SlideShare a Scribd company logo

Article graduate thesis in Management&Informatie

J
Joost Stramrood
1 of 7
Download to read offline
De commerciële mogelijkheden die internet ondernemingen biedt, hebben de afgelopen jaren tot een stormachtige omzetgroei van electronic- commerce geleid; van praktisch nul in 1995 naar $657 miljard in 2000 (www.forrester.com). Hier- bij zijn veel nieuwe bedrijfsvormen ontstaan, zo- als network providers, internet service providers en content providers (De Jong, 2000). Deze nieu- we bedrijfsvormen brengen echter ook nieuwe risico’s met zich mee. Om deze nieuwe risico’s te beheersen moeten aanpassingen worden gedaan in de administratieve organisatie en interne con- trole (ao/ic) van de onderneming; veel van deze aanpassingen hebben betrekking op de beveili- ging van de provisioning-systemen. Het onder- schatten van deze aanpassingen kan de bedrijfs- voering schaden of zelfs de continuïteit van de onderneming in gevaar brengen. Dat blijkt over- duidelijk uit een onderzoek onder een groep on- dernemingen die aan ‘indirect e-commerce’ doen. ‘Indirect e-commerce’ is het verkopen van (fysieke) producten en diensten via internet die niet via internet kunnen worden afgeleverd. NOODZAKELIJKE AANPASSINGEN Het begrip ‘administratieve organisatie en interne controle’ (ao/ic) is in de context van dit 2 8 M A N A G E M E N T & I N F O R M A T I E 2 0 0 2 / 6 ADMINISTRATIEVE ORGANISATIE E-COMMERCE BEDRIJVEN ONDER DE MAAT Dit artikel probeert antwoord te geven op vraag welke aanpassingen in de administratieve organisatie en de interne controle nodig zijn om e-commerce-ondernemingen veilig en betrouwbaar te kunnen laten functioneren. Uit onderzoek blijkt dat veel voor verbetering vatbaar is. Joost Stramrood
A D M I N I S T R A T I E V E O R G A N I S A T I E artikel gedefinieerd als het stelsel van maatrege- len dat een organisatie kan treffen voor het waarborgen van de betrouwbaarheid van de in- formatie op basis waarvan de onderneming wordt bestuurd en op basis waarvan verant- woording wordt afgelegd aan belanghebben- den. Een onderneming die ‘indirect e-commer- ce’ toepast moet twee type maatregelen treffen om betrouwbaarheid van deze informatie te kunnen waarborgen. Allereerst zijn er de informatietechnologie- onafhankelijke maatregelen. Bij iedere organisa- tie vormen de kwantitatieve verbanden die in de waardenkringloop van de onderneming aan- getroffen kunnen worden, een belangrijk aan- hechtingspunt voor de ao/ic. De kracht van dit aanhechtingspunt is afhankelijk van de aard van de bedrijfsactiviteiten. Een onderneming die indirecte e-commerce gaat toepassen, kan op basis van haar bedrijfsactiviteiten geclassifi- ceerd worden als een handelsbedrijf die in hoofdzaak op rekening levert. Door de sterke kwantitatieve verbanden bij de waardenkring- loop van dit soort handelsondernemingen, is de waardenkringloop hier een belangrijk en sterk aangrijpingspunt voor de interne controle. Door via internet te handelen verandert er veel in de wijze waarop de bedrijfsprocessen worden gerealiseerd ten opzichte van een tradi- tionele handelsonderneming. Zo wordt er veel meer gesteund op de automatisering en valt de fysieke documentatie weg. De veranderingen in de bedrijfsprocessen en de nieuwe risico’s die hierdoor ontstaan moeten dan ook, ten opzichte van traditionele handelsondernemingen, leiden tot aanpassingen in de inrichting van de admi- nistratieve organisatie en de interne controle van een onderneming die via internet handelt; de ICT-onafhankelijke maatregelen. Daarnaast zijn er ICT-afhankelijke maatrege- len nodig om de technologie gerelateerde risi- co’s te beheersen. Naast de risico’s die ontstaan door de veranderingen in de bedrijfsprocessen, staat een onderneming die via internet handelt, door de grote afhankelijkheid van informatie en informatietechnologie immers ook meer bloot aan deze risico’s dan een traditionele handels- onderneming. Om de kwaliteitsaspecten van de informatievoorziening te waarborgen moet de onderneming dan ook maatregelen implemen- teren om deze bedreigingen te ondervangen – met andere woorden, de onderneming moet bij het inrichten van de ao/ic meer aandacht beste- den aan maatregelen die wel worden samenge- vat onder de noemer informatiebeveiliging. ICT-ONAFHANKELIJKE MAATREGELEN Bij ondernemingen die ‘indirect e-commerce’ toepassen, zal een hoge mate van automatisering plaatsvinden. Hierdoor vallen traditionele hand- matige controles weg (en daarmee de menselijke beoordeling). Om de betrouwbaarheid te waar- borgen bij zo’n onderneming kan het vervallen van deze traditionele handmatige controle opge- vangen worden door geprogrammeerde contro- les. Dat wil zeggen door in de programmatuur opgenomen controles (Oonincx & Pruim, 1983, p.140). Voorbeelden van geprogrammeerde con- troles zijn bestaanbaarheidscontroles, waar- schijnlijkheidscontroles, redelijkheidscontroles, verbandscontroles en toetsing aan voortellingen (Eversdijk, 2000, p.40). Door de hoge mate van automatisering valt tevens (een groot deel van) de fysieke documen- tatie weg. Hierdoor is er nog maar één (elektro- nische) informatiestroom te herkennen, wat het vaststellen van een soll-positie lastig maakt. Om deze verzwakking van de interne controle op te vangen kan de mogelijkheid benut worden om binnen de webomgeving alle informatiestro- men op elkaar aan te sluiten (overkoepelende verbandcontroles); inkoop = verkoop en bestel- ling door klant = bijboeking bank = bestelling bij leverancier = afgifte aan pakketservice = afgifte aan klant (Bollen & Koopmans, 2000, p.404). De kracht van deze maatregel is afhankelijk van de kwaliteit van automatiseringsomgeving. Om het risico verder in te perken kan de onder- neming ook nog gebruik maken van een afzon- derlijke niet-beïnvloedbare control-database. In deze database vindt een niet-manipuleerbare en onafhankelijke parallelle registratie van alle transactiemutaties plaats, waardoor wel een soll-positie is vast te stellen. Er vindt tevens een verzwakking van de in- terne controle plaats, wanneer de onderneming M A N A G E M E N T & I N F O R M A T I E 2 0 0 2 / 6 2 9
de levering van producten direct aan de afne- mers laat verzorgen door de leverancier (en een pakketdienst) (De Jong, 1998). Dit leidt tot het wegvallen van de fysieke voorraad en daarmee een belangrijk steunpunt van de ao/ic. Er ont- staat dan een risico dat de in- en verkooporgani- satie buiten de organisatie om samenspannen. Om dit risico te beheersen lijkt het zinvol om ex- tra aandacht te besteden aan een goede functie- scheiding tussen in- en verkoop (Bollen & Koop- mans, 2000). KWALITEIT VAN ICT-OMGEVING De kracht van bovengenoemde maatregelen is voor een groot deel afhankelijk van de kwali- teit van de automatiseringsomgeving. Door deze hoge afhankelijkheid is het belangrijk om procedures en voorschriften (zoals back-uppro- cedures en de omgang met paswoorden) in te stellen en controle uit te oefenen op de naleving hiervan. Op deze manier wordt getracht om wil- lekeur en ongewenste handelingen uit te sluiten of zoveel mogelijk te bemoeilijken, waardoor de controleerbaarheid van de automatiseringsom- geving wordt bevorderd (Starreveld et al, 1994a, p.372). Cryptografische technieken en digitale handtekening nauwelijks toegepast Om een hoge kwaliteit te waarborgen kun- nen daarnaast twee soorten functiescheidingen in de automatiseringsomgeving toegepast wor- den. Bij automatisering treedt een integratie van de verschillende deelbewerkingen op, wat een aantasting van de controletechnische functie- scheiding kan betekenen (Oonincx & Pruim, 1983, p.21). Om hier toch een functiescheiding af te dwingen kan gebruik gemaakt worden van autorisatiecontrole. Met deze controle is het mo- gelijk een functioneel gescheiden gegevensin- voer af te dwingen, die – gecombineerd met goede procedures en voorschriften – tot een doelmatige functiescheiding leidt. Tevens is een functiescheiding tussen systeemontwikkelings-, verwerkings-, en gebruikersorganisatie ge- wenst. Deze functiescheiding is nodig om de mogelijkheden tot manipulatie binnen de ont- wikkeling en het gebruik van het automatise- ringssysteem, die kan ontstaan door ongewens- te combinaties van functies, te minimaliseren. RELATIE MET DERDEN Eén van de kritieke succesfactoren is een snelle en betrouwbare levering aan de klant. Hiervoor is de onderneming afhankelijk van de leverancier. Deze relatie wordt nog verder doorgevoerd indien de leverancier (een deel van) de levering direct aan de afnemers laat ver- zorgen. Wegens