Samenwerking tussen Operational- en IT-auditor

Maat: px
Weergave met pagina beginnen:

Download "Samenwerking tussen Operational- en IT-auditor"

Transcriptie

1 Samenwerking tussen Operational- en IT-auditor randvoorwaarden, mogelijkheden en domeinen voor de samenwerking tussen de Operational en de it-auditor Instituut van Internal Auditors Nederland

2 Samenwerking tussen Operational- en IT-auditor Randvoorwaarden, mogelijkheden en domeinen voor de samenwerking tussen de Operational en de IT-auditor Instituut van Internal Auditors Nederland

3 Colofon Redactie Frits Engel EMIA RO CCSA drs. Piet Goeyenbier RE RA RO Albert Kuppers RE Overige werkgroepleden drs. Danielle van Emmerik RA RO drs. Ruth van den Heuvel-Slappendel EMIA RO drs. Xu-Yao Pan EMIA RO drs. ing. Arno Nuijten RE CIA CISA drs. Marc van der Veen RA Disclosure IIA publiceert dit document voor informatieve en educatieve doeleinden. Het rapport is met name bedoeld als gids. In dit rapport komen Engelse woorden voor. Wij hebben ervoor gekozen om over het algemeen geen vertaling op te nemen. Om de leesbaarheid te vergroten hebben wij er voor gekozen om in de hoofdtekst geen literatuurverwijzingen op te nemen. Deze literatuurverwijzingen zijn wel in de bijlagen opgenomen. Copyright Het copyright van deze publicatie is in handen van IIA Nederland. Toestemming voor reproductie kunt u per aanvragen bij IIA via 4

4 Voorwoord De missie van IIA Nederland is om het beroep en vak internal audit in Nederland te ondersteunen, ontwikkelen en promoten, en daarvoor internal auditors, management en andere belanghebbenden behulpzaam te zijn bij een succesvolle invulling van de internal audit functie. De geautomatiseerde informatievoorziening is vandaag de dag niet meer weg te denken uit de organisatie en raakt alle beheersaspecten en processen van een organisatie. De Operational- (OA) en de IT-auditor (ITA) kunnen elkaar uitstekend aanvullen en samenwerken op de gebieden van beheersing van organisatie, processen, projecten, risico s en informatievoor-ziening. Vanuit de Commissie Vaktechniek heeft een enthousiaste werkgroep invulling gegeven aan het onderzoeken en het nader uitwerken van die samenwerking tussen OA en ITA en daarbij tevens ingezoomd op de onderkende beheersgebieden. Ik dank de werkgroepleden hartelijk voor hun inzet om de leden van IIA Nederland inzicht te geven in zowel de gedrags- als de methodische aspecten van de samenwerking tussen OA en ITA en daarnaast de grote hoeveelheid nuttige documenten die via de website van IIA (www.iia.nl) te ontsluiten zijn via 22 referentiekaarten over uiteenlopende en relevante onderwerpen van de hiervoor genoemde te beheersen gebieden. Ik adviseer een ieder die werkzaam is op het raakvlak organisatie/informatievoorziening kennis te nemen van deze rapportage. Michel Kee RA Voorzitter IIA Nederland 5

5 Dankwoord We willen graag van de gelegenheid gebruik maken om alle 300 IIA leden die meegedaan hebben aan onze enquête over de samenwerking tussen de Operational- en IT-auditor te bedanken. Verder dank aan de auditmanagers met wie wij de resultaten van de enquête hebben besproken en van wie wij reacties hebben ontvangen over de herkenbaarheid van de resultaten. Uiteraard ook dank aan de auditmanagers van de organisaties die ons informatie over de organisatie van hun internal audit functie hebben gegeven en alle anderen die een bijdrage hebben geleverd. 6

6 Inhoudsopgave Waar gaat het over? 8 1 Waar doen wij het voor? Vertrekpunt en afbakening Werkwijze Leeswijzer Deel 1 Generieke aspecten bij de samenwerking tussen OA en ITA 10 1 Waar gaat het over? Regelgeving OA en ITA Organisatorische aspecten Gedragsaspecten Audituitvoering en samenwerking Overeenkomsten en verschillen Deel 2 De gebieden voor samenwerking van OA en ITA 18 1 Waar gaat het over? Organisatiebeheersing Risico- en projectbeheersing Procesbeheersing Beheersing informatievoorziening Beveiliging informatievoorziening Tot slot Referentiekaarten Bijlagen 1 Relevante regelgeving voor OA en ITA 2 Inventarisatie praktijk IA-functie met betrekking tot OA en ITA 3 Gedragsaspecten samenwerking OA en ITA 4 Integrated auditplanning: een stappenplan 5 Inventarisatie werkwijze op basis van de theorie van OA en ITA De bijlagen en de referentiekaarten vindt u op deze cd of kunt u downloaden van de website van IIA. 7

7 Waar gaat het over? 1 Waar doen wij het voor? De steeds intensievere informatisering en de continue aandacht voor organisatie- en procesverbetering zorgen er voor dat de Operational Auditor (OA) en de IT-auditor (ITA) elkaar steeds vaker in het werkveld tegenkomen en samen optrekken. De commissie vaktechniek van het IIA heeft een werkgroep ingesteld om nader onderzoek te doen op dit gebied. Met dit rapport willen wij good practices beschikbaar stellen die de samenwerking tussen de OA en de ITA bevorderen. Zij vormen dan ook de primaire doelgroepen waar wij ons op richten. Dit rapport geeft ook nuttige handvatten voor anderen. Wij denken dan vooral aan de financial auditors, controllers en management. 2 Vertrekpunt en afbakening De centrale vraag die wij proberen te beantwoorden is: Op welke wijze en op welke terreinen kunnen de OA en ITA samenwerken en hoe kan die samenwerking worden bevorderd? Bij de beantwoording van deze vraag hebben wij een drietal onderwerpen onderscheiden, waarvan de eerste twee in elkaars verlengde liggen: 1. Welke randvoorwaarden of aandachtspunten hebben invloed op de samenwerking tussen OA en ITA? Hoe kunnen deze de samenwerking bevorderen? Dit betreft onderwerpen als organisatie, communicatie, gedragsaspecten, regelgeving en de beroepsorganisaties. 2. Welke good practices zijn er bij de samenwerking op het gebied van de uitvoering te vinden? Hier gaan wij in op de verschillende fasen van de audit en een aantal onderwerpen zoals jaarlijkse risicoanalyse, planning, jaarplan, projectplan, aanpak, referentiemodel, normenkader, dossiervorming en kwaliteitsborging. 3. Welke domeinen lenen zich voor samenwerking tussen OA en ITA? In de vorm van referentiekaarten worden deze domeinen behandeld. Als afbakening hebben wij ervoor gekozen ons specifiek te richten op die factoren die de samenwerking tussen OA en ITA direct beïnvloeden. Wij gaan niet specifiek in op de positionering van de Internal Audit Functie zelf. Daaraan wordt in andere studies, richtlijnen en documenten al genoeg aandacht geschonken. Verder richten wij ons vooral op de assurancefunctie, de resultaten zullen breder toepasbaar zijn. 3 Werkwijze Wij zijn op zoek gegaan naar de randvoorwaarden die van invloed zijn op de samenwerking tussen en de overeenkomsten en verschillen met betrekking tot de OA en de ITA. Tevens hebben we onderzocht waar de OA en ITA elkaar tegen (kunnen) komen. Er is een groot aantal onderwerpen te onderkennen, waarop de OA en ITA goed kunnen samenwerken en die voor een good practice in aanmerking kunnen komen. Om het geheel overzichtelijk te houden hebben we keuzes gemaakt. Wij pretenderen dan ook niet dat wij volledig zijn met de uiteindelijk 22 referentiekaarten met domeinen waarop de OA en ITA kunnen samenwerken. Deze referentiekaarten zijn niet in dit rapport opgenomen maar via het besloten deel van te benaderen. 4 Leeswijzer Het rapport bestaat uit twee delen. Deel 1 bevat een generieke beschrijving waarin wordt ingegaan op de randvoorwaarden of aandachtspunten die de samenwerking tussen de OA en de ITA kunnen bevorderen. In dit deel wordt ook aandacht gegeven aan gedragsaspecten bij de samenwerking en de audituitvoering. 8

8 In deel 2 hebben wij de toelichting op de referentiekaarten opgenomen. Deze hebben wij geclusterd in vijf groepen van organisatiebeheersing van proces- en risico- en projectbeheersing tot de beheersing en de beveiliging van de informatievoorziening. Bijzonder aan de referentiekaarten is dat wij in de digitale versie van de referentiekaarten (www.iia.nl) good practices in de vorm van ingesloten documenten hebben opgenomen. Hiermee zijn tientallen MB s aan nuttige en waardevolle documenten vanuit het vrije domein (internet) in deze referentiekaarten opgenomen. In de vijf bijlagen zijn de resultaten van het veldwerk opgenomen die de basis vormen voor deel 1 De generieke aspecten van samenwerking tussen OA en ITA. De gehele rapportage (rapport, de vijf bijlagen en de 22 referentiekaarten) wordt in onderdelen beschikbaar gesteld als download via het besloten deel van de website van IIA (www.iia.nl) en vindt u op deze cd. 9

