De rol van data-analyse bij het beoordelen van informatie-integriteit

Maat: px
Weergave met pagina beginnen:

Download "De rol van data-analyse bij het beoordelen van informatie-integriteit"

Transcriptie

1 De rol van data-analyse bij het beoordelen van informatie-integriteit Benaderd vanuit het perspectief van de IT-auditor bij de ondersteuning van de financiële audit Teamnummer: 926 Studenten: drs. F.J. Boerkamp ( ) IT-auditor Ernst & Young ir. S. P. Soerjoesing ( ) IT-auditor Ernst & Young Begeleider vanuit opleiding Begeleider vanuit Ernst & Young Expertpanel dr. J. Hulstijn Docent Vrije Universiteit Amsterdam drs. M.M.J.M. Welters RE RA Partner Ernst & Young Accountants LLP drs. A.T.J. Buffing RE RA Director Ernst & Young Accountants LLP drs. S.J. Hartjes RE RA Partner Ernst & Young Accountants LLP drs. R.M.J. Christiaanse RA Docent VU Amsterdam en NIVRA-Nyenrode Aantal pagina s 74

2 INHOUDSOPGAVE 1 Inleiding Relevantie Doelstelling Onderzoeksvragen Centrale onderzoeksvraag Deelvragen Aanpak en reikwijdte van het onderzoek Leeswijzer 9 2 Informatie-integriteit Definities Informatiearchitectuur ITGI model Data-integriteit Relationele model Integriteitsmodellen Sandhu & Jajodia en Ammann & Jajodia Clark & Wilson en Integrity research study group Beschouwing theorie Beschouwing literatuur Witte vlakken analyse IT General Controls Bepalen van informatie-integriteit met behulp van data-analyse 24 3 Toepassingen van data-analyse voor het beoordelen van informatie-integriteit 27 4 Conclusies Conclusie Stappenplan voor informatieanalyse met data-analyse tools Risicofactoren voor informatie-integriteit Terugkoppeling experts Toekomst van data-analyse bij de financiële audit 42 Bijlage 1: Literatuurverwijzingen 44 Bijlage 2: Beschrijving IT General controls 47 Bijlage 3: Informatie controle 51 Bijlage 4: Beschrijvingen casussen 54 Definitief, 27 november

3 1 Inleiding Binnen de jaarcontrole stelt de IT auditor met behulp van IT General Controls en application controls vast of informatie uit systemen juist, volledig en tijdig is. In strikte zin kan men dit beschouwen als de interne betrouwbaarheid van informatie. De externe betrouwbaarheid van informatie wordt hier niet door de IT auditor expliciet vastgesteld. Men zou kunnen stellen dat de accountant veelal de externe betrouwbaarheid van informatie bepaalt. Maar in welke mate is een accountant in staat om de externe betrouwbaarheid van informatie vast te stellen in een complexe omgeving met ketens van verschillende informatie systemen? Prof. Dr. Theo Bemelmans [Bemelmans, 2004] constateert in zijn afscheidsrede aan de TU Eindhoven een gebrek aan kennis en kunde bij het beheer van een grote hoeveelheid aan informatiesystemen. Hiermee onderschrijft hij het belang van een goede architectuur en beheer van informatiesystemen. Wij gaan er vanuit dat een goede architectuur en adequaat stelsel beheersprocessen bijdragen aan de externe betrouwbaarheid van informatie. De externe betrouwbaarheid van informatie kan vanuit het oogpunt van de IT auditor worden samengebracht tot het concept van informatie-integriteit. Het IT Governance Institute (gelieerd aan ISACA) definieert het concept van informatie-integriteit als volgt: Information integrity is synonymous with its representational faithfulness. Representational faithfulness is exhibited when information is: Complete (within limits established by agreement, policy or regulation) Current/timely (within limits established by agreement, policy or regulation) Accurate/correct (within limits established by agreement, policy or regulation) Valid/authorized (in accordance with policies, standards and business rules established by top management and the board, and applicable laws and regulations established by regulatory agencies or legislative bodies) [ITGI, 2004, Managing Enterprise Information Integrity, pag. 3] Voor ons onderzoek onderkennen wij twee typen gebruikers van informatie, te weten: (1) de externe gebruikers van informatie en (2) de interne gebruikers van informatie. Externe gebruikers van informatie Het maatschappelijke verkeer is een voorbeeld van een externe gebruiker. Voordat interne informatie van een organisatie naar buiten kan zal zij door een derde partij gevalideerd moeten worden. Dit betreffen veelal de zogenaamde financiële auditors en IT auditors. De IT auditor is in staat om data-integriteit van een set gegevens vast te stellen. Bij het vaststellen van data-integriteit wordt er voornamelijk gekeken naar de preventieve maatregelen die de mogelijkheden tot het ingrijpen in (productie)gegevens beperken zoals IT General Controls en application controls. Het omvat echter veelal een momentopname, over een bepaalde periode, die een uitspraak doen over de beheersing van data. Definitief, 27 november

4 Dit geeft echter geen uitsluitsel over het al dan niet kunnen bouwen op de informatie die de informatiesystemen bevatten. Hiervoor verricht de financiële auditor gegevensgerichte en procesgerichte controles om de externe betrouwbaarheid van informatie te bepalen. De IT auditor kan op zijn beurt de gegevensgerichte controle van de accountant ondersteunen met data-analyse met behulp van analytische tools, zoals ACL of IDEA [Bensink, 2006]. Al kan de vraag hier gesteld worden of data-analyse enkel het domein is van de IT auditor. Hier zullen wij later op terugkomen. Vanuit onze praktijk nemen wij echter waar dat het gebruik van data-analyse bij de financiële audit veelal beperkt is. Het domein van data-analyse lijkt zich voornamelijk te richten op de zogenaamde bijzondere opdrachten, waarbij data-analyse wordt ingezet als zelfstandig onderzoek, zoals het toetsen van rekenregels bij bijvoorbeeld conversies of implementaties van nieuwe applicaties, en niet om de controle van de jaarrekening te ondersteunen. In enkele gevallen wordt data-analyse wel (pro-)actief gebruikt, zoals bij Continuous Control Monitoring. [ITGI, 2006] Met de komst van de International Standard on Auditing 240 [IFAC, 2007] is het gebruik van data-analyse binnen de financiële audit toegenomen. Het doel van deze analyse is om eventueel management fraude te detecteren door ondermeer het analyseren van grootboekregels ( journal entries ). Dit betreft analyses waarbij vooraf, door middel van een risicoanalyse, verwachtingen worden opgesteld van de opbouw van het grootboek, welke vervolgens worden getoetst. Interne gebruikers van informatie Prof. Dr. Jan Dietz [Dietz, 2004] schetst in zijn artikel de oberstrategie hoe lang nog? het beeld van de manager als die van een knoppendraaier, die geen uitgebreide kennis heeft van de interne werking van het systeem, maar wel stuurt op verwachtingen en werkelijke uitkomsten van de output van een proces. Informatiesystemen worden dus door de beleidsmakers in dit beeld benaderd als een black-box. Echter, als processen ingrijpend veranderd moeten worden omdat de complexiteit van de organisatie en haar omgeving toeneemt, verdiend een white-box benadering, waarbij management ook stuurt op kennis van de interne werking van het proces, de voorkeur. Ons uitgangspunt is dat het gebrek aan kennis op management en / of het functionele niveau (in de lijnorganisatie) directe gevolgen kan hebben voor het waarborgen van informatie-integriteit op basis waarvan beslissingen worden genomen met directe effecten hebben op de financiële resultaten van een onderneming of de operationele verantwoordelijken die voortvloeien vanuit de doelstelling van de organisatie. Om de kloof tussen gebruikers van gegevens en de beheerder van gegevens te overbruggen ziet men vaak de rol van de informatiemanager binnen een organisatie terugkomen. Het doel van informatie management is om waarde te kunnen ontlenen aan informatie. Dit staat gelijk aan relevant, bruikbaar en betrouwbaar. Informatie management dient tevens zowel reactief als proactief te zijn. De informatiemanager zou verantwoordelijk moeten zijn voor het detecteren en Definitief, 27 november

5 remediëren van inbreuken op informatie-integriteit. Het ITGI signaleert echter dat dit laatste te weinig gedaan wordt [ITGI, 2004]. Hoewel managers veelal het white-box model niet gebruiken, is het tot op heden op grote schaal niet tot problemen gekomen. De verklaring die Prof. Dr. Jan Dietz hiervoor geeft is dat het uitvoerende personeel tot op heden flexibel genoeg is gebleken de black-box directieven van management om te zetten naar white-box aanpassingen. Maar in de gevallen dat de flexibiliteit niet toereikend is, is juist de communicatie met het management een belangrijke randvoorwaarde bij de ontwikkeling van informatiesystemen [Smildiger, 2005]. Prof. Dr. Jan Dietz [Dietz, 2004] stelt tevens dat dit vermogen van uitvoerend personeel om flexibel om te gaan met de black-box directieven van management de afgelopen jaren kleiner is geworden. De oorzaak hiervan is de toenemende complexiteit van informatie(systemen), gezien vanuit afhankelijkheid, kwetsbaarheid en gebrek aan transparantie. Maar het management wil ook in dit scenario voldoende zekerheid hebben over de (externe) betrouwbaarheid van informatie. In onze ervaring zijn dit bijvoorbeeld opdrachten waarbij wij als externe IT auditor een data-analyse uitvoeren binnen conversie / migratie trajecten om zekerheid te verschaffen aan het management. Wat voor gevolgen zal dit hebben voor het vermogen van management om (financiële) verantwoording af te leggen? Eigenlijk is het de vraag hoe de communicatie en samenwerking tussen de wereld van de gebruiker en de wereld van de techniek verbeterd kan worden om de kwaliteit van financiële en operationele verantwoording te waarborgen. Externe gebruikers van informatie Controle op de externe betrouwbaarheid van informatie Informatie management Interne gebruikers van informatie Kwaliteit architectuur en beheersprocessen Financial audit Financial auditor Financiële kennis Gegevensgerichte audit versus proces audit en dataanalyse Beheerders van data IT audit IT auditor IT kennis Concept van Informatie integriteit Figuur 1: Speelveld van het concept informatie-integriteit Onze veronderstelling is dat data-analyse in complexe omgevingen of met complexe data het domein is van de IT auditor. Het vereist kennis van IT systemen en IT processen om deze complexiteit goed te kunnen doorzien en beheersen. Een randvoorwaarde is dat de IT auditor en Definitief, 27 november

