te stellen een aparte functionaris cijferanalyse toepassen op de toegewezen en afgewezen kredieten. Dit kan onder andere door de aantallen toegewezen kredieten per periode ten opzichte van de aanvragen te vergelijken met vergelijkbare perioden in voorgaande jaren, het gemiddelde kredietbedrag te vergelijken met voorgaande perioden, het proces van klantenorder tot offerte per fase vast te laten leggen door de kredietfunctionaris en dit periodiek te monitoren. Daarnaast kan een aparte functionaris steekproefsgewijs bij klanten navragen of het openstaande saldo dat uit de administratie van PCkrediet blijkt, overeenstemt met hun eigen administratie. Voorts moet een aparte functionaris periodiek het contractenregister afstemmen met de facturering van termijnen. Concluderend wordt hier dus een systeem van periodieke monitoring opgezet ter compensatie van de functievermenging Noordhoff Uitgevers bv Groningen/Houten 5.2 Gran Dorado Piramide van Gran Dorado wordt een strategisch informatiesysteem genoemd. Ben je het eens met deze classificatie? Op welke krachten uit het vijfkrachtenmodel van Porter wordt met dit systeem ingespeeld? Denk je dat het systeem een bron van concurrentievoordeel kan zijn? Met het Piramidesysteem tracht Gran Dorado concurrentievoordeel te halen uit het gebruik van informatie. Als het Gran Dorado lukt om beter inzicht te krijgen in de verwachtingen en voorkeuren van klanten, kan het aangehaalde systeem zeker als een strategisch informatiesysteem aangemerkt worden. Mogelijke voordelen betreffen het verbeteren van het bungalowaanbod (inclusief bijhorende diensten) en het verbeteren van de effectiviteit van reclamecampagnes. Deze applicatie speelt met name in op concurrentie binnen de bedrijfstak. Van een duurzaam concurrentievoordeel kan met dit systeem geen sprake zijn, aangezien het een combinatie betreft van bekende technologieën (datamarts, datawarehouses, besluitvormingsondersteunende systemen) die ook door concurrenten ingezet kunnen worden. Wel lijkt Gran Dorado een voorsprong op de concurrentie te hebben genomen. In het verleden heeft Gran Dorado samengewerkt met Getronics om het Piramidesysteem te ontwerpen. De managementinformatie uit dat systeem wordt nu ontsloten dankzij het gebruik van datamarts. De Bit-wyse technologie van Sybase maakt het mogelijk om deze datamarts snel te doorzoeken. Hoofdlijnen bestuurlijke informatievoorziening 3

4 5.3 IT-risico s Vul de matrix zo veel mogelijk aan met aan IT-gerelateerde risico s en mogelijke beheersingsmaatregelen. Merk op dat voor een aantal beheersingsmaatregelen geldt dat zij zich op meerdere risico s tegelijk richten. Natuurrampen Stroomuitval Vandalisme Diefstal van gegevens Ongeautoriseerde verandering of vernietiging van gegevens Virussen en hoaxes Hacking Denial of service aanvallen Web defacing Onopzettelijke vergissingen Kwaliteit X X X software (incl updates & patches) Data-entrycontroles X Back-ups X X X X Toegangscontroles X X (passwords) Audit trails X X Encryptie X X Certificaten X Firewalls X X X X X Virtual private networks X X X X X X Uitwerkingen cases hoofdstuk 5 4

5 5.4 Onderzoek s 1 Welke argumenten kan het management gebruiken om de beheersingsmaatregel in de komende vergadering te verdedigen? Het management kan betogen dat de systemen van de onderneming uitsluitend voor bedrijfsdoeleinden dienen te worden gebruikt. Dat betekent dat het gebruik van het e- mailsysteem voor privédoeleinden niet is toegestaan. Daarnaast lijkt het redelijk dat de onderneming naleving van deze regel controleert en dat geconstateerde overtredingen worden gestraft. 2 Welke argumenten kunnen de werknemers gebruiken tegen de invoering van de desbetreffende maatregel? Medewerkers kunnen aanvoeren dat zij op zijn minst op de hoogte zouden moeten zijn van deze maatregelen. Het is de taak van het management om zijn mening over het gebruik van systemen voor privédoeleinden duidelijk richting haar medewerkers te communiceren. Daarnaast moet ook volstrekt duidelijk zijn welke maatregelen het management neemt om naleving te controleren en welke straffen kunnen voortvloeien uit overtreding van de regels. Daarnaast kunnen zij argumenteren dat zolang er geen verdenking is, het systematisch controleren van de van medewerkers ingaat tegen hun recht op privacy. Tot slot lijkt met redelijk dat medewerkers mits met mate de door hen gebruikte communicatiemiddelen ook mogen gebruiken voor privédoeleinden (zoals het maken van afspraken of het contact houden met familieleden). 3 Geef aan onder welke omstandigheden het acceptabel is dat een werknemer wordt ontslagen op basis van zijn correspondentie. Zijn er voor die omstandigheden waaronder ontslag niet acceptabel is, alternatieve straffen die meer passen bij de aard van het vergrijp? Over het gebruik van de bedrijfs-pc voor doeleinden die te maken hebben met seks of criminaliteit of die te maken hebben met commerciële activiteiten van de medewerker, is ontslag een passende reactie. Ook het laten uitlekken van bedrijfsgeheimen is doorgaans een reden voor ontslag. Maar het overmatig gebruik van voor normale privédoeleinden (zoals het sturen van berichten naar familieleden of vrienden) wordt doorgaans niet gezien als een reden voor ontslag. In dergelijke gevallen zijn alternatieve straffen meer passend (bijvoorbeeld inhalen van werktijd of inleveren van vakantiedagen). 4 Verzamel gegevens over de vraag of het in Nederland is toegestaan om werknemers op basis van hun correspondentie te ontslaan. Hoe verhoudt zich dit met telefoonverkeer? De privacy op communicatie via electronic mail wordt geregeld in de Grondwet (artikel 13), in de versie zoals in de Tweede Kamer in behandeling is. In het vernieuwde artikel 13 wordt geregeld dat voor electronic mail een met telefonie en briefpost vergelijkbaar briefgeheim bestaat. Voorts wordt expliciet geregeld dat het briefgeheim eveneens geldt voor opslag van electronic mail tijdens transport, of aan het begin en het einde van het transport. Hoofdlijnen bestuurlijke informatievoorziening 5