9 Deel 1: Generieke aspecten bij de samenwerking tussen OA en ITA 1 Waar gaat het over? In dit deel gaan wij in op de randvoorwaarden en aandachtspunten die van invloed zijn op de samenwerking tussen de Operational auditor (OA) en de IT-auditor (ITA). Tevens gaan wij in op de uitvoering van deze samenwerking. In de volgende paragrafen zal dieper ingegaan worden op regelgeving, organisatorische aspecten, gedragsaspecten en werkwijze. We sluiten dit deel af met een overzicht van de overeenkomsten en verschillen bezien vanuit de OA en ITA. 2 Regelgeving OA en ITA De Operational- en IT-auditors hebben geen specifieke wetgeving waaraan zij zich moeten houden. Ze hebben wel te maken met de regelgeving die door de beroepsorganisaties IIA (Instituut van Internal Auditors (voor alle internal- en operational auditors)) en NOREA (Nederlandse Orde van Register EDP-auditors (specifiek voor IT audit)) is uitgegeven. In bijlage 1 Relevante regelgeving voor OA en ITA is een inventarisatie opgenomen van de relevante regelgeving, alsmede een vergelijking van de postdoctorale opleidingen. De belangrijkste constatering is dat er meer overeenkomsten dan verschillen in de regelgeving zijn. Voor de ITA zijn meer gedetailleerde uitwerkingen in de Nederlandse taal beschikbaar. Een belangrijk verschil is dat NOREA en daarmee de gecertificeerde IT-auditor RE erkend is door de NBA (Nederlandse Beroepsorganisatie van Accountants) als opdracht-verantwoordelijke voor assurance-opdrachten en overeengekomen specifieke werkzaamheden; IIA en daarmee de RO is dat (nog) niet. Hoewel dit primair betrekking heeft op de externe auditors, zal dit waarschijnlijk ook gevolgen hebben voor de interne auditors die geen RA of RE zijn bij het gebruik van hun assurancerapporten door RA s. Op het gebied van de kwaliteitstoetsing van de internal auditfunctie (IAF) wordt steeds nauwer samengewerkt tussen NBA, NOREA en IIA. Eind 2010 is IIA geaccrediteerd door het NBA om kwaliteitstoetsingen uit te voeren bij internal auditfuncties. NOREA en IIA zijn in gesprek om tot een soortgelijke accreditatie te komen. Resumerend: de regelgeving van OA en ITA bevat veel overeenkomsten, hoewel er accentverschillen bestaan. De regelgeving hoeft dan ook een goede samenwerking tussen OA en ITA niet in de weg te staan. De postdoctorale opleidingen voor OA en ITA zijn van een vergelijkbaar niveau en beiden schenken aandacht aan de andere auditdisciplines, hetgeen de samenwerking tussen de OA en ITA bevordert. 3 Organisatorische aspecten Wij hebben als uitgangspunt gehanteerd dat de OA en ITA werkzaam zijn in dezelfde organisatorische eenheid, die wij hier verder duiden als de internal auditfunctie. De positionering van de internal auditfunctie in de organisatie is van invloed op de effectiviteit van de werkzaamheden en de producten van de auditfunctie als geheel. Deze positionering beïnvloedt de samenwerking van OA en ITA niet wezenlijk. De inrichting van de auditfunctie zelf is wel van invloed op de samenwerking. In deze paragraaf besteden we daarom uitsluitend aandacht aan de organisatie van de auditfunctie zelf. We baseren ons hierbij mede op een inventariserend onderzoek bij internal auditfuncties van grote organisaties (zie bijlage 2 Inventarisatie praktijk IA-functie m.b.t. OA en ITA ). 10

10 Wanneer de interne auditfunctie in een organisatie groter wordt kan het, voor de beheersbaarheid, nodig zijn een bepaalde verdeling in afdelingen, secties, clusters etc. door te voeren. Hierbij zijn de volgende varianten te onderkennen: inrichting op basis van auditdisciplines (discipline- of productgericht); inrichting op basis van de organisatie (organisatie-, klant- of objectgericht); matrixorganisatie (zowel naar organisatie als discipline). Ten behoeve van een effectieve samenwerking tussen OA en ITA gaat de voorkeur uit naar een inrichting van de auditfunctie naar organisatieonderdeel (of controleobject). De verschillende auditdisciplines zitten dan in één organisatorische eenheid en bedienen gezamenlijk de klant. De onderzoeken kunnen zowel integrated als door een afzonderlijk specialisme worden uitgevoerd. Een aandachtspunt bij de organisatie-, klant- of objectgerichte indeling is dat de afzonderlijke disciplines (OA en ITA) meer verdeeld zitten in de organisatie, wat ten koste kan gaan van de ontwikkeling van de discipline. Oplossingen hiervoor zijn bijv. werkgroepen waarbinnen (specialistische) kennisontwikkeling in de vorm van kennisprojecten plaats kan vinden en uiteraard vaktechnisch overleg per discipline. Belangrijk is echter dat binnen de internal auditfunctie sprake is van dezelfde doelstellingen, een gemeenschappelijke basis in de wijze van communiceren binnen de organisatie, omgaan met opdrachtgevers en auditees, ethiek, omgaan met fraude, overwinnen van weerstand en bijdragen tot organisatieverandering. De IIA-Publicatie Behavioral Dimensions of Auditing: A Practical Guide to Professional Relationships in Internal Auditing beschrijft deze gemeenschappelijke basis. Andere maatregelen die de samenwerking tussen de beide auditdisciplines bevorderen zijn: het beschikken over een marktplaats (en/of kennissysteem) waar vraag en aanbod van deskundigheden elkaar kunnen vinden; bevorderen van gemeenschappelijke kennis door: - medewerkers te laten scholen in beide disciplines; - communicatie over de disciplines heen (bijeenkomsten van de ene discipline zijn ook toegankelijk voor de andere discipline); - communicatie over nieuwe ontwikkelingen vanuit de verschillende disciplines bv. in periodieke gezamenlijke vaktechnische bijeenkomsten of in een nieuwsbrief; gebruik van dezelfde aanpak, dossiervorming, (rapportage-) standaarden, enz. (zie par. 5). 4 Gedragsaspecten en samenwerking Zoals hiervoor is aangegeven, zijn er veel overeenkomsten en een paar verschillen tussen de OA en de ITA in de kennis en ervaringen die ze hebben opgebouwd in opleidingen en werk. De vraag is of een ITA niet een andere stijl heeft van waarnemen, aanpakken en communiceren dan een OA. Dit kan (door training) zo ontwikkeld zijn, maar het kan ook zijn dat iemand zich juist daardoor aangetrokken voelde tot de één van beide functies. Hier gaan wij in op enkele aandachtspunten vanuit de gedragsaspecten. Deze zijn gebaseerd op een literatuur-review, een aantal interviews bij interne auditfuncties en de antwoorden van 300 IIA-leden op een enquête die wij eind 2010 hebben gehouden. De resultaten van dit onderzoek zijn opgenomen in bijlage 3 Gedragsaspecten samenwerking OA en ITA. Op basis van het onderzoek hebben we enige aandachtspunten ten aanzien van de gedragsaspecten onderkend die een rol kunnen spelen in de communicatie en samenwerking tussen de OA en de ITA. Uitgangspunt hierbij is dat er sprake is van een gemeenschappelijke basis, zie voorgaande paragraaf. 11

11 Good practices bij de samenwerking a. Voldoende gemeenschappelijke kennis Het onderzoek bevestigt de behoefte aan basiskennis van beide vakgebieden bij zowel OA als ITA. Kennis van IT en businessprocessen is nodig om met elkaar te kunnen discussiëren over de weging van (IT-gerelateerde) risico s en om elkaar tijdig in te schakelen (onderkennen dat de aanvullende kennis van de ander nodig is). Samenwerking en discussie kunnen bekende biases ondervangen die kunnen leiden tot overschatten of onderschatten van IT-gerelateerde risico s. b. Een goede afstemming aan het begin van de audit Uit de enquête blijkt dat een betere afstemming tussen OA en ITA bij de aanvang van audits wenselijk is. Het beeld komt maar voren dat zowel ITA als OA zich bij de start van een audit eerst richten op hun eigen werkterrein en minder goed in beeld hebben welke activiteiten de ander oppakt. Daarbij is opvallend dat voor de OA blijkbaar minder prominent zichtbaar is vanuit welke doelen en prioriteiten de ITA zijn werkzaamheden inricht. Samenwerking bij de auditplanning en bij de intake is aan te bevelen. c. Verschillen in voorkeursstijlen Accentverschillen in voorkeursstijlen van OA en ITA bieden aanknopingspunten om het auditteam zo sterk mogelijk aan te laten sluiten op de aard van de opdracht. Uit de enquête komen accentverschillen naar voren in de mate waarin OA en ITA zich richten op hoofdlijnen dan wel oog hebben voor details. De OA lijkt zich meer te richten op softcontrols en zich minder te richten op data-analyse dan de ITA. Tevens komt als accentverschil naar voren dat de OA meer geneigd is om het glas als half vol te beschouwen terwijl de ITA meer geneigd is om het glas als half leeg te bezien. De ITA wordt door de respondenten sterker geacht in het planmatig toetsen (van processen en gegevens) dat aan externe normen wordt voldaan. Een organisatorische bundeling kan worden gekozen om zoveel mogelijk synergie te halen uit de overeenkomsten en verschillen tussen OA en ITA. d. Focus op de doelgroep Uit het onderzoek komt het beeld naar voren dat de OA zich in zijn rapportage meer verplaatst in het gedachtegoed van het business management en zich minder bedient van vakjargon dan de ITA. Dit brengt met zich mee dat de ITA zich binnen dit vakjargon preciezer en geloofwaardiger kan uitdrukken wanneer de doelgroep van de audit dit vakjargon deelt, dus bijvoorbeeld IT-management, IT-specialisten en andere (externe) IT-auditors. Daarom is het verstandig om de samenstelling en taakverdeling van het audit-team ook in dit opzicht af te stemmen op de doelgroep van de audit. e. OA en ITA vullen elkaar aan De OA en de ITA kunnen qua kennis en competenties elkaar aanvullen. Door samenwerking kunnen biases worden verminderd en kan de effectiviteit van het audit-product worden versterkt. Voorwaarde daarbij is dat er een gemeenschappelijke basis aan kennis van auditing, IT en bedrijfsprocessen bij OA en ITA aanwezig is. Het werkgebied van de OA en de ITA is op veel plaatsen dusdanig complex en uitgebreid, dat verbijzonderde rollen en competenties noodzakelijk blijven. Dus samenwerking tussen de OA en de ITA heeft toekomst. 5 Audituitvoering en samenwerking In de literatuur treffen we relatief weinig voorbeelden aan van de samenwerking tussen de OA en de ITA. In bijlage 4 Integrated auditplanning: een stappenplan hebben wij een samenvatting opgenomen van de beschikbare literatuur op dit gebied. In deze bijlage 4 wordt, gebaseerd op het literatuuronderzoek, een stappenplan voorgesteld, dat wij in deze paragraaf kort behandelen. Verder gaat deze paragraaf in op de aspecten die samenhangen met de uitvoering van de audit. Voor de nadere uitwerking van dit onderwerp verwijzen wij naar bijlage 5 Inventarisatie werkwijze o.b.v. de theorie van OA en ITA. 12

