Continuous monitoring en continuous auditing: continuous solutions?

Maat: px
Weergave met pagina beginnen:

Download "Continuous monitoring en continuous auditing: continuous solutions?"

Transcriptie

1 Continuous monitoring en continuous auditing: continuous solutions? Studenten: J. Jacobs en M. Hoetjes Studentnummers: en Teamnummer: 612 Afstudeerbegeleider: Drs. B.J. van Staveren RE Bedrijfscoach: Drs. W.G.M.J. van Haelst RE RA Examencommissie: Prof. dr. ir. R.Paans RE en P. Harmzen RE RA Amsterdam, 30 juli 2007

2 Voorwoord Ter afsluiting van onze studie EDP-auditing aan de vrije Universiteit amsterdam hebben wij een scriptie geschreven over de onderzoeksvraag continuous auditing en continuous monitoring: continuous solutions?. Gezien de actualiteit van het onderwerp en de toenemende vraag binnen organisaties om aantoonbaar in control te zijn, vinden wij continuous auditing en continuous monitoring erg interessante ontwikkelingen. Vanuit de Vrije Universiteit is de heer Bart van Staveren aangewezen als onze afstudeerbegeleider. Wij willen hem bedanken voor de goede inhoudelijke ideeën, uitleg en het doorlezen van onze stukken. Zijn enthousiasme heeft ons enorm gemotiveerd. Wij willen onze bedrijfsbegeleider Werner van Haelst bedanken voor de uitleg en het lezen van onze stukken. Verder willen we de geïnterviewde personen bedanken voor hun tijd en zienswijze op het onderwerp. Tenslotte willen we alle (gast)docenten bedanken voor de leerzame colleges die tijdens de postdoctorale opleiding zijn gegeven. Dit heeft vaak geleid tot interessante en vruchtbare discussies. Meta Hoetjes Jacco Jacobs Amsterdam, mei 2006

3 Management samenvatting Algemeen De noodzaak voor organisaties om zorg te dragen voor een tijdige en continue verantwoording dat beheersingsmaatregelen effectief werken en waardoor de risico s binnen bedrijfs- en financiële processen door deze beheersingsmaatregelen worden gemitigeerd, is niet nieuw. Organisaties staan in de dagelijkse praktijk bloot aan (significante) fouten, frauderisico s en inefficiënties binnen de bedrijfsprocessen. De aangescherpte wet- en regelgeving heeft vaak grote impact op de interne controle van organisaties. Het systeem voor interne controle moet onder meer fouten en fraude kunnen detecteren en kunnen garanderen dat de juiste informatie op tijd bij de juiste (daartoe geautoriseerde) personen terechtkomt. Het is voor organisaties van belang dat de interne controle zo effectief mogelijk werkt. De toetsing hiervan dient zowel door het management (door monitoring) als door de interne en externe auditor (door audit) te worden verricht. De laatste jaren neemt de noodzaak toe om de beheersingsmaatregelen op continue basis te toetsen. Dit is mede het gevolg van: de aangescherpte (externe) wet- en regelgeving (zoals de Sarbanes-Oxley act, hierna te noemen SOx); de nieuwe ontwikkelingen op het gebied van corporate governance; de globalisering van de bedrijfsactiviteiten en bedrijfsvoering; sterkere behoefte aan transparantie en zekerheid en actuele financiële informatie; de marktdruk om efficiënter te kunnen opereren om zo de kosten te kunnen beheersen en te kunnen blijven concurreren hierbij speelt ook de vraag naar het reduceren van de kosten voor interne controle. Continuous auditing Terwijl een (interne en/of externe) auditor nu periodiek een audit uitvoert op de systemen en de transacties, voorziet continuous auditing in een methode om deze audits meerdere keren per periode (bijvoorbeeld per dag) geautomatiseerd uit te voeren. Continuous auditing is een set van methoden die auditors gebruiken om op een continue en geautomatiseerde basis te auditen. Dit betekent bijvoorbeeld het testen van transacties gebaseerd op vooraf gedefinieerde criteria, waardoor het mogelijk is om tijdens de transactieverwerking geautomatiseerd waarnemingen te doen. Hierbij worden de verschillende verwerkingsstappen en daarbij uitgevoerde interne controlemaatregelen zichtbaar gemaakt en kunnen vervolgens aan controle door de auditor worden onderworpen. Eventuele deficiënties kunnen hierdoor bij de bron worden geïdentificeerd. De resultaten dienen geëvalueerd te worden door een auditor en te worden gerapporteerd aan bijvoorbeeld het management of Raad van Commissarissen. Continuous monitoring Het management van de organisatie voert periodiek (handmatige) monitoringswerkzaamheden uit op de systemen en de transacties. Continuous monitoring voorziet in een methode om deze 1

4 werkzaamheden meerdere keren per periode geautomatiseerd uit te voeren. Continuous monitoring kan worden geïmplementeerd als: a) de controle activiteit (controleregel). Wanneer een continuous monitoring test controleert op dubbele betalingen, dan is er sprake van een detectieve controle activiteit en dan is het continuous monitoring onderdeel van de COSO component control activities. b) het testen van de controle. Als continuous monitoring wordt ingezet voor het testen van bijvoorbeeld geautoriseerde limieten, dan test het de controle zelf en is het een detectieve controle op de effectiviteit en efficiëntie van het interne controle systeem zelf. Deze manier van testen is onderdeel van de COSO component monitoring. Verschil continuous monitoring en continuous auditing Continuous auditing wordt door interne en externe auditors gebruikt als een methode voor het uitvoeren van audits op een meer continue basis, terwijl continuous monitoring door het management wordt gebruikt om de controledoelstellingen te behalen. Zowel continuous auditing als continuous monitoring is een proces dat transacties vergelijkt met voorgeschreven criteria (normen), afwijkingen constateert en rapporteert. Bij continuous auditing gebeurt dit onder verantwoordelijkheid van de auditor, bij continuous monitoring ligt de verantwoordelijkheid bij het management. Continuous monitoring kan daarnaast ook worden gebruikt als de COSO component monitoring waarbij continuous monitoring wordt gebruikt als een proces om het interne controle systeem zo effectief mogelijk te laten verlopen (het toetsen van de controles zelf). Relatie continuous monitoring en continuous auditing Het continuous monitoringsproces kan zowel de organisaties zelf (het management) als de auditors helpen om hun doelstellingen met betrekking tot interne controle te realiseren. Het management is verantwoordelijk voor het implementeren en onderhouden van een effectief interne controle systeem. Continuous monitoring geeft het management zekerheid dat het interne controle systeem effectief werkt en onmiddellijk actie kan worden ondernomen om fouten (in bijvoorbeeld de invoer of verwerking van transacties) te verhelpen, voordat het problemen worden. Interne en externe auditors zijn verantwoordelijk voor het auditen of het management op een verantwoorde wijze haar controle uitvoert. Omdat continuous monitoring onderdeel uitmaakt van het interne controle systeem, dienen auditors zich ervan te verzekeren dat het interne controle proces effectief is en dat erop kan worden gesteund. Wanneer op het continuous monitoringsproces kan worden gesteund, kunnen auditors het resultaat van continuous monitoring gebruiken om de effectiviteit van het interne controle proces te toetsen. Implementatie van continuous monitoring Voordat een organisatie begint met het implementeren van continuous monitoring dient allereerst een helder en effectief interne controle systeem (op basis van risico analyse) binnen de organisatie aanwezig te zijn. Voor het opstellen van een dergelijk interne controlesysteem kunnen standaard raamwerken zoals COSO worden gebruikt. Wanneer het interne controlesysteem eenmaal is opgezet en juist (effectief) werkt, wil dit nog niet zeggen dat het efficiënt is. Door de marktdruk om kosten te beheersen en te kunnen blijven concurreren, zal binnen organisaties de vraag ontstaan of het interne controle systeem wel efficiënt is ingericht. Door het uitvoeren van

5 een efficiëntie analyse kan worden bepaald dat continuous monitoring moet worden geïmplementeerd. Deze implementatie vindt allereerst als een zogenaamde pilot plaats in een bepaald segment (onderdeel) van de organisatie. Na een succesvolle pilot implementatie kan vervolgens per segment het continuous monitoringsproces verder worden geïmplementeerd binnen de gehele organisatie. Visie op de toekomst De term continuous monitoring is wel bekend binnen organisaties, maar de implementatie hiervan blijft veelal achterwege. De laatste jaren hebben organisaties veel tijd en geld gestoken in het in control zijn voor de aangescherpte wet- en regelgeving (zoals SOx). Nu dit eenmaal is opgezet, zal het interne controle systeem continue onderhevig zijn aan veranderingen. Bij de eerste opzet van het in control zijn hebben organisaties er voor gekozen om de volledigheid van de controles als belangrijkste eis te stellen. Dit heeft geresulteerd in een intern controle systeem met veel (handmatige) controles die periodiek dienen worden doorlopen, wat veel tijd (en geld) kost. Nu is de vraag ontstaan of de organisaties niet over control zijn (of er niet irrelevante controlemaatregelen zijn geïmplementeerd om in control te zijn) en bestaat de wens om het aantal controles te verminderen en het interne controle systeem zo in te richten dat alleen de strikt noodzakelijke controles worden uitgevoerd. Tijdens de analyse van de beperking van de controleregels wordt ook bekeken of de uit te voeren controles niet automatisch kunnen worden uitgevoerd, om zo de foutgevoeligheid en de kosten van de handmatige controles op te lossen. Dit heeft tot gevolg dat steeds meer organisatie projecten op zetten om continuous monitoring te implementeren. Wij verwachten dat deze trend zich nog de komende jaren zal voortzetten. Niet alleen voor de primaire bedrijfsprocessen, maar ook voor de secundaire bedrijfsprocessen zullen organisaties kiezen voor het implementeren van continuous monitoring. Zeker wanneer blijkt dat tijdens het pilotproject onopgemerkte problemen en/of fouten naar boven komen die tijdens de oude handmatige controles niet opgemerkt waren waarbij grote bedragen zijn gemoeid. Door het management op de hoogte te stellen van deze positieve resultaten zullen zij de voordelen van continuous monitoring inzien en hun support leveren bij verdere implementatie in de andere segmenten van de organisatie.