6 5.5 ERP en interne beheersing Bespreek de verschillen tussen onderneming X en onderneming Y inzake de te treffen interne beheersingsmaatregelen. Behandel daarbij de volgende deelgebieden: invoer; documenten; conversie; continuïteit; controletechnische functiescheiding; toegangsbeveiliging; informatie- en communicatietechnologie. In onderneming Y is sprake van een geïntegreerd systeem. Allerlei meetpunten, zoals aangetroffen in onderneming X, ontbreken. Te noemen zijn: signalering minimumvoorraad; plaatsing bestelling; ontvangst van de bestelling; ontvangst van de factuur; factuurcontrole; betaling van de factuur. Invoer In het geïntegreerde systeem zoals beschreven in onderneming Y is er slechts één invoeractie: het activeren van het systeem waarna een roterend bedrijfsproces in gang wordt gezet. Om het systeem te activeren zijn een stel parameterinstellingen nodig op basis waarvan het systeem de genoemde acties zal uitvoeren. Controle dus op parameters (vooraf) en niet meer op invoer van de transacties (tijdens). Documenten In onderneming Y zijn er geen schriftelijke vastleggingen doordat de hele communicatie elektronisch geschiedt. Autorisaties zijn dientengevolge niet zichtbaar op documenten, waardoor de authenticiteit van transacties moeilijk is vast te stellen. Er zijn daardoor stringente procedures nodig voor het vaststellen en controleren van bevoegdheden. Elektronische handtekeningen kunnen op kunstmatig gecreëerde meetpunten worden ingevoerd, maar dat zal de slagvaardigheid aantasten en de bestaansgrond van geïntegreerde systemen in feite wegnemen. Conversie Doordat er tijdens het gebruik van het geautomatiseerde systeem in onderneming Y geen natuurlijke meetpunten zijn, moet het systeem uitgebreid worden getest voordat het operationeel wordt. Change management is het sleutelwoord. Testen via deskchecking en schaduwdraaien. Een gefaseerde invoer leidt tot een betrouwbaarder systeem, echter dit is lastig in dit geval, gezien de ondeelbaarheid van het proces. Continuïteit In onderneming Y is er sprake van een grote afhankelijkheid van het geautomatiseerde systeem doordat er geen menselijke tussenkomst meer is en uitval van één subsysteem uitval van het gehele systeem betekent. Er moeten derhalve uitgebreide voorzorgsmaatregelen worden getroffen om calamiteiten op te vangen. Allerlei general controls zijn hier van toepassing. Controletechnische functiescheiding De functiescheidingen in onderneming Y verschillen van die in onderneming X in die zin dat ze hun zwaartepunt in de implementatiefase hebben in plaats van in de operationele fase. Bijvoorbeeld, er moet een scheiding zijn tussen de ontwikkelomgeving en de productieomgeving en tussen programmeurs en operators. Voorts zijn er in onderneming Y geen tegengestelde belangen omdat een computer nu 6 Uitwerkingen cases hoofdstuk 5

7 eenmaal geen mens is en geen belang kan hebben. In onderneming X daarentegen kan bij het creëren van controletechnische functiescheiding gebruik worden gemaakt van tegengestelde belangen. Toegangsbeveiliging In onderneming Y moet aandacht worden besteed aan fysieke en logische toegangsbeveiliging terwijl in onderneming X slechts de fysieke beveiliging van gegevensverzamelingen van belang is Noordhoff Uitgevers bv Groningen/Houten Informatie- en communicatietechnologie Doordat er in onderneming Y sprake is van een hoge automatiseringsgraad, wordt een beroep gedaan op de stand van de informatietechnologie. Dit impliceert dat er uitgebreide documentatie van apparatuur en programmatuur moet worden bijgehouden en dat er steeds technische ondersteuning voorhanden moet zijn. Verder moeten recovery-, back-up- en uitwijkregelingen worden getroffen en moet de datacommunicatie worden beveiligd. 5.6 Lateraal Beheersingsmaatregelen voor reorganisatie 1 Beschrijf de beheersingsmaatregelen inzake het afsluiten van verzekeringen en het uitkeren van schades. Afsluiten verzekeringen: Klant vraagt met behulp van standaardformulier verzekering aan bij agent of rechtstreeks bij de afdeling Aanvragen; aanvragen via agent komen uiteindelijk ook op de afdeling Aanvragen terecht. De aanvraagformulieren worden ingevoerd in het systeem ter verwerking in het aanvragenbestand, door de afdeling Aanvragen; elke aanvraag krijgt via een geprogrammeerde procedure een uniek nummer. De beslissing tot acceptatie wordt genomen op de afdeling Acceptatie en mutatie op basis van informatie in het aanvragenbestand; deze afdeling heeft de beschikking over directierichtlijnen inzake afwijzing en acceptatie. Controle door administratie op tijdige en volledige afwerking van aanvragen via verbandscontrole: aantal acceptaties volgens vastlegging acceptatieafdeling + aantal afwijzingen volgens vastlegging acceptatieafdeling = aantal aanvragen in een bepaalde periode volgens vastlegging afdeling Aanvragen. Vastlegging polissen in poliscreatieregister en premies in standenregister door afdeling Acceptatie. Vastlegging polissen in polissenbestand door administratie. Periodieke afstemming van polissenbestand met poliscreatieregister door administratie. Afdeling Incasso maakt facturen op basis van polissenbestand. Bijwerken debiteurenbestand op basis van kopiefacturen door administratie. Administratie maakt aansluiting aantal facturen met aantal polissen volgens standenregister, som premies volgens facturen met som premies volgens debiteurenbestand/polissenbestand/ standenregister, som polisnummers volgens facturen met som polisnummer volgens polissenbestand, ontvangen premies volgens dagafschriften bank met de opboeking debiteuren. Uitkeren van schades: Klant dient schadeformulier in bij agent of schadeafdeling; claims via agenten worden door de agenten eveneens ingediend bij de schadeafdeling. Invoer schadegegevens in claimbestand door schadeafdeling. Beoordeling claims via geprogrammeerde procedure en aanvullend op basis van signaal uit systeem door experts van de afdeling Schade. Hoofdlijnen bestuurlijke informatievoorziening 7

