LIBER AMICORUM - IBR
LIBER AMICORUM - IBR LIBER AMICORUM - IBR
40· ANNIVERSAIRE I.R.E. 2.4. Auditbekommernissen in de verschillende fasen van de systeemontwikkelingslevenscyclus a) Systeemplanning Systeemplanning heeft in de eerste plaats te maken met het opstellen van een strategisch informatieplan in uitvoering van een globaal informatiebeleid. Daarbij wordt gestreefd naar het duidelijk op elkaar afstemmen van de bedrijfsstrategie en de ITstrategie, rekening houdende met de missie en de kritische succesfactoren. In het kader daarvan is ook het uitvoeren van het objectonderzoek, leidende tot de opstelling van een conceptueel gegevensmodel en een procesmodel van de organisatie, te situeren. Het onderzoek van het objectsysteem (het bedrijf, de realiteit waarvan/waarvoor een automatiseringsinspanning gebeurt) heeft als doel aard en omvang van de te automatiseren deelsystemen af te lijnen, aan die deelsystemen een prioriteit toe te kennen en aan te geven hoe men van de huidige naar de gewenste situatie wil evolueren. Uitgangspunt zijn de fundamentele bedrijfsprocessen, over de grenzen van organisatorische indelingen en de daarrond gebouwde applicatiesystemen heen. Bedrijfsprocessen worden ondersteund door, en communiceren via, informatie-elementen. Bedrijfsprocessen die beroep doen op veel gemeenschappelijke gegevens kunnen worden samengenomen in deelsystemen waarvoor een informatiesysteem zal worden ontwikkeld. Doordat men zoals bij «transaction flow auditing» uitgaat van fundamentele bedrijfsprocessen opent dat nieuwe perspectieven voor de samenwerking tussen de systeemontwikkelingsafdeling en de interne auditor. De diepgang van de objectanalyse en vooral van de daarop volgende functionele decompositie levert interessant materiaal op voor een evaluatie van de bestaande toestand van het interne controle systeem (Mercken, 1989). In het CICA-rapport wordt deze stap niet besproken, daar men enkel de SOL bespreekt. b) Initiatie Dit is de eerste fa se van de SOL, waarbij de overgang van het globale informatieplan naar een concreet projectplan wordt gemaakt. De bedrijfsprocessen uit de vorige fase worden nu verder geanalyseerd om de te ontwikkelen informatiesystemen te identificeren. Andere activiteiten zijn het ondernemen van een haalbaarheidsstudie en het opstellen van een projectplan. De belangrijkste vraag is hier: welke nieuwe systemen moeten worden ontwikkeld? De controledoelstelling is ervoor te zorgen dat de geselecteerde systemen in overeenstemming zijn met de behoeften van de onderneming. De minimum controlestandaarden zijn (ClCA, 1986): - de beslissing moet in overeenstemming zijn met de doelstellingen en politieken van de onderneming; - er moeten procedures bestaan om de kosten en baten te bepalen. 266
40-JARIG BESTAAN I.B.R. Participatie van de betrokken partijen en een duidelijke synchronisatie met het ondernemingsplan zijn belangrijk. Het senior management moet zijn goedkeuring geven aan de selectie. M.b.t. de haalbaarheidsstudie is het nodig dat gebruikersmanagement en IT-management hun goedkeuring geven voordat die resultaten aan de goedkeuring door het senior management worden voorgelegd. Naast globale plannen en kosten/batenanalyses levert deze fase in het algemeen ook activiteitenprofielen (welke functie is verantwoordelijk voor wat) op. Activiteitenprofielen die vanuit intern controlestandpunt incompatibel zijn door vermenging van de aspecten beschikken, bewaren, registreren, uitvoeren en controleren of de plaatsing van een volledig transactietraject onder de bevoegdheid van een functionaris, kunnen hier betrekkelijk eenvoudig warden geTdentificeerd. Evalueren van het interne controlesysteem behoort tot