6 de financiële auditor goed communiceren over de vraagstukken die spelen die aan de dataanalyse ten grondslag liggen. Deze verstandhouding komt tot uiting in figuur 1. Om effectief te communiceren moet men dezelfde uitgangspunten en hetzelfde begrippenkader hanteren rondom een aantal centrale concepten. Een van basis concepten die een rol speelt tussen de financiële audit en de IT audit is informatie-integriteit. 1.1 Relevantie Binnen grote bedrijven zien wij vaak een keten van informatiesystemen waarmee data verwerkt wordt tot informatie. Aan het einde van de keten wordt veelal de informatie vanuit verschillende bronnen opgenomen in een financieel jaarverslag. Een vraag die hier gesteld kan worden is hoe de informatie-integriteit gewaarborgd en gecontroleerd wordt over de systemen heen. Want uiteindelijk dient het jaarverslag gebaseerd te zijn op voldoende integere en volledige gegevens. Niet alleen het vakgebied van financiële accounting is gebaat bij de betrouwbaarheid van informatie. Ook het vakgebied van managementaccounting heeft hier baat bij. Op basis van informatie neemt management besluiten die een invloed hebben op de financiële toestand van de organisatie. De relaties tussen de AO en de verschillende vakgebieden is weergegeven in figuur 2. Uit de voorafgaande paragraaf stellen wij dat data analyse de IT auditor kan helpen om op basis van gegevens van (meerdere) informatiesystemen de mate van informatie-integriteit te analyseren. Met data analyse kan geautomatiseerd grote hoeveelheden data verwerkt worden met behulp van vooraf ontwikkelde gedefinieerde verwerkingsslagen (scripts). De accountant controleert, vanuit zijn attestfunctie, de kwaliteitsaspecten van juistheid, volledigheid en tijdigheid van een financieel jaarverslag. Zijn doel is om de externe betrouwbaarheid van het jaarverslag vast te stellen. Hiermee is de relatie naar het begrip informatie-integriteit dan ook gelegd. Het concept informatie-integriteit heeft ook als doel de betrouwbaarheid van informatie te meten, of de mate waarin kan worden gesteund op de informatie om besluiten te nemen en verantwoording af te leggen. Definitief, 27 november

7 Administratieve organisatie en bedrijfsadministraties Juridisch kader Informatie Informatie Juridisch kader Management accounting Financial accounting Figuur 2: Overzicht van het gebruik van informatie binnen het brede accounting vakgebied [Epe en Koetzier, 1999, pagina 15] De bedrijfsadministratie vervult een registrerende rol binnen de administratieve organisatie (AO). [Christiaanse en Van Praat, 2005] De administratieve organisatie is het in goede banen geleiden van informatie stromen. [Epe en Koetzier, 1999] Informatie-integriteit betreft hier de wisselwerking van de bedrijfsadministratie en de AO en de mate waarin informatie betrouwbaar kan worden geacht. Het verschil tussen de getrouwe weergave van de accountant (bijvoorbeeld bij een jaarrekening) en het concept informatie-integriteit is dat de jaarcontrole van een accountant een product (het financiële jaarverslag van het management) als object van onderzoek heeft. Het object van onderzoek van informatie-integriteit is een audit naar de keten van informatie systemen en de processen om integriteit ervan te waarborgen. Informatie-integriteit is binnen dit kader wel een voorwaarde voor een getrouwe weergave. 1.2 Doelstelling Het doel van dit onderzoek is om te bepalen welke factoren een positieve en / of negatieve bijdrage leveren aan de integriteit van informatie en hoe zij door middel van data-analyse beoordeeld kunnen worden. De geïdentificeerde factoren vormen de input voor een risicoanalyse die een auditor zal uitvoeren binnen zijn of haar onderzoek. De risicoanalyse vormt de basis voor de uit te voeren werkzaamheden door de (interne of externe) auditor. Data-analyse wordt veelal verbonden met het beoordelen van de integriteit van data. Ons uitgangspunt is dat data-analyse ook een rol kan spelen bij de risicoanalyse (van de financiële audit) die de basis vormt voor het toetsen van de externe betrouwbaarheid van informatie. De doelgroep bestaat (primair) uit: IT Auditors; interne en externe financiële auditors; IT en informatie-managers; controllers, CIO s en CFO s. Definitief, 27 november

8 1.3 Onderzoeksvragen Centrale onderzoeksvraag Op basis van het bovenstaande komen wij tot de volgende centrale onderzoeksvraag: Onderzoeksvraag Op welke wijze kan, met data-analyse, integriteit van informatie binnen een informatieketen worden beoordeeld? Deelvragen Om de centrale onderzoeksvraag te beantwoorden hebben wij de volgende deelvragen geïdentificeerd: wat wordt verstaan onder informatie-integriteit?; welke theoretische principes maken deel uit van het concept informatie-integriteit?; hoe kan data-analyse een bijdrage leveren aan de verbetering van de integriteit van informatie?; welke factoren veroorzaken het ontbreken en / of het bestaan van informatie-integriteit?; hoe kan het concept van informatie-integriteit een aanvulling zijn van het instrumentarium van de IT auditor? 1.4 Aanpak en reikwijdte van het onderzoek Het onderzoek is gebaseerd op de analyse van dossiers voor het verzamelen van data. Voorafgaand aan de analyse van de casussen is een literatuuronderzoek verricht om de casusbeschrijvingen voor het onderzoek meetbaar te maken. Een theoretisch kader maakt het mogelijk casussen beter te beschrijven en te analyseren. Om de relevantie met het IT-audit vakgebied te borgen, hebben wij steeds rekening gehouden met drie facetten namelijk de inrichtingsaspecten, de kwaliteitsaspecten en de beheersingsaspecten. De kwaliteitsaspecten beschrijven de doelstelling van een onderzoek. De inrichtingsaspecten beschrijven de invulling van bedrijfsprocessen en IT-middelen voor het verwezenlijken van bedrijfsdoelstellingen en de strategie. Tot slot beschrijven de beheersingsaspecten de mate waarin beheersmaatregelen aanwezig zijn op tactisch- en operationeel niveau om de bedrijfsdoelstellingen te verwezenlijken. Oriënterende interviews en literatuur onderzoek Uit ons literatuuronderzoek blijkt dat er niet één dominante of allesomvattende theorie is van het concept informatie-integriteit. Om toch te weten te komen welke elementen van de tijdens de literatuurstudie geïdentificeerde theorieën voor de praktijk de meeste waarde hebben is gekozen voor een casusstudie methodiek met een toepassingsgericht karakter [Van Engeldorp en Definitief, 27 november

9 Gastelaars, 1998]. Met een casusstudie kan naar onze mening de diversiteit aan gegevens die wij nodig hebben verwerkt worden. Op basis van de verzamelde literatuur hebben wij relevante casussen geselecteerd en uitgewerkt. De casussen zijn gebaseerd op dossiers van opdrachten waar wij aan hebben meegewerkt voor en/of tijdens dit onderzoek. Uitbreiden en aanpassen literatuur Wij hebben ons beperkt tot het analyseren van vijf casussen. Het betreft casussen waarbij wij als IT auditor onderzoek hebben gedaan naar de externe betrouwbaarheid van informatie. De gebruikte casussen zijn geselecteerd op de sector waarin het onderzoek heeft plaatsgevonden en op de doelstelling van het onderzoek. Op basis van de casussen zijn additionele relevante literatuur verwijzingen opgenomen op basis van de praktische toepassingen. Confronteren theorie en praktijk en samenstellen eindconclusie Door de waarnemingen vanuit de casussen te confronteren met de theorie hebben wij conclusies geformuleerd voor wat betreft de rol van data-analyse bij het bepalen van informatie-integriteit. De aanpak van het onderzoek heeft als doel antwoorden te formuleren voor de deelvragen. Dit is uitgevoerd door de waarnemingen die wij uit de casusstudies hebben verkregen te aggregeren en vervolgens af te zetten tegen de concepten die zijn genoemd in het literatuuronderzoek. Het is ook mogelijk dat wij concepten in de praktijk terugzien, maar niet in het literatuuronderzoek. Validatie van eindconclusie Om de eindconclusie te kunnen valideren hebben wij deze voorgelegd aan een panel van experts, geselecteerd op basis van kennis van de materie, het vakgebied en de vaktechnische achtergronden. Op basis van deze voorwaarden hebben wij bewerkstelligd dat de uiteindelijke resultaten van dit onderzoek ook als valide kunnen worden beschouwd. Voor het valideren van de conclusies hebben wij gesprekken gehouden met een drietal materiedeskundigen. De kenmerken van de materiedeskundigen zijn: ruime kennis en ervaring op het vakgebied van IT audit; ruime kennis op het vakgebied van accountancy; ervaring met data kwaliteit / data-analyse onderzoeken. 1.5 Leeswijzer Het rapport is verder als volgt opgebouwd; in hoofdstuk 2 worden de definities van informatieintegriteit en daaraan gerelateerde concepten uitgewerkt waarna relevante theorie is beschreven. Hoofdstuk 2 wordt afgesloten met een analyse van de IT General Controls ten opzichte van de (beschreven) theorie en de rol die data-analyse kan vervullen bij het afdekken van de hiaten. In hoofdstuk 3 is beschreven hoe data-analyse is toegepast in een 5-tal casussen. Deze casussen zijn afkomstig uit de praktijk van de auditors. Tenslotte is in hoofdstuk 4 concluderend antwoord gegeven op de vraag op welke wijze en wanneer met data-analyse integriteit van informatie binnen een informatieketen kan worden beoordeeld. Behandeling onderzoeksproblematiek Definitief, 27 november

10 In paragraaf 4.2 is getracht een antwoord te geven op de hoofdvraag van het onderzoek door een stappenplan weer te geven waarbij op basis van data-analyse(tools) een informatieanalyse kan worden uitgevoerd. Dit stappen plan is eerst uit de theorie geabstraheerd en beschreven in paragraaf 2.6 en vervolgens gelegd naast een aantal casussen zoals beschreven in hoofdstuk 3. Voor de deelvragen is eerst gekeken naar wat wordt verstaan onder informatie-integriteit in paragraaf 1.1 waarna dit nader is uitgewerkt op basis van verschillende theorieën in hoofdstuk 2. In paragraaf 4.3 behandelen wij een overzicht van positieve en negatieve factoren die van invloed kunnen zijn op informatie-integriteit. In paragraaf 4.4 behandelen wij een mogelijke toepassing van het concept van informatieintegriteit als aanvulling voor het instrumentarium van de IT auditor. Voor de lezer zal het soms lastig zijn om de verschillende concepten en theorieën een plaats te geven en relaties daartussen te leggen. Figuur 3 geeft de hiërarchie weer zoals wij deze impliciet gehanteerd én uitgewerkt hebben in dit onderzoek. Kennis Interpretatie van informatie Informatie-integriteit Betrouwbaarheid Relevantie Bruikbaarheid Systeemintegriteit Logical Access Change Management Data-integriteit Referentiële integriteit Attribuut integriteit Entiteit integriteit Figuur 3: Grafische weergave van de conceptuele kapstok van het onderzoek Definitief, 27 november