8 Toekenningsbeslissing via elektronische handtekening door medewerker van afdeling Schade. Toekenningsbrief dan wel afwijzingsbrief naar klant door afdeling Schade. Procuratieafdeling stelt toegewezen claims betaalbaar op basis van verbandscontroles door administratie en na steekproefsgewijze controle op de aansluiting tussen de claim, de uitkering en de toekenningsbrief van de schadeafdeling. Verbandscontroles door administratie: aantal claims volgens claimbestand = aantal toegewezen claims volgens toekenningsbrieven + aantal afgewezen claims volgens afwijzingsbrieven, som van de uitkeringen = som van de toegekende bedragen volgens de toekenningsbrieven. Aansluiting door administratie: som van de bankrekeningnummers volgens polissenbestand in combinatie met claimbestand met de som van de bankrekeningnummers waarop uitkeringen zijn gestort volgens de betaallijst van de procuratieafdeling. Beheersingsmaatregelen na reorganisatie 2 Beschrijf de beheersingsmaatregelen inzake het afsluiten van verzekeringen en het uitkeren van schades nadat de genoemde reorganisatie is doorgevoerd. Afsluiten verzekeringen: Klant vraagt door middel van standaardformulier verzekering aan bij agent of rechtstreeks bij de productgroep collectief of individueel; aanvragen via agent komen uiteindelijk ook bij een van beide productgroepen terecht. In de productgroepen worden de aanvraagformulieren ingevoerd in het systeem ter verwerking in het aanvragenbestand; elke aanvraag krijgt via een geprogrammeerde procedure een uniek nummer; de beslissing tot acceptatie wordt genomen op basis van informatie in het aanvragenbestand; elke productgroep heeft de beschikking over directierichtlijnen inzake afwijzing en acceptatie. Vastlegging polissen in polissenbestand door administratie. Productgroep maakt facturen op basis van polissenbestand. Bijwerken debiteurenbestand op basis van kopiefacturen door administratie. Administratie maakt de aansluiting som polisnummers volgens facturen met som polisnummers volgens polissenbestand, ontvangen premies volgens dagafschriften bank met de opboeking debiteuren in het debiteurenbestand alsmede de aansluiting met het polissenbestand. Dit zijn zelfcontroles op de juiste, tijdige en volledige verwerking door de administratie. Het hoofd administratie voert cijferbeoordelingen uit op de verhouding tussen premies, nieuwe klanten, vervallen klanten, krediettermijnen debiteuren, verhouding tussen de verschillende verzekeringsvormen, verhouding ten opzichte van uitkeringen en dergelijke. Het hoofd van de productgroepen neemt regelmatig steekproeven op de verwerking van aanvragen tot en met de premie-inning. In de software van de productgroepen zijn meetpunten ingebracht waarop prints worden gemaakt die naar de administratie gaan ter beoordeling. De productgroepen maken periodiek uitgebreide rapportages ten behoeve van de directie waarin verantwoording wordt afgelegd over bereikte resultaten (aantallen klachten, aantallen nieuw afgesloten polissen, aantallen vervallen polissen, verhouding tussen premies en claims, e.d.). Uitkeren van schades: Klant dient schadeformulier in bij agent of productgroep; claims via agenten worden door de agenten eveneens ingediend bij de desbetreffende productgroep. Invoer schadegegevens in claimbestand door productgroepen. Beoordeling claims via geprogrammeerde procedure en aanvullend op basis van signaal uit systeem door experts van de productgroepen. 8 Uitwerkingen cases hoofdstuk 5

9 Toekenningsbeslissing via elektronische handtekening door medewerker van de productgroep. Toekenningsbrief dan wel afwijzingsbrief naar klant door de productgroep. Productgroep stelt toegewezen claims betaalbaar op basis van cijferbeoordelingen door administratie en na steekproefsgewijze controle op de aansluiting tussen de claim, de uitkering en de toekenningsbrief van de schadeafdeling. 3 Maak een vergelijking tussen de controls vóór en na de reorganisatie. Behandel daarbij minimaal de volgende punten: controleerbaarheid in het algemeen; controletechnische functiescheiding; procedures en richtlijnen; informatietechnologie; cijferbeoordelingen; managementinformatie en kritieke succesfactoren. Voorbeelden van verschillen: Controle door administratie op tijdige en volledige afwerking van aanvragen via verbandscontrole: aantal acceptaties + aantal afwijzingen (v.h. acceptatieafdeling) = aantal aanvragen in een bepaalde periode (v.h. aanvragenafdeling) is niet meer zinvol omdat de vastleggingen in dezelfde productgroep tot stand komen. Vastlegging polissen in poliscreatieregister en premies in standenregister (v.h. door acceptatieafdeling) is niet meer zinvol omdat het bijhouden van een controleregister en de registratie in dezelfde productgroep gebeuren. Periodieke afstemming van polissenbestand met poliscreatieregister door administratie is niet mogelijk omdat er geen poliscreatieregister meer is. Administratie kan de aansluiting aantal facturen met aantal polissen volgens standenregister niet meer maken omdat er geen standenregister wordt bijgehouden. Idem som premies volgens facturen met som premies volgens standenregister. De volgende verbandscontroles door de administratie zijn niet meer zinvol: aantal claims volgens claimbestand = aantal toegewezen claims volgens toekenningsbrieven + aantal afgewezen claims volgens afwijzingsbrieven, som van de uitkeringen = som van de toegekende bedragen volgens de toekenningsbrieven, som van de bankrekeningnummers volgens polissenbestand i.s.m. claimbestand ten opzichte van som van de bankrekeningnummers waarop uitkeringen zijn gestort volgens de betaallijst zoals opgemaakt door de productgroepen. Hoofdlijnen bestuurlijke informatievoorziening 9