de opdracht van de interne audit afdeling. Aan het ontwikkelen van nieuwe informatiesystemen kan een herverdeling van verantwoordelijkheden worden gekoppeld waarbij controletechnisch onverenigbare taken worden vermeden. c) Analyse Gedurende de analysefase worden de vereisten van de verschillende betrokken partijen (eindgebruikers, management, automatiseringsmedewerkers en auditors) conceptueel bepaald en in een eerste ontwerp vastgelegd. De minimum controlestandaard (ClCA, 1986) is erop gericht te beschikken over procedures die ervoor zorgen dat het informatiesysteem in ontwikkeling in overeenstemming is met de vereisten van de gebruikers. Naast participatie valt hier het belang van een goede vastlegging van de specificaties aan te stippen. Dit punt wordt verder uitgewerkt in relatie met het begrip kwaliteit. d) Ontwerp De vereisten worden vertaald in een blauwdruk van het nieuwe informatiesysteem. Vereisten op het vlak van toegangscontrole, integriteitscontrole en controleerbaarheid dienen nu gedetailleerd te zijn gekend. Deze fase heeft een hoog controlebelang daar de toepassing van de geldende algemene beveiligings-, controle- en controleerbaarheidsrichtlijnen hier wordt geconcretiseerd terwijl men zich toch nog steeds op ontwerp-niveau bevindt. In dit stadium kan de auditor als deskundige in de interne controle een uiterst produktieve inbreng doen (Mercken, 1987). Het ontwerp moet uiteraard ook rekening houden met de technische mogelijkheden. Het resultaat van deze fa se is een automatiseringsmodel dat in de volgende fase concreet kan worden gebouwd. In de ClCA-studie wordt deze fase tezamen met de bouwfase behandeld. 267
- Page 203 and 204: 40' ANN/VERSA/RE I.R.E. de la socie
- Page 205: 40' ANNIVERSAIRE I.R.E. Le Conseil
- Page 208 and 209: 40-JARIG BESTAAN I.B.R. REUNION PRE
- Page 210 and 211: 40-JARIG BESTAAN I.B.R. INTERVENTIO
- Page 212 and 213: 40-JARIG BESTAAN I.B.R. conseil d'
- Page 214 and 215: 40-JARIG BESTAAN I.B.R. Ces trois d
- Page 218 and 219: 40-JARIG BESTAAN I.B.R. Que fait-on
- Page 220 and 221: 40' ANNIVERSAIRE I.R.E. Nous fetons
- Page 222 and 223: 40' ANNIVERSAIRE I.R.E. Cette ouver
- Page 224 and 225: 40' ANNIVERSAIRE I.R.E. L'approche
- Page 226 and 227: 40· ANNIVERSAIRE I.R.E. Une techni
- Page 229 and 230: 40-JARIG BESTAAN I.B.R. La conclusi
- Page 232 and 233: 40· ANN/VERSA/RE I.R.E. (2) I'inve
- Page 234 and 235: 40' ANNIVERSAIRE I.R.E. Periode Obj
- Page 236 and 237: 40· ANN/VERSA/RE I.R.E. McKee, Tho
- Page 238 and 239: 40' ANNIVERSAIRE I.R.E. 1. Introduc
- Page 240: 40· ANNIVERSAIRE I.R.E. 2.2.2. Imp
- Page 243 and 244: 4.3. Revision Structure des applica
- Page 245 and 246: 40-JARIG BESTAAN I.B.R. - L' extrac
- Page 247 and 248: Systeemontwikkelingscontroles en de
- Page 250 and 251: 40· ANNIVERSAIRE I.R.E. Controleer
- Page 254 and 255: 40· ANN/VERSA/RE I.R.E. e) Bouw Ge
- Page 256 and 257: 40· ANNIVERSAIRE I.R.E. «Particip
- Page 259 and 260: 40-JARIG BESTAAN I.B.R. het geschik
- Page 261 and 262: 5. De relatie tU5sen IT-audit en ex
- Page 263 and 264: 40-JARIG BESTAAN I.B.R. Paans, R. (
- Page 265 and 266: 40· ANNIVERSAIRE I.R.E. Is het kof
- Page 268: 40-JARIG BESTAAN I.B.R. uit overweg
- Page 272 and 273: 40-JARIG BESTAAN I.B.R. de p/anmati
- Page 275 and 276: 40· ANNIVERSAIRE I.R.E. module te
- Page 277 and 278: 40· ANNIVERSAIRE I.R.E. Avant-prop
- Page 279 and 280: 40· ANNIVERSAIRE I.R.E. I' entrepr
- Page 282 and 283: 40-JARIG BESTAAN I.B.R. Les normes
- Page 284 and 285: 2.5. Methodes d' evaluation 40-JARI
- Page 286 and 287: 40-JARIG BESTAAN I.B.R. b) la valeu
- Page 289 and 290: 40' ANNIVERSAIRE I.R.E. 3.5. Le sur
- Page 291 and 292: 40· ANN/VERSA/RE I.R.E. NOTES 1 F.