11 2 Informatie-integriteit Dit hoofdstuk vormt de basis van ons onderzoek waarin de integriteitmodellen zijn geïnventariseerd om te komen tot een verzameling van randvoorwaarden waaraan dient te worden voldaan voor het borgen van de informatie-integriteit. Hoewel de technische mogelijkheden tot het verwerken van gegevens in informatiesystemen steeds verder toenemen en daarmee ook de hoeveelheden data, is er steeds meer behoefte om op een hoger niveau deze data te aggregeren en te structureren. Voor bedrijfsmatige toepassing van informatiesystemen is het van belang om de data zodanig te structureren dat het informatie wordt. Hierbij is informatie data die kan worden gebruikt om een beslissing te nemen. Mensen zijn inherent niet efficiënt om grote hoeveelheden data te analyseren. Data kan het beste in gestructureerde vorm worden aangeboden zodat zij door mensen in kennis en eventueel wijsheid kan worden omgezet [Ackoff, 1989]. Hierbij gaan wij impliciet vanuit dat, op basis van kennis en wijsheid, acties en correcties worden ondernomen door verschillende partijen. Naarmate er meer sturing en verantwoording wordt gegeven aan de bedrijfsprocessen met behulp van deze informatie zal ook de behoefte naar de integriteit van deze gegevens toenemen. Voor de financiële audit kan de betrouwbaarheid van informatie beoordeeld te worden vanuit het concept informatiecontrole [Starreveld et al., 2002]. Het concept informatiecontrole is verder in detail beschreven in bijlage 3. Om de informatie-integriteit te waarborgen dienen beheersmaatregelen te worden ingebed in het informatiesysteem vanuit de bedrijfsbehoefte. Om deze beheersmaatregelen te kunnen toetsen zal op een 3-tal niveaus toetsing dienen plaats te vinden: (1) kwaliteitsvlak, (2) architectuurvlak en (3) beheersingsvlak. [Van Praat, 2008] Voor een adequate informatie-integriteit is het van belang om invulling te geven aan de architectuur, de kwaliteitsaspecten en de beheersing van de realisatie. 2.1 Definities Binnen het vakgebied van IT auditing wordt de term integriteit vaak op verschillende manieren gebruikt, Voor het onderzoek is gebruik gemaakt van de volgende definities: Definitie integriteit Integriteit. De mate waarin het object (d.w.z. in deze situatie: ICT-dienst of ICTmiddel) in overeenstemming is met de afgebeelde werkelijkheid. [NOREA, 2007] Definitief, 27 november

12 Definitie data-integriteit De mate waarin het object (gegevens en informatie-, technische- en processystemen) in overeenstemming is met de afgebeelde werkelijkheid. Wederom onderverdeeld in drie deelaspecten: 'volledigheid' (de mate van zekerheid dat het object volledig aanwezig is), 'nauwkeurigheid' (overeenstemming van het aggregatieniveau van de presentatie met de werkelijkheid) en 'waarborging' (de vraag of de correcte werking van de IT-processen is gewaarborgd). [Prof. M.E. van Biene-Hershey, 1997] In het kader van dit onderzoek omvat informatie-integriteit de geïnterpreteerde betekenis, zoals afgebeeld in alle deelobjecten, welke wordt afgeleid van de data. Integriteit is dan te definiëren als het waarborgen dat gegevens niet ongecontroleerd worden gewijzigd of verloren gaan. Voor het waarborgen van de integriteit worden in een controle de IT General Controls getoetst. Op basis van ons onderzoek trachten wij aan te geven dat het waarborgen op basis van de IT General Controls niet toereikend is om informatie-integriteit te waarborgen zoals gedefinieerd in hoofdstuk 1. Data-analyse Data-analyse zoals toegepast in het kader van een onderzoek is het gericht vergelijken van gegevens gebaseerd op toetsingsregels die zijn afgeleid vanuit de betekenis en beslissingsprocessen die worden toegepast op de brongegevens van de systemen. Indien data-analyse binnen een (financiële) audit wordt gebruikt, dient er aan een aantal vereisten te voldaan. In onze praktijk worden een aantal uitgangspunten gebruikt. Ten eerste zal onafhankelijk van de gebruikersorganisatie analyses dienen te worden verricht. De (IT) auditor zal idealiter de gegevens zelf verwerken om de analyses uit te voeren. Bij het verwerken van deze gegevens is het van belang dat de aangeleverde brongegevens niet bewerkbaar zijn. Daarbij moeten vaak grote hoeveelheden aan gegevens verwerkt worden. Tevens dienen de handelingen en bewerkingen van de auditor die ten grondslag liggen aan het uiteindelijke oordeel vastgelegd te worden. Met behulp van applicaties als ACL en IDEA kan de auditor aan bovenstaande eisen voldoen, doordat deze applicaties de auditor de mogelijkheden beiden om definities van berekeningen op te stellen, waarna gegevens zonder aanpassingen kunnen worden geanalyseerd. De applicaties zijn met het specifieke doel van het uitvoeren van de data-analyse in gedachten ontwikkeld. Andere end-user applicaties, zoals Access of Excel, kunnen de auditor met gestelde randvoorwaarden niet of in mindere mate ondersteunen. 2.2 Informatiearchitectuur Om de informatie-integriteitsmodellen doelmatig te kunnen inzetten kan een (informatie)architectuur worden vastgelegd. Een architectuur bezit 5 algemene kenmerken. Ruud Smildiger heeft in zijn artikel Een audit op informatiearchitectuur: waar te beginnen [Smildiger, 2005] deze kenmerken uitgewerkt voor de informatiearchitectuur. De uitwerking van de kenmerken van een informatiearchitectuur zijn opgenomen in tabel 1. Definitief, 27 november

13 Tabel 1: Kenmerken van een (informatie)architectuur [Smildiger, 2005] Kenmerk Beschrijving Structuur Een informatiearchitectuur betreft het ontwerp van een informatiehuishouding. Deze beschrijft ondermeer: de componenten van de informatiehuishouding; functie van de verschillende componenten; hoe componenten bijdragen aan de bedrijfsdoelstellingen; de samenhang van de verschillende componenten. Kwaliteit Visie Resultaat Richting Een informatiearchitectuur is een instrument voor het beheersen van de kwaliteit van een informatiehuishouden door de beheersing af te stemmen op bedrijfsdoelstellingen. Het management dient een visie te hebben op de rol van de informatievoorziening en hoe deze haar bijdrage levert aan operationele activiteiten en de bedrijfsresultaten. Concreet kan dit worden gevangen in een informatiebeleid. Bij het ontwerpen van een informatiearchitectuur dienen alle betrokkenen tijdig te worden betrokken om draagvlak te creëren en het eindresultaat te borgen. Een informatiearchitectuur is een instrument tussen de strategische wensen en de technische uitvoerbaarheid ervan. 2.3 ITGI model Beheersing van informatie-integriteit dient op verschillende vlakken te worden uitgevoerd. In 2004 heeft het IT Governance Institute (ITGI, verbonden aan ISACA) een onderzoeksrapport gepubliceerd getiteld Managing Enterprise Information Integrity. [ITGI, 2004] Hierin wordt een raamwerk voorgesteld voor informatie-integriteit welke de volgende doeleinden kan faciliteren: richtlijnen verschaffen voor management risicoanalyses; implementaties van beheersingsmaatregelen; het verschaffen van zekerheid van informatie-integriteit aspecten. Definitie analyse Om het concept van informatie-integriteit goed af te bakenen heeft men naast een definitieanalyse ook concepten die dicht tegen informatie-integriteit liggen hier tegen afgezet. Informatie-integriteit versus informatiekwaliteit Informatie-integriteit is een kleiner begrip dan informatiekwaliteit. Informatie-integriteit stelt echter wel de randvoorwaarden voor de mate van informatiekwaliteit. Het rapport geeft verder geen duidelijke uitleg over het verschil tussen de twee begrippen. Impliciet geeft het onderzoeksrapport aan dat de relatieve kosten en meeropbrengsten tussen verschillende informatie bronnen niet wordt meegenomen in de definitie van informatie-integriteit, maar wel in die van informatiekwaliteit. Voor de integriteit zijn betrouwbaarheid, relevantie en bruikbaarheid een wegingsfactor, bij informatiekwaliteit spelen de baten/lasten en de kosten/opbrengsten overwegingen een rol. Definitief, 27 november

14 De kwaliteit van de informatie is een determinant voor de kwaliteit van de besluitvorming. De kwaliteit van de informatie-integriteit is een determinant voor de kwaliteit van de informatie. Met andere woorden, de mate van informatie-integriteit is beter meetbaar dan informatiekwaliteit. Informatie-integriteit versus data-integriteit Data vormt de bouwsteen voor informatie. Data-integriteit is relatief goed af te dwingen door o.a. de referentiële integriteit van data te beoordelen (zoals een relation violation rapport) of de bandbreedte waaraan waarden van informatie elementen dienen te voldoen (zoals een constraint violation rapport). Het concept van data-integriteit behelst niet de subjectieve interpretatie van een gebruiker en de resulterende besluitvorming. Informatie-integriteit versus systeemintegriteit Informatie-integriteit is afhankelijk van de integriteit van de systemen waar de data is opgeslagen. De mate van systeemintegriteit de maximale mate van informatie-integriteit. Systeemintegriteit is relatief goed meetbaar. Dit betreft het testen van zogenaamde relation & constraint violations binnen het data model van een informatiesysteem. Beschrijving van ITGI model Het ITGI model onderkent drie dimensies waarmee de mate van informatie-integriteit gemeten kan worden, te weten: relevantie; bruikbaarheid; betrouwbaarheid. Met deze driedeling kan worden verondersteld dat informatie-integriteit (in zekere mate, omdat er sprake kan zijn voor subjectiviteit) meetbaar is. Deze definitie geeft een leidraad naar het wat beoordeeld moet worden om de mate van informatie-integriteit te kunnen beoordelen. Een interessante stelling in het rapport is dat de betrouwbaarheid van informatie beter meetbaar is dan de andere twee concepten. Dit zou de voorkeur van financiële auditors verklaren om enkel een uitspraak te doen over de betrouwbaarheid van informatie en niet over de mate van informatieintegriteit. Centraal in het raamwerk is de definitie van informatie-integriteit, te weten waarheidsgetrouwe weergave van de werkelijkheid ( representational faithfullness ). Om de vraag te beantwoorden hoe informatie-integriteit beoordeeld kan worden maakt het ITGI raamwerk onderscheid in (1) de kern attributen van informatie-integriteit en (2) de randvoorwaarden van de kern attributen. In de tabellen 2 en 3 zijn de kernattributen en randvoorwaarden verder toegelicht. Tabel 2: Kern attributen van informatie-integriteit Kern attribuut Omschrijving Juistheid Informatie dient juiste weergave te zijn van het gebeurde. Volledigheid Informatie dient een volledig beeld te geven van de processen en activiteiten van het bedrijf. Tijdigheid Informatie dient op het juiste tijdstip beschikbaar te zijn. Validiteit Informatie dient te voldoen aan business rules, geautoriseerd, onweerlegbaar en uniek (niet dubbel). Definitief, 27 november