10 Uitwerking Aspect Vóór Na Controleerbaarheid in het algemeen Controletechnische functiescheiding Procedures en richtlijnen veel meetpunten door inschakeling van verschillende afdelingen beveiliging datacommunicatie is van groot belang kan afdoende worden aangebracht formele procedures en richtlijnen Informatietechnologie afhankelijkheid van workflow managementsystemen enterpriseresourcepakketten datacommunicatie Cijferbeoordelingen nauwelijks van belang omdat sterkere ICmaatregelen mogelijk zijn (verbandscontroles) Managementinformatie en kritieke succesfactoren premies, schaden, klachten, afgesloten verzekeringen, vervallen verzekeringen, krediettermijnen debiteuren/crediteuren, premiereserve, trends 2008 Noordhoff Uitgevers bv Groningen/Houten weinig meetpunten proces is black box via queries en file interrogation software processen monitoren niet mogelijk kan wel kunstmatig worden ingebracht, leidt echter tot terugkeer naar oude situatie supervisie, motivatie, beslissingsbevoegdheid, binnen zelfstandige taakeenheden belangrijker dan formele procedures en richtlijnen organisatie steunt op groupware, end-user computing, multidimensionele databases, expertsystemen, decision-supportsystemen e.d. van groter belang uit te voeren door administratie en eventueel directie ook door hoofd van de productgroep in het kader van zijn dagelijkse leiding eerste jaren nieuwe situatie tegen de oude situatie afzetten op basis van dezelfde grootheden uitgebreide periodieke verantwoordingsverslagen 5.7 Paviljoen BV Jij bent deskundig op het terrein van geautomatiseerde informatiesystemen en beheersingssystemen en de directie van Paviljoen BV verzoekt jou te adviseren over een nieuw informatiesysteem. Algemeen De consequentie van: het zo veel mogelijk rendement halen uit internationale prijsfluctuaties is dat er toegang moet zijn tot betrouwbare, online/realtime ter beschikking staande informatie over prijzen. het hebben van grote voorraden, debiteurenvorderingen en crediteurenvorderingen is dat de AO/IC zich concentreert op deze posten. het verspreid zijn over verschillende vestigingen en landen van de bedrijfsactiviteiten is dat een hoge automatiseringsgraad is vereist; een standalone 10 Uitwerkingen cases hoofdstuk 5

11 pc (zoals in scenario 1) of per vestiging een local area network met gegevensuitwisseling per USB-stick en dus per post of koerier (zoals in scenario 2) is daarom zeer onrealistisch. Verklaring aandachtsgebieden in het kader van de case: a Opleiding en training van de medewerkers betekent dat de mensen in de organisatie competenties moeten ontwikkelen op het terrein van IT. b Continuïteit van de bedrijfsvoering betekent dat de organisatie niet stil mag vallen ten gevolge van IT-problemen. c Kwaliteit van de informatie betekent dat de IT er niet de oorzaak van mag zijn dat er problemen met betrekking tot de vertrouwelijkheid, integriteit en authenticiteit van de informatieverzorging ontstaan. d Noodzakelijke organisatieaanpassingen hebben betrekking op de gevolgen van IT voor de organisatiestructuur en de processen. 1 Maak voor scenario 1 de analyse naar de genoemde aandachtsgebieden a t/m d. 2 Maak voor scenario 2 de analyse naar de genoemde aandachtsgebieden a t/m d. 3 Maak voor scenario 3 de analyse naar de genoemde aandachtsgebieden a t/m d. De organisatie kan haar strategie niet realiseren als informatie over marktprijzen niet tijdig beschikbaar is. Dit betekent dat (a) het personeel ervan bewust moet worden gemaakt dat up-to-date informatie de belangrijkste beheersingsdoelstelling is en dat er alles aan moet worden gedaan om dit te realiseren. In scenario 1 betekent dit dat de medewerkers van de inkoop- en verkoopafdelingen voortdurend telefonisch contact hebben met toeleveranciers en afnemers over de hele wereld. In scenario 1 vormt (b) de continuïteit van de bedrijfsvoering een groot risico. De organisatiecultuur moet zodanig worden dat iedere medewerker zich hiervan bewust is. Om (c) de kwaliteit van informatie te borgen moeten in scenario 1 de nodige AO/IC-maatregelen rondom de pc worden getroffen. Dit zijn derhalve vooral organisatorische maatregelen zoals controletechnische functiescheiding, procedurevoorschriften, repressieve controles door het hoofd van de administratie op de naleving van procedures, het niet doorbreken van functiescheidingen, en cijferanalyses. In scenario 1 kunnen (d) organisatieaanpassingen onafhankelijk van de beschikbare IT (de standalone pc) worden gemaakt. Naarmate van scenario 1 in naar scenario 2 en 3 wordt overgegaan, neemt de complexiteit ten gevolge van IT-inzet toe. Dit komt vooral doordat er meer interacties tussen de verschillende systeemcomponenten ontstaan waardoor ook krachten van buiten de organisatie het systeem kunnen beïnvloeden (hackers, aantasting van de integriteit, vertrouwelijkheid en authenticiteit van de gegevens/informatie). In de meest complexe situatie (scenario 3) zijn er echter ook veel meer mogelijkheden voor betrouwbare en up-to-date informatieverzorging. Dit betekent dat (a) meer IT-competenties nodig zijn onder het personeel, (b) meer ITcontrols nodig zijn om de continuïteit van de bedrijfsvoering te borgen, (c) mee informatiebeveiligingsmaatregelen moeten worden getroffen, en (d) organisatieaanpassingen moeilijker worden en niet meer onafhankelijk van de IT kunnen worden gemaakt. Hoofdlijnen bestuurlijke informatievoorziening 11

12 De onderstaande tabel geeft de te treffen AO/IC-maatregelen per scenario en aandachtspunt. 1 Standalone pc op het hoofdkantoor a Opleiding en training van de medewerkers Opleiding en training zijn gericht op gebruik en onderhoud van de pc op het hoofdkantoor en het efficiënt (vooral gericht op betrouwbaarheid en de daartoe uit te voeren handmatige controles) verwerken van gegevens die op papier zijn aangeleverd Verder moeten er cultuurbeheersingsmaatregelen en personeelsbeheersi ngs-maatregelen worden getroffen om het personeel ervan bewust te maken en te houden dat informatie over prijzen te allen tijde up-to-date moet zijn (toon aan de top, werving en selectie, nabesprekingen van de activiteiten van inkopers en verkopers met daarbij aandacht voor de geboekte resultaten) Ten slotte zijn de trainingen in de lokale organisaties ook gericht op het gebruik (afsluiten transacties naar derden) en onderhoud van het informatiesysteem en het efficiënt verwerken en analyseren van informatie teneinde 2 LAN per vestiging, communicatie tussen de vestigingen via USB-sticks Behalve de bij scenario 1 genoemde maatregelen gelden nog de volgende maatregelen: de trainingen zijn gericht op het beheer van pcnetwerken de trainingen zijn gericht op het veilig (gericht op doelstellingen van informatiebeveiligi ng) omgaan met elektronische gegevensdragers 3 WAN via IP, alle vestigingen met elkaar verbonden Behalve de bij scenario 2 genoemde maatregelen gelden nog de volgende maatregelen: de trainingen zijn gericht op het effectief en veilig gebruiken van het pc-netwerk de trainingen zijn gericht op het gebruiken en delen van informatie met andere locaties en het communiceren van informatie naar andere locaties de trainingen op het hoofdkantoor zijn vooral gericht op het coördineren en aansturen van de lokale organisaties 12 Uitwerkingen cases hoofdstuk 5