6 INHOUDSOPGAVE 1 Inleiding De aanleiding en de doelstelling van het afstudeeronderzoek De afbakening De onderzoeksvragen Het theoretische kader Leeswijzer 3 2 Definitiestudie continuous auditing en continuous monitoring Uiteenzetting definitie continuous auditing Achtergrond continuous auditing Ontwikkelingen in continuous auditing Uiteenzetting definitie continuous monitoring Achtergrond continuous monitoring Ontwikkelingen in continuous monitoring Onderscheid continuous auditing versus continuous monitoring Vergelijking definities Relatie tussen continuous auditing en continuous monitoring Praktijkvoorbeeld toepassing continuous auditing en continuous monitoring Conclusie definitiestudie 20 3 Toepassing van continuous monitoring Inleiding Implementatie continuous monitoring Tools Implementatiestrategie Knelpunten/randvoorwaarden toepassing continuous monitoring Voorbeeld implementatie continuous monitoring Visie op de toekomst Niveaus van continuous monitoring Ontwikkeling in de tijd Samenvatting 35 4 Conclusies en aanbevelingen Conclusies Aanbeveling 38

7 Bijlagen 1 Bijlage I: In control en ERP-systemen 2 Bijlage II: Achtergronden algemeen beheersingskader 3 Bijlage III: Vastlegging interviews 4 Bijlage IV: Geschiedenis CA en CM 5 Bijlage V: Wet- en regelgeving

8 1 Inleiding De scriptie die voor u ligt, vormt het sluitstuk van de postdoctorale EDP-audit opleiding die wij hebben gevolgd aan de Vrije Universiteit te Amsterdam. Op 13 december heeft het curatorium een pilot goedgekeurd om het casusgedeelte van het schriftelijke slotexamen te vervangen door een scriptie. De inhoud en het niveau van de afstudeerscriptie komt overeen met de Post Graduate graad die wordt verleend en bestaat uit: een afbakening en analyse van een praktisch relevant probleem uit de werkpraktijk van IT auditing; een methodische uitwerking van de oplossing met behulp van actuele state of the art wetenschap. Deze scriptie geeft een uitwerking hoe continuous monitoring bij bedrijven met een ERPomgeving kan worden toegepast (zie ook hoofdstuk 1.2). Daarnaast geven wij in deze scriptie onze visie van continuous monitoring op de toekomst weer. Mede gezien continuous monitoring vaak in relatie wordt gezien met continuous auditing, hebben wij dit onderwerp eveneens in deze scriptie uiteengezet. Dit eerste hoofdstuk zal de context van het afstudeeronderzoek verduidelijken. Als eerste zijn de aanleiding en doelstelling van het afstudeeronderzoek beschreven (zie paragraaf 1.1). Daarna is de afbakening van het afstudeeronderzoek beschreven (zie paragraaf 1.2). Vervolgens is ingegaan op de centrale onderzoeksvraag en de hieruit volgende deelvragen (zie paragraaf 1.3). Het theoretische kader van het afstudeeronderzoek is beschreven in paragraaf 1.4. Tenslotte is een leeswijzer opgenomen voor de volgende hoofdstukken van de scriptie (zie paragraaf 1.5). 1.1 De aanleiding en de doelstelling van het afstudeeronderzoek De striktere en aangescherpte wet- en regelgeving heeft een duidelijke impuls gegeven aan het belang van een effectief systeem voor interne controle binnen organisaties. Een strategie om een effectief interne controle systeem te implementeren is continuous monitoring, al dan niet aangevuld met continuous auditing. Over deze onderwerpen wordt al jarenlang gesproken maar, door recente veranderingen in de wet- en regelgeving, de ontwikkelingen in de IT en de vraag naar het reduceren van de kosten voor interne controle, gaan organisaties nu over tot daadwerkelijke implementatie. Diverse softwareleveranciers spelen hier op in door ondersteunende software voor continuous monitoring en/of auditing op de markt te brengen. Door de actualiteit van het onderwerp, is besloten om in onze afstudeerscriptie nader in te gaan op continuous monitoring. 1

9 1.2 De afbakening Om het afstudeeronderzoek wetenschappelijk uit te kunnen voeren hebben wij ons beperkt tot de definitiestudie van continuous monitoring en continuous auditing. Vervolgens is het onderwerp continuous monitoring nader onderzocht; hoe kan dit concept op een concrete en structurele wijze worden toegepast bij bedrijven met een ERP-omgeving en hoe zal continuous monitoring zich in de toekomst ontwikkelen. Wij hebben ons hierbij gebaseerd op de toepassing van continuous monitoring met betrekking tot een interne controle systeem. 1.3 De onderzoeksvragen De afstudeerscriptie heeft als doel om een antwoord te geven op de onderzoeksvraag: "Continuous monitoring en continuous auditing: continuous solutions? Hierbij wordt een antwoord gegeven op de vraag of het begrip continuous monitoring ook daadwerkelijk als een structurele oplossing kan worden gezien. Om antwoord te geven op de genoemde onderzoeksvraag worden de volgende deelvragen beantwoord: 1 Wat is continuous auditing en continuous monitoring? (definitiestelling) 2 Wat is het onderscheid tussen continuous auditing en continuous monitoring? 3 Hoe kan het concept van continuous monitoring bij bedrijven met een ERP-omgeving op een concrete en structurele wijze worden toegepast? Tot slot hebben wij als reflectie beschreven hoe wij denken dat continuous monitoring zich in de toekomst zal ontwikkelen. 1.4 Het theoretische kader Het theoretische kader van het afstudeeronderzoek is opgebouwd uit een aantal gebruikte methoden en technieken: literatuurstudie; het houden van interviews; brainstormsessies. Voor de onderzoeksvragen hebben wij de volgende methoden en technieken gebruikt: 1 Wat is continuous auditing en continuous monitoring? (definitiestelling) Voor deze definitiestelling hebben wij allereerst een literatuurstudie verricht. Tijdens deze literatuurstudie hebben wij diverse vakbladen geraadpleegd zoals de EDP-Auditor, Information Systems and Controls Journal et cetera. Daarnaast zijn diverse audit vakgebied gerelateerde internetsites bezocht en wetenschappelijke onderzoeken geraadpleegd. Een overzicht 2

10 van de geraadpleegde literatuur en websites is terug te vinden in de literatuurlijst. Tevens is gebruik gemaakt van collegemateriaal, dat tijdens onze studie is verstrekt. Vervolgens is een aantal interviews gehouden met medewerkers van (inter)nationale organisaties die, ten tijde van het schrijven van deze scriptie, bezig zijn met het implementeren van continuous monitoring/auditing en met collega EDP-auditors (zowel intern als extern) met als doel informatie te vergaren die niet door de literatuurstudie verkregen kon worden, maar wel van belang zijn voor de beeldvorming van de huidige situatie. 2 Wat is het onderscheid tussen continuous auditing en continuous monitoring? Voor het beantwoorden van deze deelvraag is deskresearch verricht door het bestuderen van relevante literatuur en collegemateriaal. Tevens is aan diverse personen die zijn geïnterviewd hun visie gevraagd. 3 Hoe kan het concept van continuous monitoring bij bedrijven met een ERP-omgeving op een concrete en structurele wijze worden toegepast? Voor het beantwoorden van deze deelvraag is tevens deskresearch verricht door het bestuderen van relevante literatuur en collegemateriaal. Daarnaast zijn interviews gehouden met medewerkers van (inter)nationale organisaties die bezig zijn met het implementeren van continuous monitoring/auditing en met collega EDP-auditors (zowel intern als extern). 1.5 Leeswijzer Deze scriptie is verder als volgt opgebouwd; in hoofdstuk 2 worden de definities van continuous auditing en continuous monitoring uitgewerkt, in hoofdstuk 3 is beschreven hoe continuous monitoring kan worden geïmplementeerd en is onze visie op de toekomst beschreven. Tenslotte is in hoofdstuk 4 de conclusie opgenomen. 3

11 2 Definitiestudie continuous auditing en continuous monitoring Dit hoofdstuk gaat in op de definities van continuous auditing en continuous monitoring. In paragraaf 2.1 is een uiteenzetting van de definitie van continuous auditing opgenomen, waaronder de achtergrond van continuous auditing (paragraaf 2.1.1) en de ontwikkelingen in continuous auditing (paragraaf 2.1.2). Paragraaf 2.2 gaat in op de definitie van continuous monitoring waarbij eveneens de achtergrond van continuous monitoring (paragraaf 2.2.1) en ontwikkelingen in continuous monitoring (paragraaf 2.2.2) zijn beschreven. Vervolgens is in paragraaf 2.3 het onderscheid tussen continuous auditing versus continuous monitoring beschreven. Tenslotte is in paragraaf 2.4 de conclusie van de definitiestudie opgenomen. 2.1 Uiteenzetting definitie continuous auditing Binnen de accountancy, consultancy en het bedrijfsleven worden diverse definities van continuous auditing gehanteerd. In deze paragraaf is een aantal gehanteerde definities nader uiteengezet. Achtereenvolgens zijn de gehanteerde definities van de volgende organisaties uiteengezet: consultantsbureau (Tryllian); Instituut voor Interne Auditors (IIA); overkoepelende organisatie voor gecertificeerde information system auditors (ISACA); overkoepelende organisatie voor gecertificeerde public accountants (AICPA); een grote multinationale (financiële instelling); een groot accountantskantoor. Definitie consultantsbureau Continuous auditing is een functionele implementatie van business process monitoring (bpm) en business activity monitoring (bam). Continuous auditing is een set van methodieken en hulpmiddelen waarbij continu audits worden uitgevoerd op transacties en processen. De verantwoordelijkheid voor het uitvoeren van continuous auditing ligt bij een interne auditor en de externe auditor. Bron: Definitie Instituut voor interne auditors Continuous auditing is a method used to perform control and risk assessments automatically on a more frequent basis. Continuous auditing changes the audit paradigm from periodic reviews of a sample of transactions to ongoing audit testing of 100 percent of transactions. It becomes an integral part of modern auditing at many levels. Continuous monitoring of controls has to be performed by management of an organization whereas continuous auditing has to be performed under the responsibility of CAE (Chief audit executive) of an internal audit department. Bron: the institute of internal auditors: 4