deze grote afhankelijkheid moet de onderneming goede afspraken maken met de leveranciers (onder meer over de kwali- teit van de diensten en beveiliging van de infor- matiestromen). Daarnaast is de onderneming ook vaak afhankelijk van een pakketdienst. Ook hier is het zinvol om goede afspraken te maken, zodat knelpunten in de logistiek kunnen wor- den vermeden. Om tenslotte het hele proces van een snelle en betrouwbare levering aan de afne- mer te beheersen, kan de onderneming ook nog een controle uitvoeren bij de afnemer (is er wel geleverd en op tijd?). Er kan ook relatie met een derde ontstaan als onderneming de ontwikkeling en/of het beheer van de webomgeving heeft uitbesteed aan een IT-dienstverlener. Wegens het grote belang van de IT-organisatie moeten goede afspraken ge- maakt worden over de kwaliteit van de dienst- verlening. Deze afspraken worden vaak vastge- legd in service level agreements. Deze afspraken moeten ook bewaakt en geëvalueerd worden. Dit hele proces wordt service level ma- nagement genoemd. OVERIGE MAATREGELEN Het succes van een e-business onderneming is erg afhankelijk van een continue voortzetting van de geautomatiseerde systemen. Vallen de geautomatiseerde systemen immers uit door een calamiteit, dan is de onderneming niet meer aanwezig op internet en kan zij geen verkoop- transacties tot stand brengen (Van Egten & Laane, 1999, p.231). Om te zorgen dat de onder- 3 0 M A N A G E M E N T & I N F O R M A T I E 2 0 0 2 / 6
A D M I N I S T R A T I E V E O R G A N I S A T I E neming 24 uur per dag ‘open’ is, moet veel aan- dacht besteed zijn aan de back-up van de gege- vens, uitwijkmogelijkheden en andere continuï- teitsmaatregelen, zoals herstelprocedures en redundantie in de apparatuur. Tenslotte lijkt het nuttig extra aandacht te be- steden aan de ao/ic rond de betalingen voor de producten. Vaak wordt een veelheid aan be- talingswijzen aangeboden, elk met specifieke ri- sico’s. Om deze risico’s af te dekken, moet de onderneming toezicht houden op de volledig- heid van de opbrengstverantwoording. Het besteden van veel aandacht aan de administra- tieve organisatie en interne controle rond de in- terne afhandeling van de verschillende beta- lingsprocedures lijkt dan ook van groot belang (Bollen & Koopmans, 2000). ICT-AFHANKELIJKE MAATREGELEN Aangezien informatietechnologie vatbaar is voor velerlei bedreigingen (zowel menselijke als niet-menselijke), staat een onderneming die via internet handelt nog meer bloot aan technolo- giegerelateerde risico’s dan een traditionele handelsonderneming (Roos Lindgreen & Vaas- sen, 2000). Een onderneming die via internet handelt moet dan ook maatregelen treffen om deze risico’s te beheersen. Dit is het terrein van de informatiebeveiliging; het implementeren van een pakket maatregelen om de kwaliteitsas- pecten van de informatievoorziening te waar- borgen. Deze kwaliteitsaspecten zijn beschik- baarheid, integriteit, vertrouwelijkheid en authenticiteit (Breed et al, 1994). Om een effec- tieve beveiliging te waarborgen moet de onder- neming informatiebeveiliging als een iteratief proces behandelen. VEILIGE KOPPELING MET INTERNET Door te gaan handelen via internet wordt het informatiesysteem van de onderneming gekop- peld aan een open netwerk (externe integratie). Tussen deze netwerken vinden verschillende informatiestromen plaats. Bij een geslaagde aanval van buitenaf op het beveiligingssysteem, kan toegang tot het interne netwerk worden verkregen. Deze koppeling brengt dan ook een aantal potentiële dreigingen met zich mee (Bol- len en Koopmans, 2000, p.401). Om deze risico’s te ondervangen kan de onderneming een goede firewall architectuur doorvoeren.1 Een goede fi- rewall architectuur ontstaat bijvoorbeeld door de diensten, die de onderneming aan de buiten- wereld wil laten zien, in een ‘demilitarized zone’ te plaatsen, waarbij internet afgeschermd wordt met een eenvoudige, snelle firewall en het interne netwerk met een geavanceerde, vei- lige firewall. Daarnaast kan de firewall uitgebreid worden met een audit-functie. Met deze functie kunnen afwijkende patronen in het gebruik van de infrastructuur gedetecteerd worden (en leiden tot maatregelen!) en kan al het inkomende en uitgaande verkeer in logbestanden bewaard worden. (Breed et al, 1994, p.42-43 en Greenstein & Feinman, 2000, p.279). BEVEILIGING VERKEERSSTROMEN Bij indirecte e-commerce maakt de papieren documentatie plaats voor elektronische berich- tenuitwisseling. Deze elektronische berichten- uitwisseling staat bloot aan een aantal dreigin- gen, waardoor minder zekerheid bestaat over de herkomst en echtheid van deze documenten. Om deze betrouwbaarheid wel te kunnen waar- borgen moet de onderneming het gegevens- transport beveiligen. Hierbij kan gebruik ge- maakt worden van cryptografische technieken. Encryptie (vercijferen) is één van de belangrijk- ste aspecten van cryptografie. Encryptie kan omschreven worden als de transformatie van data (de ‘cleartext’ of ‘plaintext’), met behulp van een cryptografisch, mathematisch proces (het algoritme), in een vorm (de ‘cipher text’) die voor iedereen die de bijpassende geheime sleu- tel niet heeft, onleesbaar is (Greenstein & Fein- man, 2000, p.232). Voor het transformeren van de onleesbare cipher text in de originele leesba- re cleartext (decryptie) is de bijpassende gehei- me sleutel nodig. Er zijn twee verschillende encryptiesyste- men: symmetrische en asymmetrische metho- des. Door de verschillende karakteristieken van M A N A G E M E N T & I N F O R M A T I E 2 0 0 2 / 6 3 1
deze methodes te benutten kan de vertrouwe- lijkheid van de berichten gewaarborgd worden. Om ook de overige kwaliteitsaspecten van de beveiliging van de berichtenuitwisseling te waarborgen kan gebruik gemaakt worden van andere cryptografische methodes, zoals de digi- tale handtekening (Mancham, 1999) en de hash- functie (Greenstein & Feinman, 2000). Daarnaast heeft de onderneming een Public Key Infrastructure nodig om de elektronische distributie van sleutels bij asymmetrische en- cryptie betrouwbaar toe te kunnen passen. Bij de betaling van de verkooptransacties met de credit card, wordt ook gebruik gemaakt van cryptografische technieken. Dit is nodig om het risico weg te nemen, dat bij de betaling het nummer van de creditcard wordt afgeluisterd. Met behulp van deze technieken is enkele jaren geleden het protocol Secure Electronic Transac- tion (SET) ontwikkeld, dat zowel de vertrouwe- lijkheid en integriteit van de gegevens, als de authenticiteit van de betrokken partijen garan- deert. In de praktijk kiezen ondernemingen ech- ter vaker voor het minder veilige, maar goed- kopere Secure Socket Layer (SSL) protocol. SET is inmiddels opgeheven. DE PRAKTIJK Om te onderzoeken of ondernemingen die via internet gaan handelen zich in de praktijk niet blindstaren op de voordelen van internet en de aanpassingen die nodig zijn in de adminis- tratieve organisatie en de interne controle on- derschatten, is een praktijkonderzoek verricht onder controllers van Nederlandse onderne- mingen die indirecte e-commerce toepassen. Dit onderzoek vond plaats in de vorm van een en- quête, waarbij de nodig geachte aanpassingen, die in de vorige paragraven behandeld zijn, ge- formuleerd werden in zeventien stellingen. Per stelling werden twee vragen aan de controllers gesteld: In hoeverre ze het eens zijn met de stel- ling en in hoeverre de stelling van toepassing is in hun onderneming. Voor deze enquête zijn 36 ondernemingen benaderd. Van deze groep heb- ben zeven ondernemingen de enquête volledig ingevuld teruggestuurd en gaven zes onderne- mingen aan niet mee te willen werken, waarbij tijdsgebrek als belangrijkste reden werd opge- geven. De overige ondernemingen gaven geen reactie. De lage respons is een grote beperking van dit onderzoek, aangezien de non-respondenten de uitkomsten kunnen vertekenen. De non-re- spons kan bijvoorbeeld een groep ondernemin- gen bevatten die niet mee willen werken, omdat hun administratieve organisatie en interne con- trole slecht ingericht zijn. Indien ondernemin- gen zich blindstaren op de voordelen van inter- net, is deze situatie niet ondenkbaar. Er wordt dan ook vermoed dat de verkregen informatie nog een te positief beeld geeft. Verder onder- zoek onder de non-respondenten zal dit uit moeten wijzen. Een andere beperking van het onderzoek is het technische karakter van de IT-afhankelijke stellingen, waardoor deze buiten het kennisge- bied van de controller kunnen vallen. Hoewel getracht is dit probleem in te perken door te technische stellingen buiten de enquête te laten, is uit de verkregen resultaten op te merken dat de controllers moeite hebben sommige IT-af- hankelijke stellingen te beantwoorden. In onge- veer een kwart van de gevallen geven de re- spondenten aan geen idee of geen mening te hebben over de IT-afhankelijke stellingen. De verkregen resultaten geven dan ook misschien een verkeerd beeld. Verder onderzoek zal ook dit moeten uitwijzen. RESULTATEN EN ANALYSE Uit de resultaten blijkt dat de respondenten het over het algemeen eens waren met de IT-on- afhankelijke stellingen. Twee op de drie respon- denten gaven aan het met een stelling eens of zeer eens te zijn. Alleen over het belang van het schenken van extra aandacht aan de functie- scheiding tussen in- en verkoop bij het wegval- len van de fysieke voorraad en de functieschei- dingen in de automatiseringsomgeving heerste verdeeldheid. Daarnaast leek het belang van ge- 3 2 M A N A G E M E N T & I N F O R M A T I E 2 0 0 2 / 6