13 b Continuïteit van de bedrijfsvoering c Kwaliteit van de informatie de huidige activa en passiva op de balans te optimaliseren Er is maar één pc, dus alle informatiebeveiliging s-maatregelen zijn hierop gericht. De pc moet met wachtwoorden zijn afgeschermd voor de verschillende gebruikers en moet fysiek slechts toegankelijk zijn voor bevoegden Er moeten regelmatig back-ups van de bestanden worden gemaakt en in geval van calamiteiten moet er snel een vervangende pc beschikbaar zijn die dezelfde software bevat en waarop de back-ups snel geïnstalleerd kunnen worden De kwaliteit van de informatie (vooral betrouwbaarheid) is geborgd door middel van traditionele maatregelen van AO/IC rondom de pc. Dit houdt onder andere in dat het hoofd administratie regelmatig de papieren output doorloopt en daarop cijferanalyses uitvoert (o.a. verbandscontroles en cijferbeoordelingen) Geprogrammeerde controles op de invoer en de verwerking, waaronder redelijkheidscontrole s, formaatcontroles, en andere controles Behalve de bij scenario 1 genoemde maatregelen gelden nog de volgende maatregelen: back-ups worden dagelijks via een geprogrammeerd e procedure gemaakt op een centrale server per vestiging service level agreement met leverancier van netwerk toegang tot de USB-stick met wachtwoord beveiligen en de gegevens op de USB-stick vercijferen Behalve de bij scenario 1 genoemde maatregelen gelden nog de volgende maatregelen: geprogrammeerde controles op het bestaan van ingevoerde codes, de aansluiting tussen invoer en reeds aanwezige gegevens Behalve de bij scenario 2 genoemde maatregelen gelden nog de volgende maatregelen (NB. Nu kan een centrale server op het hoofdkantoor volstaan i.p.v. centrale servers per vestiging): beveiliging bij datacommunicatie zoals vercijfering, message authentication codes, firewalls, veilige IPprotocols, event logging, routing control enz. Behalve de bij scenario 2 genoemde maatregelen gelden nog de volgende maatregelen (NB. De USB-stick wordt vervangen door online datacommunicatie, hier wordt fysieke controle op de toegang tot de gegevens vervangen door logische controle op de toegang): geprogrammeerde controles op het totalen van verzonden gegevens en totalen van ontvangen gegevens geprogrammeerde controles op de aansluiting tussen ontvangen gegevens en bestaande gegevens Hoofdlijnen bestuurlijke informatievoorziening 13

14 d Noodzakelijke organisatieaanpassingen waarbij geen online/realtime verbinding is met de te muteren gegevensverzamelin gen Er moet een adequate controletechnische functiescheiding zijn tussen degene die de administratie op de pc bijhoudt (administratief medewerker) en degene die dit werk controleert (de administrateur in de rol van hoofd administratie). De informatie die tussen hoofdkantoor en de vestigingen wordt uitgewisseld moet altijd vergezeld gaan van batch- en/of hashtotalen die worden meegezonden ter controle Een standalone pc vereist nauwelijks organisatieaanpassingen. Wat voorheen handmatig gebeurde, gebeurt nu met de pc Er moet per vestiging ten minste één functionaris zijn die het netwerk beheert Er moet per vestiging en op het hoofdkantoor een netwerkbeheerder zijn die de LAN s en het WAN beheert en ervoor zorgt dat dit netwerk te allen tijde operationeel is 5.8 Luchtbus Algemeen Risico s zijn: website down; ERP-systeem down; een autorisatiecode naar het verkeerde telefoonnummer sturen; een autorisatiecode naar klanten sturen die niet hebben betaald doordat de creditcardinformatie onjuist was; een blokcode naar het verkeerde telefoonnummer sturen; een blokcode naar klanten sturen die de verkeerde autorisatiecode hebben ingevoerd; niet of niet goed functioneren van de blokcodescanner in de bus; toegang verlenen tot de bus met een ongeldige blokcode; het via creditcard ontvangen bedrag niet kunnen overboeken naar de eigen rekening via de creditcardorganisatie. 14 Uitwerkingen cases hoofdstuk 5