15 Tabel 3: Randvoorwaarden van informatie-integriteit Randvoorwaarde Omschrijving Beveiliging Fysieke en logische toegangsbeveiliging om bewust of onbewust, ongeautoriseerde mutaties aan gegevens te voorkomen. Beschikbaarheid Informatie dient beschikbaar te zijn voor gebruikers en dient zodanig Toegankelijkheid toegankelijk te zijn dat zij die informatie kunnen gebruiken. Begrijpelijkheid Informatie dient begrijpelijk te zijn. Resolutie Informatie dient op het juiste niveau geaggregeerd of gespecificeerd Aggregatie te zijn. Consistentie Meetstabiliteit van gegevens waarborgt dat de presentatie van de Vergelijkbaarheid gegevens overeenkomt met de daadwerkelijke inhoud van gegevens. Afhankelijkheid De afhankelijkheden van informatie dient voor de gebruiker bekend Voorspelbaarheid te zijn. Hiermee zal de voorspelbaarheid van informatie toenemen. Controleerbaarheid De informatie dient door gebruikers en derden controleerbaar te zijn en de output reproduceerbaar. Geloofwaardigheid Van informatie behoort bekend te zijn welke karakteristieken zij Zekerheid vertoont. Hiermee kunnen gebruikers de mate van informatieintegriteit schatten en deze meenemen in het besluitvormingsproces. Bruikbaarheid De gebruiker dient de geleverde informatie als bruikbaar te ervaren. Stuurbaarheid De mate waarin processen gestuurd kunnen worden door het terugkoppelen van informatie. Voorspelbaarheid Volledigheid / Tijdigheid Controleerbaarheid Stuurbaarheid Resolutie / Aggregatie Relevantie Geloofwaardigheid / Zekerheid Juistheid Betrouwbaarheid Beveiliging Validiteit Bruikbaarheid Bruikbaarheid Begrijpelijkheid Afhankelijkheid Consistentie / Vergelijkbaarheid Toegankelijkheid / Beschikbaarheid Figuur 4: Relaties tussen de randvoorwaarden en de drie kernconcepten van informatieintegriteit [ITGI, 2004, Managing Enterprise Information Integrity ] Definitief, 27 november

16 In figuur 4 zijn de relaties tussen de dimensies, kern attributen, de randvoorwaarden van informatie-integriteit weergegeven. Niet alle randvoorwaarden hoeven invloed uit te oefenen op alle kernattributen. Een volledige mapping is opgenomen in het rapport van ITGI. Het belang van informatie-integriteit dient als waarde in de cultuur van de organisatie te worden opgenomen. Hiermee zal het bewustzijn van informatie-integriteit toenemen [English, 1999], er dienen echter nog wel maatregelen voor beheersing te worden genomen om het bewustzijn te kunnen beoordelen. Dit vergt naast de zachte maatregelen zoals evaluatie-enquêtes in ieder geval ook een gerichte beoordelen van de manier waarop de gegevens worden opgeslagen. Verantwoordelijkheden dienen binnen de organisatie belegd te worden. Data-eigenaren dienen te worden aangewezen, bij voorkeur door toekenning van verantwoordelijkheid voor de data van begin tot eind. Een mogelijkheid om dit te kunnen bewerkstelligen is door gebruik te maken van architectuur principes. De structuur van data dient te zijn opgenomen in een data definitie. Onder een datadefinitie wordt ondermeer verstaan formaat, inhoud, wijze van verzamelen, bronnen, flow, entiteiten, relaties, attributen, kardinaliteit en oplossingen voor het verhelpen van ambiguïteit. Dit wordt ondermeer onderschreven in het Cobit raamwerk door de noodzaak van een informatiearchitectuur in de voorbereidingsfase (Plan and Organise 2.1: Information Architecture Model) door het identificeren van een informatiearchitectuur model [ITGI, 2007]. 2.4 Data-integriteit Het fundament voor informatie-integriteit ligt in het efficiënt opslaan, verwerken en beheren van data. Voor de opslag van data wordt vooral gebruik gemaakt van databases. Om gegevens op technisch vlak te beheren kan gebruik worden gemaakt van een DBMS. Met het DBMS kan de structuur en gewenste consistentie van gegevens worden opgeslagen in datadefinities. Op het procedurele vlak kunnen de IT General Controls worden ingeregeld, om het beheer van het DBMS (de data definities) én de inhoud (en daarmee inherent de betekenis) van data te waarborgen. Er bestaan drie typen van data-integriteit, te weten: (1) relationele integriteit, (2) attribuut integriteit en (3) entiteit integriteit. [Van Praat en Suerink, 2004] Het eerste type betreft de integriteit van relaties tussen data elementen. Het tweede type betreft de integriteit van een gegeven van aan attribuut. Het derde type betreft de integriteit van verschillende data elementen binnen hetzelfde record. Het meest gebruikte database principe is gebaseerd op het relationele model [Ullman, 1980]. Het relationele model biedt mogelijkheden om op systeemniveau(database) integriteit van bedrijfskritische gegevens onafhankelijk van de applicatie, vast te leggen. In de meeste moderne DBMS systemen is het relationele model inherent verwerkt. Dat wil zeggen dat de betekenis van de data in een database (door het DBMS) al kan worden afgedwongen. Door gebruik te maken van het relationele model wordt het mogelijk om informatie-integriteit te waarborgen. Definitief, 27 november

17 2.4.1 Relationele model Een conceptueel model, ook wel datamodel, is een beschrijving van de logische structuur van een database. In het conceptueel model worden objecttypen met attributen gedefinieerd. Op grond van de wijze waarop de gegevens worden gestructureerd, kunnen datamodellen worden ingedeeld in een bepaald type. Het meest bekende datamodel is het relationele datamodel [ter Bekke, 1993]. In het relationele model worden begrippen uit de relationele algebra toepast om grote hoeveelheden gegevens gestructureerd te kunnen opslaan en op te vragen. Het relationele model is een datamodel dat is opgebouwd volgens de regels van de relationele algebra, een geheel van transformatieregels. Dit maakt het ondermeer mogelijk om de uitkomst van een bevraging te kunnen voorspellen door het gebruik van elementaire algebraïsche operaties voor verzamelingen zoals de vereniging, de doorsnede en het verschil. Het model maakt het mogelijk om deze transacties om te vormen naar voorgedefinieerde manipulaties op tabellen (merge, join, etc) waardoor de inhoud van deze tabellen altijd zal voldoen aan betekenisstructuur (in databasetermen de semantiek). Het relationele model is de vertaling van het conceptueel gegevensmodel naar een entityrelationship diagram (ook wel ERD genoemd). Voor een efficiënte vertaling maakt men gebruik van normalisatieregels. Het relationele model veronderstelt de volgende regels: entiteit integriteit: geen enkele primaire sleutel kan een NULL-waarde hebben, hierdoor wordt unieke identificatie van informatie gewaarborgd. Verwijzingen naar unieke informatie wordt gerealiseerd door middel van verwijzingen met behulp van secundaire sleutels (foreign keys). Om dit af te dwingen wordt in het DBMS automatisch een unieke primaire sleutel gegenereerd ter identificatie; referentiële integriteit in een relationele database zorgt ervoor dat de consistentie tussen de tabellen binnen die database wordt gewaarborgd. Om de consistentie mogelijk te maken, dient er altijd een primaire sleutel in een tabel te zijn, welke het gegeven in de database uniek kan identificeren als naar dit gegeven in een andere tabel wordt verwezen. Het DBMS waarborgt de consistentie, dit houdt ondermeer in dat indien na afloop van een beoogde transactie niet aan de voorwaarden voor referentiele integriteit wordt voldaan, dat de transactie door het DBMS niet wordt uitgevoerd. Data-integriteit in het relationele model heeft betrekking op gegevenstoestanden en toestandsovergangen in een database. Om de data-integriteit te waarborgen wordt naast de bestaande integriteiteisen gebruik gemaakt van beperkingsregels (constraints). Daarmee is dataintegriteit gedefinieerd als bescherming van de database tegen onjuiste handelingen van geautoriseerde gebruikers. In dit kader wordt daarom in plaats van integriteit ook wel gesproken van semantische integriteit [Ter Bekke, 1984]. In het bijzonder de beperkingsregels kunnen ervoor zorgen dat er betekenisvolle verzamelingen van gegevens tot stand komen, indien dit in lijn is met de bedrijfsregels, spreekt men ook wel van informatie. De verzameling van alle beperkingsregels worden vastgelegd in het semantische model [Grefen en Apers, 1993]. Definitief, 27 november

18 2.5 Integriteitsmodellen Sandhu & Jajodia en Ammann & Jajodia Sandhu en Jajodia [1997] onderkennen negen principes van data-integriteit. Deze principes hebben zij gedestilleerd vanuit eigen literatuuronderzoek. Aan deze principes hebben zij voorbeelden gekoppeld om te laten zien welke mechanismen op het DBMS niveau beschikbaar zijn om integriteit te waarborgen. Door deze mapping ontstaat er een concreet beeld van de uitwerking in het model. De principes zijn in tabel 4 opgenomen. Tabel 4: Overzicht van principes en DBMS mechanismen [Sandhu en Jajodia, 1997] Principe Omschrijving Goed gevormde transacties Geauthenticeerde gebruikers Least privilege Functiescheiding Reconstructie van gebeurtenissen Delegatie van autoriteit Controle met werkelijkheid Beschikbaarheid Bruikbaarheid Gebruikers zouden niet in staat moeten zijn om direct op de database mutaties door te voeren, in plaats daarvan zouden procedures beschikbaar moeten zijn welke een vast patroon van transacties volgen. Alleen geauthenticeerde en geautoriseerde gebruikers kunnen mutaties aan gegevens doorvoeren. Applicaties en gebruikers hebben enkel die autorisaties die noodzakelijk zijn voor het uitvoeren van een taak. Gebruikers zouden niet in staat moeten zijn om een transactie cyclus (beschikken, bewaren, controleren, registreren en uitvoeren) individueel uit te voeren. Om het verloop van de toestand van een transactie te kunnen onderzoeken dient informatie beschikbaar te zijn over het verloop van de transactie en de betrokkenen. Leidinggevenden dienen in staat te zijn om het proces en de bijbehorende autorisaties op een juiste wijze in te richten zodat de applicatie het proces effectief en efficiënt kan ondersteunen. De gegevens in de database dienen periodiek met de externe werkelijkheid te worden vergeleken. Integriteit heeft een tijdsgebonden element. Als een set van gegevens niet tijdig kan worden bijgewerkt, kan niet gesteld worden dat deze set van gegevens een betrouwbare weergave betreft van de werkelijkheid. Het gebruik en beheer van een applicatie dient de gebruiker te ondersteunen in het verbeteren van de bruikbaarheid ervan: Standaardwaarden; Intuïtieve user interfaces; Monitoring faciliteiten; Aansluiting tussen proces en applicatie. Amman & Jajodia stellen in hun artikel rethinking integrity [Amman en Jajodia, 1997] dat systeem ontwikkeling en systeem analyse rekening moeten houden met het feit dat gegevens nooit volledig integer zullen zijn`, ook niet na detectie en correctie van het niet-integere gegeven. De vraag is echter wanneer dit een probleem vormt. Met andere woorden; verschillende maten Definitief, 27 november