12 A. Integrated auditplanning: een stappenplan Het risico is aanwezig dat zonder concrete sturing de verschillende auditdisciplines hun eigen ding doen, zonder onderlinge afstemming, samenwerking of integratie. Verder bestaat het risico dat elke discipline een oordeel geeft over een deelaspect van de bedrijfsvoering terwijl het management verantwoordelijk is voor de bedrijfsvoering als geheel. Een integraal oordeel en afgestemde aanbevelingen vanuit de interne auditfunctie zou beter aansluiten bij de managementverantwoordelijkheid. Dit kan bereikt worden door een integrated audit. Hiertoe is een goede planning essentieel om te kunnen komen tot het gewenste integrale oordeel en de afgestemde bevindingen en aanbevelingen. Wij onderkennen de volgende stappen: Stap 1. Breng relaties tussen processen en systemen in beeld De internal audit functie moet allereerst inzicht hebben in de manier waarop de processen en systemen binnen de organisatie zich tot elkaar verhouden. De relaties dienen (schematisch, bijvoorbeeld in een procesdecompositie) in kaart gebracht te worden. Zo wordt duidelijk welke operationele en beheersingsprocessen gebruik maken van welke ITsystemen, en welke operationele processen ondersteunend zijn aan de IT-systemen. Maar ook andere relaties zijn mogelijk, bijvoorbeeld die tussen IT en de strategievorming en -realisatie. N.b. in de referentiekaart 3.4. A&K Analyse (Afhankelijkheids- en Kwetsbaarheidanalyse) wordt een aanpak toegelicht die als hulpmiddel kan dienen om inzicht te krijgen in de relatie tussen processen en informatiesystemen. Stap 2. Hanteer één audit universe Door de systemen en processen met hun onderlinge relaties in beeld te brengen kan er ook worden toegewerkt naar één audit universe. De audit universe is de verzameling van gebieden (bijv. activiteiten, afdelingen, risico s, systemen) die geaudit kunnen worden binnen een organisatie. Het is belangrijk dat de verschillende auditdisciplines niet ieder hun eigen universe hanteren. Het is dus niet de bedoeling dat bijvoorbeeld ITA een eigen universe opstelt, redenerend vanuit systemen/infrastructuren, en dat OA op basis van processen haar universe opstelt. In plaats daarvan moet één universe worden opgesteld. Het gaat dus om het integreren van auditobjecten in plaats van het integreren van auditdisciplines. Stap 3. Voer een gezamenlijke risicoanalyse uit en stel één audit jaarplan op Bij de gezamenlijke risicoanalyse moeten alle bedrijfsvoeringaspecten worden meegenomen. Maak indien mogelijk hierbij ook gebruik van de door de business zelf uitgevoerde risicoanalyse. Het resultaat van deze stap is een geïntegreerd audit jaarplan voor de financiële, operationele en IT-audits dat aan het audit committee c.q. directie, RvB kan worden aangeboden. De geïntegreerde risicoanalyse leidt niet alleen tot een gezamenlijke selectie en afbakening van audits, maar kan tevens de basis vormen voor een geïntegreerde voorbereiding, uitvoering en rapportage. Een andere positieve bijkomstigheid van een jaarplan is dat de audits tijdig bekend gemaakt kunnen worden bij de auditee. Nb. er kan ook worden gewerkt met een meerjaren audit plan dat periodiek wordt herijkt. Stap 4. Bepaal de mate van integratie per audit (integrated audit) Als laatste stap moet bepaald worden in hoeverre audits zelf ook geïntegreerd uitgevoerd moeten/kunnen worden. Dit kan door te kijken naar kwaliteitsaspecten die voor de uitvoering van de geïntegreerde audit van belang zijn. Vanuit deze aspecten kan afgeleid worden welke auditdisciplines daarbij betrokken moeten worden. 13

13 B. De uitvoering (gemeenschappelijke aanpak, dossiervorming, rapportage enz.) Wij hebben aangegeven dat het gebruik van dezelfde aanpak, dossiervorming en (rapportage)standaarden de samenwerking tussen OA en ITA bevordert. Hieronder gaan we daar nader op in. Voor meer informatie en de gehanteerde literatuur verwijzen wij naar bijlage 5 Inventarisatie werkwijze o.b.v. de theorie van OA en ITA. 1. Audit(jaar)planning Het bestaan van een geïntegreerd audit(jaar)plan is belangrijk om tot een effectieve en efficiënte samenwerking te komen die toegevoegde waarde heeft voor een organisatie. Wij hebben hiervoor een aantal handvatten beschreven om te komen tot deze geïntegreerde planning. 2. Fasering van de audit Hoewel de bewoordingen iets kunnen verschillen, kennen Operational- en IT-audits grofweg dezelfde fasering van de audit. Bij de uitvoering van een audit worden de volgende stappen onderkend: 1. Vooronderzoek 2. Opdrachtverstrekking en rapportage 3. Uitvoering van het onderzoek 4. Rapportage 5. Evaluatie 6. Follow up. 3. Kwaliteitsaspecten en objecten van onderzoek Bij een onderzoek staan de onderzoeksobjecten en de kwaliteitsaspecten van die onderzoeksobjecten centraal. Bij de OA kan bij een onderzoeksobject vooral worden gedacht aan een proces of een organisatie. Bij de ITA kan daarnaast nog worden gedacht aan een geautomatiseerd informatiesysteem of een onderdeel van de technische infrastructuur. Bij de OA staan de kwaliteitsaspecten effectiviteit en efficiency, die vaak worden genoemd in relatie tot de beheersbaarheid, centraal. De ITA kent de kwaliteitsaspecten exclusiviteit, integriteit, continuïteit, controleerbaarheid, onweerlegbaarheid en beheersbaarheid naast de effectiviteit en efficiency die ook de OA hanteert. De kwaliteitsaspecten integriteit, continuïteit en exclusiviteit worden ook wel aangeduid met het containerbegrip betrouwbaarheid. De OA en ITA vullen elkaar hier goed aan. 4. Normering en referentiemodel Bij de beoordeling kan aandacht worden geschonken aan zowel inrichting (opzet en bestaan) als de werking van de beheersingsmaatregelen. Een referentiekader of een normenkader is een nuttig hulpmiddel tijdens de uitvoering van de audit. De te toetsen objecten en kwaliteitscriteria moeten goed zijn uitgewerkt in het referentiemodel. Bij het komen tot een referentiemodel of normenkader is het handig gebruik te maken van kaders, standaarden en normen die worden aangeboden vanuit de markt (zoals ISO, INK, Prince2, CobiT, ITIL) en vanuit de beroepsorganisaties (IIA, NOREA, NBA, enz.). Daarbij wordt uiteraard aandacht besteed aan de beheersmaatregelen die het management belangrijk vindt. Vooral de ITA kan steeds meer gebruik maken van meer (technische) standaarden en normen die door leveranciers van hard- en software dan wel internationale organisaties beschikbaar worden gesteld (ISO-standaarden, zoals de Code voor Informatiebeveiliging en standaarden van NIST, National Institute of Standards en Technology). De OA zal minder gebruik kunnen maken van dergelijke standaarden en normen en het referentiemodel zelf moeten opstellen, waarbij hij wel gebruik kan maken van generieke modellen als COSO, Prince2, KAD, Simons, 6Sigma, enz.. Normenkader en referentiemodel zijn een hulpmiddel om de ist-situatie met de soll-situatie te vergelijken, de afwijkingen te analyseren en te wegen en zo te komen tot bevindingen 14

14 (en aanbevelingen). Dit dient uiteindelijk als de basis voor de oordeelsvorming. Voor zowel de OA als de ITA is het vanzelfsprekendheid om het tijdens de audit te gebruiken referentiemodel c.q. normenkader vooraf af te stemmen met de opdrachtgever. 5. Controlemiddelen en mate van zekerheid Vooral bij assurance-opdrachten waarbij een redelijke mate van zekerheid moet worden verstrekt is het van belang dat er sterke controlemiddelen worden gebruikt, die dus in belangrijke mate bijdragen tot het bewijs. Op basis van het gedane onderzoek en het daarmee verzamelde bewijs kan meer of minder zekerheid worden verstrekt. De OA en de ITA gebruiken dezelfde hulpmiddelen. Steekproeven en data-analyse zijn ook voor OA nuttige hulpmiddelen. Hierbij kan de ITA juist van toegevoegde waarde zijn met zijn kennis van de geautomatiseerde informatievoorziening. 6. Rapportage De auditrapportage is het eindproduct en daarmee ook het visitekaartje van de auditor. Een auditrapport bevat normaliter de volgende onderwerpen: opdracht (doelstelling van de audit); onderzoeksobject (beschrijving van het onderzochte gebied); de criteria die tijdens het onderzoek zijn onderzocht; de bevindingen (en aanbevelingen) resulterend uit het onderzoek; het oordeel over de kwaliteit van de beheersing. Nb.: Bij een assurancerapport staat de conclusie (het oordeel) centraal, deze moeten gebaseerd zijn op de bevindingen en de aanbevelingen komen op de tweede plaats. 7. Dossiervorming Dossiervorming: het dossier is zowel verantwoordingsmiddel (over de uitgevoerde audit) als communicatiemiddel (voor toekomstige audits). Het dossier bevat minimaal: vooronderzoek (indien van toepassing); opdrachtbevestiging; auditplan en uitgevoerde auditwerkzaamheden; auditbevindingen en bewijsmateriaal; vastleggingen van overwegingen aangaande aspecten die vakkundige oordeelsvorming vergden, zoals deelconclusies en de afwerking van aantekeningen; rapportage (concepten en de definitieve versie van het rapport). Belangrijk is dat de audittrail in het dossier goed vastgelegd is. Voor de dossiervorming is een indeling op basis van de hiervoorgenoemde stappen tijdens een onderzoek handig. 8. Kwaliteitsborging (op opdrachtniveau) Op het niveau van de interne auditfunctie is de huidige stand van zaken dat de beroepsorganisaties NBA (NIVRA en NOvAA), NOREA en IIA gezamenlijk de kwaliteitstoets naar hun functioneren uitvoeren en daarvoor een en dezelfde aanpak en normering hanteren. Hierbij wordt ook aandacht geschonken aan de kwaliteitsborging op het niveau van een opdracht. Naast het hanteren van aandachtspunten voor de diverse onderdelen (plan van aanpak, referentiemodel, rapportage en dossiervorming) is het toepassen van peer reviews of onafhankelijke kwaliteitstoetsen op die afzonderlijke onderdelen gemeengoed. Beschouwing Uit het voorgaande kan worden afgeleid dat er veel overeenkomsten en geen wezenlijke verschillen zijn tussen de werkwijze van een OA en van een ITA. Een klein verschil is dat een OA zelf meer invulling moet geven aan een referentiemodel, terwijl de ITA daarbij meer gebruik kan maken van bestaande standaarden en good practices. 15