15 ]Uitwerking 1 Beschrijf de administratieve organisatie van het bestel- en autorisatieproces alsmede van het toegang verschaffen tot de bus als de verschillende processtappen handmatig worden uitgevoerd ter verdere verwerking. NB. De onderstaande procedure, hoewel correct, is zeer onrealistisch bij het gegeven bedrijfsmodel waarin IT een dominante rol speelt. Deze oplossing is echter illustratief voor de complexiteit en de risico s die ontstaan als het bedrijfsmodel en de AO/IC niet goed op elkaar aansluiten. Nadat in stap 3 de passagier zijn telefoonnummer, adres, bestemming, reisdatum, soort ticket, naam en creditcardinformatie heeft ingevoerd, wordt een naar de verkoopafdeling van Luchtbus gestuurd met daarin deze gegevens (alternatief kan zijn dat een database wordt bijgewerkt die periodiek door de verkoopafdeling wordt gelezen). De medewerker verkoopafdeling werkt op dat moment de database bij die onder andere de gegevens van de passagier bevat en de code die hem zal worden toegezonden per sms. Vervolgens stuurt deze medewerker een sms naar de passagier met daarin de genoemde code. Zodra de medewerker verkoopafdeling de database heeft bijgewerkt en de sms heeft verstuurd, maakt hij hiervan een aantekening in een controleregister. Nadat de passagier de cijfercode op de website heeft ingevoerd, wordt er een naar de verkoopafdeling gestuurd met daarin de code die hij vergelijkt met de code in de database. Als deze overeenkomen, werkt de medewerker verkoopafdeling de database bij die onder andere de gegevens van de passagier bevat en de blokcode die hem zal worden toegezonden per sms. De debiteurenadministratie neemt simultaan hieraan telefonisch contact op met de creditcardmaatschappij om de creditcard te verifiëren. Als de betaling akkoord is, geeft de debiteurenafdeling dit door aan de verkoopafdeling die dan een tweede sms en een naar de passagier stuurt met daarin de blokcode. In de database met blokcodes zijn deze in grafisch formaat vastgelegd. Via een kabel of bluetooth kunnen deze codes worden gelezen en met de mobiele telefoon van de medewerker verkoop naar de passagier worden gestuurd. Tevens wordt deze code s ochtends voor vertrek van de bussen in het geheugen van de scanner in de bussen gezet waardoor de passagier die zich meldt bij de bus met zijn blokcode (als sms in zijn mobiele telefoon of op papier) toegang tot de bus kan krijgen. De chauffeur is degene die de toegangscontrole uitvoert. De medewerker van de debiteurenadministratie stuurt een lijst met de te innen bedragen en de namen van de creditcardhouders naar de creditcardmaatschappij en laat de betreffende bedragen bijboeken op de bankrekening van Luchtbus. 2 Beschrijf de administratieve organisatie van het bestel- en autorisatieproces alsmede van het toegang verschaffen tot de bus als de verschillende processtappen geheel geautomatiseerd plaatsvinden. Nadat in stap 3 de passagier zijn telefoonnummer, adres, bestemming, reisdatum, soort ticket, naam en creditcardinformatie heeft ingevoerd, worden deze gegevens via een geprogrammeerde procedure in de orderdatabase verwerkt. Tevens wordt via een geprogrammeerde procedure een cijfercode aangemaakt en verwerkt in de database, waarna via een beveiligde verbinding het sms-center (dit is een server) van de mobiele operator wordt benaderd om een sms-bericht te verzenden naar de passagier met daarin de cijfercode. Nadat de passagier de cijfercode op de website heeft ingevoerd, wordt deze via een geprogrammeerde procedure vergeleken met de in de database opgenomen cijfercode. Als deze overeenkomen, wordt de database door middel van een geprogrammeerde procedure bijgewerkt met onder andere de gegevens van de passagier en de blokcode die hem zal worden toegezonden per sms. Ook wordt via een geprogrammeerde procedure contact gezocht met de database van de creditcardmaatschappij om de creditcard te verifiëren en de afboeking te doen (als Hoofdlijnen bestuurlijke informatievoorziening 15

16 de passagier zijn bestelling definitief bevestigt, wordt de afboeking pas definitief gedaan). Als de betaling akkoord is, wordt via een geprogrammeerde procedure opnieuw contact gezocht met het sms-center van de mobiele operator om een tweede sms naar de passagier te sturen. Tevens wordt via een geprogrammeerde procedure een met daarin de blokcode naar de passagier gestuurd. In de database met blokcodes zijn deze in grafisch formaat vastgelegd. Tevens wordt de blokcode door middel van GPRS of UMTS dan wel WiFi indien er sprake is van hotspots in Maastricht en het Heuvelland samen met de reisdatum en het soort ticket doorgegeven aan een scanner die zich meldt. Een scanner meldt zich op het moment dat een passagier zijn blokcode voor de scanner houdt waarna deze wordt geactiveerd en een verzoek indient bij de centrale database om deze blokcode te verifiëren. Via een geprogrammeerde procedure wordt een signaal teruggegeven aan de scanner in de bus om de passagier al dan niet toegang te verlenen. Ook hier is de chauffeur degene die de toegangscontrole uitvoert. 3 Welke interne controlemaatregelen moeten worden getroffen ingeval er sprake is van automatisering van de processtappen zoals beschreven onder vraag 2? Opbrengsten worden gegenereerd door elektronische tickets te verkopen via de website van Luchtbus. De volgende procedures geven redelijke zekerheid over de volledigheid van de opbrengsten: automatisch ordercodes, passagiercodes, cijfercodes en blokcodes toewijzen bij een bestelling; automatisch het creditcardnummer verifiëren; automatisch controletotalen berekenen en aansluitingen maken van het aantal geplaatste orders, het aantal toegewezen ordercodes, het aantal toegewezen passagiercodes, het aantal geaccordeerde creditcardnummers, het aantal geannuleerde transacties, het aantal toegewezen cijfercodes, het aantal verzonden sms-berichten met de cijfercodes, het aantal toegewezen blokcodes, en het aantal verzonden sms-berichten met de blokcodes; automatisch berekenen en aansluitingen maken van de transactiebedragen per periode, de opboekingen van debiteurenrekeningen, en de geldontvangsten uit creditcardtransacties. De interne controlemaatregelen die erop zijn gericht slechts bezitters van geldige blokcodes toegang tot de bussen te geven, bestaan vooral uit informatiebeveiligingsmaatregelen zoals vercijfering van het berichtenverkeer tussen de passagier en de website van Luchtbus en tussen Luchtbus en het sms-center van de mobiele operator en een message authentication code per bericht. Periodiek maakt de administratie een aansluiting tussen de in de database opgenomen bestellingen, de in de bus gescande blokcodes, en de ontvangen bedragen. 4 Welke gegevens moeten minimaal worden vastgelegd in de database van Luchtbus om deze processen te doen functioneren? Het ERP-systeem van Luchtbus moet de volgende gegevens bijhouden: passagiersgegevens (naam, adres, telefoonnummer, ); ordergegevens (soort ticket, orderdatum, reisdatum); ticketprijzen; toegewezen cijfercodes; toegewezen blokcodes. Deze gegevens zijn opgenomen in een relationele database met tabellen die de relaties tussen de pasagier, de order, de cijfercode en de blokcode beschrijven. 16 Uitwerkingen cases hoofdstuk 5