19 van integriteit hebben verschillende kosten en baten. Het artikel richt zich primair op het ontwikkelen van gedistribueerde databases. Met behulp van risicoanalyse kan men verschillende scenario s ontwikkelen waarin de gevolgen van verlies van integriteit kan benoemen. Ammann & Jajodia stellen dat een organisatie er voor kan kiezen dat gegevens, die niet als essentieel worden beschouwd, niet in alle gevallen integriteit hoeven te bezitten. Organisaties zullen daarom keuzes moeten maken in de doelstellingen van de beheersmaatregelen en de middelen die zij daarvoor beschikbaar stellen. De onderneming zal een trade-off maken tussen (ondermeer) de volgende doelstellingen: mate van integriteit van data; prestatie en / of snelheid; zelfstandigheid; beschikbaarheid; vertrouwelijkheid. De gebruikersorganisatie en ontwerpers van systemen dienen methoden te bedenken om nietintegere transacties te herstellen. Bij het herstellen van gegevens mag er geen informatie verloren wat betreft verantwoording of audit trail. Ook het markeren ( damage markers ) van niet integere transacties of het berekenen van de mate van integriteit kan de organisatie helpen om de mate van integriteit van de gegevens te beheersen Clark & Wilson en Integrity research study group In [Clark en Wilson, 1987] is geschreven over de uitgangspunten binnen een beleid voor informatiebeveiliging c.q. informatie-integriteit tussen verschillende beheersomgevingen. Het Clark & Wilson model gaat initieel uit van twee basis omgevingen: omgevingen waar de mate van integriteit van gegevens belangrijker is dan openbaarmaking (juistheid van de registratie) om fouten en fraude te voorkomen. Hierbij wordt gebruik gemaakt van functiescheiding en dubbele registraties (om aansluitingen mogelijk te maken, zoals dubbel boekhouden en subadministraties); omgevingen waar vertrouwelijkheid een belangrijker aspect is dan de mate van integriteit (geheimhouding van de registratie). Voor elke omgeving zijn andere beheersmaatregelen nodig; de keuze en de toepasselijkheid hiervan kunnen worden bepaald op basis van een risicoanalyse. Clark & Wilson beschrijven een eigen model voor het beheersen van integriteit. Binnen dit model definiëren zij regels waaraan een omgeving dient te voldoen. De objecten en regels zijn opgenomen in figuur 5. Het model bestaat uit certificering regels (Certification; C) en naleving regels (Enforcement; E). Definitief, 27 november

20 C1: IVP validates CDI state E3: Users are authenticated E2: Users authorized for TP C3: Suitable separation of duty C5: TP validates UDI C2: TP preserves valid state Information verification procedure System state CDI CDI LOG CDI UDI Transformation procedure System state CDI CDI LOG CDI E4: Authorization lists changed only by security officer C4: TP writes to log E1: CDIs changed only by authorized TP Figuur 5: Grafische weergave van het Clark & Wilson model [Abrams et al, 1993] In figuur 5 is een grafische weergave van de werking het model van Clark & Wilson. In de figuur zijn een aantal objecten opgenomen die de systeem stadia aangeven, te weten: Constrained Data Item (CDI): Een set van gegevens die moet voldoen aan een set van integriteiteisen. De eisen worden door de organisatie opgesteld; Unconstrained Data Item (UDI); een set van gegevens die niet aan integriteiteisen hoeft te voldoen; Information Verification Procedures (IVP); een procedure of programma om de validiteit van de toestand van een CDI te certificeren; Transformation Procedure (TP): een procedure of programma om de toestand van een CDI te wijzigen of een validatie van een UDI, zodanig dat een nieuwe gevalideerde CDI ontstaat. Ten eerste is er aan de linkerkant (met een geel kader) een set van CDI s van waar de integriteit gecontroleerd wordt door de IVP (eveneens aan de linkerkant). In het geval de inhoud van een set van CDI s gewijzigd wordt, wordt een TP aangeroepen. De TP garandeert dat de nieuwe invoer of andere wijziging voldoet aan gestelde eisen aan de CDI waarop de transformatie (zoals een UDI of een verwijdering van gegevens) betrekking heeft. Voordat de TP mag ingrijpen zal het systeem moeten afdwingen dat de gebruiker geautoriseerd is om de bewerking te starten in zowel technische (de applicatie dwingt af dat gebruikers zich identificeren en authenticeren en dat zij de beschikking krijgen over de juiste autorisaties) als in Definitief, 27 november

Data-analyse in de praktijk D E T O E PA S S I N G B I J V I S S E R & V I S S E R A C C O U N TA N T S - B E L A S T I N G A D V I S E U R S

Data-analyse in de praktijk D E T O E PA S S I N G B I J V I S S E R & V I S S E R A C C O U N TA N T S - B E L A S T I N G A D V I S E U R S Data-analyse in de praktijk D E T O E PA S S I N G B I J V I S S E R & V I S S E R A C C O U N TA N T S - B E L A S T I N G A D V I S E U R S Agenda Plaats in de praktijk Toepassing in audit De werkvloer

Nadere informatie

Data-analyse als procesgericht

Data-analyse als procesgericht WANNEER IS HET INZETTEN VAN DATA-ANALYSE ZINVOL BIJ HET BEOORDELEN VAN INTEGRITEIT? Data-analyse als procesgericht controlemiddel Bij de aanwezigheid van specifieke factoren kan het gebruik van een procesgerichte

Nadere informatie

DATA-ANALYSES IN PRAKTIJK

DATA-ANALYSES IN PRAKTIJK DATA-ANALYSES IN PRAKTIJK 11 mrt 15 Anco Bruins Mazars Management Consultants 1 EVEN VOORSTELLEN Drs. Anco Bruins RA EMITA Manager IT Audit Mazars Management Consultants 14 jaar ervaring in de MKBaccountantscontrole

Nadere informatie

HOEBERT HULSHOF & ROEST

HOEBERT HULSHOF & ROEST Inleiding Artikel 1 Deze standaard voor aan assurance verwante opdrachten heeft ten doel grondslagen en werkzaamheden vast te stellen en aanwijzingen te geven omtrent de vaktechnische verantwoordelijkheid

Nadere informatie

Besluit tot wijziging van de Nadere voorschriften controleen overige standaarden Vastgesteld 18 december 2008

Besluit tot wijziging van de Nadere voorschriften controleen overige standaarden Vastgesteld 18 december 2008 Besluit tot wijziging van de Nadere voorschriften controleen overige standaarden Vastgesteld 18 december 2008 1 Besluit tot wijziging van de Nadere voorschriften controle- en overige standaarden Vastgesteld

Nadere informatie

BISL Business Information Services Library. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V.

BISL Business Information Services Library. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V. BISL Business Information Services Library Een introductie Algemene informatie voor medewerkers van SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 9 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2

Nadere informatie

Afstudeerscriptie: Computer-assisted audit techniques (CAATs)

Afstudeerscriptie: Computer-assisted audit techniques (CAATs) Afstudeerscriptie: Computer-assisted audit techniques (CAATs) Afstudeerscriptie Definitieve versie 5 juni 2008 Hugo de Vries, hugo@hugodevries.eu; Studentnummer: 9981236 Teamnummer: 831 Vrije Universiteit

Nadere informatie

Controletechnische functiescheiding

Controletechnische functiescheiding Controletechnische functiescheiding A3040^1. Controletechnische functiescheiding drs. A.J.A. Hassing RE RA 1 1 Inleiding A3040 ^ 3 2 Functies A3040 ^ 4 2.1 Beschikken A3040 ^ 4 2.2 Bewaren A3040 ^ 4 2.3

Nadere informatie

Continuous auditing and continuous monitoring: continuous solutions? J. Jacobs en M. Hoetjes

Continuous auditing and continuous monitoring: continuous solutions? J. Jacobs en M. Hoetjes Continuous auditing and continuous monitoring: continuous solutions? J. Jacobs en M. Hoetjes Introductie Jacco Jacobs E-mail: jacco.jacobs@nl.ey.com Internet: www.ey.com Meta Hoetjes E-mail: meta.hoetjes@csi4grc.com

Nadere informatie

Invloed van IT uitbesteding op bedrijfsvoering & IT aansluiting

Invloed van IT uitbesteding op bedrijfsvoering & IT aansluiting xvii Invloed van IT uitbesteding op bedrijfsvoering & IT aansluiting Samenvatting IT uitbesteding doet er niet toe vanuit het perspectief aansluiting tussen bedrijfsvoering en IT Dit proefschrift is het

Nadere informatie

Procesmanagement. Waarom processen beschrijven. Algra Consult

Procesmanagement. Waarom processen beschrijven. Algra Consult Procesmanagement Waarom processen beschrijven Algra Consult Datum: 22 oktober 2009 Inhoudsopgave 1. INLEIDING... 3 2. WAAROM PROCESMANAGEMENT?... 3 3. WAAROM PROCESSEN BESCHRIJVEN?... 3 4. PROCESASPECTEN...

Nadere informatie

BluefieldFinance Samenvatting Quickscan Administratieve Processen Light Version

BluefieldFinance Samenvatting Quickscan Administratieve Processen Light Version BluefieldFinance Samenvatting Quickscan Administratieve Processen Light Version Introductie Quickscan De financiële organisatie moet, net zo als alle andere ondersteunende diensten, volledig gericht zijn

Nadere informatie

CobiT. Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1

CobiT. Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1 CobiT Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1 Control objectives for information and related Technology Lezenswaardig: 1. CobiT, Opkomst, ondergang en opleving

Nadere informatie

Controleverklaring van de onafhankelijke accountant

Controleverklaring van de onafhankelijke accountant Controleverklaring van de onafhankelijke accountant Aan: de algemene vergadering van Nederlandse Waterschapsbank N.V. Verklaring over de jaarrekening 2014 Ons oordeel Wij hebben de jaarrekening 2014 van

Nadere informatie

Deloitte. Openbaar Lichaam Afvalstoffenverwijdering Zeeland. Rapport van bevindingen voor het boekjaar eindigend op 31 december 2014.