A D M I N I S T R A T I E V E O R G A N I S A T I E programmeerde controles niet onderkend te worden door merendeels van de respondenten. Ook de IT-afhankelijke maatregelen leken door groot deel van de respondenten te worden bevestigd. Het percentage van de gevallen waarin de respondenten het niet met de stelling eens zijn, wordt voor een groot deel veroorzaakt door de verdeelde meningen over het gebruik van cryptografische technieken (het belang van het gebruik van digitale handtekeningen lijkt helemaal niet ingezien te worden). Een deel van de controllers lijkt dus geen groot belang hech- ten aan het gebruik van cryptografische technie- ken. Aangezien het belang van geprogrammeer- de controles en functiescheidingen in de automatiseringsomgeving ook al tot verdeelde meningen leidde, lijkt het erop dat het belang van de kwaliteit van de automatiseringsomge- ving onderschat wordt. Wat als eerste opvalt bij de resultaten van de vraag in hoeverre de maatregelen in hun onder- nemingen waren doorgevoerd, is het feit dat de toepassing van de maatregelen vaak achterblijft bij de norm van de respondenten (zie figuur 1 en 2). Daarnaast blijkt uit de resultaten dat de uit- voering van de maatregelen niet al te best is. Al- leen de toepassing van een niet-beïnvloedbare control-database, aandacht voor continuïteits- maatregelen, goede afspraken met leveranciers, beheersing van het hele proces en toepassing van service level management zijn redelijk doorgevoerd. Bij de toepassing van de overige maatregelen variëren de resultaten enorm en de toepassing van geprogrammeerde controles en functiescheidingen in de automatiseringsomge- ving zijn zelfs slecht.Ook bij de IT-afhankelijke maatregelen is de toepassing in de ondernemin- gen slecht. Dat komt grotendeels door de slech- te toepassing van de cryptografische technieken en de digitale handtekening. Een groot deel van de respondenten gaf al aan het belang van de cryptografische technie- ken, digitale handtekeningen, geprogrammeer- de controles en functiescheidingen in de auto- matiseringsomgeving niet in te zien. In navolging hierop is de toepassing van deze maatregelen ook slecht te noemen. Dit geeft geen al te rooskleurig beeld over de kwaliteit M A N A G E M E N T & I N F O R M A T I E 2 0 0 2 / 6 3 3 Figuur 1: Gemiddelde norm en toepassing ICT-afhankelijke maatregelen 0,00 0,50 1,00 1,50 2,00 2,50 3,00 3,50 4,00 4,50 5,00 firewall architectuur audit-functie firewall cryptografische technieken digitale handtekening SET-protocol inform.beveiliging iteratiefproces norm toepassing Figuur 2: Gemiddelde norm en toepassing ICT-onafhankelijke maatregelen 1,50 2,00 2,50 3,00 3,50 4,00 4,50 5,00 functiescheiding inkoop/verkoop control-database geprogrammeerde controles aansluiten informatiestromen functiescheiding aut.omgeving proceduresen voorschriften continuïteitsmaatregelen afsprakenleveranciers beheersingheleproces toezichtop betaalmethodes servicelevel management norm toepassing
van de automatiseringsomgeving (zowel de or- ganisatorische, als de technische invulling), ter- wijl dit toch één van de belangrijkste elementen is van de ao/ic bij ‘indirect electronic commer- ce’. CONCLUSIE Over het algemeen geven de resultaten van dit onderzoek geen rooskleurig beeld van de kwaliteit van de administratieve organisatie en de interne controle bij ondernemingen die ‘indi- rect electronic commerce’ toepassen. Allereerst is het opzienbarend dat zo’n groot deel van de respondenten aangeeft, dat de toepassing van merendeels van de maatregelen beneden hun eigen norm is. Daarnaast lijkt het feit, dat de kwaliteit van de automatiseringsvoorziening te wensen over laat, ook zorgwekkend, aangezien de automatiseringsvoorziening essentieel is voor succes van dit soort ondernemingen. Ook de toepassing van de rest van de maatregelen laat te wensen over. Indien blijkt dat de situatie bij de non-respondenten inderdaad nog slechter is, lijkt de bewering gerechtvaardigd, dat onder- nemingen die via internet gaan handelen de aanpassingen die nodig zijn in de administratie- ve organisatie en de interne controle in hoge mate onderschatten. Over de auteur Joost Stramrood is werkzaam bij BDO Accountants &Adviseurs. Noot 1. Een firewall is een systeem of groep van systemen, dat een beleid van toegangsbeheersing afdwingt tussen twee netwerken. Literatuur Blonk, S. van der (1999). Het managen van interactie: het succes van electronic commerce. Management & Informatie, maart, p.36-44. Bollen, L.H.H. en Koopmans, A.G.J. (2000). Vertrouwde AO/IC in een nieuwe wereld. Tijdschrift voor bedrijfsadministratie, november, p.400-406. Breed, N.F., Out, D.J. en Tettero, O. (1994). Informatiebeveiliging. Onderzoeksprogramma telematica gidsprojecten, Samsom bedrijfsinformatie, Alphen aan den Rijn/Diegem. Cooke, S., Henry, D., Montes, S. (1998). The emerging digital economy. United States department of commerce, Washington. Egten, C.A. van en Laane, R.N.A.M. (1999). Informatietechnologie en bestuurlijke informatieverzorging een ‘heilige twee-eenheid’? De accountant, december, p.228-233. Eversdijk, W.A.B. (2000). E-commerce: Valkuilen voor ondernemers en accountants (deel2); Beheersingsmaatregelen essentieel voor succes. Accountant-adviseur, januari/februari, p.37-41. Feinman, T.M. en Greenstein, M. (2000). Electronic commerce; Security, Risk Management and Control. McGraw-Hill, Londen. Jans, E.O.J. (1994). Grondslagen administratieve organisatie. Samsom bedrijfsadministratie, Alphen aan den rijn. Jong, P.L. de (1998). Internet electronic commerce: de controle op de volledigheid van de opbrengstverantwoording. Stichting Moret Fonds, deel 30. Kamermans, M.C. (1995). Administratieve organisatie: vernieuwing van een vak. Uitgeverij Tutein Nolthenius, ’s-Hertogenbosch. Mancham, P.J. (1999). De controle van internet-transacties. De accountant, januari, p.335-339. Oonincx, J.A.M. en Pruijm, R.A.M. (1983). Interne controle bij systemen voor automatische informatieverzorging. Samsom uitgeverij, Alphen aan den Rijn. Organisation for Economic Co-operation and Development (O.E.C.D.) (1997). The economic and social impacts of electronic commerce. http://www.oecd.org. Oosterhaven, J.A. (1999). Het is niet alleen goud wat er blinkt... Management & informatie, maart, p.4-13. Overbeek, P., Roos Lindgreen, E. en Spruit, M. (2000). Informatiebeveiliging onder controle. Pearson education uitgeverij B.V., Amsterdam. Overbeek, P. en Sipman, W. (1999). Informatiebeveiliging. Uitgeverij Tutein Nolthenius, ’s-Hertogenbosch, 2e druk. Roos Lindgreen, E. en Vaassen, E.H.J. (2000). Informatiecontrole en e-business. Tijdschrift voor bedrijfsadministratie, november, p.407-412. Soeting, R., Koning, W.F. de, Leeuwen, O.C. van, Nimwegen, H. van, Veldhuizen, E. (1997). Interne controle en informatiecontrole. Kluwer/Limperg Instituut reeks, Kluwer bedrijfsinformatie/Limperg Instituut. Starreveld, R.W., De Mare, H.B. en Joëls, E.J. (1994a). Bestuurlijke informatieverzorging (deel 1); algemene grondslagen. Samsom bedrijfsinformatie, Alphen aan den Rijn/Zaventem, 4e druk. Starreveld, R.W., De Mare, H.B. en Joëls, E.J. (1994b). Bestuurlijke informatieverzorging (deel 2A). Toepassingen; Fasen van de waardenkringloop. Samsom bedrijfsinformatie, Alphen aan den Rijn/Zaventem, 4e druk. Starreveld, R.W., De Mare, H.B. en Joëls, E.J. (1994c). Bestuurlijke informatieverzorging (deel 2B). Toepassingen; Typologie van de bedrijfshuishoudingen. Samsom bedrijfsinformatie, Alphen aan den Rijn/Zaventem, 4e druk. www.forrester.com 3 4 M A N A G E M E N T & I N F O R M A T I E 2 0 0 2 / 6