15 Verder vullen de OA en de ITA elkaar vooral goed aan: - de OA is ook gericht op de organisatie en de besturing daarvan en besteedt onder meer aandacht aan de kwaliteitsaspecten efficiency, effectiviteit en cultuur en de menselijke kant; - de ITA is vanzelfsprekend meer gericht op de beheersing van de ICT en de ondersteuning van de processen d.m.v. ICT en richt zich vooral op de kwaliteitsaspecten continuïteit, integriteit en exclusiviteit. 6 Overeenkomsten en verschillen In onderstaande tabel geven wij inzicht in de belangrijkste overeenkomsten en verschillen tussen de OA en de ITA, zoals al in voorgaande paragrafen is uitgewerkt. Tevens wordt inzicht gegeven in enkele maatregelen die de samenwerking tussen beide auditdisciplines bevorderen. ONDERWERP OVEREENKOMSTEN VERSCHILLEN Regelgeving Gedragsaspecten Opleidingen RO en RE Vaktechnische literatuur Werkwijze Deskundigheid, geheimhouding, opdrachtaanvaarding, assurance, uitvoering, dossiervorming, enz.. Zij hebben beiden opleiding en ervaring als auditor, dwz het toetsen aan normen (evidence based). Gemeenschappelijke basis in de vorm van BIV-AO en (financial) auditing. rapporten en praktijk-handreikingen en vakblad AUDIT magazine. Practice guides: 16 GTAG s en 3 GAIT s en vakblad Internal Auditor. handreikingen en studierapporten en vakblad de IT-auditor Fasering onderzoek (gaat bij OA iets verder met evaluatie en follow-up) Referentiemodel/normenkader dossiervorming, rapportage, kwaliteitsborging, enzovoort. NOREA volgt de IFAC-standaarden meer dan IIA. IT-auditor is erkend door NBA als assurance verschaffer. NOREA meer standaarden in Nederlands dan IIA. Bij IIA wel alle standaarden beschikbaar in het Engels. OA neigt meer naar glas half vol en rapporteert meer gericht op algemeen management. De ITA neigt meer naar glas half leeg en rapporteert meer gericht op IT-management. De verschillen worden ingegeven door het verschil in werkgebied. NOREA (www.norea.nl) richt zich specifiek op de IT-auditor. IIA richt zich specifiek op de internal auditor en schenkt daarbij zowel aandacht aan FA, OA en ITA. IIA is een internationaal werkende organisatie. OA: soft controls, effectiviteit en efficiency. Veelal zelf referentiemodel opstellen. ITA: technische aspecten, continuïteit, exclusiviteit en integriteit. Meer (technische) standaarden (ISO 27002, enz.) beschikbaar. 16

16 ONDERWERP Auditorganisatie Audit(jaar)plan De samenwerking tussen OA en ITA wordt bevorderd door: Onderbrenging van de OA en ITA in een klantgerichte organisatie (waarin alle disciplines vertegenwoordigd zijn). Een aandachtspunt hierbij is het op peil houden van de specifieke kennis van de beide auditdisciplines. Integrated (één- of meerjarig) auditplan (gebaseerd op een integrale risico-analyse). Uit het overzicht blijkt dat er meer overeenkomsten zijn dan verschillen. Door de overeenkomsten (gemeenschappelijke uitgangspunten) wordt de samenwerking bevorderd. Door de verschillen kunnen de OA en ITA elkaar juist aanvullen en versterken en zo van meer toegevoegde waarde zijn voor de organisatie. De organisatorische inbedding en een integrated aanpak versterken de samenwerking tussen beide auditdisciplines. 17

17 Deel 2: De gebieden voor samenwerking tussen OA en ITA 1 Waar gaat het over? In dit tweede deel gaan wij in op 22 domeinen waarop de OA en de ITA elkaar kunnen treffen. Wij hebben daarbij een clustering gemaakt van die 22 domeinen naar vijf gebieden om het geheel toegankelijker te maken. Met deze vijf door ons gekozen gebieden en de 22 domeinen hebben wij een belangrijk deel van terrein waarop de OA en de ITA kunnen samenwerken behandeld. Maar wij zijn hierbij niet volledig. Een domein kan betrekking hebben op een containerbegrip als informatiebeveiliging, maar kan ook betrekking hebben op een concreter instrument/model als ISAE In het eerste geval is veelal sprake van meerdere instrumenten/modellen die dan vaak wel worden genoemd of zijn als document opgenomen in een referentiekaart (wordt hierna toegelicht). In het tweede geval wordt wel nader ingegaan op het specifieke instrument/model. Centraal staat dat het onderwerpen betreft die nuttig zijn voor de samenwerking tussen de OA en ITA. Als er door de OA en ITA wordt samengewerkt op een of meerdere van die domeinen is het goed dat beiden meer inzicht hebben in zo n domein. Door voor elk van die 22 domeinen een referentiekaart op te stellen met nadere informatie over dat domein (instrument/ model), verstrekken wij de OA en ITA dat inzicht. In het onderstaande figuur maken wij de leeswijzer visueel. Voorafgaand aan elk hoofdstuk laten wij zien in welk deelgebied van samenwerking de auditor zich bevindt en welke onderwerpen wij daar onder de loep hebben genomen. 2 organisatiebeheersing 3 Risicobeheersing 5 Beheersing IT 4 Procesbeheersing 6 Informatiebeveiliging 18

18 Overzicht van de domeinen Hierna is een overzicht opgenomen van de vijf gebieden en de 22 domeinen, die hierna in de hoofdstukken twee tot en met zes worden toegelicht. 2 Organisatiebeheersing Domein/instrument/hulpmiddel 2.1 Governance, Risk & Compliance (GRC) 2.2 COSO 2.3 Integrated auditing 2.4 Modellen (beheers-, management- en groeimodellen) 2.5 Soft controls 3 Risico- en projectbeheersing Domein/instrument/hulpmiddel 3.1 Risicomanagement 3.2 Control (risk) self assessment (CRSA) 3.3 Integriteitsaudits en fraudeonderzoeken 3.4 Afhankelijkheids- en kwetsbaarheidsanalyse 3.5 Projectbeheersing en PRINCE2 4 Procesbeheersing Domein/instrument/hulpmiddel 4.1 KAD-model (Kwaliteit Administratieve Dienstverlening) 4.2 Business Proces Analysis (BPA) 4.3 ISAE Beheersing informatievoorziening Domein/instrument/hulpmiddel 5.1 IT-Governance 5.2 CobiT 5.3 BiSL 5.4 ASL 5.5 ITIL 5.6 CMM-I 6 Beveiliging informatievoorziening Domein/instrument/hulpmiddel 6.1 Informatiebeveiliging 6.2 Privacy 6.3 Beheer en beveiliging bij outsourcing 19

19 Beschrijving domeinen/instrumenten/modellen door middel van referentiekaart Doel van de referentiekaart is het verstrekken van een eerste inzicht in het doel en de gebruiksmogelijkheden van een specifiek domein/instrument/model en tevens door te verwijzen naar nadere informatie voor de toepassing van het domein/instrument/model in de praktijk. De beschrijving van de behandelde domeinen/instrumenten/modellen heeft plaatsgevonden aan de hand van de rubrieken die hieronder in de referentiekaart zijn opgenomen en worden toegelicht. Naam domein/ instrument/model Auteurs(s), jaartal Doel domein/instrument/ model Object van onderzoek Korte omschrijving domein/instrument/ model Normatief of beschrijvend karakter Toepassingsmogelijkheden / gebruik in de praktijk Samenwerking OA-ITA Context: aspecten bij toepassing Beschikbaarheid van: Good practices Beschikbaarheid van: Instrumenten Toelichtingen Naam onderwerp domein, instrument, model, enz. Publicatie over het betreffende onderwerp. Wie zijn de oorspronkelijke auteurs? Wat is de oorspronkelijke publicatie? Met welk doel is het domein/instrument/model door de auteurs ontwikkeld? Wat kun je met het domein/instrument/model? Wat onderzoek je met het domein/instrument/model; wat is object van onderzoek? Wat is de achtergrond van het domein/instrument/model, op welke modellen/referenties is het model gebaseerd? Wat zijn de (expliciete of impliciete) uitgangspunten en veronderstellingen bij het domein/instrument/model? Wat is de opzet/ indeling van het domein/instrument/model? Bevat het domein/instrument/model een norm voor wat adequaat is (en wat dus door de auditor als norm zou kunnen worden gebruikt) of is het domein/instrument/ model vooral beschrijvend van aard? Toelichting van de inhoud van het domein/instrument/model: Wat kan de OA of ITA of wat kunnen beiden met het model in de praktijk; wat kan wel of niet met het model worden onderzocht? In welke situaties is het model bruikbaar? Wat is de betekenis van de bevindingen; op welke risico s is het model gericht? Hoe kunnen de OA en de ITA elkaar aanvullen bij het toepassen van het domein/instrument/model in het betreffende onderzoeksgebied? Wie kan fungeren als opdrachtgever. Op welke processen heeft het betrekking; primair/secundair? Wat is het belang van het onderzoeksgebied? Nuttige documenten mbt het betreffende domein/instrument/model (beschrijvingen, referentiekaders, artikelen) worden hier opgenomen. Verwijzingen of links naar: - direct bruikbare instrumenten, die ook vrij toegankelijk zijn - achtergrondinfo over het domein/instrument/model en toepassing daarvan. 20