Deloitte. Openbaar Lichaam Afvalstoffenverwijdering Zeeland. Rapport van bevindingen voor het boekjaar eindigend op 31 december 2014. Deloitte Accountants B.V. Park Veidzigt 25 4336 DR Middelburg Postbus 7056 4330 GB Middelburg Nederland Tel: 088 288 2888 Fax 088 288 9895 www.deloitte.n1 Openbaar Lichaam Afvalstoffenverwijdering Zeeland

Nadere informatie

info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013

info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013 info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013 2 Boekhouden in de cloud!! 3 Aanbod te over: 4 5 Hoe betrouwbaar en veilig is online administratieve

Nadere informatie

Data Governance van visie naar implementatie

Data Governance van visie naar implementatie make connections share ideas be inspired Data Governance van visie naar implementatie Frank Dietvorst (PW Consulting) deelprogrammamanager Caesar - Vernieuwing Applicatie Landschap Leendert Paape (SAS

Nadere informatie

Nationale Controllersdag 2016 9 juni 2016. Financial Control Framework Van data naar rapportage

Nationale Controllersdag 2016 9 juni 2016. Financial Control Framework Van data naar rapportage Nationale Controllersdag 2016 9 juni 2016 Financial Control Framework Van data naar rapportage Inhoudsopgave Even voorstellen Doel van de workshop Positie van Finance & Control Inrichting van management

Nadere informatie

3-daagse praktijktraining. IT Audit Essentials

3-daagse praktijktraining. IT Audit Essentials 3-daagse praktijktraining IT Audit Essentials Programma IT-Audit Essentials Door de steeds verdergaande automatisering van de bedrijfsprocessen wordt de beveiliging en betrouwbaarheid van de IT systemen

Nadere informatie

Medewerker administratieve processen en systemen

Medewerker administratieve processen en systemen processen en systemen Doel Voorbereiden, analyseren, ontwerpen, ontwikkelen, beheren en evalueren van procedures en inrichting van het administratieve proces en interne controles, rekening houdend met

Nadere informatie

Archimate risico extensies modelleren

Archimate risico extensies modelleren Archimate risico extensies modelleren Notatiewijzen van risico analyses op basis van checklists versie 0.2 Bert Dingemans 1 Inleiding Risico s zijn een extra dimensie bij het uitwerken van een architectuur.

Nadere informatie

ROAD MAP VOOR HET CONCRETISEREN EN HET IMPLEMENTEREN VAN DE STRATEGIE Strategisch performance management

ROAD MAP VOOR HET CONCRETISEREN EN HET IMPLEMENTEREN VAN DE STRATEGIE Strategisch performance management De road map is erop gericht om het beoogde succes van een organisatie (de strategische ambitie) te helpen maken. De road map gaat in op hoe de weg naar het succes expliciet en concreet te maken Jan Scheffer

Nadere informatie

Doxis Informatiemanagers

Doxis Informatiemanagers Substitutie Doxis Informatiemanagers Grootste adviesburo op het gebied van informatiemanagement in Nederland Zelfstandig bedrijfsonderdeel van Ernst & Young Jarenlange ervaring bij NL Overheid Gedegen

Nadere informatie

Zelfdiagnostische vragenlijst verandercompetenties

Zelfdiagnostische vragenlijst verandercompetenties Zelfdiagnostische vragenlijst verandercompetenties Het gaat om de volgende zeven verandercompetenties. De competenties worden eerst toegelicht en vervolgens in een vragenlijst verwerkt. Veranderkundige

Nadere informatie

Organisatie SYSQA B.V. Pagina 1 van 6 Titel Overzicht Versie 1.0 Onderwerp Overzicht blackbox testtechnieken Datum 15 februari 1996

Organisatie SYSQA B.V. Pagina 1 van 6 Titel Overzicht Versie 1.0 Onderwerp Overzicht blackbox testtechnieken Datum 15 februari 1996 Organisatie SYSQA B.V. Pagina 1 van 6 Black-Box Test Technieken Er zijn een aantal test specificatie technieken, verder testtechnieken genoemd, die bruikbaar zijn binnen het black-box acceptatietesten.

Nadere informatie

Tool voor certificering instrumenten voor verantwoord digitaal

Tool voor certificering instrumenten voor verantwoord digitaal Tool voor certificering instrumenten voor verantwoord digitaal werken Jan Beens (Regionaal Archief Nijmegen) Geert-Jan van Bussel (Van Bussel Document Services) Introductie De elementen zijn afkomstig

Nadere informatie

Het BiSL-model. Een whitepaper van The Lifecycle Company

Het BiSL-model. Een whitepaper van The Lifecycle Company Het BiSL-model Een whitepaper van The Lifecycle Company Met dit whitepaper bieden we u een overzicht op hooflijnen van het BiSL-model. U vindt een overzicht van de processen en per proces een beknopte

Nadere informatie

NORA Sessie 5. 29 mei 2013 in Amersfoort Agenda en een samenvatting. Jaap van der Veen

NORA Sessie 5. 29 mei 2013 in Amersfoort Agenda en een samenvatting. Jaap van der Veen NORA Sessie 5 29 mei 2013 in Amersfoort Agenda en een samenvatting Jaap van der Veen Agenda 29-5-2013 1. Welkom 2. Presentatie Eric Brouwer en Joris Dirks over Kennismodel NORA-Wiki en hoe we onze informatie

Nadere informatie

MKB Cloudpartner Informatie TPM & ISAE 3402 2016

MKB Cloudpartner Informatie TPM & ISAE 3402 2016 Third Party Memorandum (TPM) Een Derde verklaring of Third Party Mededeling (TPM) is een verklaring die afgegeven wordt door een onafhankelijk audit partij over de kwaliteit van een ICT-dienstverlening

Nadere informatie

I&A Integraal bestuurd

I&A Integraal bestuurd I&A Integraal bestuurd I&A-besturingsmodel samenvatting Datum: 25-04-2014 Versie: 1.0 1 Doelstellingen van het I&A-besturingsmodel De positie van informatievoorziening en automatisering (I&A) de afgelopen

Nadere informatie

Balanced Scorecard. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V.

Balanced Scorecard. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V. Balanced Scorecard Een introductie Algemene informatie voor medewerkers van: SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 9 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2 VERSIEBEHEER... 3 2 DE

Nadere informatie

Identity Management. Risico s en kansen binnen het kader van de jaarrekeningcontrole. Drs. J. Visser 1667521 Drs. M.P. Hof 1662058

Identity Management. Risico s en kansen binnen het kader van de jaarrekeningcontrole. Drs. J. Visser 1667521 Drs. M.P. Hof 1662058 Identity Management Risico s en kansen binnen het kader van de jaarrekeningcontrole Drs. J. Visser 1667521 Drs. M.P. Hof 1662058 Amsterdam 31 maart 2008 Versie 1.0 [definitief] Afstudeerbegeleiders: Rudi

Nadere informatie

Hoofdlijnen Corporate Governance Structuur

Hoofdlijnen Corporate Governance Structuur Hoofdlijnen Corporate Governance Structuur 1. Algemeen Deugdelijk ondernemingsbestuur is waar corporate governance over gaat. Binnen de bedrijfskunde wordt de term gebruikt voor het aanduiden van hoe een

Nadere informatie

Canonieke Data Modellering op basis van ArchiMate. Canonieke Data Modellering op basis van Archimate Bert Dingemans

Canonieke Data Modellering op basis van ArchiMate. Canonieke Data Modellering op basis van Archimate Bert Dingemans Canonieke Data Modellering op basis van ArchiMate Canonieke Data Modellering op basis van Archimate Bert Dingemans Abstract Modelleren op basis van de open standard ArchiMate is een goed uitgangspunt voor

Nadere informatie

ICT Accountancy. Praktijkdag Webwinkels en Boekhouden

ICT Accountancy. Praktijkdag Webwinkels en Boekhouden ICT Accountancy Praktijkdag Webwinkels en Boekhouden Thema Betrouwbaar Administreren Misbruik Afrekensystemen Misbruik Afrekensystemen Internationaal probleem Veel oplossingsrichtingen Overleg Belastingdienst

Nadere informatie

SQL & Datamodelleren

SQL & Datamodelleren SQL & Datamodelleren HVA-CMD-V1-datamodelleren Algemene handleiding bij het lesprogramma 2012-2013 Inhoud Inhoud... 2 Inleiding... 3 Leerdoelen:... 3 Plaats in het leerplan:... 3 Werkwijze:... 3 Lesstof:...

Nadere informatie

Competenties met indicatoren bachelor Civiele Techniek.

Competenties met indicatoren bachelor Civiele Techniek. Competenties met indicatoren bachelor Civiele Techniek. In de BEROEPSCOMPETENTIES CIVIELE TECHNIEK 1 2, zijn de specifieke beroepscompetenties geformuleerd overeenkomstig de indeling van het beroepenveld.

Nadere informatie

Factsheet Penetratietest Informatievoorziening

Factsheet Penetratietest Informatievoorziening Factsheet Penetratietest Informatievoorziening Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Technisch Ontwerp W e b s i t e W O S I

Technisch Ontwerp W e b s i t e W O S I Technisch Ontwerp W e b s i t e W O S I WOSI Ruud Jungbacker en Michael de Vries - Technisch ontwerp Website Document historie Versie(s) Versie Datum Status Omschrijving / wijzigingen 0.1 20 nov 2008 Concept

Nadere informatie

ISO 9000:2000 en ISO 9001:2000. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V.

ISO 9000:2000 en ISO 9001:2000. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V. ISO 9000:2000 en ISO 9001:2000 Een introductie Algemene informatie voor medewerkers van: SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 11 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2 VERSIEBEHEER...

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

Praktisch omgaan met Privacy & Security en het Wbp

Praktisch omgaan met Privacy & Security en het Wbp 2-daagse praktijktraining Praktisch omgaan met Privacy & Security en het Wbp Programma Praktisch omgaan met Privacy & Security en het Wbp De training Praktisch omgaan met Privacy & Security en het Wbp

Nadere informatie

Praktijkinstructie Oriëntatie op de informatie-analyse 4 (CIN08.4/CREBO:50131)

Praktijkinstructie Oriëntatie op de informatie-analyse 4 (CIN08.4/CREBO:50131) instructie Oriëntatie op de informatie-analyse 4 (CIN08.4/CREBO:50131) pi.cin08.4.v2 ECABO, 1 september 2003 Alle rechten voorbehouden. Niets uit deze uitgave mag worden vermenigvuldigd, overgenomen, opgeslagen

Nadere informatie

PRINCIPLES OF FUND GOVERNANCE COMMODITY DISCOVERY FUND Bijgewerkt tot 8 juli 2014

PRINCIPLES OF FUND GOVERNANCE COMMODITY DISCOVERY FUND Bijgewerkt tot 8 juli 2014 PRINCIPLES OF FUND GOVERNANCE COMMODITY DISCOVERY FUND Bijgewerkt tot 8 juli 2014 Principles of Fund Governance Pag. 1/5 1. INLEIDING Commodity Discovery Management B.V. (de Beheerder ) is de beheerder

Nadere informatie

Aan de raad van de gemeente Lingewaard

Aan de raad van de gemeente Lingewaard 6 Aan de raad van de gemeente Lingewaard *14RDS00194* 14RDS00194 Onderwerp Nota Risicomanagement & Weerstandsvermogen 2014-2017 1 Samenvatting In deze nieuwe Nota Risicomanagement & Weerstandsvermogen

Nadere informatie

Praktijkplein Titel: Toepassing: Koppeling met het Operational Excellence Framework: Implementatiemethodieken: ontwerpen en ontwikkelen.