Recommended

Presentatie Theo Klarenbeek Belastingdienst Twinfield Masterclass #TWFMC
Presentatie Theo Klarenbeek Belastingdienst Twinfield Masterclass #TWFMCPresentatie Theo Klarenbeek Belastingdienst Twinfield Masterclass #TWFMC
Presentatie Theo Klarenbeek Belastingdienst Twinfield Masterclass #TWFMCTwinfield International, a Wolters Kluwer business
 
LIO-Discussiedocument_Continous_Assurance
LIO-Discussiedocument_Continous_AssuranceLIO-Discussiedocument_Continous_Assurance
LIO-Discussiedocument_Continous_AssuranceElly Stroo Cloeck
 
ITSM4_07_Artikel geurtsen-eding
ITSM4_07_Artikel geurtsen-edingITSM4_07_Artikel geurtsen-eding
ITSM4_07_Artikel geurtsen-edingJacques Eding MSc
 
Job Centre+ presentation
Job Centre+ presentationJob Centre+ presentation
Job Centre+ presentationjaneacton
 
Enith
EnithEnith
Enithjameerpalomino
 
Grindrod Overview 2015
Grindrod Overview 2015Grindrod Overview 2015
Grindrod Overview 2015Mzi Khumalo
 
Ahmed zain -mechanical engineer
Ahmed zain -mechanical engineerAhmed zain -mechanical engineer
Ahmed zain -mechanical engineerahmed zain
 
Web20_Clase3_GoogleDocs_4A(Profesor)97
Web20_Clase3_GoogleDocs_4A(Profesor)97Web20_Clase3_GoogleDocs_4A(Profesor)97
Web20_Clase3_GoogleDocs_4A(Profesor)97Ale Vhm
 

Recommended

Presentatie Theo Klarenbeek Belastingdienst Twinfield Masterclass #TWFMC
Presentatie Theo Klarenbeek Belastingdienst Twinfield Masterclass #TWFMCPresentatie Theo Klarenbeek Belastingdienst Twinfield Masterclass #TWFMC
Presentatie Theo Klarenbeek Belastingdienst Twinfield Masterclass #TWFMCTwinfield International, a Wolters Kluwer business
 
LIO-Discussiedocument_Continous_Assurance
LIO-Discussiedocument_Continous_AssuranceLIO-Discussiedocument_Continous_Assurance
LIO-Discussiedocument_Continous_AssuranceElly Stroo Cloeck
 
ITSM4_07_Artikel geurtsen-eding
ITSM4_07_Artikel geurtsen-edingITSM4_07_Artikel geurtsen-eding
ITSM4_07_Artikel geurtsen-edingJacques Eding MSc
 
Job Centre+ presentation
Job Centre+ presentationJob Centre+ presentation
Job Centre+ presentationjaneacton
 
Enith
EnithEnith
Enithjameerpalomino
 
Grindrod Overview 2015
Grindrod Overview 2015Grindrod Overview 2015
Grindrod Overview 2015Mzi Khumalo
 
Ahmed zain -mechanical engineer
Ahmed zain -mechanical engineerAhmed zain -mechanical engineer
Ahmed zain -mechanical engineerahmed zain
 
Web20_Clase3_GoogleDocs_4A(Profesor)97
Web20_Clase3_GoogleDocs_4A(Profesor)97Web20_Clase3_GoogleDocs_4A(Profesor)97
Web20_Clase3_GoogleDocs_4A(Profesor)97Ale Vhm
 
Nathan Squire - Resume and Portfolio
Nathan Squire - Resume and PortfolioNathan Squire - Resume and Portfolio
Nathan Squire - Resume and PortfolioNathan Squire
 
Bol 1045
Bol 1045Bol 1045
Bol 1045Laura Ballesteros
 
Kim E Mozley resume
Kim E Mozley resumeKim E Mozley resume
Kim E Mozley resumeKim Mozley
 
Curriculum Vitae of TNC Makhafola
Curriculum Vitae of TNC MakhafolaCurriculum Vitae of TNC Makhafola
Curriculum Vitae of TNC MakhafolaTetelo Confidence Makhafola
 
Manuscripot mr. ando
Manuscripot mr. andoManuscripot mr. ando
Manuscripot mr. andorjmchicago
 
Iccr presentatie 2015
Iccr presentatie 2015Iccr presentatie 2015
Iccr presentatie 2015rjmchicago
 
Presentation bruder
Presentation bruderPresentation bruder
Presentation bruderrjmchicago
 
Manuscript bierlein
Manuscript bierleinManuscript bierlein
Manuscript bierleinrjmchicago
 
ELVIS SELLO MTLOKWA - Resume
ELVIS SELLO MTLOKWA - ResumeELVIS SELLO MTLOKWA - Resume
ELVIS SELLO MTLOKWA - ResumeElvis Mtlokwa
 
Bricks
BricksBricks
Brickspatiltushar9767
 
Soft palate,tongue ,floor of the mouth swt/endodontic courses
Soft palate,tongue ,floor of the mouth swt/endodontic coursesSoft palate,tongue ,floor of the mouth swt/endodontic courses
Soft palate,tongue ,floor of the mouth swt/endodontic coursesIndian dental academy
 
Costscan Sas
Costscan SasCostscan Sas
Costscan SasGhwerf01
 
Costscan Sas
Costscan SasCostscan Sas
Costscan SasGhwerf01
 
10 trend in IT automation
10 trend in IT automation10 trend in IT automation
10 trend in IT automationRob Akershoek
 
Accountant-EricPols-JohanSchoonen-Data-analyse als brug tussen twee werelden-...
Accountant-EricPols-JohanSchoonen-Data-analyse als brug tussen twee werelden-...Accountant-EricPols-JohanSchoonen-Data-analyse als brug tussen twee werelden-...
Accountant-EricPols-JohanSchoonen-Data-analyse als brug tussen twee werelden-...Eric Pols RE
 
Wms 2015
Wms 2015Wms 2015
Wms 2015Arjan Gelderblom
 
Whitepaper | Zakelijke dienstverlening op zoek naar nieuwe business modellen
Whitepaper | Zakelijke dienstverlening op zoek naar nieuwe business modellenWhitepaper | Zakelijke dienstverlening op zoek naar nieuwe business modellen
Whitepaper | Zakelijke dienstverlening op zoek naar nieuwe business modellenDave Eman
 
Welke ambitie heeft uw medewerker?
Welke ambitie heeft uw medewerker?Welke ambitie heeft uw medewerker?
Welke ambitie heeft uw medewerker?Arjan Gelderblom
 
Start Notitie Sam V 1.3
Start Notitie Sam V 1.3Start Notitie Sam V 1.3
Start Notitie Sam V 1.3ITsyndicaat
 
Artikel: Service Management
Artikel: Service ManagementArtikel: Service Management
Artikel: Service ManagementPetervankeulen
 
Nieuw licht op shadow it
Nieuw licht op shadow itNieuw licht op shadow it
Nieuw licht op shadow itJeroen Philippi
 
Nieuw Licht op Shadow IT
Nieuw Licht op Shadow ITNieuw Licht op Shadow IT
Nieuw Licht op Shadow ITJeroen Philippi
 

More Related Content

Viewers also liked

Nathan Squire - Resume and Portfolio
Nathan Squire - Resume and PortfolioNathan Squire - Resume and Portfolio
Nathan Squire - Resume and PortfolioNathan Squire
 
Kim E Mozley resume
Kim E Mozley resumeKim E Mozley resume
Kim E Mozley resumeKim Mozley
 
Manuscripot mr. ando
Manuscripot mr. andoManuscripot mr. ando
Manuscripot mr. andorjmchicago
 
Iccr presentatie 2015
Iccr presentatie 2015Iccr presentatie 2015
Iccr presentatie 2015rjmchicago
 
Presentation bruder
Presentation bruderPresentation bruder
Presentation bruderrjmchicago
 
Manuscript bierlein
Manuscript bierleinManuscript bierlein
Manuscript bierleinrjmchicago
 
ELVIS SELLO MTLOKWA - Resume
ELVIS SELLO MTLOKWA - ResumeELVIS SELLO MTLOKWA - Resume
ELVIS SELLO MTLOKWA - ResumeElvis Mtlokwa
 
Soft palate,tongue ,floor of the mouth swt/endodontic courses
Soft palate,tongue ,floor of the mouth swt/endodontic coursesSoft palate,tongue ,floor of the mouth swt/endodontic courses
Soft palate,tongue ,floor of the mouth swt/endodontic coursesIndian dental academy
 