12 Definitie ISACA Continuous auditing has been defined as a methodology or framework that enables auditors (external and internal) to provide written results on the subject matter using one or a series of reports issued simultaneously. The ability to report on events in a real-time or near real-time environment can provide significant benefits to the users of audit reports. Continuous auditing is therefore designed to enable auditors to report on subject matter within a much shorter timeframe than under the traditional model. Theoretically, in some environments it should be possible to decrease the reporting timeframe to provide almost instantaneous auditing. Bron: Definitie AICPA Continuous auditing is a methodology that enables independent auditors to provide written assurance on a subject matter using a series of auditors reports issued simultaneously with, or a short period of time after, the occurrence of events underlying the subject matter. A continuous auditing relies heavily on information technology. While the continuous auditing concept is over a decade old, rapid advancements in technology have now made continuous auditing more feasible. Examples of this technology include broad bandwidth, web application server technology, web scripting solutions, and ubiquitous database management systems with standard connectivity. Bron: AICPA research report Definitie grote multinational Continuous auditing is een methode die in een korte periode op een geautomatiseerde manier de processen en gegevens uit de processen beoordelen aan vastgestelde voorwaarden. Deze werkzaamheden worden uitgevoerd door een interne auditor of de externe accountant die onafhankelijk is, niet direct betrokken is bij het bedrijfsproces en een directe rapportagelijn heeft richting het managementboard Bron: Directeur application management, gehouden interview Definitie groot accountantskantoor (big-four) Continuous auditing is een methodologie waarmee (onafhankelijke) auditors een schriftelijke verklaring over een bedrijfsactiviteit kunnen afgeven, op basis van een reeks controlerapporten die (bijna) gelijktijdig met het plaatsvinden van de bedrijfsactiviteit beschikbaar zijn. Bron: Partner accountant, gehouden interview 5

13 Conclusie Uit de diverse definities die door toezichthoudende organisaties, interne audit afdelingen, accountantskantoren, het bedrijfsleven, et cetera worden gehanteerd blijkt het volgende: de verantwoordelijkheid van continuous auditing ligt bij de auditor. Deze verantwoordelijkheid kan zowel zijn belegd bij de interne auditor (indien de organisatie beschikt over een eigen onafhankelijk opererende interne audit afdeling) als bij een externe auditor (bijvoorbeeld een accountantskantoor); terwijl een interne en externe auditor nu periodiek een audit uitvoert op de systemen en de transacties, voorziet continuous auditing in een methode om deze audits meerdere keren per periode (bijvoorbeeld per dag) geautomatiseerd uit te voeren. De audits die kunnen worden uitgevoerd zijn divers (afhankelijk van het object van onderzoek en de betrouwbaarheidsaspecten); continuous auditing is een methodologie waarbij de resultaten van de audit op een bedrijfactiviteit gelijktijdig, of op een korte periode na het plaatsvinden van de bedrijfsactiviteit, beschikbaar zijn; het toepassen van continuous auditing kan de betrouwbaarheid van de informatie verhogen, gezien bij het uitvoeren van geautomatiseerde controles een dekking van 100% van de transacties kan worden gerealiseerd; continuous auditing kan zowel parallel als simultaan worden uitgevoerd met continuous monitoring, waarbij dezelfde transacties en resultaten kunnen worden gebruikt. Continuous auditing is een set methoden die auditors (zowel intern als extern) gebruiken om op continue basis te auditen. Dit betekent het detectief testen van transacties gebaseerd op vooraf gedefinieerde criteria. Het identificeren van afwijkingen en het rapporteren hiervan aan het management, Raad van Bestuur (RvB) en/of Raad van Commissarissen (RvC) is de verantwoordelijkheid van de auditor. Hierbij is van belang dat de auditor zich conformeert aan haar beroepsregels bij het uitvoeren van continuous audits en de interpretatie van de resultaten. De auditor kan onder meer als financial auditor (accountant), EDP-auditor en operational auditor optreden. Dit is afhankelijk van het object en de doelstelling van het onderzoek en de kwaliteitsaspecten waarop de continuous audits worden uitgevoerd Achtergrond continuous auditing In de dagelijkse praktijk dienen organisaties zorg te dragen voor een transparante verantwoording van hun activiteiten en financiën. De externe wet- en regelgeving versterkt deze noodzaak. De interne controlemaatregelen die een organisatie heeft getroffen om haar bedrijfsprocessen te beheersen dienen bij een accountantscontrole en onder meer door de wet- en regelgeving op een periodieke basis te worden getoetst. 6

14 Organisaties hebben in haar controlesysteem vaak relatief veel interne controlemaatregelen geïmplementeerd in informatiesystemen. Van deze specifieke geprogrammeerde controlemaatregelen dient de werking te worden aangetoond. Randvoorwaardelijk voor het steunen op geprogrammeerde controlemaatregelen zijn effectieve IT general controls (als change management en logische toegangsbeveiliging, zie ook bijlage II). Het testen van de geprogrammeerde controlemaatregelen ( application controls ) kan op verschillende manieren plaatsvinden (zie bijlage II voor een beschrijving). De traditionele manier van het testen van de beheersingsmaatregelen (controls) vindt plaats op een cyclische basis, vaak een aantal maanden later dan de business activiteiten hebben plaatsgevonden. De testprocedures zijn vaak gebaseerd op een zogenaamde sampling approach. Voor EDP-auditors omvat dit vaak het toetsen van de general IT controls, application controls en eventueel zogenaamde IT dependent manual controls (zie ook bijlage II). De laatste jaren neemt de noodzaak echter toe voor een hoger niveau van assurance en is de vraag ontstaan om de controles op continue basis te toetsen. Deze vraag is mede het gevolg van: de aangescherpte (externe) wet- en regelgeving (zoals Sarbanes-Oxley, hierna te noemen SOx, zie ook bijlage V); de nieuwe ontwikkelingen op het gebied van corporate governance; de globalisering van de bedrijfsactiviteiten en bedrijfsvoering; sterkere behoefte aan transparantie en zekerheid en actuele financiële informatie; de marktdruk om efficiënter te kunnen opereren om zo de kosten te kunnen beheersen en te kunnen blijven concurreren hierbij speelt ook de vraag naar het reduceren van de kosten voor interne controle. De toenemende vraag naar een hoger niveau van assurance door zowel het management van de organisatie, de controlerende accountant als toezichthoudende instanties (DNB, AFM, overheid, et cetera) kan leiden tot een hoger kostenniveau voor de organisatie. Afhankelijk van het type controlemaatregel (handmatig, automatisch, zie bijlage II), neemt de frequentie van de toetsing van deze controlemaatregel, die jaarlijks dient te worden uitgevoerd, toe. Daarnaast dienen auditors deze controles op een groot aantal locaties uit te voeren omdat grote multinationals decentraal zijn georganiseerd en beschikken over een grote diversiteit van verschillende soorten informatiesystemen. Organisaties kunnen een ERP-oplossing hebben geïmplementeerd, maar kunnen tevens beschikken over legacy /mainframesystemen die reeds tientallen jaren operationeel zijn, hierdoor kunnen de uit te voeren auditwerkzaamheden worden bemoeilijkt. Om aan de toenemende vraag aan assurance en interne beheersing op een effectieve en efficiënte (kostenbeheersende) wijze te kunnen voldoen, is het wenselijk om de controles uitgevoerd door auditors op een continue (geautomatiseerde) basis in plaats van op een periodieke (vaak handmatige) basis uit te laten voeren. Bij het uitvoeren van controles op continue basis kan, door het tijdig signaleren van fouten extra aanvullende audit werkzaamheden te verrichten en/of compenserende controlemaatregelen te identificeren, worden vastgesteld of de risico s daadwerkelijk zijn opgetreden. Daarnaast zal de auditee (de organisatie) sneller en wellicht meer 7

15 nauwkeurig over eventuele geconstateerde deficiënties worden geïnformeerd om zo tijdig een remediation plan op te kunnen stellen Ontwikkelingen in continuous auditing In deze paragraaf is een analyse van de ontwikkelingen in continuous auditing opgenomen vanaf een aantal jaren geleden tot heden. De noodzaak voor organisaties om zorg te dragen voor een tijdige en continue verantwoording dat controles effectief werken en risico s binnen bedrijfs- en financiële processen door deze controles worden gemitigeerd is niet nieuw (zie bijlage IV voor de ontwikkeling van continuous auditing en continuous monitoring in de loop der jaren). In praktijk blijkt dat de interne auditor van grote organisaties (bijvoorbeeld grote multinationals) de beheersingsmaatregelen binnen en rondom de informatiesystemen niet op een jaarlijkse basis testen maar hiervoor een twee- of driejaar cyclus hanteren. Daarnaast blijkt dat een aantal informatiesystemen nog nooit zijn getest (bijvoorbeeld door het uitvoeren van een system audit). Dit redenen hiervoor zijn divers; vaak zijn capaciteit-, kennis en kosten kwesties de oorzaak van het hanteren van een dergelijke cyclus. Een hulpmiddel bij bijvoorbeeld het toetsen van beheersingsmaatregelen is het inzetten van audit tools. Audit tools en/of Computer Assistant Audit Techniques (CAAT s) worden binnen accountantskantoren ook vaak gebruikt voor het uitvoeren van gegevensgerichte werkzaamheden. Deze werkzaamheden kunnen geautomatiseerd worden uitgevoerd, zodat op een efficiënte manier controles kunnen worden verricht. Hierbij kan worden gedacht aan geautomatiseerde selectie van te controleren transacties door middel van steekproeven of selectie van transacties met bijzondere kenmerken. Tevens kunnen CAAT s worden ingezet voor bijvoorbeeld het toetsen van de werking van interne controlemaatregelen. Hierbij kan gedacht worden aan het narekenen van complexe berekeningen (met diverse uitzonderingssituaties), excepties, het testen van interfaces, etc. In praktijk blijkt dat de inzet van audit tools en/of CAAT s eveneens kan worden toegepast voor continuous auditing en continuous monitoring. Immers, deze tools kunnen worden gebruikt om invulling te geven aan een permanente monitoring van het goed functioneren van significante controlemaatregelen. Auditors zijn dan ook bezig om CAAT s nu zodanig in te richten, zodat het voor continuous auditing doeleinden kan worden gebruikt. In onderstaand kader is een praktijkvoorbeeld van het toepassen van CAAT s opgenomen. Een veelgebruikte preventieve interne controle is het toekennen van belangrijke bevoegdheden in geautomatiseerde systemen aan een specifieke groep personen. In de praktijk blijkt dat vooral het bewaken dat de instelling van deze bevoegdheden correct blijft, lastig is uit te voeren, zeker wanneer het aantal gebruikers groot is. Bijvoorbeeld bij interne jobrotaties binnen (grote) organisaties blijkt dat de oude bevoegdheden niet worden verwijderd maar uitsluitend extra autorisaties worden toegekend die nodig zijn voor het uitoefenen van de nieuwe functie. Ook bij 8