20 2 Organisatiebeheersing Organisatiebeheersing is een containerbegrip en alles wat hier en hierna in deze rapportage aan de orde komt heeft wel een relatie met organisatiebeheersing. In de hedendaagse dynamiek wordt vanuit de maatschappij steeds meer geëist dat de organisatie in control is, zowel op korte, als ook op lange termijn. Dat betreft niet alleen de vragen op het gebied van compliance en beheersing, maar steeds meer zal de organisatie tijdig in moeten spelen op potentiële ontwikkelingen. De auditor kan de organisatie hierbij ondersteunen, bijvoorbeeld door haar een spiegel voor te houden vanuit zijn specifieke deskundigheid. Waar gaat het over? Bij organisatiebeheersing betreft het vooral vraagstukken van strategische en tactische aard. Als zodanig kan dit ook worden gezien als de kaders voor de onderwerpen die hierna aan de orde komen. Governance, Risk & Compliance (GRC) is een breed begrip dat enerzijds verwijst naar het in control zijn van de organisatie inclusief het voldoen aan de vigerende wet- en regelgeving, anderzijds omvat het de zorg dat de organisatie zich tijdig aanpast aan nieuwe ontwikkelingen. Een veel toegepast internationaal beheersmodel dat ondersteuning biedt bij het realiseren van die governance is COSO. Integrated auditing is een daarbij passende aanpak die beoogt dat de verschillende auditdisciplines nauw samenwerken bij het beoordelen van en adviseren over de beheersing en het in control zijn van een organisatie. Bij organisatiebeheersing en -ontwikkeling wordt steeds vaker gebruik gemaakt van beheers-, management- en groeimodellen (INK, BSC, enz.). De auditor kan bij de beoordeling ook gebruik maken van deze modellen. Soft controls zijn controls die betrekking hebben op zaken als cultuur, social controls en tone at the top. Deze soft controls zijn belangrijk voor de werking en de naleving. RK 2.2 COSO RK 2.1 GRC RK 2.4 Modellen beheers, management, groei RK 2.3 Integrated auditing RK 2.5 Soft Controls 21

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce. Cloud Computing, een inleiding ICT Accountancy & Financials congres 2013: Cloud computing en efactureren 10 december 2013 Jan Pasmooij RA RE RO: jan@pasmooijce.com 10 december 2013 1 Kenmerken van Cloud

Nadere informatie

Inleiding 1 4 3. Begrippen en definities 5 3. Doelstellingen van een privacy-audit 6 7 4. Opdrachtaanvaarding 8 9 4

Inleiding 1 4 3. Begrippen en definities 5 3. Doelstellingen van een privacy-audit 6 7 4. Opdrachtaanvaarding 8 9 4 Inhoudsopgave Paragraaf Pagina 2 Inleiding 1 4 3 Begrippen en definities 5 3 Doelstellingen van een privacy-audit 6 7 4 Opdrachtaanvaarding 8 9 4 Deskundigheidseisen en het gebruik maken van deskundigen

Nadere informatie

3-daagse praktijktraining. IT Audit Essentials

3-daagse praktijktraining. IT Audit Essentials 3-daagse praktijktraining IT Audit Essentials Programma IT-Audit Essentials Door de steeds verdergaande automatisering van de bedrijfsprocessen wordt de beveiliging en betrouwbaarheid van de IT systemen

Nadere informatie

ACS meerdaagse opleidingen i.s.m. Auditing.nl

ACS meerdaagse opleidingen i.s.m. Auditing.nl ACS meerdaagse opleidingen i.s.m. Auditing.nl ACS biedt in 2014 weer enkele actuele, interessante opleidingen aan op het eigen kantoor in de rustieke omgeving van Driebergen. Kernwoorden zijn kleinschaligheid,

Nadere informatie

MKB Cloudpartner Informatie TPM & ISAE 3402 2016

MKB Cloudpartner Informatie TPM & ISAE 3402 2016 Third Party Memorandum (TPM) Een Derde verklaring of Third Party Mededeling (TPM) is een verklaring die afgegeven wordt door een onafhankelijk audit partij over de kwaliteit van een ICT-dienstverlening

Nadere informatie

ACS meerdaagse opleidingen i.s.m. Auditing.nl

ACS meerdaagse opleidingen i.s.m. Auditing.nl ACS meerdaagse opleidingen i.s.m. Auditing.nl ACS biedt in 2015 weer enkele actuele, interessante opleidingen aan op het eigen kantoor in de rustieke omgeving van Driebergen. Kernwoorden zijn kleinschaligheid,

Nadere informatie

Handleiding uitvoering ICT-beveiligingsassessment

Handleiding uitvoering ICT-beveiligingsassessment Handleiding uitvoering ICT-beveiligingsassessment Versie 2.1 Datum : 1 januari 2013 Status : Definitief Colofon Projectnaam : DigiD Versienummer : 2.0 Contactpersoon : Servicecentrum Logius Postbus 96810

Nadere informatie

Jacques Herman 21 februari 2013

Jacques Herman 21 februari 2013 KING bijeenkomst Audit- en Pentestpartijen Toelichting op de DigiD Rapportage template en de NOREA Handreiking DigiD ICT-beveiligingsassessments Jacques Herman 21 februari 2013 Samenvatting van de regeling

Nadere informatie

NOREA Visie 2020. - Brigitte Beugelaar. 14 september 2015

NOREA Visie 2020. - Brigitte Beugelaar. 14 september 2015 NOREA Visie 2020 - Brigitte Beugelaar 14 september 2015 NOREA, de beroepsorganisatie van IT-auditors Opgericht in 1992 1635 registerleden 253 aspirant-leden, d.w.z. in opleiding 123 geassocieerde leden,

Nadere informatie

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars!

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! 1! Inrichting van de IAF! zoals het moet! Esther Poelsma RA CIA! 2! Programma! Even voorstellen Waarom een IAF? Wat is de rol van een

Nadere informatie

Frequentiemodel Internal Audit Friesland Bank. K.T. Kloosterman Leeuwarden, 31 mei 2005

Frequentiemodel Internal Audit Friesland Bank. K.T. Kloosterman Leeuwarden, 31 mei 2005 Frequentiemodel Internal Audit Friesland Bank K.T. Kloosterman Leeuwarden, 31 mei 2005 Agenda 1) Algemeen Internal Audit 2) Waarom frequenteren van onderzoeken 3) Totstandkoming en inhoud Missie Internal

Nadere informatie

ICT Accountancy. Praktijkdag Webwinkels en Boekhouden

ICT Accountancy. Praktijkdag Webwinkels en Boekhouden ICT Accountancy Praktijkdag Webwinkels en Boekhouden Thema Betrouwbaar Administreren Misbruik Afrekensystemen Misbruik Afrekensystemen Internationaal probleem Veel oplossingsrichtingen Overleg Belastingdienst

Nadere informatie

Verantwoordingsrichtlijn

Verantwoordingsrichtlijn Verantwoordingsrichtlijn Verantwoordingsrichtlijn t.b.v. de edp-audit voor de beveiliging van Suwinet. Door Jan Breeman BKWI Verantwoordingsrichtlijn Verantwoording over de beveiliging van Suwinet De Regeling

Nadere informatie

ZekereZorg3 Informatieveiligheid in de Zorg. Nico Huizing RE RA

ZekereZorg3 Informatieveiligheid in de Zorg. Nico Huizing RE RA ZekereZorg3 Informatieveiligheid in de Zorg Nico Huizing RE RA Ziekenhuizen in Nederland * Najaar 2008: IGZ toetst 20 ziekenhuizen, norm NEN7510, rapport 12/ 08 * Opdracht IGZ: lever per 1/2/ 09 plan van

Nadere informatie

CobiT. Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1

CobiT. Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1 CobiT Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1 Control objectives for information and related Technology Lezenswaardig: 1. CobiT, Opkomst, ondergang en opleving

Nadere informatie

Het assurance-raamwerk De accountant en het verstrekken van zekerheid

Het assurance-raamwerk De accountant en het verstrekken van zekerheid Het assurance-raamwerk De accountant en het verstrekken van zekerheid Koninklijk Nederlands Instituut van Registeraccountants Inhoudsopgave 1 Inleiding 3 2 Het begrip assurance en maatschappelijke ontwikkelingen

Nadere informatie

Het BiSL-model. Een whitepaper van The Lifecycle Company

Het BiSL-model. Een whitepaper van The Lifecycle Company Het BiSL-model Een whitepaper van The Lifecycle Company Met dit whitepaper bieden we u een overzicht op hooflijnen van het BiSL-model. U vindt een overzicht van de processen en per proces een beknopte

Nadere informatie

De uitdagingen van een kleine IAF

De uitdagingen van een kleine IAF De uitdagingen van een kleine IAF Wat is nodig om effectief te worden? 1 9 december 2015 Even voorstellen Michel Vlak 22 jaar ervaring op het gebied van Internal Audit, Governance en Kwaliteitsmanagement

Nadere informatie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

Praktisch omgaan met Privacy & Security en het Wbp

Praktisch omgaan met Privacy & Security en het Wbp 2-daagse praktijktraining Praktisch omgaan met Privacy & Security en het Wbp Programma Praktisch omgaan met Privacy & Security en het Wbp De training Praktisch omgaan met Privacy & Security en het Wbp

Nadere informatie

SiSa cursus 2013. Gemeente en accountant. 21 november 2013

SiSa cursus 2013. Gemeente en accountant. 21 november 2013 SiSa cursus 2013 Gemeente en Welkom Even voorstellen EY: Stefan Tetteroo RA Page 1 Agenda Doelstelling Accountant en gemeente Onze visie inzake de betrokken actoren Coördinatie- en controlefunctie binnen

Nadere informatie

Algemene Ledenvergadering 5 april 2012

Algemene Ledenvergadering 5 april 2012 Jaarplan 2013 Algemene Ledenvergadering 5 april 2012 Commissie Vaktechniek 1 Doel van de commissie De commissie Vaktechniek heeft tot doel de leden en het bestuur van IIA Nederland te ondersteunen op het

Nadere informatie

AAN DE SLAG MET INFORMATIEMANAGEMENT. Masterclass Informatiemanagement

AAN DE SLAG MET INFORMATIEMANAGEMENT. Masterclass Informatiemanagement AAN DE SLAG MET INFORMATIEMANAGEMENT Masterclass Informatiemanagement AAN DE SLAG MET INFORMATIEMANAGEMENT INTRODUCTIE Informatie is voor elke organisatie een cruciale asset. Efficiënte uitvoering van

Nadere informatie

ISAE 3402: Externe auditor niet langer nodig!