Viewers also liked (11)

Nathan Squire - Resume and Portfolio
Nathan Squire - Resume and PortfolioNathan Squire - Resume and Portfolio
Nathan Squire - Resume and Portfolio
 
Bol 1045
Bol 1045Bol 1045
Bol 1045
 
Kim E Mozley resume
Kim E Mozley resumeKim E Mozley resume
Kim E Mozley resume
 
Curriculum Vitae of TNC Makhafola
Curriculum Vitae of TNC MakhafolaCurriculum Vitae of TNC Makhafola
Curriculum Vitae of TNC Makhafola
 
Manuscripot mr. ando
Manuscripot mr. andoManuscripot mr. ando
Manuscripot mr. ando
 
Iccr presentatie 2015
Iccr presentatie 2015Iccr presentatie 2015
Iccr presentatie 2015
 
Presentation bruder
Presentation bruderPresentation bruder
Presentation bruder
 
Manuscript bierlein
Manuscript bierleinManuscript bierlein
Manuscript bierlein
 
ELVIS SELLO MTLOKWA - Resume
ELVIS SELLO MTLOKWA - ResumeELVIS SELLO MTLOKWA - Resume
ELVIS SELLO MTLOKWA - Resume
 
Bricks
BricksBricks
Bricks
 
Soft palate,tongue ,floor of the mouth swt/endodontic courses
Soft palate,tongue ,floor of the mouth swt/endodontic coursesSoft palate,tongue ,floor of the mouth swt/endodontic courses
Soft palate,tongue ,floor of the mouth swt/endodontic courses
 

Similar to Article graduate thesis in Management&Informatie

Costscan Sas
Costscan SasCostscan Sas
Costscan SasGhwerf01
 
Costscan Sas
Costscan SasCostscan Sas
Costscan SasGhwerf01
 
10 trend in IT automation
10 trend in IT automation10 trend in IT automation
10 trend in IT automationRob Akershoek
 
Accountant-EricPols-JohanSchoonen-Data-analyse als brug tussen twee werelden-...
Accountant-EricPols-JohanSchoonen-Data-analyse als brug tussen twee werelden-...Accountant-EricPols-JohanSchoonen-Data-analyse als brug tussen twee werelden-...
Accountant-EricPols-JohanSchoonen-Data-analyse als brug tussen twee werelden-...Eric Pols RE
 
Whitepaper | Zakelijke dienstverlening op zoek naar nieuwe business modellen
Whitepaper | Zakelijke dienstverlening op zoek naar nieuwe business modellenWhitepaper | Zakelijke dienstverlening op zoek naar nieuwe business modellen
Whitepaper | Zakelijke dienstverlening op zoek naar nieuwe business modellenDave Eman
 
Welke ambitie heeft uw medewerker?
Welke ambitie heeft uw medewerker?Welke ambitie heeft uw medewerker?
Welke ambitie heeft uw medewerker?Arjan Gelderblom
 
Start Notitie Sam V 1.3
Start Notitie Sam V 1.3Start Notitie Sam V 1.3
Start Notitie Sam V 1.3ITsyndicaat
 
Artikel: Service Management
Artikel: Service ManagementArtikel: Service Management
Artikel: Service ManagementPetervankeulen
 
Nieuw licht op shadow it
Nieuw licht op shadow itNieuw licht op shadow it
Nieuw licht op shadow itJeroen Philippi
 
Nieuw Licht op Shadow IT
Nieuw Licht op Shadow ITNieuw Licht op Shadow IT
Nieuw Licht op Shadow ITJeroen Philippi
 
05 integratie van cyber ib3_v3
05 integratie van cyber ib3_v305 integratie van cyber ib3_v3
05 integratie van cyber ib3_v3Gilad Bandel
 
[Dutch] JIT 2.0. - een methode voor ondersteunen van proces-automatisatie en ...
[Dutch] JIT 2.0. - een methode voor ondersteunen van proces-automatisatie en ...[Dutch] JIT 2.0. - een methode voor ondersteunen van proces-automatisatie en ...
[Dutch] JIT 2.0. - een methode voor ondersteunen van proces-automatisatie en ...CONFENIS 2012
 
Whitepaper Cost Control
Whitepaper Cost ControlWhitepaper Cost Control
Whitepaper Cost ControlMartin de Smit
 
De waarde van een geïntegreerd klantbeeld
De waarde van een geïntegreerd klantbeeldDe waarde van een geïntegreerd klantbeeld
De waarde van een geïntegreerd klantbeeldDataValueTalk
 
Whitepaper Regieorganisatie
Whitepaper RegieorganisatieWhitepaper Regieorganisatie
Whitepaper Regieorganisatiemadelonnonkes
 
Whitepaper Regieorganisatie
Whitepaper RegieorganisatieWhitepaper Regieorganisatie
Whitepaper RegieorganisatieAnoeskaKruidbos
 
Whitepaper Regieorganisatie
Whitepaper RegieorganisatieWhitepaper Regieorganisatie
Whitepaper RegieorganisatieSuzanneVenes
 

Similar to Article graduate thesis in Management&Informatie (20)

Costscan Sas
Costscan SasCostscan Sas
Costscan Sas
 
Costscan Sas
Costscan SasCostscan Sas
Costscan Sas
 
10 trend in IT automation
10 trend in IT automation10 trend in IT automation
10 trend in IT automation
 
Accountant-EricPols-JohanSchoonen-Data-analyse als brug tussen twee werelden-...
Accountant-EricPols-JohanSchoonen-Data-analyse als brug tussen twee werelden-...Accountant-EricPols-JohanSchoonen-Data-analyse als brug tussen twee werelden-...
Accountant-EricPols-JohanSchoonen-Data-analyse als brug tussen twee werelden-...
 
Wms 2015
Wms 2015Wms 2015
Wms 2015
 
Whitepaper | Zakelijke dienstverlening op zoek naar nieuwe business modellen
Whitepaper | Zakelijke dienstverlening op zoek naar nieuwe business modellenWhitepaper | Zakelijke dienstverlening op zoek naar nieuwe business modellen
Whitepaper | Zakelijke dienstverlening op zoek naar nieuwe business modellen
 
Welke ambitie heeft uw medewerker?
Welke ambitie heeft uw medewerker?Welke ambitie heeft uw medewerker?
Welke ambitie heeft uw medewerker?
 
Start Notitie Sam V 1.3
Start Notitie Sam V 1.3Start Notitie Sam V 1.3
Start Notitie Sam V 1.3
 
Artikel: Service Management
Artikel: Service ManagementArtikel: Service Management
Artikel: Service Management
 
Nieuw licht op shadow it
Nieuw licht op shadow itNieuw licht op shadow it
Nieuw licht op shadow it
 
Nieuw Licht op Shadow IT
Nieuw Licht op Shadow ITNieuw Licht op Shadow IT
Nieuw Licht op Shadow IT
 
datadriven-education-3.0-coney
datadriven-education-3.0-coneydatadriven-education-3.0-coney
datadriven-education-3.0-coney
 
05 integratie van cyber ib3_v3
05 integratie van cyber ib3_v305 integratie van cyber ib3_v3
05 integratie van cyber ib3_v3
 
Establishing Soa And Soa Governance Hsa
Establishing Soa And Soa Governance HsaEstablishing Soa And Soa Governance Hsa
Establishing Soa And Soa Governance Hsa
 
[Dutch] JIT 2.0. - een methode voor ondersteunen van proces-automatisatie en ...
[Dutch] JIT 2.0. - een methode voor ondersteunen van proces-automatisatie en ...[Dutch] JIT 2.0. - een methode voor ondersteunen van proces-automatisatie en ...
[Dutch] JIT 2.0. - een methode voor ondersteunen van proces-automatisatie en ...
 