Praktijkplein Titel: Toepassing: Koppeling met het Operational Excellence Framework: Implementatiemethodieken: ontwerpen en ontwikkelen. Praktijkplein Titel: Implementatiemethodieken: ontwerpen en ontwikkelen. Toepassing: Beknopte samenvatting van twee implementatiemethodieken en hun toepassing bij het implementeren van een operational

Nadere informatie

Taakcluster Operationeel support

Taakcluster Operationeel support Ideeën en plannen kunnen nog zo mooi zijn, uiteindelijk, aan het eind van de dag, telt alleen wat werkelijk is gedaan. Hoofdstuk 5 Taakcluster Operationeel support V1.1 / 01 september 2015 Hoofdstuk 5...

Nadere informatie

Handleiding uitvoering ICT-beveiligingsassessment

Handleiding uitvoering ICT-beveiligingsassessment Handleiding uitvoering ICT-beveiligingsassessment Versie 2.1 Datum : 1 januari 2013 Status : Definitief Colofon Projectnaam : DigiD Versienummer : 2.0 Contactpersoon : Servicecentrum Logius Postbus 96810

Nadere informatie

Architecture Governance

Architecture Governance Architecture Governance Plan van aanpak Auteur: Docent: Stijn Hoppenbrouwers Plaats, datum: Nijmegen, 14 november 2003 Versie: 1.0 Inhoudsopgave 1. INLEIDING... 3 2. PROBLEEMSTELLING EN DOELSTELLING...

Nadere informatie

Berry Kok. Navara Risk Advisory

Berry Kok. Navara Risk Advisory Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging

Nadere informatie

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Zekerheid in de Cloud ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Agenda - Wat speelt zich af in de Cloud - Cases - Keurmerk Zeker-OnLine - Wat is het belang van de accountant en het administratiekantoor

Nadere informatie

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce. Cloud Computing, een inleiding ICT Accountancy & Financials congres 2013: Cloud computing en efactureren 10 december 2013 Jan Pasmooij RA RE RO: jan@pasmooijce.com 10 december 2013 1 Kenmerken van Cloud

Nadere informatie

Asset Management is duurzaam. 20 april 2011 ir. Nico J. Groen Managing Director Traduco

Asset Management is duurzaam. 20 april 2011 ir. Nico J. Groen Managing Director Traduco Asset Management is duurzaam 20 april 2011 ir. Nico J. Groen Managing Director Traduco Traduco bedrijfsvestigingen Traduco vestiging noordwest Heerhugowaard Traduco vestiging oost i/o Traduco vestiging

Nadere informatie

Een OVER-gemeentelijke samenwerking tussen Oostzaan en Wormerland

Een OVER-gemeentelijke samenwerking tussen Oostzaan en Wormerland OVER OOSTZAAN Een OVER-gemeentelijke samenwerking tussen Oostzaan en Wormerland WORMERLAND. GESCAND OP 13 SEP. 2013 Gemeente Oostzaan Datum : Aan: Raadsleden gemeente Oostzaan Uw BSN : - Uw brief van :

Nadere informatie

1 Inhoudsopgave 2 REFL@CTION... 3 2.1 WIE ZIJN WIJ?... 3 2.2 WAT BIEDEN WE?... 3 2.3 WAAR VINDT U ONS?... 3 3 TRAININGSAANBOD... 4

1 Inhoudsopgave 2 REFL@CTION... 3 2.1 WIE ZIJN WIJ?... 3 2.2 WAT BIEDEN WE?... 3 2.3 WAAR VINDT U ONS?... 3 3 TRAININGSAANBOD... 4 1 Inhoudsopgave 2 REFL@CTION... 3 2.1 WIE ZIJN WIJ?... 3 2.2 WAT BIEDEN WE?... 3 2.3 WAAR VINDT U ONS?... 3 3 TRAININGSAANBOD... 4 3.1 MASTERCLASS IT-B@SED AUDIT... 4 3.2 QUICK START IT-AUDIT IN HET MKB...

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

Accountantsprotocol declaratieproces. revalidatiecentra fase 2 : bestaan en

Accountantsprotocol declaratieproces. revalidatiecentra fase 2 : bestaan en Accountantsprotocol declaratieproces revalidatiecentra fase 2 : bestaan en werking Versie 29 september 2015 Inhoud 1. Inleiding en uitgangspunten 3 2. Onderzoeksaanpak accountant 4 2.1 Doel en reikwijdte

Nadere informatie

T Titel stage/afstudeeropdracht : Toekomstvaste Applicatie Integratie - Interconnectiviteit

T Titel stage/afstudeeropdracht : Toekomstvaste Applicatie Integratie - Interconnectiviteit Titel stage/afstudeeropdracht : Toekomstvaste Applicatie Integratie - Interconnectiviteit Duur van stage/afstuderen Manager Begeleider Locatie : 6 à 9 Maanden : dr. ir. J.J. Aue : dr. ir. H.J.M. Bastiaansen

Nadere informatie

Doel. Context VSNU UFO/INDELINGSINSTRUMENT FUNCTIEFAMILIE ICT FUNCTIONEEL (INFORMATIE) BEHEERDER VERSIE 1 MEI 2012

Doel. Context VSNU UFO/INDELINGSINSTRUMENT FUNCTIEFAMILIE ICT FUNCTIONEEL (INFORMATIE) BEHEERDER VERSIE 1 MEI 2012 Functioneel (informatie) beheerder Doel Zorgdragen voor het inrichten, aanpassen, vernieuwen en onderhouden van de informatievoorziening (processen, procedures en/of systemen), passend binnen het informatiebeleid

Nadere informatie

E-HRM systemen die strategie met HR processen verbinden WHITE PAPER

E-HRM systemen die strategie met HR processen verbinden WHITE PAPER E-HRM systemen die strategie met HR processen verbinden WHITE PAPER E-HRM systemen die strategie met HR processen verbinden De nieuwe generatie E-HRM systemen onderscheidt zich niet alleen door gebruikersgemak

Nadere informatie

Delo itte. 1183 AS Amstelveen Postbus 175 1180 AD Amstelveen Nederland

Delo itte. 1183 AS Amstelveen Postbus 175 1180 AD Amstelveen Nederland Delo itte. 1183 AS Amstelveen Postbus 175 1180 AD Amstelveen Nederland Tel: 088 288 2888 Fax: 088288 9711 www.deloitte.nl Assurance rapport van de onafhankelijke accountant Rapportage aan: Achmea Divisie

Nadere informatie

De logica achter de ISA s en het interne controlesysteem

De logica achter de ISA s en het interne controlesysteem De logica achter de ISA s en het interne controlesysteem In dit artikel wordt de logica van de ISA s besproken in relatie met het interne controlesysteem. Hieronder worden de componenten van het interne

Nadere informatie

Generieke systeemeisen

Generieke systeemeisen Bijlage Generieke Systeem in kader van LAT-RB, versie 27 maart 2012 Generieke systeem NTA 8620 BRZO (VBS elementen) Arbowet Bevb / NTA 8000 OHSAS 18001 ISO 14001 Compliance competence checklist 1. Algemene

Nadere informatie

Checklist voor interviews en workshops

Checklist voor interviews en workshops 1 Bijlage 6 Checklist voor interviews en workshops Hoe komen we aan de nodige informatie over de vast te leggen processen en procedures? In deze bijlage beschrijven we waar informatie aanwezig is en hoe

Nadere informatie

ORGANISATORISCHE IMPLENTATIE BEST VALUE

ORGANISATORISCHE IMPLENTATIE BEST VALUE ORGANISATORISCHE IMPLENTATIE BEST VALUE EEN ONDERZOEK NAAR DE IMPLEMENTATIE VAN BEST VALUE BINNEN EEN SYSTEMS ENGINEERING OMGEVING STEPHANIE SAMSON BEST VALUE KENNIS SESSIE WESTRAVEN 17 JUNI 09.00 12.00

Nadere informatie

Secure Application Roles

Secure Application Roles Secure Application Roles Beheer de toegang tot de database 1. Inleiding Het realiseren van geautoriseerde toegang tot een database lijkt eenvoudig. Echter, vaak blijkt dat dezelfde combinatie van gebruikersnaam

Nadere informatie

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag André Salomons Smart SharePoint Solutions BV Cloud security en de rol van de accountant ICT Accountancy praktijkdag Cloud security moet uniformer en transparanter, waarom deze stelling? Links naar de artikelen

Nadere informatie

Workshop voorbereiden Authentieke instructiemodel

Workshop voorbereiden Authentieke instructiemodel Workshop voorbereiden Authentieke instructiemodel Workshop voorbereiden Uitleg Start De workshop start met een echte, herkenbare en uitdagende situatie. (v.b. het is een probleem, een prestatie, het heeft

Nadere informatie

EXIN Business Information Management Foundation

EXIN Business Information Management Foundation Voorbeeldexamen EXIN Business Information Management Foundation with reference to BiSL Editie mei 2012 Copyright 2012 EXIN Alle rechten voorbehouden. Niets uit deze uitgave mag worden openbaar gemaakt

Nadere informatie

ICT Beheermodel informatiesystemen Drechtsteden Baseline inrichting ICT beheermodel Drechtsteden

ICT Beheermodel informatiesystemen Drechtsteden Baseline inrichting ICT beheermodel Drechtsteden Drechtsteden Technische Architectuur (DTA) ICT Beheermodel informatiesystemen Drechtsteden Baseline inrichting ICT beheermodel Drechtsteden Status : Definitief 1.0 Redactie : DTA Datum : 29-08-2007 1 Versiebeheer

Nadere informatie

Assurance rapport van de onafhankelijke accountant

Assurance rapport van de onafhankelijke accountant Assurance rapport van de onafhankelijke accountant Rapportage aan: Achmea Divisie Pensioen & Leven De heer A. Aalbers 1 Achmea Divisie Pensioen & Leven De heer A. Aalbers Postbus 700 APELDOORN Opdracht

Nadere informatie

ABN AMRO Project: Conceptueel model hypothekendomein

ABN AMRO Project: Conceptueel model hypothekendomein Opdrachtformulering Het opstellen van een kennismodel van het hypothekendomein middels de conceptuele analyse met CogNIAM. Dit kennismodel staat los van enige technische benadering en vervult de spilfunctie

Nadere informatie

Privacy Verklaring versie 01-10-2015

Privacy Verklaring versie 01-10-2015 Privacy Verklaring versie 01-10-2015 1. Algemene bepalingen inzake gegevensverwerking 1.1. Met gegevensverwerking wordt het verzamelen, vastleggen, arrangeren, bewaren, wijzigen, openbaar maken, overleggen,