16 het (tijdelijk) toekennen van extra hoge bevoegdheden voor bijvoorbeeld het plegen van onderhoud of het corrigeren van inconsistenties in het bedrijfsproces, blijkt in praktijk vaak dat deze bevoegdheden achteraf niet (tijdig) worden ontnomen. In de praktijk heeft de externe auditor met behulp van CAAT s (in dit geval ACL) een controle uitgevoerd of de gewenste functiescheiding door middel van deze toegangscontrole is gerealiseerd in een omgeving met vele duizenden transacties per dag en een groot aantal gebruikers. Dit heeft de externe auditor gedaan door de transacties van een aantal dagen op te vragen, te analyseren om vervolgens vast te stellen dat invoer en autorisatie van transacties door verschillende gebruikers heeft plaatsgevonden. Ook bij bijvoorbeeld een inkoopproces zijn CAAT s bij een organisatie door de externe auditor ingezet door de transactiegegevens te analyseren en excepties in het perspectief te plaatsen van het totale transactievolume. Los van het feit om bijvoorbeeld nadruk te leggen op de tabellen waarin de vaste gegevens (static data) zijn opgeslagen. Bron: interview partner accountant groot accountantskantoor. Door de vergaande automatisering van de transactieverwerking en door de integratie van de verschillende verwerkingsstappen is het niet altijd meer mogelijk om met de tot dusverre gebruikelijke controlemiddelen achteraf een goed inzicht te krijgen in de verschillende verwerkingsstappen, inclusief de daarbij uitgevoerde interne controles, die hebben plaats gevonden. Met behulp van continuous auditing is het echter wel mogelijk om tijdens de transactieverwerking waarnemingen te doen, zodat alsnog de verschillende verwerkingsstappen en daarbij uitgevoerde interne controles zichtbaar worden gemaakt en kunnen worden onderworpen aan controle door de auditor. Hierdoor kan de transparantie en zekerheid worden vergroot en zijn de resultaten van de effectiviteit van controlemaatregelen bijna direct zichtbaar, waardoor hier ook op kan worden geanticipeerd. Door de toenemende behoefte aan actuele financiële informatie, transparantie en zekerheid en het reduceren van de kosten van de auditwerkzaamheden, zal de vraag naar het toepassen van continuous auditing toenemen. Daarnaast neemt de noodzaak toe om aan te kunnen tonen dat organisaties in control (zie ook bijlage I) zijn. Toezichthoudende instanties en organisaties die continuous auditing willen toepassen zullen onder meer eisen dat een deskundige en onafhankelijke auditor de gegevens (over transacties): vertrouwelijk behandeld; zo efficiënt mogelijk conform onder meer de geldende wet- en regelgeving worden getoetst; de integriteit van de gegevens waarborgt. 9

17 2.2 Uiteenzetting definitie continuous monitoring Voor het begrip continuous monitoring worden diverse definities gehanteerd. Achtereenvolgens zijn de gehanteerde definities van de volgende organisaties uiteengezet: consultantsbureau en softwareleverancier(acl); Instituut voor interne auditors (IIA); overkoepelende organisatie voor gecertificeerde information system auditors (ISACA); een multinational (grote financiële instelling); een groot accountantskantoor. Daarnaast zijn voor het begrip monitoring de gehanteerde definities uiteengezet van de volgende organisaties: COSO; Federale overheidsdienst financiën België; Definitie ACL Continuous monitoring of controls is a process that management puts in place to ensure that its policies and procedures are adhered to, and that business processes are operating effectively. Continuous monitoring typically involves automated continuous testing of all transactions within a given business process area against a suite of controls rules. Bron: Definitie IIA Continuous monitoring refers to the process that management puts in place to ensure that the policies, procedures and business processes are operating effectively. Bron: the institute of internal auditors: Definitie ISACA Continuous monitoring is an automated process that regularly validates the accuracy and/or validity of transactions to provide ongoing feedback/assurance to management as to the effectiveness of internal controls. The end result of continuous monitoring is to obtain information about the performance of a process, system or data, not the issuance of an audit report. As a result, there are key differences. Bron: Definitie grote multinational Continuous monitoring is een methode die in een korte periode op een geautomatiseerde manier de processen en gegevens uit de processen kan beoordelen aan vastgestelde voorwaarden, waarbij deze werkzaamheden worden uitgevoerd door het management al dan niet direct betrokken bij of verantwoordelijk voor het onderhavige bedrijfsproces. Deze methode verhoogt de betrouwbaarheid van de informatie die wordt verstrekt aan diverse 10

18 partijen (bijvoorbeeld rapportages aan het management) gezien de controles worden uitgevoerd op alle ruwe data (transactieniveau). Bron: Directeur application management,. gehouden interview Definitie groot accountantskantoor (big-four) Continuous monitoring is niets anders dan continuous auditing, met het verschil dat de verantwoordelijkheid is belegd bij het management en de uitvoering ook plaatsvindt door functionarissen betrokken binnen de bedrijfsprocessen van de organisatie. Bij continuous auditing wordt een (geautomatiseerde) audit uitgevoerd door de auditor. Bron: Partner accountant, gehouden interview Definities monitoring: Definitie COSO Monitoring is a process that assesses the quality of the internal control process over time. This is accomplished through ongoing monitoring activities, separate evaluations or a combination of the two. Bron: Definitie Federale overheidsdienst financiën België Monitoring is het continue proces van overzicht van de consequente en juiste werking van de interne controlemaatregelen. Deze monitoring kan door het management zelf gebeuren of uitbesteed worden aan een onafhankelijk orgaan (bijv. audit). monitoring maakt integraal deel uit van het interne controlesysteem. Bovendien kan het management en het personeel zelf de werking van het intern controle systeem evalueren via een bepaalde methodiek, Control Self Assessment genaamd (CSA). Bron: Conclusie In deze verschillende definities zien we een aantal aspecten terugkomen: het is een geautomatiseerd proces (verzameling van gerelateerde activiteiten met hetzelfde doel); de verantwoordelijkheid van continuous monitoring ligt bij het management van de betreffende organisatie; de uitvoering kan bij het management liggen, maar kan ook elders in de organisatie zijn ondergebracht of zelfs zijn uitbesteed; het toepassen van continuous monitoring kan, net als bij het toepassen van continuous auditing, de betrouwbaarheid van de informatie verhogen, gezien bij het uitvoeren van geautomatiseerde controles een dekking van 100% van de transacties kan worden gerealiseerd; het wordt gezien als proces met als doel de bedrijfsprocessen, procedures en policies zo efficiënt mogelijk op te stellen. Hierbij kan gebruik worden gemaakt van geautomatiseerde controles; 11

19 het verschil tussen continuous monitoring en (standaard) monitoring is dat continuous monitoring een geautomatiseerd proces is waarbij monitoring zelf als een handmatig proces kan worden gezien. Traditioneel wordt periodiek door het management handmatig en achteraf getoetst of haar controlemaatregelen toereikend zijn. In grote organisaties kan dit zijn uitbesteed aan een operational risk management afdeling. De toetsing wordt direct gerapporteerd aan het management. Continuous monitoring vindt weliswaar plaats nadat bijvoorbeeld transacties hebben plaatsgevonden (detectief), maar kunnen gedurende het proces plaatsvinden; continuous monitoring wordt in relatie gebracht met interne controle. Interne controle wordt uitgevoerd om te voorkomen dat binnen organisaties door onvolledige of incorrecte gegevens een verkeerd beeld ontstaat, waardoor verkeerde beslissingen kunnen worden genomen. Interne controle heeft als doel om redelijke mate van zekerheid te geven aan het behalen van de bedrijfsdoelstellingen: effectieve en efficiënte bedrijfsprocessen; betrouwbare en actuele financiële rapportages; voldoen aan de geldende wet- en regelgeving. Naast de terugkomende aspecten, is het opmerkelijk dat continuous monitoring op twee verschillende manieren kan worden geïmplementeerd: 1 als controleactiviteit (controleregel). In dit geval is continuous monitoring onderdeel van de interne controle en wordt gebruikt als een detectieve controle. Een voorbeeld hiervan is een controleregel dat automatisch controleert op dubbele betalingen. 2 als doel om inzicht te verkrijgen in de juiste werking van de interne controle. In dit geval wordt continuous monitoring gebruikt als toetsingsmechanismen van het (gehele) interne controle systeem. Hierbij is continuous monitoring een detectieve controle op de effectiviteit en efficiëntie van het interne controle systeem zelf. Een voorbeeld hiervan is als continuous monitoring wordt ingezet voor het testen van geautoriseerde limieten Achtergrond continuous monitoring Zoals in de vorige paragraaf is aangegeven is continuous monitoring onderdeel van het interne controle systeem. Interne controle dient binnen organisaties altijd aanwezig te zijn, in eerste instantie is het er op gericht om te zorgen dat de interne informatie correct is, zodat het management op basis van juiste gegevens beslissingen neemt. In tweede instantie wordt door interne controle ook de gegevens gecontroleerd die een bedrijf naar buiten brengt. De aangescherpte wet- en regelgeving (zie bijlage V) heeft vaak grote impact op de interne controle van organisaties. Het systeem voor interne controle moet onder meer fouten en fraude kunnen detecteren en kunnen garanderen dat de juiste informatie op tijd bij de juiste (daartoe geautoriseerde) personen terechtkomt. Het is voor organisaties van belang dat de interne controle zo effectief mogelijk is ingericht en wordt uitgevoerd. Voor het opzetten van effectieve interne controle systemen maken organisaties vaak gebruik van standaard raamwerken. Voorbeelden 12