Whitepaper Cost Control
Whitepaper Cost ControlWhitepaper Cost Control
Whitepaper Cost Control
 
De waarde van een geïntegreerd klantbeeld
De waarde van een geïntegreerd klantbeeldDe waarde van een geïntegreerd klantbeeld
De waarde van een geïntegreerd klantbeeld
 
Whitepaper Regieorganisatie
Whitepaper RegieorganisatieWhitepaper Regieorganisatie
Whitepaper Regieorganisatie
 
Whitepaper Regieorganisatie
Whitepaper RegieorganisatieWhitepaper Regieorganisatie
Whitepaper Regieorganisatie
 
Whitepaper Regieorganisatie
Whitepaper RegieorganisatieWhitepaper Regieorganisatie
Whitepaper Regieorganisatie
 

Article graduate thesis in Management&Informatie

  • 1. De commerciële mogelijkheden die internet ondernemingen biedt, hebben de afgelopen jaren tot een stormachtige omzetgroei van electronic- commerce geleid; van praktisch nul in 1995 naar $657 miljard in 2000 (www.forrester.com). Hier- bij zijn veel nieuwe bedrijfsvormen ontstaan, zo- als network providers, internet service providers en content providers (De Jong, 2000). Deze nieu- we bedrijfsvormen brengen echter ook nieuwe risico’s met zich mee. Om deze nieuwe risico’s te beheersen moeten aanpassingen worden gedaan in de administratieve organisatie en interne con- trole (ao/ic) van de onderneming; veel van deze aanpassingen hebben betrekking op de beveili- ging van de provisioning-systemen. Het onder- schatten van deze aanpassingen kan de bedrijfs- voering schaden of zelfs de continuïteit van de onderneming in gevaar brengen. Dat blijkt over- duidelijk uit een onderzoek onder een groep on- dernemingen die aan ‘indirect e-commerce’ doen. ‘Indirect e-commerce’ is het verkopen van (fysieke) producten en diensten via internet die niet via internet kunnen worden afgeleverd. NOODZAKELIJKE AANPASSINGEN Het begrip ‘administratieve organisatie en interne controle’ (ao/ic) is in de context van dit 2 8 M A N A G E M E N T & I N F O R M A T I E 2 0 0 2 / 6 ADMINISTRATIEVE ORGANISATIE E-COMMERCE BEDRIJVEN ONDER DE MAAT Dit artikel probeert antwoord te geven op vraag welke aanpassingen in de administratieve organisatie en de interne controle nodig zijn om e-commerce-ondernemingen veilig en betrouwbaar te kunnen laten functioneren. Uit onderzoek blijkt dat veel voor verbetering vatbaar is. Joost Stramrood
  • 2. A D M I N I S T R A T I E V E O R G A N I S A T I E artikel gedefinieerd als het stelsel van maatrege- len dat een organisatie kan treffen voor het waarborgen van de betrouwbaarheid van de in- formatie op basis waarvan de onderneming wordt bestuurd en op basis waarvan verant- woording wordt afgelegd aan belanghebben- den. Een onderneming die ‘indirect e-commer- ce’ toepast moet twee type maatregelen treffen om betrouwbaarheid van deze informatie te kunnen waarborgen. Allereerst zijn er de informatietechnologie- onafhankelijke maatregelen. Bij iedere organisa- tie vormen de kwantitatieve verbanden die in de waardenkringloop van de onderneming aan- getroffen kunnen worden, een belangrijk aan- hechtingspunt voor de ao/ic. De kracht van dit aanhechtingspunt is afhankelijk van de aard van de bedrijfsactiviteiten. Een onderneming die indirecte e-commerce gaat toepassen, kan op basis van haar bedrijfsactiviteiten geclassifi- ceerd worden als een handelsbedrijf die in hoofdzaak op rekening levert. Door de sterke kwantitatieve verbanden bij de waardenkring- loop van dit soort handelsondernemingen, is de waardenkringloop hier een belangrijk en sterk aangrijpingspunt voor de interne controle. Door via internet te handelen verandert er veel in de wijze waarop de bedrijfsprocessen worden gerealiseerd ten opzichte van een tradi- tionele handelsonderneming. Zo wordt er veel meer gesteund op de automatisering en valt de fysieke documentatie weg. De veranderingen in de bedrijfsprocessen en de nieuwe risico’s die hierdoor ontstaan moeten dan ook, ten opzichte van traditionele handelsondernemingen, leiden tot aanpassingen in de inrichting van de admi- nistratieve organisatie en de interne controle van een onderneming die via internet handelt; de ICT-onafhankelijke maatregelen. Daarnaast zijn er ICT-afhankelijke maatrege- len nodig om de technologie gerelateerde risi- co’s te beheersen. Naast de risico’s die ontstaan door de veranderingen in de bedrijfsprocessen, staat een onderneming die via internet handelt, door de grote afhankelijkheid van informatie en informatietechnologie immers ook meer bloot aan deze risico’s dan een traditionele handels- onderneming. Om de kwaliteitsaspecten van de informatievoorziening te waarborgen moet de onderneming dan ook maatregelen implemen- teren om deze bedreigingen te ondervangen – met andere woorden, de onderneming moet bij het inrichten van de ao/ic meer aandacht beste- den aan maatregelen die wel worden samenge- vat onder de noemer informatiebeveiliging. ICT-ONAFHANKELIJKE MAATREGELEN Bij ondernemingen die ‘indirect e-commerce’ toepassen, zal een hoge mate van automatisering plaatsvinden. Hierdoor vallen traditionele hand- matige controles weg (en daarmee de menselijke beoordeling). Om de betrouwbaarheid te waar- borgen bij zo’n onderneming kan het vervallen van deze traditionele handmatige controle opge- vangen worden door geprogrammeerde contro- les. Dat wil zeggen door in de programmatuur opgenomen controles (Oonincx & Pruim, 1983, p.140). Voorbeelden van geprogrammeerde con- troles zijn bestaanbaarheidscontroles, waar- schijnlijkheidscontroles, redelijkheidscontroles, verbandscontroles en toetsing aan voortellingen (Eversdijk, 2000, p.40). Door de hoge mate van automatisering valt tevens (een groot deel van) de fysieke documen- tatie weg. Hierdoor is er nog maar één (elektro- nische) informatiestroom te herkennen, wat het vaststellen van een soll-positie lastig maakt. Om deze verzwakking van de interne controle op te vangen kan de mogelijkheid benut worden om binnen de webomgeving alle informatiestro- men op elkaar aan te sluiten (overkoepelende verbandcontroles); inkoop = verkoop en bestel- ling door klant = bijboeking bank = bestelling bij leverancier = afgifte aan pakketservice = afgifte aan klant (Bollen & Koopmans, 2000, p.404). De kracht van deze maatregel is afhankelijk van de kwaliteit van automatiseringsomgeving. Om het risico verder in te perken kan de onder- neming ook nog gebruik maken van een afzon- derlijke niet-beïnvloedbare control-database. In deze database vindt een niet-manipuleerbare en onafhankelijke parallelle registratie van alle transactiemutaties plaats, waardoor wel een soll-positie is vast te stellen. Er vindt tevens een verzwakking van de in- terne controle plaats, wanneer de onderneming M A N A G E M E N T & I N F O R M A T I E 2 0 0 2 / 6 2 9
  • 3. de levering van producten direct aan de afne- mers laat verzorgen door de leverancier (en een pakketdienst) (De Jong, 1998). Dit leidt tot het wegvallen van de fysieke voorraad en daarmee een belangrijk steunpunt van de ao/ic. Er ont- staat dan een risico dat de in- en verkooporgani- satie buiten de organisatie om samenspannen. Om dit risico te beheersen lijkt het zinvol om ex- tra aandacht te besteden aan een goede functie- scheiding tussen in- en verkoop (Bollen & Koop- mans, 2000). KWALITEIT VAN ICT-OMGEVING De kracht van bovengenoemde maatregelen is voor een groot deel afhankelijk van de kwali- teit van de automatiseringsomgeving. Door deze hoge afhankelijkheid is het belangrijk om procedures en voorschriften (zoals back-uppro- cedures en de omgang met paswoorden) in te stellen en controle uit te oefenen op de naleving hiervan. Op deze manier wordt getracht om wil- lekeur en ongewenste handelingen uit te sluiten of zoveel mogelijk te bemoeilijken, waardoor de controleerbaarheid van de automatiseringsom- geving wordt bevorderd (Starreveld et al, 1994a, p.372). Cryptografische technieken en digitale handtekening nauwelijks toegepast Om een hoge kwaliteit te waarborgen kun- nen daarnaast twee soorten functiescheidingen in de automatiseringsomgeving toegepast wor- den. Bij automatisering treedt een integratie van de verschillende deelbewerkingen op, wat een aantasting van de controletechnische functie- scheiding kan betekenen (Oonincx & Pruim, 1983, p.21). Om hier toch een functiescheiding af te dwingen kan gebruik gemaakt worden van autorisatiecontrole. Met deze controle is het mo- gelijk een functioneel gescheiden gegevensin- voer af te dwingen, die – gecombineerd met goede procedures en voorschriften – tot een doelmatige functiescheiding leidt. Tevens is een functiescheiding tussen systeemontwikkelings-, verwerkings-, en gebruikersorganisatie ge- wenst. Deze functiescheiding is nodig om de mogelijkheden tot manipulatie binnen de ont- wikkeling en het gebruik van het automatise- ringssysteem, die kan ontstaan door