ISAE 3402: Externe auditor niet langer nodig! ISAE 3402: Externe auditor niet langer nodig! DBedrijven De Rapportagestandaard ISAE 3402 is inmiddels besteden al sinds jaar en dag activiteiten uit aan andere bedrijven. Om kosten te drukken, om zich

Nadere informatie

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015 Bedrijfsvoering De gemeenteraad van Bloemendaal Datum : 19 augustus 2015 Uw kenmerk : Ons kenmerk : 2015056815 Behandeld door : J. van der Hulst Doorkiesnummer : 023-522 5592 Onderwerp : Rapportage informatiebeveiliging

Nadere informatie

Charco & Dique. De auditfunctie bij trustkantoren. Risk Management & Compliance

Charco & Dique. De auditfunctie bij trustkantoren. Risk Management & Compliance De auditfunctie bij trustkantoren Trustkantoren zijn vanaf 1 januari 2015 verplicht om een auditfunctie in te voeren. In deze brochure geven wij een toelichting op de auditfunctie, een overzicht van alle

Nadere informatie

Functieprofiel: Manager Functiecode: 0202

Functieprofiel: Manager Functiecode: 0202 Functieprofiel: Manager Functiecode: 0202 Doel Zorgdragen voor de vorming van beleid voor de eigen functionele discipline, alsmede zorgdragen voor de organisatorische en personele aansturing van een of

Nadere informatie

NBA LIO, Ledengroep Intern en Overheidsaccountants Jaarplan 2015

NBA LIO, Ledengroep Intern en Overheidsaccountants Jaarplan 2015 NBA LIO, Ledengroep Intern en Overheidsaccountants Jaarplan 2015 1 0.Inleiding 0.1 Ledengroep Intern en Overheidsaccountants (LIO) LIO is één van de drie ledengroepen van de Nederlandse Beroepsorganisatie

Nadere informatie

Op naar een excellente controle

Op naar een excellente controle Op naar een excellente controle Welke controlewerkzaamheden kunnen verder geoptimaliseerd worden om kosten te besparen of om meer toegevoegde waarde te kunnen bieden aan cliënten? Hoe kunnen deze werkzaamheden

Nadere informatie

Berry Kok. Navara Risk Advisory

Berry Kok. Navara Risk Advisory Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging

Nadere informatie

Functioneel beheer in Nederland

Functioneel beheer in Nederland Functioneel beheer in Nederland Achtergrond Op initiatief van Marjet Smits (ad Matres), Martijn Buurman (Functioneel-beheerder.com) en Günther Nijmeijer (inmezzo) is eind 2012 de eerste verkiezing voor

Nadere informatie

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies.

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies. Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies. Gea van Craaikamp, algemeen directeur en provinciesecretaris

Nadere informatie

Nederlandse Beroepsorganisatie van Accountants t.a.v. Adviescollege voor Beroepsreglementeting Postbus 7984 1008 AD AMSTERDAM

Nederlandse Beroepsorganisatie van Accountants t.a.v. Adviescollege voor Beroepsreglementeting Postbus 7984 1008 AD AMSTERDAM E Ernst & Young Accountants LLP Telt +31 88 407 1000 Boompjes 258 Faxt +31 88407 8970 3011 XZ Rotterdam, Netherlands ey.corn Postbus 2295 3000 CG Rotterdam, Netherlands Nederlandse Beroepsorganisatie van

Nadere informatie

Arbo- en Milieudeskundige

Arbo- en Milieudeskundige Arbo- en Milieudeskundige Doel Ontwikkelen van beleid, adviseren, ondersteunen en begeleiden van management, medewerkers en studenten, alsmede bijdragen aan de handhaving van wet- en regelgeving, binnen

Nadere informatie

Tussenrapportage project professionaliseren functioneel beheer instellingssystemen September 2011

Tussenrapportage project professionaliseren functioneel beheer instellingssystemen September 2011 Universitair Informatiemanagement Kenmerk: SECR/UIM/11/0914/FS Datum: 14-09-11 Tussenrapportage project professionaliseren functioneel beheer instellingssystemen September 2011 1. Inleiding Begin 2011

Nadere informatie

Kwaliteitszorg met behulp van het INK-model.

Kwaliteitszorg met behulp van het INK-model. Kwaliteitszorg met behulp van het INK-model. 1. Wat is het INK-model? Het INK-model is afgeleid van de European Foundation for Quality Management (EFQM). Het EFQM stelt zich ten doel Europese bedrijven

Nadere informatie

PRINCE2 Symposium: Zin en Onzin van een Methode. PRINCE 2 versus CMMI; raakvlakken, overlap en aanvullingen SYSQA B.V.

PRINCE2 Symposium: Zin en Onzin van een Methode. PRINCE 2 versus CMMI; raakvlakken, overlap en aanvullingen SYSQA B.V. PRINCE2 Symposium: PRINCE 2 versus CMMI; raakvlakken, overlap en aanvullingen Jan Jaap Cannegieter SYSQA B.V. SYSQA B.V. Operationeel Tactisch Strategisch Testen Requirements Quality assurance Auditing

Nadere informatie

REGLEMENT AUDITCOMMISSIE TELEGRAAF MEDIA GROEP N.V.

REGLEMENT AUDITCOMMISSIE TELEGRAAF MEDIA GROEP N.V. REGLEMENT AUDITCOMMISSIE TELEGRAAF MEDIA GROEP N.V. Dit Reglement is goedgekeurd door de Raad van Commissarissen van Telegraaf Media Groep N.V. op 17 september 2013. 1. Inleiding De Auditcommissie is een

Nadere informatie

Datum: 31 augustus 2011

Datum: 31 augustus 2011 ICT assessment Methodiek: ITEM-C ICT assessment Ontwikkeld door: ITEM-C advies en interim management Auteur: H.W. Gooskens Datum: 31 augustus 2011 Copyright: ITEM-C advies en interim management Niets uit

Nadere informatie

Niet-financiële informatie (NFI) in Nederland

Niet-financiële informatie (NFI) in Nederland Niet-financiële informatie (NFI) in Nederland Koninklijk NIVRA Michèl J.P. Admiraal RA IBR 7 december 2009 1 Inhoud van deze presentatie 1. Voorstellen spreker 2. State of the art in Nederland 3. NIVRA

Nadere informatie

Procesmanagement. Waarom processen beschrijven. Algra Consult

Procesmanagement. Waarom processen beschrijven. Algra Consult Procesmanagement Waarom processen beschrijven Algra Consult Datum: 22 oktober 2009 Inhoudsopgave 1. INLEIDING... 3 2. WAAROM PROCESMANAGEMENT?... 3 3. WAAROM PROCESSEN BESCHRIJVEN?... 3 4. PROCESASPECTEN...

Nadere informatie

Vergelijking van de eisen in ISO 9001:2008 met die in ISO FDIS 9001:2015

Vergelijking van de eisen in ISO 9001:2008 met die in ISO FDIS 9001:2015 ISO Revisions Nieuw en herzien Vergelijking van de eisen in ISO 9001:2008 met die in ISO FDIS 9001:2015 Inleiding Dit document maakt een vergelijking tussen ISO 9001:2008 en de Final Draft International

Nadere informatie

Executive Academy. Permanente Educatie voor Professionals. Permanente Educatie voor Professionals

Executive Academy. Permanente Educatie voor Professionals. Permanente Educatie voor Professionals Executive Academy Permanente Educatie voor Professionals Permanente Educatie voor Professionals Wat is de Executive Academy? De Executive Academy is een samenwerking tussen de Amsterdam Business School

Nadere informatie

In een keten gaat het om de verbindingen, niet om de schakels.

In een keten gaat het om de verbindingen, niet om de schakels. Verbindingsmodel IV Serviceketen Theo Thiadens en Adri Cornelissen In een keten gaat het om de verbindingen, niet om de schakels. Verbindingsmodel IV Serviceketen Theo Thiadens Alleen een organisatie die

Nadere informatie

BISL Business Information Services Library. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V.