- Page 293 and 294: 40· ANNIVERSAIRE I.R.E. 41 G. KLEY
- Page 295: De vrije-kasstroomanalyse als waard
- Page 298 and 299: 40' ANNIVERSAIRE I.R.E. van een ond
- Page 300 and 301: 40· ANNIVERSAIRE I.R.E. in het bed
40-JARIG BESTAAN I.B.R.<br />
Participatie van de betrokken partijen en een duidelijke synchronisatie met het ondernemingsplan<br />
zijn belangrijk. Het senior management moet zijn goedkeuring geven<br />
aan de selectie. M.b.t. de haalbaarheidsstudie is het nodig dat gebruikersmanagement<br />
en IT-management hun goedkeuring geven voordat die resultaten aan de goedkeuring<br />
door het senior management worden voorgelegd.<br />
Naast globale plannen en kosten/batenanalyses levert deze fase in het algemeen ook<br />
activiteitenprofielen (welke functie is verantwoordelijk voor wat) op. Activiteitenprofielen<br />
die vanuit intern controlestandpunt incompatibel zijn door vermenging van de<br />
aspecten beschikken, bewaren, registreren, uitvoeren en controleren of de plaatsing<br />
van een volledig transactietraject onder de bevoegdheid van een functionaris, kunnen<br />
hier betrekkelijk eenvoudig warden geTdentificeerd. Evalueren van het interne controlesysteem<br />
behoort tot de opdracht van de interne audit afdeling. Aan het ontwikkelen<br />
van nieuwe informatiesystemen kan een herverdeling van verantwoordelijkheden<br />
worden gekoppeld waarbij controletechnisch onverenigbare taken worden<br />
vermeden.<br />
c) Analyse<br />
Gedurende de analysefase worden de vereisten van de verschillende betrokken partijen<br />
(eindgebruikers, management, automatiseringsmedewerkers en auditors) conceptueel<br />
bepaald en in een eerste ontwerp vastgelegd. De minimum controlestandaard<br />
(ClCA, 1986) is erop gericht te beschikken over procedures die ervoor zorgen dat het<br />
informatiesysteem in ontwikkeling in overeenstemming is met de vereisten van de<br />
gebruikers. Naast participatie valt hier het belang van een goede vastlegging van de<br />
specificaties aan te stippen. Dit punt wordt verder uitgewerkt in relatie met het begrip<br />
kwaliteit.<br />
d) Ontwerp<br />
De vereisten worden vertaald in een blauwdruk van het nieuwe informatiesysteem.<br />
Vereisten op het vlak van toegangscontrole, integriteitscontrole en controleerbaarheid<br />
dienen nu gedetailleerd te zijn gekend. Deze fase heeft een hoog controlebelang<br />
daar de toepassing van de geldende algemene beveiligings-, controle- en controleerbaarheidsrichtlijnen<br />
hier wordt geconcretiseerd terwijl men zich toch nog steeds op<br />
ontwerp-niveau bevindt. In dit stadium kan de auditor als deskundige in de interne<br />
controle een uiterst produktieve inbreng doen (Mercken, 1987).<br />
Het ontwerp moet uiteraard ook rekening houden met de technische mogelijkheden.<br />
Het resultaat van deze fa se is een automatiseringsmodel dat in de volgende fase concreet<br />
kan worden gebouwd. In de ClCA-studie wordt deze fase tezamen met de<br />
bouwfase behandeld.<br />
267