Nadere informatie

De spreadsheet van het strafbankje

De spreadsheet van het strafbankje Artikel De spreadsheet van het strafbankje Een pragmatische aanpak voor End User Computing Trudy Onland Sinds de introductie van Sarbanes Oxley wet (SOx) ontbreken duidelijke en eenduidige richtlijnen

Nadere informatie

Ons kenmerk C100/05.0016522. Aantal bijlagen 1

Ons kenmerk C100/05.0016522. Aantal bijlagen 1 Directie Bestuur & Organisatie Directie Algemeen Aan de Commissie AB Korte Nieuwstraat 6 65 PP Nijmegen Telefoon (024) 329 9 Telefax (024) 329 22 92 E-mail gemeente@nijmegen.nl Postadres Postbus 905 6500

Nadere informatie

Voorstel Informatiebeveiliging beleid Twente

Voorstel Informatiebeveiliging beleid Twente Datum: Enschede, 5 februari 2014 Voor: Kernteam SSNT d.d. 12-2-2014 Betreft Agenda punt 4 beslisdocument informatiebeveiliging, Bijlage 1 Voorstel Informatiebeveiliging beleid Twente (Format ter besluitvorming)

Nadere informatie

Gemeente Doetinchem. Clientserviceplan voor het boekjaar 2013

Gemeente Doetinchem. Clientserviceplan voor het boekjaar 2013 Clientserviceplan voor het boekjaar 2013 oktober 2013 Inhoud 1. Inleiding 4 2. Controleopdracht 4 2.1 Opdracht 4 2.2 Materialiteit en tolerantie 5 2.3 Fraude 6 3. Planning 6 3.1 Inleiding 6 3.2 Algemene

Nadere informatie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

HERGEBRUIK VAN REQUIREMENTS

HERGEBRUIK VAN REQUIREMENTS HERGEBRUIK VAN REQUIREMENTS EEN PRAKTISCHE AANPAK BUSINESS ANALYSE CENTER OF EXCELLENCE - SYNERGIO Inhoudsopgave 1 HERGEBRUIK VAN REQUIREMENTS... 3 1.1 GEBRUIKEN VERSUS HERGEBRUIKEN... 4 2 STRATEGIE...

Nadere informatie

Op naar een excellente controle

Op naar een excellente controle Op naar een excellente controle Welke controlewerkzaamheden kunnen verder geoptimaliseerd worden om kosten te besparen of om meer toegevoegde waarde te kunnen bieden aan cliënten? Hoe kunnen deze werkzaamheden

Nadere informatie

Data Warehouse. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V.

Data Warehouse. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V. Data Warehouse Een introductie Algemene informatie voor medewerkers van SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 9 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2 VERSIEBEHEER... 3 2 DOEL VAN

Nadere informatie

Risicomanagement en NARIS gemeente Amsterdam

Risicomanagement en NARIS gemeente Amsterdam Risicomanagement en NARIS gemeente Amsterdam Robert t Hart / Geert Haisma 26 september 2013 r.hart@risicomanagement.nl / haisma@risicomanagement.nl 1www.risicomanagement.nl Visie risicomanagement Gemeenten

Nadere informatie

Actualiteitendag Platform Deelnemersraden Risicomanagement

Actualiteitendag Platform Deelnemersraden Risicomanagement Actualiteitendag Platform Deelnemersraden Risicomanagement Benne van Popta (voorzitter Detailhandel) Steffanie Spoorenberg (adviseur Atos Consulting) Agenda 1. Risicomanagement 2. Risicomanagement vanuit

Nadere informatie

INTERNATIONALE CONTROLESTANDAARD 402 IN OVERWEGING TE NEMEN FACTOREN BIJ DE CONTROLE VAN ENTITEITEN DIE GEBRUIKMAKEN VAN SERVICE-ORGANISATIES

INTERNATIONALE CONTROLESTANDAARD 402 IN OVERWEGING TE NEMEN FACTOREN BIJ DE CONTROLE VAN ENTITEITEN DIE GEBRUIKMAKEN VAN SERVICE-ORGANISATIES INTERNATIONALE CONTROLESTANDAARD 402 IN OVERWEGING TE NEMEN FACTOREN BIJ DE CONTROLE VAN ENTITEITEN DIE GEBRUIKMAKEN VAN SERVICE-ORGANISATIES INHOUDSOPGAVE Paragrafen Inleiding... 1-3 Door de auditor in

Nadere informatie

Procesmanagement. Hoe processen beschrijven. Algra Consult

Procesmanagement. Hoe processen beschrijven. Algra Consult Procesmanagement Hoe processen beschrijven Algra Consult Datum: juli 2009 Inhoudsopgave 1. INLEIDING... 3 2. ORGANISATIE VAN PROCESMANAGEMENT... 3 3. ASPECTEN BIJ HET INRICHTEN VAN PROCESMANAGEMENT...

Nadere informatie

NORA werkdocument. Katern Beveiliging. In 3 klikken naar bouwstenen voor invulling van de eisen. Sessie 6. Bijgewerkt op 23 aug.

NORA werkdocument. Katern Beveiliging. In 3 klikken naar bouwstenen voor invulling van de eisen. Sessie 6. Bijgewerkt op 23 aug. NORA werkdocument Sessie 6 In 3 klikken naar bouwstenen voor invulling van de eisen Katern Beveiliging Bijgewerkt op 23 aug. 2013 katern Beveiliging Jaap van der Veen Essentie Sessie 6 1. Opzet digitaal

Nadere informatie

Contractmanagement in Nederland anno 2011

Contractmanagement in Nederland anno 2011 Contractmanagement in Nederland anno 2011 Samenvatting Mitopics Theo Bosselaers NEVI René van den Hoven Februari 2012 1 Periodiek onderzoekt Mitopics de professionaliteit waarmee Nederlandse organisaties

Nadere informatie

Verantwoordingsrichtlijn

Verantwoordingsrichtlijn Verantwoordingsrichtlijn Verantwoordingsrichtlijn t.b.v. de edp-audit voor de beveiliging van Suwinet. Door Jan Breeman BKWI Verantwoordingsrichtlijn Verantwoording over de beveiliging van Suwinet De Regeling

Nadere informatie

NBC Audit Services BV NBC Van Roemburg & Partners BV Data analyse. Drs. Ing. Niels Bond RE 11 maart 2015

NBC Audit Services BV NBC Van Roemburg & Partners BV Data analyse. Drs. Ing. Niels Bond RE 11 maart 2015 NBC Audit Services BV NBC Van Roemburg & Partners BV Data analyse Drs. Ing. Niels Bond RE 11 maart 2015 Agenda NBC Voordelen en gebruik data analyse Gebruik auditfile Data analyse tool (ACL) vs Excel Stappenplan

Nadere informatie

Functiebeschrijving Technische Architect

Functiebeschrijving Technische Architect Functiebeschrijving 1. Algemene Gegevens Organisatie Functienaam Versie Auteur : [naam organisatie] : : 1.0 concept : Ad Paauwe a. Plaats in de organisatie De rapporteert aan de manager van het architectuurteam.

Nadere informatie

BEVEILIGINGSARCHITECTUUR

BEVEILIGINGSARCHITECTUUR BEVEILIGINGSARCHITECTUUR Risico s onder controle Versie 1.0 Door: drs. Ir. Maikel J. Mardjan MBM - Architect 2011 cc Organisatieontwerp.nl AGENDA Is een beveiligingsarchitectuur wel nodig? Oorzaken beveiligingsincidenten

Nadere informatie

Last but not least. Hoofdstuk 35. Bijlagen

Last but not least. Hoofdstuk 35. Bijlagen Last but not least Hoofdstuk 35 Bijlagen V1.2 / 01 februari 2016 Geen copyright! MCTL is in licentie gegeven volgens een Creative Commons Naamsvermelding 3.0 Nederland licentie. Gebaseerd op een werk van

Nadere informatie

Registratie Data Verslaglegging

Registratie Data Verslaglegging Registratie Data Verslaglegging Registratie Controleren en corrigeren Carerix helpt organisaties in het proces van recruitment en detachering. De applicatie voorziet op een eenvoudige wijze in de registratie

Nadere informatie

Alles onder controle met pro

Alles onder controle met pro WET EN REGELGEVING Drs. S. van der Smissen (svandersmissen@deloitte.nl). Drs. W. Bertoen (wbertoen@deloitte.nl), management consultants Deloitte, adviesgroep Finance & Control te Utrecht. Toezicht houden

Nadere informatie

Rapportage workfl ow

Rapportage workfl ow Rapportage workflow Rapportage registratie workflow C.G.A.M Wessels Introductie Workflow management (WFM) staat voor de automatisering van bedrijfsprocessen en werkstromen (regels, procedures en processen)

Nadere informatie

Secretariaat: ECP Postbus 262 2260 AG Leidschendam 070-4190309 INHOUD

Secretariaat: ECP Postbus 262 2260 AG Leidschendam 070-4190309  INHOUD Secretariaat: ECP Postbus 262 2260 AG Leidschendam 070-4190309 jelle.attema@ecp.nl http://www.keurmerkafrekensystemen.nl/ INHOUD INHOUD... 1 INLEIDING... 2 DOEL... 2 BEGRIPPEN... 2 AANDACHTSGEBIED EN BEGRENZING...

Nadere informatie

READ: de informatiestrategieaanpak van Steenwinkel Kruithof Associates (SKA)

READ: de informatiestrategieaanpak van Steenwinkel Kruithof Associates (SKA) READ: de informatiestrategieaanpak van (SKA) INLEIDING HET SPANNINGSVELD TUSSEN KORTETERMIJNVERWACHTINGEN EN LANGETERMIJNBEHOEFTEN In veel bedrijven volgen businessgerelateerde veranderingen elkaar snel

Nadere informatie

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard Pagina 1 van 6 Inhoudsopgave 1. Aanleiding 3 2. Structureel / incidenteel 3 3. Opdrachtgever 3 4. Opdrachtnemer 3 5. Relevante wet- en regelgeving 3 6.

Nadere informatie

Portefeuillehouder: M.A.P. Michels Behandelend ambtenaar J. van der Meer, 0595 447719 gemeente@winsum.nl (t.a.v. J. van der Meer)

Portefeuillehouder: M.A.P. Michels Behandelend ambtenaar J. van der Meer, 0595 447719 gemeente@winsum.nl (t.a.v. J. van der Meer) Vergadering: 11 december 2012 Agendanummer: 12 Status: Besluitvormend Portefeuillehouder: M.A.P. Michels Behandelend ambtenaar J. van der Meer, 0595 447719 E mail: gemeente@winsum.nl (t.a.v. J. van der

Nadere informatie

Data-analyse en boekhoudsoftware voor de MKB-accountant in een breder perspectief

Data-analyse en boekhoudsoftware voor de MKB-accountant in een breder perspectief Data-analyse en boekhoudsoftware voor de MKB-accountant in een breder perspectief Wie ben ik Wat is data-analyse Plaats in de controle Schema Een netwerkmodel van de controle; Focus op en inkleuren van

Nadere informatie