BISL Business Information Services Library. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V. BISL Business Information Services Library Een introductie Algemene informatie voor medewerkers van SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 9 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2

Nadere informatie

Integraal risicomanagement

Integraal risicomanagement Samenvatting Integraal risicomanagement in 40 Nederlandse ziekenhuizen Inhoud Inleiding 3 Onderzoeksvragen 3 Integraal risicomanagement onvoldoende beschreven 4 Aanbevelingen 5 Over VvAA 7 2 VvAA Risicomanagement

Nadere informatie

INTERNATIONALE CONTROLESTANDAARD 610 HET IN AANMERKING NEMEN VAN DE INTERNE AUDITWERKZAAMHEDEN

INTERNATIONALE CONTROLESTANDAARD 610 HET IN AANMERKING NEMEN VAN DE INTERNE AUDITWERKZAAMHEDEN INTERNATIONALE CONTROLESTANDAARD 610 HET IN AANMERKING NEMEN VAN DE INTERNE AUDITWERKZAAMHEDEN INHOUDSOPGAVE Paragrafen Inleiding... 1-4 Reikwijdte en doelstellingen van de interne audit... 5 Verhouding

Nadere informatie

Rapportage Pizzasessie Functioneel-beheer.com Specialisten Managers Adviseurs Algemeen functioneel beheer applicatiebeheer informatiemanagement

Rapportage Pizzasessie Functioneel-beheer.com Specialisten Managers Adviseurs Algemeen functioneel beheer applicatiebeheer informatiemanagement Rapportage Pizzasessie Functioneel-beheer.com Alle deelnemers hebben hun functienaam opgegeven. De volgende functienamen zijn gemeld: Specialisten o Functioneel beheerder (9x) o Functioneel applicatiebeheerder

Nadere informatie

Dit document maakt gebruik van bladwijzers. Consultatiedocument Gewijzigde Standaard 3000 en Stramien 4 juni 2015

Dit document maakt gebruik van bladwijzers. Consultatiedocument Gewijzigde Standaard 3000 en Stramien 4 juni 2015 Dit document maakt gebruik van bladwijzers. Consultatiedocument 4 juni 2015 Consultatieperiode loopt tot 1 september 2015 Consultatiedocument gewijzigde Standaard 3000 en Stramien Inhoudsopgave 1 Inleiding

Nadere informatie

Actieplan naar aanleiding van BDO-onderzoek. Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012

Actieplan naar aanleiding van BDO-onderzoek. Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012 Actieplan naar aanleiding van BDO-onderzoek Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012 Inhoudsopgave - Actieplan GVB Raad van Commissarissen GVB Holding N.V. n.a.v. BDO-rapportage 13

Nadere informatie

Ons kenmerk C100/05.0016522. Aantal bijlagen 1

Ons kenmerk C100/05.0016522. Aantal bijlagen 1 Directie Bestuur & Organisatie Directie Algemeen Aan de Commissie AB Korte Nieuwstraat 6 65 PP Nijmegen Telefoon (024) 329 9 Telefax (024) 329 22 92 E-mail gemeente@nijmegen.nl Postadres Postbus 905 6500

Nadere informatie

Goed functioneel beheer noodzaak voor effectievere SPI

Goed functioneel beheer noodzaak voor effectievere SPI getronicspinkroccade.nl Goed functioneel beheer noodzaak voor effectievere SPI Machteld Meijer Zeist, 3 oktober 2006 Inhoud Domeinen en modellen Functioneel beheer en BiSL Rol van BiSL in SPI 1 Goed functioneel

Nadere informatie

Risicomanagement en NARIS gemeente Amsterdam

Risicomanagement en NARIS gemeente Amsterdam Risicomanagement en NARIS gemeente Amsterdam Robert t Hart / Geert Haisma 26 september 2013 r.hart@risicomanagement.nl / haisma@risicomanagement.nl 1www.risicomanagement.nl Visie risicomanagement Gemeenten

Nadere informatie

Werkgroep Integrale SPI Strategieën

Werkgroep Integrale SPI Strategieën Werkgroep Integrale SPI Strategieën Mario van Os Sogeti Nederland B.V. 10 november 2005 Agenda werkgroep 16:40 Eindresultaat Werkgroep Modellen: wanneer wat door Mario van Os, Sogeti 17:15 Presentatie

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

Charco & Dique. De auditfunctie bij trustkantoren. Risk Management & Compliance

Charco & Dique. De auditfunctie bij trustkantoren. Risk Management & Compliance De auditfunctie bij trustkantoren Trustkantoren zijn vanaf 1 januari 2015 verplicht om een auditfunctie in te voeren. In deze brochure geven wij een toelichting op de auditfunctie, een overzicht van alle

Nadere informatie

Aanpak projectaudits

Aanpak projectaudits Aanpak projectaudits 1. Inleiding Veel lokale overheden werken op basis van een standaardmethodiek Projectmatig Werken. Op die manier wordt aan de voorkant de projectfasering, besluitvorming en control

Nadere informatie

Advies. Advies over en ondersteuning bij het (initieel) inrichten/optimaliseren van de structuur van de(it Service Management)organisatie

Advies. Advies over en ondersteuning bij het (initieel) inrichten/optimaliseren van de structuur van de(it Service Management)organisatie DIENST Advies over en ondersteuning bij het (initieel) inrichten/optimaliseren van de structuur van de(it Service Management)organisatie Advies over en ondersteuning bij het initieel inrichten/optimaliseren

Nadere informatie

Beleids- en BeheersCyclus. Cursus beleidsplanning, -monitoring en evaluatie: Inleidend hoofdstuk

Beleids- en BeheersCyclus. Cursus beleidsplanning, -monitoring en evaluatie: Inleidend hoofdstuk Beleids- en BeheersCyclus Cursus beleidsplanning, -monitoring en evaluatie: Inleidend hoofdstuk Inhoud cursus Rode draad 1.2 Inleiding 1.3 Definities 1.4 Model strategisch 1.5 Belang strategisch 1.6 Belang

Nadere informatie

2014 KPMG Advisory N.V

2014 KPMG Advisory N.V 01 Uitbesteding & assurance 11 Nut en noodzaak van assurance reporting Auteurs: Rosemarie van Alst en Fons Basten Wie activiteiten uitbesteedt, wil graag zekerheid over de kwaliteit en integriteit van

Nadere informatie

ISAE 3402 en de internal auditor

ISAE 3402 en de internal auditor ISAE 3402 en de internal auditor Praktijkhandreiking Instituut van Internal Auditors Nederland ISAE 3402 en de internal auditor Praktijkhandreiking Instituut van Internal Auditors Nederland Disclosure

Nadere informatie

PAS conferentie 2015: Close the Gap Corporate Governance en Internal Audit

PAS conferentie 2015: Close the Gap Corporate Governance en Internal Audit PAS conferentie 2015: Close the Gap Corporate Governance en Internal Audit Van commissie Peters naar commissie Van Manen, een statusupdate PAS Conferentie 3 december 2015 Gefeliciteerd! PAS Conferentie

Nadere informatie

Oordelen van en door RE s

Oordelen van en door RE s Oordelen van en door RE s Mr. Drs. Jan Roodnat RE RA Drs. Ing. P.D. Verstege RE RA Werkgroep Oordelen NOREA 14 november 2006 Overzicht presentatie Opdracht Werkgroep Oordelen NOREA Auditproces Nationale

Nadere informatie

Generieke systeemeisen

Generieke systeemeisen Bijlage Generieke Systeem in kader van LAT-RB, versie 27 maart 2012 Generieke systeem NTA 8620 BRZO (VBS elementen) Arbowet Bevb / NTA 8000 OHSAS 18001 ISO 14001 Compliance competence checklist 1. Algemene

Nadere informatie

Actualiteitendag Platform Deelnemersraden Risicomanagement

Actualiteitendag Platform Deelnemersraden Risicomanagement Actualiteitendag Platform Deelnemersraden Risicomanagement Benne van Popta (voorzitter Detailhandel) Steffanie Spoorenberg (adviseur Atos Consulting) Agenda 1. Risicomanagement 2. Risicomanagement vanuit

Nadere informatie

info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013

info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013 info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013 2 Boekhouden in de cloud!! 3 Aanbod te over: 4 5 Hoe betrouwbaar en veilig is online administratieve

Nadere informatie

Meer duidelijkheid over samenstellingsopdrachten met komst Standaard 4410

Meer duidelijkheid over samenstellingsopdrachten met komst Standaard 4410 Spotlight Meer duidelijkheid over samenstellingsopdrachten met komst Standaard 4410 Robert van der Glas - Statutaire compliance, Tax Reporting & Strategy De NBA heeft onlangs de herziene standaard uitgebracht

Nadere informatie

Kwaliteitstoets (potentiële) Dienstverleners Beschermd Wonen en Opvang 2015

Kwaliteitstoets (potentiële) Dienstverleners Beschermd Wonen en Opvang 2015 Kwaliteitstoets (potentiële) Dienstverleners Beschermd Wonen en Opvang 2015 Doel en intentie Als onderdeel van de transformatie Beschermd Wonen en Opvang 2015 wordt in dit document beschreven op welke

Nadere informatie

ITIL Security Management: een kritische beschouwing

ITIL Security Management: een kritische beschouwing ITIL Security Management: een kritische beschouwing Marcel Spruit, Informatiebeveiliging is een beheerproces dat zich richt op het beschermen van de informatievoorziening. Het ligt voor de hand om voor

Nadere informatie

De essentie van de nieuwe ISO s. Dick Hortensius, NEN Milieu & Maatschappij

De essentie van de nieuwe ISO s. Dick Hortensius, NEN Milieu & Maatschappij De essentie van de nieuwe ISO s Dick Hortensius, NEN Milieu & Maatschappij 1 Waar ik het over ga hebben De uitdaging en de oplossing De HLS voor iedereen De HLS voor wie het wil Waar we staan en wat er

Nadere informatie

5-daagse bootcamp IT Risk Management & Assurance

5-daagse bootcamp IT Risk Management & Assurance 5-daagse bootcamp IT Risk Management & Assurance Verhoog het niveau van uw risicomanagement processen vóór 1 juni naar volwassenheidsniveau 4! ISO31000 DAG 1 DAG 2 DAG 3 OCHTEND NIEUW ISO27005 DAG 3 MIDDAG

Nadere informatie

De Baseline Informatiebeveiliging & grote gemeenten. 6 oktober 2014 John van Huijgevoort, IBD

De Baseline Informatiebeveiliging & grote gemeenten. 6 oktober 2014 John van Huijgevoort, IBD De Baseline Informatiebeveiliging & grote gemeenten 6 oktober 2014 John van Huijgevoort, IBD Agenda De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG): Samenhang Instrumenten Hoe om te gaan

Nadere informatie

BEVEILIGINGSARCHITECTUUR

BEVEILIGINGSARCHITECTUUR BEVEILIGINGSARCHITECTUUR Risico s onder controle Versie 1.0 Door: drs. Ir. Maikel J. Mardjan MBM - Architect 2011 cc Organisatieontwerp.nl AGENDA Is een beveiligingsarchitectuur wel nodig? Oorzaken beveiligingsincidenten

Nadere informatie

1 Wat zijn interne audits?

1 Wat zijn interne audits? 1 Wat zijn interne audits? Binnen de organisatie willen we kwaliteit garanderen in de zorgverlening die wij bieden of het product dat we maken. We hebben daarom allerlei afspraken gemaakt over het werk.