ongewens- te combinaties van functies, te minimaliseren. RELATIE MET DERDEN Eén van de kritieke succesfactoren is een snelle en betrouwbare levering aan de klant. Hiervoor is de onderneming afhankelijk van de leverancier. Deze relatie wordt nog verder doorgevoerd indien de leverancier (een deel van) de levering direct aan de afnemers laat ver- zorgen. Wegens deze grote afhankelijkheid moet de onderneming goede afspraken maken met de leveranciers (onder meer over de kwali- teit van de diensten en beveiliging van de infor- matiestromen). Daarnaast is de onderneming ook vaak afhankelijk van een pakketdienst. Ook hier is het zinvol om goede afspraken te maken, zodat knelpunten in de logistiek kunnen wor- den vermeden. Om tenslotte het hele proces van een snelle en betrouwbare levering aan de afne- mer te beheersen, kan de onderneming ook nog een controle uitvoeren bij de afnemer (is er wel geleverd en op tijd?). Er kan ook relatie met een derde ontstaan als onderneming de ontwikkeling en/of het beheer van de webomgeving heeft uitbesteed aan een IT-dienstverlener. Wegens het grote belang van de IT-organisatie moeten goede afspraken ge- maakt worden over de kwaliteit van de dienst- verlening. Deze afspraken worden vaak vastge- legd in service level agreements. Deze afspraken moeten ook bewaakt en geëvalueerd worden. Dit hele proces wordt service level ma- nagement genoemd. OVERIGE MAATREGELEN Het succes van een e-business onderneming is erg afhankelijk van een continue voortzetting van de geautomatiseerde systemen. Vallen de geautomatiseerde systemen immers uit door een calamiteit, dan is de onderneming niet meer aanwezig op internet en kan zij geen verkoop- transacties tot stand brengen (Van Egten & Laane, 1999, p.231). Om te zorgen dat de onder- 3 0 M A N A G E M E N T & I N F O R M A T I E 2 0 0 2 / 6
  • 4. A D M I N I S T R A T I E V E O R G A N I S A T I E neming 24 uur per dag ‘open’ is, moet veel aan- dacht besteed zijn aan de back-up van de gege- vens, uitwijkmogelijkheden en andere continuï- teitsmaatregelen, zoals herstelprocedures en redundantie in de apparatuur. Tenslotte lijkt het nuttig extra aandacht te be- steden aan de ao/ic rond de betalingen voor de producten. Vaak wordt een veelheid aan be- talingswijzen aangeboden, elk met specifieke ri- sico’s. Om deze risico’s af te dekken, moet de onderneming toezicht houden op de volledig- heid van de opbrengstverantwoording. Het besteden van veel aandacht aan de administra- tieve organisatie en interne controle rond de in- terne afhandeling van de verschillende beta- lingsprocedures lijkt dan ook van groot belang (Bollen & Koopmans, 2000). ICT-AFHANKELIJKE MAATREGELEN Aangezien informatietechnologie vatbaar is voor velerlei bedreigingen (zowel menselijke als niet-menselijke), staat een onderneming die via internet handelt nog meer bloot aan technolo- giegerelateerde risico’s dan een traditionele handelsonderneming (Roos Lindgreen & Vaas- sen, 2000). Een onderneming die via internet handelt moet dan ook maatregelen treffen om deze risico’s te beheersen. Dit is het terrein van de informatiebeveiliging; het implementeren van een pakket maatregelen om de kwaliteitsas- pecten van de informatievoorziening te waar- borgen. Deze kwaliteitsaspecten zijn beschik- baarheid, integriteit, vertrouwelijkheid en authenticiteit (Breed et al, 1994). Om een effec- tieve beveiliging te waarborgen moet de onder- neming informatiebeveiliging als een iteratief proces behandelen. VEILIGE KOPPELING MET INTERNET Door te gaan handelen via internet wordt het informatiesysteem van de onderneming gekop- peld aan een open netwerk (externe integratie). Tussen deze netwerken vinden verschillende informatiestromen plaats. Bij een geslaagde aanval van buitenaf op het beveiligingssysteem, kan toegang tot het interne netwerk worden verkregen. Deze koppeling brengt dan ook een aantal potentiële dreigingen met zich mee (Bol- len en Koopmans, 2000, p.401). Om deze risico’s te ondervangen kan de onderneming een goede firewall architectuur doorvoeren.1 Een goede fi- rewall architectuur ontstaat bijvoorbeeld door de diensten, die de onderneming aan de buiten- wereld wil laten zien, in een ‘demilitarized zone’ te plaatsen, waarbij internet afgeschermd wordt met een eenvoudige, snelle firewall en het interne netwerk met een geavanceerde, vei- lige firewall. Daarnaast kan de firewall uitgebreid worden met een audit-functie. Met deze functie kunnen afwijkende patronen in het gebruik van de infrastructuur gedetecteerd worden (en leiden tot maatregelen!) en kan al het inkomende en uitgaande verkeer in logbestanden bewaard worden. (Breed et al, 1994, p.42-43 en Greenstein & Feinman, 2000, p.279). BEVEILIGING VERKEERSSTROMEN Bij indirecte e-commerce maakt de papieren documentatie plaats voor elektronische berich- tenuitwisseling. Deze elektronische berichten- uitwisseling staat bloot aan een aantal dreigin- gen, waardoor minder zekerheid bestaat over de herkomst en echtheid van deze documenten. Om deze betrouwbaarheid wel te kunnen waar- borgen moet de onderneming het gegevens- transport beveiligen. Hierbij kan gebruik ge- maakt worden van cryptografische technieken. Encryptie (vercijferen) is één van de belangrijk- ste aspecten van cryptografie. Encryptie kan omschreven worden als de transformatie van data (de ‘cleartext’ of ‘plaintext’), met behulp van een cryptografisch, mathematisch proces (het algoritme), in een vorm (de ‘cipher text’) die voor iedereen die de bijpassende geheime sleu- tel niet heeft, onleesbaar is (Greenstein & Fein- man, 2000, p.232). Voor het transformeren van de onleesbare cipher text in de originele leesba- re cleartext (decryptie) is de bijpassende gehei- me sleutel nodig. Er zijn twee verschillende encryptiesyste- men: symmetrische en asymmetrische metho- des. Door de verschillende karakteristieken van M A N A G E M E N T & I N F O R M A T I E 2 0 0 2 / 6 3 1
  • 5. deze methodes te benutten kan de vertrouwe- lijkheid van de berichten gewaarborgd worden. Om ook de overige kwaliteitsaspecten van de beveiliging van de berichtenuitwisseling te waarborgen kan gebruik gemaakt worden van andere cryptografische methodes, zoals de digi- tale handtekening (Mancham, 1999) en de hash- functie (Greenstein & Feinman, 2000). Daarnaast heeft de onderneming een Public Key Infrastructure nodig om de elektronische distributie van sleutels bij asymmetrische en- cryptie betrouwbaar toe te kunnen passen. Bij de betaling van de verkooptransacties met de credit card, wordt ook gebruik gemaakt van cryptografische technieken. Dit is nodig om het risico weg te nemen, dat bij de betaling het nummer van de creditcard wordt afgeluisterd. Met behulp van deze technieken is enkele jaren geleden het protocol Secure Electronic Transac- tion (SET) ontwikkeld, dat zowel de vertrouwe- lijkheid en integriteit van de gegevens, als de authenticiteit van de betrokken partijen garan- deert. In de praktijk kiezen ondernemingen ech- ter vaker voor het minder veilige, maar goed- kopere Secure Socket Layer (SSL) protocol. SET is inmiddels opgeheven. DE PRAKTIJK Om te onderzoeken of ondernemingen die via internet gaan handelen zich in de praktijk niet blindstaren op de voordelen van internet en de aanpassingen die nodig zijn in de adminis- tratieve organisatie en de interne controle on- derschatten, is een praktijkonderzoek verricht onder controllers van Nederlandse onderne- mingen die indirecte e-commerce toepassen. Dit onderzoek vond plaats in de vorm van een en- quête, waarbij de nodig geachte aanpassingen, die in de vorige paragraven behandeld zijn, ge- formuleerd werden in zeventien stellingen. Per stelling werden twee vragen aan de controllers gesteld: In hoeverre ze het eens zijn met de stel- ling en in hoeverre de stelling van toepassing is in hun onderneming. Voor deze enquête zijn 36 ondernemingen benaderd. Van deze groep heb- ben zeven ondernemingen de enquête volledig ingevuld teruggestuurd en gaven zes onderne- mingen aan niet mee te willen werken, waarbij tijdsgebrek als belangrijkste reden werd opge- geven. De overige ondernemingen gaven geen reactie. De lage respons is een grote beperking van dit onderzoek, aangezien de non-respondenten de uitkomsten kunnen vertekenen. De non-re- spons kan bijvoorbeeld een groep ondernemin- gen bevatten die niet mee willen werken, omdat hun administratieve organisatie en interne con- trole slecht ingericht zijn. Indien ondernemin- gen zich blindstaren op de voordelen van inter- net, is deze situatie niet ondenkbaar. Er wordt dan ook vermoed dat de verkregen informatie nog een te positief beeld geeft. Verder onder- zoek onder de non-respondenten zal dit uit moeten wijzen. Een andere beperking van het onderzoek is het technische karakter van de IT-afhankelijke stellingen, waardoor deze buiten het kennisge- bied van de controller kunnen vallen. Hoewel getracht is dit probleem in te perken door te technische stellingen buiten de enquête te laten, is uit de verkregen resultaten op te merken dat de controllers moeite hebben sommige IT-af- hankelijke stellingen te beantwoorden. In onge- veer een kwart van de gevallen geven de re- spondenten aan geen idee of geen mening te hebben over de IT-afhankelijke stellingen. De verkregen resultaten geven dan ook misschien een verkeerd beeld. Verder onderzoek zal ook dit moeten uitwijzen. RESULTATEN EN ANALYSE Uit de resultaten blijkt dat de respondenten het over het algemeen eens waren met de IT-on- afhankelijke stellingen. Twee op de drie respon- denten gaven aan het met een stelling eens of zeer eens te zijn. Alleen over het belang van het schenken van extra aandacht aan de functie- scheiding tussen in- en verkoop bij het wegval- len van de fysieke voorraad en de functieschei- dingen in de automatiseringsomgeving heerste verdeeldheid. Daarnaast leek het belang van ge- 3 2 M A N A G E M E N T & I N F O R M A T I E 2 0 0 2 / 6