20 hiervan zijn COSO, COBIT, SAC en SAS90. Deze raamwerken hebben hetzelfde doel, maar de toepassing en de doelgroep verschilt per raamwerk. Zo zijn COSO en COBIT vooral raamwerken die gebruikt worden door het management, terwijl SAC en SAS90 meer gebruikt worden door de (interne en externe) auditors. In alle gevallen geldt dat het management verantwoordelijk blijft voor de interne controle. Voor ons onderzoek hebben wij als voorbeeld het COSO raamwerk verder uitgewerkt. Veel organisaties kiezen ervoor om het COSO raamwerk voor interne beheersing te implementeren. Dit raamwerk biedt een gestructureerde aanpak van interne controle door het proces onder te verdelen in vijf onderling afhankelijke componenten: Control environment, deze eerste component kan worden gezien als de basis van het COSO raamwerk. Het omvat de controlecultuur in een organisatie, waaronder de integriteit en de competenties van de leidinggevenden, de managementfilosofie en stijl en de manier waarop verantwoordelijkheden en bevoegdheden toegekend worden. Risk assessment, de tweede component. Risk assessment begint met het identificeren van risico s die een rol spelen bij het behalen van de bedrijfsdoelstellingen. Het vereist het evalueren van interne- en externe factoren, en de impact hiervan op de operationele processen, de financiële rapportages en compliance. Control activities, de derde component. Deze component bestaat uit alle procedures en beleidsmaatregelen die ervoor zorg dragen dat de bedrijfsdoelstellingen worden gehaald. Deze controle activiteiten dienen door de gehele organisatie te zijn opgenomen en te worden uitgevoerd voor het beheersen en/of mitigeren van de risico s. Information & communication, deze vierde component zorgt ervoor dat binnen de organisaties alle personen over de benodigde informatie beschikken om effectief hun verantwoordelijkheden uit te kunnen dragen. Monitoring, de laatste component waarin ervoor wordt gezorgd dat de interne controls periodiek worden geanalyseerd om te zorgen voor een effectief en efficiënt interne controle systeem. Bij de COSO componenten control activities en monitoring kan continuous monitoring een belangrijke rol spelen. Continuous monitoring kan worden geïmplementeerd als: a) de controle activiteit (controleregel). Wanneer een continuous monitoring test controleert op dubbele betalingen, dan is er sprake van een detectieve controle activiteit en dan is het continuous monitoring onderdeel van de COSO component control activities. b) het testen van de controle. Als continuous monitoring wordt ingezet voor het testen van bijvoorbeeld geautoriseerde limieten, dan test het de controle zelf en is het een detectieve controle op de effectiviteit en efficiëntie van het interne controle systeem zelf. Deze manier van testen is onderdeel van de COSO component monitoring. 13

Continuous auditing and continuous monitoring: continuous solutions? J. Jacobs en M. Hoetjes

Continuous auditing and continuous monitoring: continuous solutions? J. Jacobs en M. Hoetjes Continuous auditing and continuous monitoring: continuous solutions? J. Jacobs en M. Hoetjes Introductie Jacco Jacobs E-mail: jacco.jacobs@nl.ey.com Internet: www.ey.com Meta Hoetjes E-mail: meta.hoetjes@csi4grc.com

Nadere informatie

CobiT. Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1

CobiT. Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1 CobiT Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1 Control objectives for information and related Technology Lezenswaardig: 1. CobiT, Opkomst, ondergang en opleving

Nadere informatie

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag André Salomons Smart SharePoint Solutions BV Cloud security en de rol van de accountant ICT Accountancy praktijkdag Cloud security moet uniformer en transparanter, waarom deze stelling? Links naar de artikelen

Nadere informatie

SAP Risk-Control Model. Inzicht in financiële risico s vanuit uw SAP processen

SAP Risk-Control Model. Inzicht in financiële risico s vanuit uw SAP processen SAP Risk-Control Model Inzicht in financiële risico s vanuit uw SAP processen Agenda 1.Introductie in Risicomanagement 2.SAP Risk-Control Model Introductie in Risicomanagement Van risico s naar intern

Nadere informatie

Governance, Risk and Compliance (GRC) tools

Governance, Risk and Compliance (GRC) tools Governance, Risk and Compliance (GRC) tools Auteurs: Peter Paul Brouwers en Maurice op het Veld Samenvatting Het voldoen aan de wet- en regelgeving met betrekking tot bijvoorbeeld de Sarbanes Oxley Act

Nadere informatie

Slide 1. Slide 2 Introduktie. Slide 3 Deze les: 2 onderwerpen. Les 1 Definities en belang Informatie Technologie. Intro docent Opzet/tentamenstof

Slide 1. Slide 2 Introduktie. Slide 3 Deze les: 2 onderwerpen. Les 1 Definities en belang Informatie Technologie. Intro docent Opzet/tentamenstof Slide 1 Les 1 Definities en belang Informatie Technologie IT A Basics en toepassing Informatie Technologie Versie 4.1 Sept 2014 Slide 2 Introduktie Intro docent Opzet/tentamenstof Stof/vraagstukken behandeld

Nadere informatie

Auteurs: Jan van Bon, Wim Hoving Datum: 9 maart 2009. Cross reference ISM - COBIT

Auteurs: Jan van Bon, Wim Hoving Datum: 9 maart 2009. Cross reference ISM - COBIT Auteurs: Jan van Bon, Wim Hoving Datum: 9 maart 2009 Cross reference ISM - COBIT ME: Monitor & Evaluate Cross reference ISM - COBIT Management summary Organisaties gebruiken doorgaans twee soorten instrumenten

Nadere informatie

Afstudeerscriptie: Computer-assisted audit techniques (CAATs)

Afstudeerscriptie: Computer-assisted audit techniques (CAATs) Afstudeerscriptie: Computer-assisted audit techniques (CAATs) Afstudeerscriptie Definitieve versie 5 juni 2008 Hugo de Vries, hugo@hugodevries.eu; Studentnummer: 9981236 Teamnummer: 831 Vrije Universiteit

Nadere informatie

De logica achter de ISA s en het interne controlesysteem

De logica achter de ISA s en het interne controlesysteem De logica achter de ISA s en het interne controlesysteem In dit artikel wordt de logica van de ISA s besproken in relatie met het interne controlesysteem. Hieronder worden de componenten van het interne

Nadere informatie

Nationale Controllersdag 2016 9 juni 2016. Financial Control Framework Van data naar rapportage

Nationale Controllersdag 2016 9 juni 2016. Financial Control Framework Van data naar rapportage Nationale Controllersdag 2016 9 juni 2016 Financial Control Framework Van data naar rapportage Inhoudsopgave Even voorstellen Doel van de workshop Positie van Finance & Control Inrichting van management

Nadere informatie

2014 KPMG Advisory N.V

2014 KPMG Advisory N.V 01 Uitbesteding & assurance 11 Nut en noodzaak van assurance reporting Auteurs: Rosemarie van Alst en Fons Basten Wie activiteiten uitbesteedt, wil graag zekerheid over de kwaliteit en integriteit van

Nadere informatie

Interne controle en risicobeheer

Interne controle en risicobeheer COMMISSIE CORPORATE GOVERNANCE PRIVATE STICHTING Interne controle en risicobeheer Richtlijnen in het kader van de wet van 6 april 2010 en de Belgische Corporate Governance Code 2009 Hulpdocument voor het

Nadere informatie

MEER AMBACHT DAN FABRIEK Data-Analyse en Process Mining Support www.coney.nl

MEER AMBACHT DAN FABRIEK Data-Analyse en Process Mining Support www.coney.nl MEER AMBACHT DAN FABRIEK Data-Analyse en Process Mining Support www.coney.nl DE TOOLS DIE WIJ GEBRUIKEN DATA- ANALYSE TOOLS DATA- ANALYSE SUPPORT PROCESS MINING TOOLS PROCESS MINING SUPPORT DATA- ANALYSE

Nadere informatie

Een andere blik op fraude en integriteit: zicht op geld- en goederenstromen

Een andere blik op fraude en integriteit: zicht op geld- en goederenstromen Een andere blik op fraude en integriteit: zicht op geld- en goederenstromen Hans Schoolderman Building trust in food Food Supply and Integrity Services October 2015 VMT congres, 13 oktober Hans Schoolderman

Nadere informatie

Het assurance-raamwerk De accountant en het verstrekken van zekerheid

Het assurance-raamwerk De accountant en het verstrekken van zekerheid Het assurance-raamwerk De accountant en het verstrekken van zekerheid Koninklijk Nederlands Instituut van Registeraccountants Inhoudsopgave 1 Inleiding 3 2 Het begrip assurance en maatschappelijke ontwikkelingen

Nadere informatie

Artikel. Naar een verbeterde audit van de interne controle: Continuous auditing

Artikel. Naar een verbeterde audit van de interne controle: Continuous auditing Artikel Naar een verbeterde audit van de interne controle: Continuous auditing Willem Scheeres Een belangrijk deel van de accountantscontrole is gericht op het beoordelen van de opzet, het bestaan en de

Nadere informatie

INTERNATIONALE CONTROLESTANDAARD 402 IN OVERWEGING TE NEMEN FACTOREN BIJ DE CONTROLE VAN ENTITEITEN DIE GEBRUIKMAKEN VAN SERVICE-ORGANISATIES

INTERNATIONALE CONTROLESTANDAARD 402 IN OVERWEGING TE NEMEN FACTOREN BIJ DE CONTROLE VAN ENTITEITEN DIE GEBRUIKMAKEN VAN SERVICE-ORGANISATIES INTERNATIONALE CONTROLESTANDAARD 402 IN OVERWEGING TE NEMEN FACTOREN BIJ DE CONTROLE VAN ENTITEITEN DIE GEBRUIKMAKEN VAN SERVICE-ORGANISATIES INHOUDSOPGAVE Paragrafen Inleiding... 1-3 Door de auditor in

Nadere informatie

INTERNATIONALE CONTROLESTANDAARD 610 HET IN AANMERKING NEMEN VAN DE INTERNE AUDITWERKZAAMHEDEN

INTERNATIONALE CONTROLESTANDAARD 610 HET IN AANMERKING NEMEN VAN DE INTERNE AUDITWERKZAAMHEDEN INTERNATIONALE CONTROLESTANDAARD 610 HET IN AANMERKING NEMEN VAN DE INTERNE AUDITWERKZAAMHEDEN INHOUDSOPGAVE Paragrafen Inleiding... 1-4 Reikwijdte en doelstellingen van de interne audit... 5 Verhouding

Nadere informatie

De spreadsheet van het strafbankje

De spreadsheet van het strafbankje Artikel De spreadsheet van het strafbankje Een pragmatische aanpak voor End User Computing Trudy Onland Sinds de introductie van Sarbanes Oxley wet (SOx) ontbreken duidelijke en eenduidige richtlijnen

Nadere informatie

Risk & Compliance Charter Clavis Family Office B.V.