17 Gegevens die worden uitgewisseld zijn onder andere: de blokcode die via GPRS/UMTS/WiFi naar de scanners wordt gestuurd op verzoek van de scanner als een passagier zich meldt voor vervoer; de goedkeuring dan wel afwijzing na de controle op de blokcode door middel van een geprogrammeerde procedure Noordhoff Uitgevers bv Groningen/Houten 5.9 Otomota 1 Hoe kan ERP de bedrijfsvoering van Otomota ondersteunen? Besteed hierbij aandacht aan de volgende punten: a de ERP-modules die van toepassing zijn inclusief een beschrijving per module van de functionaliteit voor Otomota; (20 p.) In de meest vergaande vorm zorgt ERP zorgt ervoor dat alles bedrijfsfuncties van Otomota worden geïntegreerd. Er zijn verschillende ERP-pakketten in omloop die elk hun eigen indeling in modules kennen. De uitwerking hierna is gebaseerd op SAP R/3. Andere indelingen en beschrijvingen zijn mogelijk, zolang de bij Otomota vereiste functionaliteit maar wordt afgedekt. Bij Otomota vereiste functionaliteit: financiële administratie en financiële planning en control; productieplanning en -voortgangsbewaking; ondersteunen investeringen, afschrijvingen en desinvesteringen in productieinstallaties en het onderhoud van de fabriek; personeelsbeheer (6.000 werknemers); kwaliteitscontrole; inkoopondersteuning; verkoopondersteuning. De ERP-modules die deze functionaliteit mogelijk maken zijn: Controlling (CO): het coördineren, beheersen en optimaliseren van de financiële aspecten van de bedrijfsprocessen van Otomota, waaronder budgettering, verschillenanalyses, en kostprijscalculaties. Treasury (TR): vooral de functionaliteiten van het beheersen van het vermogensbeslag (kapitaalintensief) van productie-installaties en voorraden staal en geproduceerde auto s alsmede het valutabeheer (internationaal afzetgebied) zijn hier van belang. Asset management (AM): het ondersteunen van de aanschaf, de evaluatie en de afschrijving van de productie-installaties. Business workflow (BW): het automatiseren van de productieprocessen (Otomota is hooggeautomatiseerd) en de informatie over en ten behoeve van de productievoortgang. Human resources (HR): de salarisadministratie, werktijdenregistratie, verslaglegging over sollicitaties, competenties van het personeel (inzetbaarheid en ontwikkeling van personeel). Plant maintenance (PM): gedetailleerde informatie voor het sturen van het onderhoud van productie-installaties en de voortgang daarvan, ondersteuning bij het bepalen van de specificaties van nieuwe productie-installaties, capaciteitplanning, verroostering personeel en kostenplanning. Quality management (QM): ondersteunen integrale kwaliteitscontroles op geproduceerde auto s; aangeven wanneer en hoe inspectie moet plaatsvinden; aanvullend kan QM ook de leveranciersselectie ondersteunen (hechte samenwerkingsverbanden in de vorm van interorganisationele informatiesystemen maken Otomota erg afhankelijk van de kwaliteit van de gekozen leveranciers). Hoofdlijnen bestuurlijke informatievoorziening 17

18 Production planning (PP): opstellen productieopdrachten en berekenen productiekosten; dit omvat onder andere het maken en uitgeven van werkopdrachten door het bedrijfsbureau, het maken en beheren van stuk- en bewerkingslijsten en het evenwichtig verdelen van de beschikbare productiecapaciteit. Materials management (MM): het ondersteunen van de inkoop, materiaalbehoeftebepaling, ontvangen van grondstoffen en materialen, en voorraadbeheer. Sales en distribution (SD): ondersteuning verkopen (inclusief marketing), levering van auto s aan klanten, en facturering. Enterprise controlling en investment management (EC): het aanleveren van geaggregeerde stuurinformatie uit interne en externe bronnen. b de benodigde (logische) gegevensverzamelingen. (15 p.) Orderbestand: Ordernummer, kenmerken auto volgens stuk- en bewerkingslijsten (gereserveerde voorraden grondstoffen en materialen bij leveranciers, leverancierscodes per reservering, gereserveerde hoeveelheden voor geplande productie), per bewerking aan de loopband de voortgang (gereed/in bewerking/nog niet begonnen), kwaliteitscontrole uitgevoerd en resultaat (gedaan en goedgekeurd, gedaan en afgekeurd, in bewerking, nog niet begonnen), voorcalculatorische prijs, nacalculatorische prijs, verkoopprijs, gewenste leverdatum, gewenste afleverlocatie, gewenste wijze van afleveren, afnemerscode. Afnemersbestand: Afnemerscode, naam, adres enz., vordering, historische gegevens en klantkenmerken ten behoeve van customer relationship management. Vaste activabestand: Code productie-installatie, beschrijving, locatie in fabriek, investeringsbedrag, afschrijvingsmethodiek, geplande onderhoudsdata en onderhoudshandelingen, voortgang onderhoud (voltooid/in bewerking/nog niet begonnen). Inkoopbestand: Magazijnontvangstcode, grondstof- of materiaalcode, leverancierscode, hoeveelheid gereserveerd bij leverancier. Grondstoffen- en materialenbestand: Grondstof- of materiaalcode, omschrijving, hoeveelheid in voorraad, locatie in magazijn. 2 Welke meetpunten zullen worden aangebracht en welke controls zullen gebruikmaken van deze meetpunten? Geef hierbij tevens aan welke doelstellingen elk van de genoemde controls hebben. (30 p.) De case verwijst naar meetpunten in het productieproces. Dit zijn uiteraard niet de enige meetpunten die moeten worden aangebracht. De kern van BIV (AIS) is dat er meetpunten worden aangebracht die processen controleerbaar maken. De studenten moeten zich dit realiseren. Het slechts benoemen van de meetpunten in het productieproces is daarom onvolledig. Meetpunten zijn: het opleveren van het ERP-systeem waarbij een acceptatietest wordt gedaan en waarbij wordt vastgesteld dat de noodzakelijke controles zijn ingebouwd (NB. Bij ERP verschuiven veel controles van de uitvoeringsfase naar de systeemontwikkelingsfase); het door een leverancier peilen van de voorraad grondstoffen en materialen in het grondstoffen- en materialenbestand van Otomota; 18 Uitwerkingen cases hoofdstuk 5

