Titelblad

More documents

Recommendations

Info

4. Positionering CCM binnen COSO en CCM binnen COBITVoor het inrichten en onderhouden van algemene IT-beheersmaatregelen zijn verschillenderaamwerken en standaarden ontwikkeld. Het algemeen aanvaarde COSO 37 -model (‘Commitee OfSponsoring Organization’) voor interne beheersing kan worden gezien als de basis voor al dezeraamwerken en om deze reden wordt de positionering van CCM binnen het COSO raamwerktoegelicht.Daarna besteden we aandacht aan COBIT 38 (‘Control Objective for Information and relatedTechnology’), een raamwerk voor de beheersing van informatietechnologie. Het COBITraamwerk is gebaseerd op het COSO raamwerk en is opgesteld door het Amerikaanse ‘ITGovernance Institute’. Volgens het IT Governance Institute is het COBIT raamwerk eenoverkoepelend raamwerk dat de meeste facetten van IT-beheersing raakt.4.1 Raakvlakken CCM en COSO4.1.1 Inleiding COSO frameworkHet COSO raamwerk bestaat uit de onderstaande componenten.• ‘Control Environment’De beheersomgeving omvat factoren als integriteit, ethische waarden, de competenties vanmedewerkers, de filosofie van het management, de manier waarop verantwoordelijkhedenworden belegd, de manier waarop de organisatie met het personeel omgaat en de houding vanhet topmanagement. De beheersomgeving bepaalt de toon binnen de organisatie en beïnvloedde manier waarop personen binnen een organisatie over interne beheersing denken. Debeheersomgeving vormt de basis voor alle andere componenten van interne beheersing.• ‘Risk Assesment’Dit component betreft het identificeren en analyseren van de relevante risico’s waaraan deorganisatie is blootgesteld en die de doelstellingen van de organisatie in gevaar kunnenbrengen.• ‘Control Activites’Beheersactiviteiten (maatregelen) bestaan onder meer uit beleid, richtlijnen, procedures engeprogrammeerde controles die ervoor zorgen dat de doelstellingen van de organisatieworden gerealiseerd. Beheersingsmaatregelen komen voor op alle niveaus in de organisatie.Voorbeelden zijn tekenbevoegdheden, limieten, autorisaties, controles,beveiligingsmaatregelen en functiescheiding.• ‘Information and Communication’Het identificeren, vastleggen en verstrekken van relevante informatie is essentieel voorinterne beheersing. Interne beheersing moet worden ondersteund door systemen die deorganisatie voorzien van informatie over operationele, financiële en op naleving gerichteinformatie, evenals informatie over externe gebeurtenissen en activiteiten. Ook de37 www.coso.org38 www.iasaca.org/cobit/24
communicatie over interne beheersing dient helder en eenduidig te zijn, zodat elke betrokkenpartij binnen en buiten de organisatie weet wat zijn of haar rol is op het gebied van internebeheersing.• ‘Monitoring’Interne beheersingssystemen dienen te worden bewaakt. ‘Monitoring’ is een proces waarbijde kwaliteit van de interne beheersing over een bepaalde periode wordt gemeten. Hierdoorkunnen wij concluderen dat het ‘monitoring’ component van COSO vele raakvlakken heeftmet de definitie van CCM en CA. Het meten van de kwaliteit van de interne beheersing vindtplaats door voortdurende ‘monitoring’, tussentijdse evaluaties of een combinatie van beide.Ernstige tekortkomingen in de interne beheersing dienen daarbij aan de hoogste leiding teworden gerapporteerd.4.1.2 MonitoringVolgens een rapportage 39 van COSO is gebleken dat de evaluatie van de interne controls door hetmanagement erg tijdrovend en vaak inefficiënt is. In dit document wordt beschreven dat hetmanagement van een organisatie met behulp van ‘monitoring’ het evaluatieproces effectiever enefficiënter kan inrichten. Tot op heden is gebleken dat het management door gebrek aan kennis,nauwelijks gebruik maakt van de belangrijke component van interne beheersing.CCM wordt dus binnen het ‘monitoring’ component van COSO gepositioneerd en heeftraakvlakken met de overige vier componenten. De samenhang en relaties tussen ‘monitoring’ ende overige componenten worden in onderstaande figuur weergegeven.Figuur 14. Monitoring binnen het proces van interne controle4.1.2.1 Toegevoegde waarde van monitoring binnen governance processenMonitoring wordt binnen het COSO raamwerk beschreven als een middel dat als doel heeft omervoor te zorgen dat de werking van controls continu effectief zijn en daarom zullen controls dieniet worden bewaakt op den duur niet werken. Volgens de onderzoekers hebben organisaties veel39 COSO Guidance on Monitoring Internal Control Systems, January 200925
Page 7: ‘Corporate Governance’ (SOx 6 ,
Page 13 and 14: Management ResponseComprehensivemon
Page 15 and 16: Figuur 5. Concept 2 CCM en CAMen ka
Page 17 and 18: 3.Bepalen van data setsDe beschikba
Page 19 and 20: 3. Control evaluatie principesIn he
Page 21 and 22: DeelwaarnemingVoor een deelwaarnemi
Page 23: De elementen die van invloed zijn o
Page 27 and 28: De bovenstaande lijst is niet limit
Page 29 and 30: 4.2.1 MonitoringHet COBIT raamwerk
Page 31 and 32: 5.2 Uitwerking vragenVraag 1: Geef
Page 33 and 34: de maandcijfers op te stellen en de
Page 35 and 36: environment’, ‘Risk Assessment
Page 37 and 38: 6. Aandachtsgebieden IT auditorOp b
Page 39 and 40: Hiervoor kunnen data-analyse tools,
Page 41 and 42: Uitdagingen CCM in de praktijkEr wo
Page 43 and 44: Geraadpleegde literatuurdrs. F.J. B
Page 45 and 46: Bijlage A - CA/CCM driversBelangrij
Page 47 and 48: Bijalge C - Stappenplan implementat

Titelblad

Create successful ePaper yourself

Delete template?

Save as template?