Risk & Compliance Charter Clavis Family Office B.V. Risk & Compliance Charter Clavis Family Office B.V. Datum: 15 april 2013 Versie 1.0 1. Inleiding Het Risk & Compliance Charter (charter) bevat de uitgeschreven principes, doelstellingen en bevoegdheden

Nadere informatie

Business Process Management

Business Process Management Business Process Management Prof. dr. Manu De Backer Universiteit Antwerpen Katholieke Universiteit Leuven Hogeschool Gent Wat is een bedrijfsproces? Een verzameling van (logisch) gerelateerde taken die

Nadere informatie

Readiness Assessment ISMS

Readiness Assessment ISMS Readiness Assessment van ISMS ISO/IEC27001:2005 1 Senior Internal/IT auditor Luyke Tjebbes EMIA RO CISA Lead Auditor ISO/IEC27001:2005 Projectleider ISO assessment 2 Wat is ISO 27001 eigenlijk? ISO/IEC

Nadere informatie

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system!

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system! Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system!! Tom Veerman! Triple A Risk Finance B.V.! 1! Programma! Solvency II stand

Nadere informatie

Actieplan naar aanleiding van BDO-onderzoek. Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012

Actieplan naar aanleiding van BDO-onderzoek. Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012 Actieplan naar aanleiding van BDO-onderzoek Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012 Inhoudsopgave - Actieplan GVB Raad van Commissarissen GVB Holding N.V. n.a.v. BDO-rapportage 13

Nadere informatie

Het meten van de effectiviteit van internecontrolemaatregelen

Het meten van de effectiviteit van internecontrolemaatregelen Compact 2004/1 Het meten van de effectiviteit van internecontrolemaatregelen A.A. van Dijke, R.A. Jonker RE RA en ir. R. Ossendrijver Mede door de invoering van de Sarbanes-Oxley Act en de Code Tabaksblat

Nadere informatie

Grip op diversiteit aan beveiligingseisen: Compliant zijn en blijven, maar hoe? VIAG themadag Drs. D.J. van der Poel RE RA 21 maart 2014

Grip op diversiteit aan beveiligingseisen: Compliant zijn en blijven, maar hoe? VIAG themadag Drs. D.J. van der Poel RE RA 21 maart 2014 1 Grip op diversiteit aan beveiligingseisen: Compliant zijn en blijven, maar hoe? VIAG themadag Drs. D.J. van der Poel RE RA 21 maart 2014 Inhoud 2 Inleiding: enige trends in de markt In het speelveld

Nadere informatie

Een nieuwe rol voor het auditcomité en een aangepast audit rapport

Een nieuwe rol voor het auditcomité en een aangepast audit rapport Een nieuwe rol voor het auditcomité en een aangepast audit rapport Jean-François CATS Inhoud van de uiteenzetting Nieuwe opdrachten van het auditcomité ingevoerd door de Audit Directieve en het Audit Reglement

Nadere informatie

Delo itte. 1183 AS Amstelveen Postbus 175 1180 AD Amstelveen Nederland

Delo itte. 1183 AS Amstelveen Postbus 175 1180 AD Amstelveen Nederland Delo itte. 1183 AS Amstelveen Postbus 175 1180 AD Amstelveen Nederland Tel: 088 288 2888 Fax: 088288 9711 www.deloitte.nl Assurance rapport van de onafhankelijke accountant Rapportage aan: Achmea Divisie

Nadere informatie

ISO 20000 @ CTG Europe

ISO 20000 @ CTG Europe ISO 20000 @ CTG Europe 31/10/2007 mieke.roelens@ctg.com +32 496266725 1 Agenda 31 oktober 2007 Voorstelling Project Business Case: Doel & Scope Projectorganisatie Resultaten assessments en conclusies De

Nadere informatie

IT risk management voor Pensioenfondsen

IT risk management voor Pensioenfondsen IT risk management voor Pensioenfondsen Cyber Security Event Marc van Luijk Wikash Bansi Rotterdam, 11 Maart 2014 Beheersing IT risico s Het pensioenfonds is verantwoordelijk voor de hele procesketen,

Nadere informatie

OPERATIONEEL RISKMANAGEMENT. Groningen, maart 2016 Wim Pauw

OPERATIONEEL RISKMANAGEMENT. Groningen, maart 2016 Wim Pauw OPERATIONEEL RISKMANAGEMENT Groningen, maart 2016 Wim Pauw Risicomanagement Risicomanagement is steeds meer een actueel thema voor financiële beleidsbepalers, maar zij worstelen vaak met de bijbehorende

Nadere informatie

Controleverklaring van de onafhankelijke accountant

Controleverklaring van de onafhankelijke accountant Controleverklaring van de onafhankelijke accountant Aan: de algemene vergadering van Nederlandse Waterschapsbank N.V. Verklaring over de jaarrekening 2014 Ons oordeel Wij hebben de jaarrekening 2014 van

Nadere informatie

Het effect van GRC-software op de jaarrekening controle

Het effect van GRC-software op de jaarrekening controle Compact_ 2008_3 3 Het effect van GRC-software op de jaarrekening controle Faried Ibrahim MSc en drs. Dennis Hallemeesch F. Ibrahim MSc is afgestudeerd bij KPMG IT Advisory voor de Master Economics & ICT

Nadere informatie

Executive Academy. Permanente Educatie voor Professionals. Permanente Educatie voor Professionals

Executive Academy. Permanente Educatie voor Professionals. Permanente Educatie voor Professionals Executive Academy Permanente Educatie voor Professionals Permanente Educatie voor Professionals Wat is de Executive Academy? De Executive Academy is een samenwerking tussen de Amsterdam Business School

Nadere informatie

5-daagse bootcamp IT Risk Management & Assurance

5-daagse bootcamp IT Risk Management & Assurance 5-daagse bootcamp IT Risk Management & Assurance Verhoog het niveau van uw risicomanagement processen vóór 1 juni naar volwassenheidsniveau 4! ISO31000 DAG 1 DAG 2 DAG 3 OCHTEND NIEUW ISO27005 DAG 3 MIDDAG

Nadere informatie

Enterprisearchitectuur

Enterprisearchitectuur Les 2 Enterprisearchitectuur Enterprisearchitectuur ITarchitectuur Servicegeoriënteerde architectuur Conceptuele basis Organisatiebrede scope Gericht op strategie en communicatie Individuele systeemscope

Nadere informatie

MKB Cloudpartner Informatie TPM & ISAE 3402 2016

MKB Cloudpartner Informatie TPM & ISAE 3402 2016 Third Party Memorandum (TPM) Een Derde verklaring of Third Party Mededeling (TPM) is een verklaring die afgegeven wordt door een onafhankelijk audit partij over de kwaliteit van een ICT-dienstverlening

Nadere informatie

Enterprise Portfolio Management

Enterprise Portfolio Management Enterprise Portfolio Management Strategische besluitvorming vanuit integraal overzicht op alle portfolio s 22 Mei 2014 Jan-Willem Boere Vind goud in uw organisatie met Enterprise Portfolio Management 2

Nadere informatie

Verantwoordingsdocument Code Banken over 2014 Hof Hoorneman Bankiers NV d.d. 18 maart 2015. Algemeen

Verantwoordingsdocument Code Banken over 2014 Hof Hoorneman Bankiers NV d.d. 18 maart 2015. Algemeen Verantwoordingsdocument Code Banken over 2014 Hof Hoorneman Bankiers NV d.d. 18 maart 2015 Algemeen Mede naar aanleiding van de kredietcrisis en de Europese schuldencrisis in 2011 is een groot aantal codes,

Nadere informatie

From business transactions to process insights. BPM Round Table, TU/e 26 mei 2014

From business transactions to process insights. BPM Round Table, TU/e 26 mei 2014 From business transactions to process insights BPM Round Table, TU/e 26 mei 2014 Agenda 1 2 3 4 Korte introductie Process mining in de audit Enkele voorbeelden Uitdagingen & de toekomst 1 Korte introductie

Nadere informatie

Hoe kan Continuous Controls Monitoring (CCM) het evaluatieproces van beheersingsmaatregelen (interne controls ) ondersteunen?

Hoe kan Continuous Controls Monitoring (CCM) het evaluatieproces van beheersingsmaatregelen (interne controls ) ondersteunen? IT Audit afstudeerscriptie aan de Faculteit der Economische Wetenschappen en Bedrijfskunde (FEWEB) van de Vrije Universiteit Amsterdam Hoe kan Continuous Controls Monitoring (CCM) het evaluatieproces van

Nadere informatie

2 e webinar herziening ISO 14001

2 e webinar herziening ISO 14001 2 e webinar herziening ISO 14001 Webinar SCCM 25 september 2014 Frans Stuyt Doel 2 e webinar herziening ISO 14001 Planning vervolg herziening Overgangsperiode certificaten Korte samenvatting 1 e webinar

Nadere informatie

Process Mining and audit support within financial services. KPMG IT Advisory 18 June 2014

Process Mining and audit support within financial services. KPMG IT Advisory 18 June 2014 Process Mining and audit support within financial services KPMG IT Advisory 18 June 2014 Agenda INTRODUCTION APPROACH 3 CASE STUDIES LEASONS LEARNED 1 APPROACH Process Mining Approach Five step program

Nadere informatie

Alles onder controle met pro

Alles onder controle met pro WET EN REGELGEVING Drs. S. van der Smissen (svandersmissen@deloitte.nl). Drs. W. Bertoen (wbertoen@deloitte.nl), management consultants Deloitte, adviesgroep Finance & Control te Utrecht. Toezicht houden

Nadere informatie

It s CMMI Jim, but not as we know it! CMMI toegepast op een Compliance organisatie Door Jasper Doornbos Improvement Focus

It s CMMI Jim, but not as we know it! CMMI toegepast op een Compliance organisatie Door Jasper Doornbos Improvement Focus It s CMMI Jim, but not as we know it! CMMI toegepast op een Compliance organisatie Door Jasper Doornbos Improvement Focus Inhoud Compliance vakgebied en organisatie CMMI software en systems engineering

Nadere informatie

Software Test Plan. Yannick Verschueren

Software Test Plan. Yannick Verschueren Software Test Plan Yannick Verschueren November 2014 Document geschiedenis Versie Datum Auteur/co-auteur Beschrijving 1 November 2014 Yannick Verschueren Eerste versie 1 Inhoudstafel 1 Introductie 3 1.1

Nadere informatie

Testen en BASEL II. Dennis Janssen. Agenda. Wat is BASEL II? Testen van BASEL II op hoofdlijnen

Testen en BASEL II. Dennis Janssen. Agenda. Wat is BASEL II? Testen van BASEL II op hoofdlijnen Testen en BASEL II Dennis Janssen Test Research Centre LogicaCMG 1 Agenda Wat is BASEL II? Testen van BASEL II op hoofdlijnen BASEL II als hulpmiddel om positie testen te versterken Samenvatting 2 1 Basel

Nadere informatie

3-daagse praktijktraining. IT Audit Essentials

3-daagse praktijktraining. IT Audit Essentials 3-daagse praktijktraining IT Audit Essentials Programma IT-Audit Essentials Door de steeds verdergaande automatisering van de bedrijfsprocessen wordt de beveiliging en betrouwbaarheid van de IT systemen

Nadere informatie

De definitieve Code Corporate Governance, enige beschouwingen vanuit risicoperspectief.