Nadere informatie

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system!

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system! Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system!! Tom Veerman! Triple A Risk Finance B.V.! 1! Programma! Solvency II stand

Nadere informatie

STAKEHOLDERS. Hoe gaan we daar mee om? Jacques van Unnik Manager Personnel Certification & Training 3 december 2015 BUSINESS ASSURANCE

STAKEHOLDERS. Hoe gaan we daar mee om? Jacques van Unnik Manager Personnel Certification & Training 3 december 2015 BUSINESS ASSURANCE BUSINESS ASSURANCE STAKEHOLDERS Hoe gaan we daar mee om? Jacques van Unnik Manager Personnel Certification & Training 3 december 2015 1 DNV GL 2014 Stakeholders 19 November 2015 SAFER, SMARTER, GREENER

Nadere informatie

HET GAAT OM INFORMATIE

HET GAAT OM INFORMATIE Aan leiding C OB IT HET GAAT OM INFORMATIE Informatie is belangrijk voor het functioneren van een organisatie Informatie wordt gegenereerd, gebruikt, bewaard, ontsloten, verwijderd Informatietechnologie

Nadere informatie

Gemeente Doetinchem. Clientserviceplan voor het boekjaar 2013

Gemeente Doetinchem. Clientserviceplan voor het boekjaar 2013 Clientserviceplan voor het boekjaar 2013 oktober 2013 Inhoud 1. Inleiding 4 2. Controleopdracht 4 2.1 Opdracht 4 2.2 Materialiteit en tolerantie 5 2.3 Fraude 6 3. Planning 6 3.1 Inleiding 6 3.2 Algemene

Nadere informatie

Brochure HC&H Masterclasses

Brochure HC&H Masterclasses Brochure HC&H Masterclasses & Masterclass Informatiebeveiliging & Masterclass Proces en Informatiemanagement & Masterclass Klantgericht werken & Masterclass Functioneel Beheer & Masterclass Inkoop ICT

Nadere informatie

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Inkoopvoorwaarden en informatieveiligheidseisen Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline

Nadere informatie

De SYSQA dienst auditing. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V.

De SYSQA dienst auditing. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V. De SYSQA dienst auditing Een introductie Algemene informatie voor medewerkers van SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 8 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2 VERSIEBEHEER... 3

Nadere informatie

Het gevolg van transitie naar de cloud SaMBO-ICT & KZA. 16 januari 2014 Doetinchem

Het gevolg van transitie naar de cloud SaMBO-ICT & KZA. 16 januari 2014 Doetinchem Het gevolg van transitie naar de cloud SaMBO-ICT & KZA 16 januari 2014 Doetinchem Agenda Introductie Aanleiding Samenvatting handreiking Uitkomsten workshop netwerkbijeenkomst Afsluiting 2 Introductie

Nadere informatie

De definitieve Code Corporate Governance, enige beschouwingen vanuit risicoperspectief.

De definitieve Code Corporate Governance, enige beschouwingen vanuit risicoperspectief. De definitieve Code Corporate Governance, enige beschouwingen vanuit risicoperspectief. In de Code van Commissie Peters De Veertig Aanbevelingen (juni 1997) staat in zeer algemene termen iets over risicobeheersing.

Nadere informatie

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden

Nadere informatie

Delo itte. 1183 AS Amstelveen Postbus 175 1180 AD Amstelveen Nederland

Delo itte. 1183 AS Amstelveen Postbus 175 1180 AD Amstelveen Nederland Delo itte. 1183 AS Amstelveen Postbus 175 1180 AD Amstelveen Nederland Tel: 088 288 2888 Fax: 088288 9711 www.deloitte.nl Assurance rapport van de onafhankelijke accountant Rapportage aan: Achmea Divisie

Nadere informatie

Onderwerp: Risico inventarisatie project rwzi Utrecht Nummer: 604438. Dit onderwerp wordt geagendeerd ter kennisneming ter consultering ter advisering

Onderwerp: Risico inventarisatie project rwzi Utrecht Nummer: 604438. Dit onderwerp wordt geagendeerd ter kennisneming ter consultering ter advisering COLLEGE VAN DIJKGRAAF EN HOOGHEEMRADEN COMMISSIE BMZ ALGEMEEN BESTUUR Agendapunt 9A Onderwerp: Risico inventarisatie project rwzi Utrecht Nummer: 604438 In D&H: 22-01-2013 Steller: Drs. J.L.P.A. Dankaart

Nadere informatie

Medewerker administratieve processen en systemen

Medewerker administratieve processen en systemen processen en systemen Doel Voorbereiden, analyseren, ontwerpen, ontwikkelen, beheren en evalueren van procedures en inrichting van het administratieve proces en interne controles, rekening houdend met

Nadere informatie

De Internal Auditor in Nederland

De Internal Auditor in Nederland De Internal Auditor in Nederland Position Paper Update 2008 Instituut van Internal Auditors De Internal Auditor in Nederland Position Paper Update 2008 Inhoudsopgave 1. Inleiding 4 2. Ontwikkelingen in

Nadere informatie

Functieprofiel: Directeur Service Eenheid Functiecode: 0206

Functieprofiel: Directeur Service Eenheid Functiecode: 0206 Functieprofiel: Directeur Service Eenheid Functiecode: 0206 Doel Voorbereiden en uitvoeren van het beleid van in het algemeen en van de eigen service in het bijzonder, alsmede het leidinggeven aan de werkzaamheden

Nadere informatie

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag André Salomons Smart SharePoint Solutions BV Cloud security en de rol van de accountant ICT Accountancy praktijkdag Cloud security moet uniformer en transparanter, waarom deze stelling? Links naar de artikelen

Nadere informatie

Informatie is overal: Heeft u er grip op?

Informatie is overal: Heeft u er grip op? Informatie is overal: Heeft u er grip op? Zowel implementatie als certificering Omdat onze auditors geregistreerd zijn bij de Nederlandse Orde van Register EDP-auditors (NOREA), kan Koenen en Co zowel

Nadere informatie

Zwaarbewolkt met kans op neerslag

Zwaarbewolkt met kans op neerslag 8 ControllersMagazine januari - februari 2015 automatisering Zwaarbewolkt met kans op neerslag Cloud was het woord van 2014. Het gaat hierbij om hard- en software die niet meer hoeft te worden aangeschaft

Nadere informatie

(Business) Informatieplanning. 1 Vanbragt informatiemanagement / 2BVisible

(Business) Informatieplanning. 1 Vanbragt informatiemanagement / 2BVisible (Business) Informatieplanning 1 Waarom Informatieplanning? Integratie Mogelijkheden ICT Eisen maatschappij ICT is in toenemende mate kritisch voor bedrijfsvoering Interactie met consumenten vaker ook via

Nadere informatie

Kwalificatie en certificatie van informatiebeveiligers

Kwalificatie en certificatie van informatiebeveiligers Kwalificatie en certificatie van informatiebeveiligers Marcel Spruit Fred van Noord Opleidingenmarkt, 24 mei 2011 Onderzoek Onderzoek naar de wenselijkheid en haalbaarheid van een (inter)nationaal kwalificatie-

Nadere informatie

Studiedag VZI Risicomanagement Toepassing van gecertificeerde kwaliteitsmanagementsystemen Kees van Putten, DEKRA Solutions B.V.

Studiedag VZI Risicomanagement Toepassing van gecertificeerde kwaliteitsmanagementsystemen Kees van Putten, DEKRA Solutions B.V. Studiedag VZI Risicomanagement Toepassing van gecertificeerde kwaliteitsmanagementsystemen Kees van Putten, DEKRA Solutions B.V. Een kwaliteitsmanagementsysteem helpt bij de beheersing van risico s Want

Nadere informatie

Functiebeschrijving Business Architect

Functiebeschrijving Business Architect Functiebeschrijving 1. Algemene Gegevens Organisatie Functienaam Versie Auteur : [naam organisatie] : : 1.0 concept : Ad Paauwe a. Plaats in de organisatie De rapporteert aan de manager architectuur van

Nadere informatie

Curriculum Verplichte Permanente Educatie professioneel-kritische instelling

Curriculum Verplichte Permanente Educatie professioneel-kritische instelling Curriculum Verplichte Permanente Educatie professioneel-kritische instelling Verantwoording De NBA besteedt aandacht aan de bewustwording rond het thema professioneel-kritische instelling. Dit initiatief

Nadere informatie

Advies inzake Risicobenadering

Advies inzake Risicobenadering dvies inzake Risicobenadering Het afstemmen van modellen op uitdagingen PRIMO heeft binnen haar organisatie een divisie opgericht die zich geheel richt op het effectief gebruik van risicomanagementmodellen.

Nadere informatie

Technisch projectmedewerker

Technisch projectmedewerker Technisch projectmedewerker Doel Bijdragen aan de uitvoering van projecten vanuit de eigen discipline, uitgaande van een projectplan en onder verantwoordelijkheid van een Projectmanager/ -leider, zodanig

Nadere informatie

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol. Datum: dd-mm-jj

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol. Datum: dd-mm-jj BUSINESS CASE: Versie Naam opdrachtgever Naam opsteller Datum: dd-mm-jj Voor akkoord: Datum: LET OP: De bedragen in deze business case zijn schattingen op grond van de nu beschikbare kennis en feiten.

Nadere informatie