19 de meetpunten in het productieproces, met per handeling/per order de status gereed/in bewerking/nog niet begonnen; NB. Dit wordt per productiefase (pershal, carrosseriebouw, lakstraat, montage) en bij de kwaliteitscontrole in detail uitgevoerd met behulp van de informatietechnologie (dus bijvoorbeeld per puntlas per auto is bekend of deze is uitgevoerd en of dit succesvol is gedaan via een elektronische meting waarvoor de afdeling kwaliteitscontrole het systeem onderhoudt); het afleveren van de auto aan de klant via de expeditie en een transporteur Noordhoff Uitgevers bv Groningen/Houten Controles: De contracten met de leveranciers van het informatiesysteem van Otomota zijn de norm waaraan de realisatie van het systeem wordt getoetst. Doel is een zodanig informatiesysteem in gebruik te nemen dat dit conform de gemaakte specificaties qua functionaliteit en controleerbaarheid is. Er worden verbanden gelegd tussen de gebruikte grondstoffen en materialen en de geproduceerde auto s. Doel is de efficiëntie van het productieproces vast te stellen aan de hand van de stuk- en bewerkingslijsten. Er worden verbanden gelegd tussen de levering aan een klant en de betaling door de klant. Doel is de bewaking van de activa van de onderneming. Er worden verbanden gelegd tussen de door de leverancier geleverde goederen en de betalingen voor deze leveringen. Voorts wordt vastgesteld dat er een noodzaak is volgens de contracten die met leveranciers zijn afgesproken om goederen te leveren. Doel van deze controles is het inkoopproces effectief en efficiënt te doen verlopen en geen activa (geld) ongeoorloofd de onderneming te doen verlaten. Er zijn meer meetpunten mogelijk. Dit moet per geval door de corrector worden beoordeeld. 3 Welke informatierisico s zal Otomota lopen als het bedrijf besluit om dit e- businessinitiatief door te zetten? Met welke controls kan Otomota deze risico s opvangen? (20 p.) Om risico s op een systematische manier te analyseren moet er een keuze worden gemaakt voor een bepaald classificatieschema. Een voorbeeld van een dergelijk classificatieschema wordt gegeven door Gelinas et al. Zij onderscheiden de volgende vijf informatierisico s: 1 onjuiste invoer; 2 onvolledige invoer; 3 inaccurate invoer; 4 onvolledige verwerking; 5 inaccurate verwerking. Toegespitst op e-business bij Otomota gelden de volgende risico s. Klanten geven valse identiteit door. Controls: klantidentificatie en -authenticatie door middel van gebruikersnaam en wachtwoord, firewall, encryptie, beveiligde betalingsserver, screenen van nieuwe klanten op basis van officieel identiteitsbewijs, creditcardnummer en veiligheidscode doorgeven, terugbelprocedure. NB. Dit lijkt overdreven, maar het gaat hier niet om een boek van 80 euro dat bij Amazon.com wordt besteld, maar om een auto van enkele tienduizenden euro s. Klanten geven verkeerde specificaties door met als gevolg het in productie nemen van een niet-besteld model. Controls: bevestiging van klant vragen nadat alle specificaties zijn ingevoerd, gebruikersvriendelijke interface (overzichtelijk scherm met keuzen logisch geordend), en geprogrammeerde controles op niet-gangbare combinaties van specificaties. Hoofdlijnen bestuurlijke informatievoorziening 19

20 Klanten geven onvoldoende specificaties door met als gevolg dat de auto niet in productie kan worden genomen. Controls: geprogrammeerde controles op volledigheid invoer (pas naar scherm 2 als scherm 1 helemaal is ingevuld). Klanten maken fouten bij het intoetsen waardoor zij de verkeerde specificaties doorgeven. Controls: geprogrammeerde controles op niet-gangbare combinaties van specificaties, intoetsen van letters of getallen vervangen door aanklikken van buttons. Niet alle orders worden verwerkt in het orderbestand waardoor de auto niet in productie wordt genomen. Controls: acceptatietests software voor internetverkopen, geprogrammeerde aansluiting van aantallen bestellingen, aantallen identificaties, en aantallen productieorders, met aansluitend een analyse door de financiële afdeling van de verschillen. Tijdens de verwerking worden correct ingevoerde specificaties en klantgegevens verminkt. Controls: meteen na ontvangst van de order wordt een controlebestand aangemaakt dat op verschillende meetmomenten wordt aangesloten met het orderbestand. Onvolledigheid facturering. Controls: doorlopende nummering orders en bij facturering aansluiten van het aantal orders per vervaldatum en het aantal facturen per vervaldatum. Er zijn meer risico s mogelijk. Dit moet per geval door de corrector worden beoordeeld. 4 Op welke verschillende manieren kan het betalingsverkeer bij e-business worden geregeld? Leg uit hoe elk van deze systemen werkt en geef aan wat de risico s hiervan zijn voor Otomota. (15 p.) Betalingen kunnen plaatsvinden via: het door de klant geven van een betalingsopdracht aan zijn bank die deze vervolgens scant en verwerkt tot een elektronische overboeking naar de bank van Otomota. Hier wordt gebruikgemaakt van een tussenpartij: een clearing house. Risico s: levering gaat mogelijk vooraf aan de betaling waardoor een groter risico van oninbaarheid van de vordering; het door de klant machtigen van Otomota om het factuurbedrag af te boeken van zijn bankrekening. Risico s: er is onvoldoende saldo op de bankrekening van de klant of de klant draait de betaling terug, met als gevolg het oninbaar zijn van de vordering; een elektronische cheque met alle kenmerken van een papieren cheque (handtekening, klantnaam, Otomota als ontvanger, de bank van de klant, het geldbedrag) wordt elektronisch en vercijferd verzonden. Risico s: inbraak door onbevoegden waardoor de betaling niet of voor een te laag bedrag bij Otomota binnenkomt; een elektronische beurs onderhouden door de bank die door de klant wordt gevuld met virtueel geld, en waaruit betalingen kunnen worden gedaan als ware het papieren geld. Risico s: inbraak in het systeem door onbevoegden waardoor de beurs kan worden leeggehaald en waardoor de betaling niet of voor een te laag bedrag bij Otomota binnenkomt; doorgeven van creditcardnummer door de klant aan Otomota die het factuurbedrag bij de creditcardmaatschappij declareert. Risico s: onbevoegden verschaffen zich toegang tot de creditcardinformatie van de klant van Otomota en halen daar geld van af, waardoor de geldontvangst niet of voor een te laag bedrag door Otomota kan worden geëffectueerd. 20 Uitwerkingen cases hoofdstuk 5