De definitieve Code Corporate Governance, enige beschouwingen vanuit risicoperspectief. De definitieve Code Corporate Governance, enige beschouwingen vanuit risicoperspectief. In de Code van Commissie Peters De Veertig Aanbevelingen (juni 1997) staat in zeer algemene termen iets over risicobeheersing.

Nadere informatie

HET GAAT OM INFORMATIE

HET GAAT OM INFORMATIE Aan leiding C OB IT HET GAAT OM INFORMATIE Informatie is belangrijk voor het functioneren van een organisatie Informatie wordt gegenereerd, gebruikt, bewaard, ontsloten, verwijderd Informatietechnologie

Nadere informatie

Het ISACA RISK IT Framework voor Testers. Omgaan met risico s Risk Appetite Onderzoeken Maatregelen

Het ISACA RISK IT Framework voor Testers. Omgaan met risico s Risk Appetite Onderzoeken Maatregelen 1 Het ISACA RISK IT Framework voor Testers Omgaan met risico s Risk Appetite Onderzoeken Maatregelen 2 Wie is Jaap Ir. J. van der Leer CRISC CGEIT CISA 43 jaar in de IT werkzaam. 22 jaar ervaring in IT

Nadere informatie

Assurance rapport van de onafhankelijke accountant

Assurance rapport van de onafhankelijke accountant Assurance rapport van de onafhankelijke accountant Rapportage aan: Achmea Divisie Pensioen & Leven De heer A. Aalbers 1 Achmea Divisie Pensioen & Leven De heer A. Aalbers Postbus 700 APELDOORN Opdracht

Nadere informatie

(Indirect) tax risico management in de praktijk

(Indirect) tax risico management in de praktijk (Indirect) tax risico management in de praktijk Verslaglegger: Lenny Koot Inleider: mr. S.R.M. Janssen, Indirect Tax Manager bij Nidera en vaste gastspreker over het onderwerp Tax Assurance aan de Nyenrode

Nadere informatie

Meer Business mogelijk maken met Identity Management

Meer Business mogelijk maken met Identity Management Meer Business mogelijk maken met Identity Management De weg naar een succesvolle Identity & Access Management (IAM) implementatie David Kalff OGh 14 september 2010 't Oude Tolhuys, Utrecht Agenda Herkent

Nadere informatie

Risk & Requirements Based Testing

Risk & Requirements Based Testing Risk & Requirements Based Testing Tycho Schmidt PreSales Consultant, HP 2006 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice Agenda Introductie

Nadere informatie

NS in beweging, Security als business enabler september 2008

NS in beweging, Security als business enabler september 2008 NS in beweging, Security als business enabler september 2008 Rien Dijkstra Enterprise IT Architect Informatiemangement & Technologie .. de noodzaak en uitdagingen van een topvervoerder, onder eigen regie,

Nadere informatie

Kwaliteitsmanagement: de verandering communiceren!

Kwaliteitsmanagement: de verandering communiceren! Kwaliteitsmanagement: de verandering communiceren! (de mens in het proces) Ronald Vendel Business Development manager Ruim 20 jaar ervaring Gestart in 1990 Software specialisme: Procesmanagement (BPM)

Nadere informatie

ISO/IEC 20000, van standaardkwaliteit naar kwaliteitsstandaard. NGI Limburg 30 mei 2007

ISO/IEC 20000, van standaardkwaliteit naar kwaliteitsstandaard. NGI Limburg 30 mei 2007 ISO/IEC 20000, van standaardkwaliteit naar kwaliteitsstandaard NGI Limburg 30 mei 2007 1 Tijdlijn 80-er jaren: ITIL versie 1 2000: BS 15000 2001: ITIL versie 2 2002: Aangepaste versie BS 15000 2005: BS

Nadere informatie

Afdeling : Planning & Control Organisatie : Thuisvester Functie : Medewerker Planning & Control Datum : augustus 2014

Afdeling : Planning & Control Organisatie : Thuisvester Functie : Medewerker Planning & Control Datum : augustus 2014 FUNCTIEDOCUMENT CONTEXT De afdeling Planning & Control richt zich op de effectieve en efficiënte uitvoering van planning & controlcyclus governance, financiering & treasury en risicomanagement. De medewerker

Nadere informatie

Strategisch Risicomanagement

Strategisch Risicomanagement Commitment without understanding is a liability Strategisch Risicomanagement Auteur Drs. Carla van der Weerdt RA Accent Organisatie Advies Effectief en efficiënt risicomanagement op bestuursniveau Risicomanagement

Nadere informatie

BUSINESS CASE. Datamigratiespecialist T2S begeleidt Veenman bij ERP-implementatie

BUSINESS CASE. Datamigratiespecialist T2S begeleidt Veenman bij ERP-implementatie BUSINESS CASE Datamigratiespecialist T2S begeleidt Veenman bij ERP-implementatie Veenman, leverancier van afdrukapparatuur en document management oplossingen, heeft in 2012 succesvol het nieuwe ERP-systeem

Nadere informatie

ERP Testing. HP Nijhof. Testmanager. Testnet November 2005

ERP Testing. HP Nijhof. Testmanager. Testnet November 2005 ERP Testing HP Nijhof Testmanager Testnet November 2005 Solution Sales Meeting7 November 2005 1 Agenda Waarom pakketten testen? Schaarse middelen? Ideale ERP test situatie Vragen 2 De centrale vraag ERP

Nadere informatie

Identity & Access Management & Cloud Computing

Identity & Access Management & Cloud Computing Identity & Access Management & Cloud Computing Emanuël van der Hulst Edwin Sturrus KPMG IT Advisory 11 juni 2015 Cloud Architect Alliance Introductie Emanuël van der Hulst RE CRISC KPMG IT Advisory Information

Nadere informatie

DEEL I DE OPKOMST VAN E-HRM

DEEL I DE OPKOMST VAN E-HRM DEEL I DE OPKOMST VAN E-HRM Business sounds different these days...3 1. Introductie...4 2. De veranderende omgeving van organisaties...7 3. Toenemende complexiteit van organisaties en HRM...10 3.1 Inleiding...10

Nadere informatie

Invloed van IT uitbesteding op bedrijfsvoering & IT aansluiting

Invloed van IT uitbesteding op bedrijfsvoering & IT aansluiting xvii Invloed van IT uitbesteding op bedrijfsvoering & IT aansluiting Samenvatting IT uitbesteding doet er niet toe vanuit het perspectief aansluiting tussen bedrijfsvoering en IT Dit proefschrift is het

Nadere informatie

Actualiteitendag Platform Deelnemersraden Risicomanagement

Actualiteitendag Platform Deelnemersraden Risicomanagement Actualiteitendag Platform Deelnemersraden Risicomanagement Benne van Popta (voorzitter Detailhandel) Steffanie Spoorenberg (adviseur Atos Consulting) Agenda 1. Risicomanagement 2. Risicomanagement vanuit

Nadere informatie

De essentie van de nieuwe ISO s. Dick Hortensius, NEN Milieu & Maatschappij

De essentie van de nieuwe ISO s. Dick Hortensius, NEN Milieu & Maatschappij De essentie van de nieuwe ISO s Dick Hortensius, NEN Milieu & Maatschappij 1 Waar ik het over ga hebben De uitdaging en de oplossing De HLS voor iedereen De HLS voor wie het wil Waar we staan en wat er

Nadere informatie

Bedrijfsprocessen theoretisch kader

Bedrijfsprocessen theoretisch kader Bedrijfsprocessen theoretisch kader Versie 1.0 2000-2009, Biloxi Business Professionals BV 1. Bedrijfsprocessen Het procesbegrip speelt een belangrijke rol in organisaties. Dutta en Manzoni (1999) veronderstellen

Nadere informatie

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Zekerheid in de Cloud ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Agenda - Wat speelt zich af in de Cloud - Cases - Keurmerk Zeker-OnLine - Wat is het belang van de accountant en het administratiekantoor

Nadere informatie

HEIJMANS N.V. REGLEMENT AUDITCOMMISSIE

HEIJMANS N.V. REGLEMENT AUDITCOMMISSIE HEIJMANS N.V. REGLEMENT AUDITCOMMISSIE Vastgesteld door de RvC op 10 maart 2010 1 10 maart 2010 INHOUDSOPGAVE Blz. 0. Inleiding... 3 1. Samenstelling... 3 2. Taken en bevoegdheden... 3 3. Taken betreffende

Nadere informatie

Op naar een excellente controle

Op naar een excellente controle Op naar een excellente controle Welke controlewerkzaamheden kunnen verder geoptimaliseerd worden om kosten te besparen of om meer toegevoegde waarde te kunnen bieden aan cliënten? Hoe kunnen deze werkzaamheden

Nadere informatie

Wat heeft een tester aan ASL en BiSL?

Wat heeft een tester aan ASL en BiSL? TestNet Noord, Heerenveen, 20 november 2012 Wat heeft een tester aan ASL en BiSL? Eibert Dijkgraaf Intro Wie zit er in een typische beheer omgeving? Wat is kenmerkend voor testen : IN BEHEER? IN ONDERHOUD?