  • 6. A D M I N I S T R A T I E V E O R G A N I S A T I E programmeerde controles niet onderkend te worden door merendeels van de respondenten. Ook de IT-afhankelijke maatregelen leken door groot deel van de respondenten te worden bevestigd. Het percentage van de gevallen waarin de respondenten het niet met de stelling eens zijn, wordt voor een groot deel veroorzaakt door de verdeelde meningen over het gebruik van cryptografische technieken (het belang van het gebruik van digitale handtekeningen lijkt helemaal niet ingezien te worden). Een deel van de controllers lijkt dus geen groot belang hech- ten aan het gebruik van cryptografische technie- ken. Aangezien het belang van geprogrammeer- de controles en functiescheidingen in de automatiseringsomgeving ook al tot verdeelde meningen leidde, lijkt het erop dat het belang van de kwaliteit van de automatiseringsomge- ving onderschat wordt. Wat als eerste opvalt bij de resultaten van de vraag in hoeverre de maatregelen in hun onder- nemingen waren doorgevoerd, is het feit dat de toepassing van de maatregelen vaak achterblijft bij de norm van de respondenten (zie figuur 1 en 2). Daarnaast blijkt uit de resultaten dat de uit- voering van de maatregelen niet al te best is. Al- leen de toepassing van een niet-beïnvloedbare control-database, aandacht voor continuïteits- maatregelen, goede afspraken met leveranciers, beheersing van het hele proces en toepassing van service level management zijn redelijk doorgevoerd. Bij de toepassing van de overige maatregelen variëren de resultaten enorm en de toepassing van geprogrammeerde controles en functiescheidingen in de automatiseringsomge- ving zijn zelfs slecht.Ook bij de IT-afhankelijke maatregelen is de toepassing in de ondernemin- gen slecht. Dat komt grotendeels door de slech- te toepassing van de cryptografische technieken en de digitale handtekening. Een groot deel van de respondenten gaf al aan het belang van de cryptografische technie- ken, digitale handtekeningen, geprogrammeer- de controles en functiescheidingen in de auto- matiseringsomgeving niet in te zien. In navolging hierop is de toepassing van deze maatregelen ook slecht te noemen. Dit geeft geen al te rooskleurig beeld over de kwaliteit M A N A G E M E N T & I N F O R M A T I E 2 0 0 2 / 6 3 3 Figuur 1: Gemiddelde norm en toepassing ICT-afhankelijke maatregelen 0,00 0,50 1,00 1,50 2,00 2,50 3,00 3,50 4,00 4,50 5,00 firewall architectuur audit-functie firewall cryptografische technieken digitale handtekening SET-protocol inform.beveiliging iteratiefproces norm toepassing Figuur 2: Gemiddelde norm en toepassing ICT-onafhankelijke maatregelen 1,50 2,00 2,50 3,00 3,50 4,00 4,50 5,00 functiescheiding inkoop/verkoop control-database geprogrammeerde controles aansluiten informatiestromen functiescheiding aut.omgeving proceduresen voorschriften continuïteitsmaatregelen afsprakenleveranciers beheersingheleproces toezichtop betaalmethodes servicelevel management norm toepassing
  • 7. van de automatiseringsomgeving (zowel de or- ganisatorische, als de technische invulling), ter- wijl dit toch één van de belangrijkste elementen is van de ao/ic bij ‘indirect electronic commer- ce’. CONCLUSIE Over het algemeen geven de resultaten van dit onderzoek geen rooskleurig beeld van de kwaliteit van de administratieve organisatie en de interne controle bij ondernemingen die ‘indi- rect electronic commerce’ toepassen. Allereerst is het opzienbarend dat zo’n groot deel van de respondenten aangeeft, dat de toepassing van merendeels van de maatregelen beneden hun eigen norm is. Daarnaast lijkt het feit, dat de kwaliteit van de automatiseringsvoorziening te wensen over laat, ook zorgwekkend, aangezien de automatiseringsvoorziening essentieel is voor succes van dit soort ondernemingen. Ook de toepassing van de rest van de maatregelen laat te wensen over. Indien blijkt dat de situatie bij de non-respondenten inderdaad nog slechter is, lijkt de bewering gerechtvaardigd, dat onder- nemingen die via internet gaan handelen de aanpassingen die nodig zijn in de administratie- ve organisatie en de interne controle in hoge mate onderschatten. Over de auteur Joost Stramrood is werkzaam bij BDO Accountants &Adviseurs. Noot 1. Een firewall is een systeem of groep van systemen, dat een beleid van toegangsbeheersing afdwingt tussen twee netwerken. Literatuur Blonk, S. van der (1999). Het managen van interactie: het succes van electronic commerce. Management & Informatie, maart, p.36-44. Bollen, L.H.H. en Koopmans, A.G.J. (2000). Vertrouwde AO/IC in een nieuwe wereld. Tijdschrift voor bedrijfsadministratie, november, p.400-406. Breed, N.F., Out, D.J. en Tettero, O. (1994). Informatiebeveiliging. Onderzoeksprogramma telematica gidsprojecten, Samsom bedrijfsinformatie, Alphen aan den Rijn/Diegem. Cooke, S., Henry, D., Montes, S. (1998). The emerging digital economy. United States department of commerce, Washington. Egten, C.A. van en Laane, R.N.A.M. (1999). Informatietechnologie en bestuurlijke informatieverzorging een ‘heilige twee-eenheid’? De accountant, december, p.228-233. Eversdijk, W.A.B. (2000). E-commerce: Valkuilen voor ondernemers en accountants (deel2); Beheersingsmaatregelen essentieel voor succes. Accountant-adviseur, januari/februari, p.37-41. Feinman, T.M. en Greenstein, M. (2000). Electronic commerce; Security, Risk Management and Control. McGraw-Hill, Londen. Jans, E.O.J. (1994). Grondslagen administratieve organisatie. Samsom bedrijfsadministratie, Alphen aan den rijn. Jong, P.L. de (1998). Internet electronic commerce: de controle op de volledigheid van de opbrengstverantwoording. Stichting Moret Fonds, deel 30. Kamermans, M.C. (1995). Administratieve organisatie: vernieuwing van een vak. Uitgeverij Tutein Nolthenius, ’s-Hertogenbosch. Mancham, P.J. (1999). De controle van internet-transacties. De accountant, januari, p.335-339. Oonincx, J.A.M. en Pruijm, R.A.M. (1983). Interne controle bij systemen voor automatische informatieverzorging. Samsom uitgeverij, Alphen aan den Rijn. Organisation for Economic Co-operation and Development (O.E.C.D.) (1997). The economic and social impacts of electronic commerce. http://www.oecd.org. Oosterhaven, J.A. (1999). Het is niet alleen goud wat er blinkt... Management & informatie, maart, p.4-13. Overbeek, P., Roos Lindgreen, E. en Spruit, M. (2000). Informatiebeveiliging onder controle. Pearson education uitgeverij B.V., Amsterdam. Overbeek, P. en Sipman, W. (1999). Informatiebeveiliging. Uitgeverij Tutein Nolthenius, ’s-Hertogenbosch, 2e druk. Roos Lindgreen, E. en Vaassen, E.H.J. (2000). Informatiecontrole en e-business. Tijdschrift voor bedrijfsadministratie, november, p.407-412. Soeting, R., Koning, W.F. de, Leeuwen, O.C. van, Nimwegen, H. van, Veldhuizen, E. (1997). Interne controle en informatiecontrole. Kluwer/Limperg Instituut reeks, Kluwer bedrijfsinformatie/Limperg Instituut. Starreveld, R.W., De Mare, H.B. en Joëls, E.J. (1994a). Bestuurlijke informatieverzorging (deel 1); algemene grondslagen. Samsom bedrijfsinformatie, Alphen aan den Rijn/Zaventem, 4e druk. Starreveld, R.W., De Mare, H.B. en Joëls, E.J. (1994b). Bestuurlijke informatieverzorging (deel 2A). Toepassingen; Fasen van de waardenkringloop. Samsom bedrijfsinformatie, Alphen aan den Rijn/Zaventem, 4e druk. Starreveld, R.W., De Mare, H.B. en Joëls, E.J. (1994c). Bestuurlijke informatieverzorging (deel 2B). Toepassingen; Typologie van de bedrijfshuishoudingen. Samsom bedrijfsinformatie, Alphen aan den Rijn/Zaventem, 4e druk. www.forrester.com 3 4 M A N A G E M E N T & I N F O R M A T I E 2 0 0 2 / 6