Nadere informatie

Deloitte. Assurance rapport van de onafhankelijke accountant. Rapportage aan: Achmea Bancaire Distributie. De heer R. Rikze

Deloitte. Assurance rapport van de onafhankelijke accountant. Rapportage aan: Achmea Bancaire Distributie. De heer R. Rikze Deloitte Accountants B.V. Enterprise Risk Services Laan van Kronenburg 2 1183 AS Amstelveen Postbus 175 1180 AD Amstelveen Nederland Tel: 088 288 2888 Fax: 088 2889711 www.deloitte.nl Assurance rapport

Nadere informatie

Enterprise Architectuur. een duur begrip, maar wat kan het betekenen voor mijn gemeente?

Enterprise Architectuur. een duur begrip, maar wat kan het betekenen voor mijn gemeente? Enterprise Architectuur een duur begrip, maar wat kan het betekenen voor mijn gemeente? Wie zijn we? > Frederik Baert Director Professional Services ICT @frederikbaert feb@ferranti.be Werkt aan een Master

Nadere informatie

Offshore Outsourcing van Infrastructure Management

Offshore Outsourcing van Infrastructure Management Offshore Outsourcing van Infrastructure Management an emerging opportunity dr. Erik Beulen Atos Origin/Tilburg University 1 Agenda Introductie Ontwikkelingen Risicovergelijking Best practices Conclusies

Nadere informatie

info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013

info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013 info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013 2 Boekhouden in de cloud!! 3 Aanbod te over: 4 5 Hoe betrouwbaar en veilig is online administratieve

Nadere informatie

Data Protection Impact Assessment (DPIA)

Data Protection Impact Assessment (DPIA) Data Protection Impact Assessment (DPIA) van Theorie naar Praktijk [ 28 januari 2015 ] 2 Data Protection Impact Assessments: agenda 1. Wat zegt de Algemene Verordening Gegevensbescherming? 2. Hoe productief

Nadere informatie

ICT Accountancy. Praktijkdag Webwinkels en Boekhouden

ICT Accountancy. Praktijkdag Webwinkels en Boekhouden ICT Accountancy Praktijkdag Webwinkels en Boekhouden Thema Betrouwbaar Administreren Misbruik Afrekensystemen Misbruik Afrekensystemen Internationaal probleem Veel oplossingsrichtingen Overleg Belastingdienst

Nadere informatie

Factsheet Penetratietest Informatievoorziening

Factsheet Penetratietest Informatievoorziening Factsheet Penetratietest Informatievoorziening Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Business & IT Alignment deel 1

Business & IT Alignment deel 1 Business & IT Alignment deel 1 Informatica & Economie Integratie 1 Recap Opdracht 1 Wat is integratie? Organisaties Strategie De omgeving van organisaties AH Bonuskaart AH Bonuskaart Economisch Geïntegreerd

Nadere informatie

Charco & Dique. De auditfunctie bij trustkantoren. Risk Management & Compliance

Charco & Dique. De auditfunctie bij trustkantoren. Risk Management & Compliance De auditfunctie bij trustkantoren Trustkantoren zijn vanaf 1 januari 2015 verplicht om een auditfunctie in te voeren. In deze brochure geven wij een toelichting op de auditfunctie, een overzicht van alle

Nadere informatie

Befimmo NV. Reglement van de interne audit

Befimmo NV. Reglement van de interne audit Befimmo NV Inhoud Article 1 - Opzet... 1 Article 2 - Opdracht, doelstellingen en activiteiten... 2 Article 3 - Jaarprogramma... 3 Article 4 - Rapportering... 3 Article 5 - Autoriteit... 4 Article 6 - Onafhankelijkheid...

Nadere informatie

Leones. Business Case Service Management Tool

Leones. Business Case Service Management Tool Leones Business Case Service Management Tool Inhoudsopgave 1. AFBAKENING... 3 1.1 DOEL... 3 1.2 AANNAMES... 3 1.3 HUIDIGE SITUATIE... 3 1.4 PROBLEEMSTELLING... 3 1.5 WAT ALS ER NIETS GEBEURT?... 3 2. OPTIES...

Nadere informatie

Corporaties In Control

Corporaties In Control Corporaties In Control D A T U M : 3 0 M E I 2 0 1 3 Leonie van Meel & Frank Bieleman Agenda 1. Speelveld 2. Risicomanagement / Governancecode 3. Projectfasering ICS 4. Onafhankelijke rol / verantwoordelijkheid

Nadere informatie

De toekomst van een IT-auditor in een integrated / financial audit. Robert Johan Tom Koning

De toekomst van een IT-auditor in een integrated / financial audit. Robert Johan Tom Koning De toekomst van een IT-auditor in een integrated / financial audit Robert Johan Tom Koning Probleemanalyse Gebrek aan kennis accountant Niet doorvragen bij termen smijten Moeite toegevoegde waarde te tonen

Nadere informatie

Continuous testing in DevOps met Test Automation

Continuous testing in DevOps met Test Automation Continuous ing in met Continuous testing in met Marco Jansen van Doorn Tool Consultant 1 is a software development method that emphasizes communication, collaboration, integration, automation, and measurement

Nadere informatie

STUDIEDAG De wereld verandert bent u er klaar voor? Bereid u voor op Continu Verbeteren

STUDIEDAG De wereld verandert bent u er klaar voor? Bereid u voor op Continu Verbeteren STUDIEDAG De wereld verandert bent u er klaar voor? Bereid u voor op Continu Verbeteren Bereid u voor op Continu Verbeteren VERANDERING effect op PROCESSEN Verandering...steeds sneller en dat geldt ook

Nadere informatie

BENT U ER KLAAR VOOR?

BENT U ER KLAAR VOOR? ISO 9001:2015 EN ISO 14001:2015 HERZIENINGEN ZIJN IN AANTOCHT BENT U ER KLAAR VOOR? Move Forward with Confidence WAT IS NIEUW IN ISO 9001:2015 & ISO 14001:2015 MEER BUSINESS GEORIENTEERD KERNASPECTEN "LEIDERSCHAP

Nadere informatie

De transparante compliance keten. De maatschappelijke betekenis van XBRL / SBR

De transparante compliance keten. De maatschappelijke betekenis van XBRL / SBR De transparante compliance keten De maatschappelijke betekenis van XBRL / SBR De maatschappelijke context (verandert) Control framework In control Trust TAX als deel van CR/MVO Governance Transparency

Nadere informatie

Nederlandse Beroepsorganisatie van Accountants t.a.v. Adviescollege voor Beroepsreglementeting Postbus 7984 1008 AD AMSTERDAM

Nederlandse Beroepsorganisatie van Accountants t.a.v. Adviescollege voor Beroepsreglementeting Postbus 7984 1008 AD AMSTERDAM E Ernst & Young Accountants LLP Telt +31 88 407 1000 Boompjes 258 Faxt +31 88407 8970 3011 XZ Rotterdam, Netherlands ey.corn Postbus 2295 3000 CG Rotterdam, Netherlands Nederlandse Beroepsorganisatie van

Nadere informatie

Op naar continuous assurance

Op naar continuous assurance Op naar continuous assurance In het streven naar verbeterde procesbeheersing kunnen continuous monitoring en continuous audit een organisatie helpen meer transparantie en zekerheid te verschaffen over

Nadere informatie

Advies inzake Risicobenadering

Advies inzake Risicobenadering dvies inzake Risicobenadering Het afstemmen van modellen op uitdagingen PRIMO heeft binnen haar organisatie een divisie opgericht die zich geheel richt op het effectief gebruik van risicomanagementmodellen.

Nadere informatie

EXIN WORKFORCE READINESS opleider

EXIN WORKFORCE READINESS opleider EXIN WORKFORCE READINESS opleider DE ERVARING LEERT ICT is overal. Het is in het leven verweven geraakt. In een wereld waarin alles steeds sneller verandert, is het lastig te bepalen wat er nodig is om

Nadere informatie

Requirements Traceability. Marcel de Baas, Jan Bank, Edwin Buisman, Frits Jacobs, Kitty Spaas, Erik Venema, Arno Zandman

Requirements Traceability. Marcel de Baas, Jan Bank, Edwin Buisman, Frits Jacobs, Kitty Spaas, Erik Venema, Arno Zandman Requirements Traceability Marcel de Baas, Jan Bank, Edwin Buisman, Frits Jacobs, Kitty Spaas, Erik Venema, Arno Zandman 22 Mei 2008 Werkgroep Traceability Doel van de werkgroep: Aanbieden van hulpmiddelen

Nadere informatie

De visie van Centric op datamanagement

De visie van Centric op datamanagement De visie van Centric op datamanagement De vijf elementen om optimaal invulling te geven aan datamanagement Inhoudsopgave 1 Inleiding 2 2 Wat is datamanagement? 2 2.1 Actuele en statische data 3 3 De vijf

Nadere informatie

occurro Vertrouwt u uw gegevens? BI wordt volwassen Kasper de Graaf 31 maart 2009 De kracht van BI en Architectuur in de praktijk - Centraal Boekhuis

occurro Vertrouwt u uw gegevens? BI wordt volwassen Kasper de Graaf 31 maart 2009 De kracht van BI en Architectuur in de praktijk - Centraal Boekhuis Vertrouwt u uw gegevens? BI wordt volwassen Kasper de Graaf 31 maart 2009 De kracht van BI en Architectuur in de praktijk - Centraal Boekhuis BI & Data Warehousing Business Intelligence: Het proces dat

Nadere informatie

Modelverslagen met betrekking tot de statistieken

Modelverslagen met betrekking tot de statistieken Bijlage 6 Circulaire _2011_06-6 dd. 14 februari 2011 Modelverslagen met betrekking tot de statistieken Toepassingsveld: Openbare instellingen voor collectieve belegging naar Belgisch recht met een veranderlijk

Nadere informatie

Beoordelingskader Dashboardmodule Claimafhandeling

Beoordelingskader Dashboardmodule Claimafhandeling Beoordelingskader Dashboardmodule Claimafhandeling I. Prestatie-indicatoren Een verzekeraar beschikt over verschillende middelen om de organisatie of bepaalde processen binnen de organisatie aan te sturen.

Nadere informatie