Hoe kan Continuous Controls Monitoring (CCM) het evaluatieproces van beheersingsmaatregelen (interne controls ) ondersteunen?

Maat: px
Weergave met pagina beginnen:

Download "Hoe kan Continuous Controls Monitoring (CCM) het evaluatieproces van beheersingsmaatregelen (interne controls ) ondersteunen?"

Transcriptie

1 IT Audit afstudeerscriptie aan de Faculteit der Economische Wetenschappen en Bedrijfskunde (FEWEB) van de Vrije Universiteit Amsterdam Hoe kan Continuous Controls Monitoring (CCM) het evaluatieproces van beheersingsmaatregelen (interne controls ) ondersteunen? Ruiz Lie-Kwie Sven Joosten 31 Maart

2 Titelblad Hoofdvraag: Instelling: Opleiding: Hoe kan Continuous Controls Monitoring (CCM) het evaluatieproces van beheersingsmaatregelen (interne controls ) ondersteunen? Faculteit der Economische Wetenschappen en Bedrijfskunde (FEWEB) van de Vrije Universiteit Amsterdam Postgraduate IT Audit Teamnummer: 1024 Auteur 1: R.R. Lie-Kwie Studentnummer: Telefoon: +31(0) Auteur 2: S.W.M. Joosten Studentnummer: Telefoon: +31(0) Datum: 7 april 2010 Plaats: Amsterdam Versie: Definitief Afstudeerbegeleider VU: Bart van Staveren RE Telefoon: Afstudeerbegeleider Ernst & Young: Drs. T Buffing RA RE Telefoon:

3 Inhoudsopgave 1. Inleiding Aanleiding Relevantie met IT Audit vakgebied Probleemstelling Doelstelling Centrale vraagstelling Deelvragen Afbakening Opzet en onderzoeksaanpak Leeswijzer 9 2. Theoretisch kader: Continuous Controls Monitoring Definities van Continuous Controls Monitoring Analyse van definities Continuous Controls Monitoring concepten Belangrijke aspecten Control evaluatie principes Aanpak testen werking van controls Rol van CCM Invloed op de mate van zekerheid Positionering CCM binnen COSO en CCM binnen COBIT Raakvlakken CCM en COSO Inleiding COSO framework Monitoring Raakvlakken CCM en COBIT Monitoring CCM in de praktijk en het effect op de evaluatie van de interne controls Inleiding Uitwerking vragen Algemene conclusie interviews Aandachtsgebieden IT auditor Conclusies, aanbevelingen en vervolgonderzoek Conclusie 40 3

4 7.2 Aanbeveling Reflectie 41 Geraadpleegde literatuur 43 Bijlage A - CA/CCM drivers 45 Bijalge B - Potentiële gebruikers 46 Bijalge C Stappenplan implementatie CA 47 Bijalge D Voorbeeld positionering COSO en COBIT binnen CCM 48 4

5 Voorwoord De Postgraduate IT Audit opleiding aan de Faculteit der Economische Wetenschappen en Bedrijfskunde (FEWEB) van de Vrije Universiteit Amsterdam heeft als doelstelling het opleiden van studenten om (zelfstandig) onafhankelijke en onpartijdige beoordelingen uit te voeren op operationele systemen en systemen in ontwikkeling. De onderzoeksaspecten betreffen bijvoorbeeld de afgesproken kwaliteitsaspecten (enkele voorbeelden zijn: beschikbaarheid, integriteit en vertrouwelijkheid) van de te automatiseren of geautomatiseerde informatiesystemen, de automatiseringsorganisatie en de technische/organisatorische infrastructuur van de geautomatiseerde gegevensverwerking. De actualiteit van het onderwerp en de toenemende vraag binnen organisaties om aantoonbaar in control te zijn hebben ons gemotiveerd en geïnteresseerd om ter afsluiting van deze studie een scriptie te schrijven met als onderzoeksvraag: Hoe kan Continuous Controls Monitoring (CCM) het evaluatieproces van beheersingsmaatregelen (interne controls ) ondersteunen? Voor het uitvoeren van dit onderzoek hebben wij een aantal personen uit het bedrijfsleven geïnterviewd. De discussies en verschillende inzichten waren van toegevoegde waarde om een helder beeld over dit onderwerp te vormen. De onderstaande personen willen wij daarom graag bedanken voor hun kennisdeling en medewerking. Arie Pronk RE RA CISA CAMS Head of Group Audit Operations ABN AMRO Dennis Boersen RE Manager Group Audit & Risk Services bij EUREKO Matty Pleumeekers RE Senior IT-Auditor bij Essent Remco Smith RE- Manager IT Audit bij Ernst & Young Steven Hartjes RE RA Partner bij Ernst & Young Willem Scheeres RE MBA Senior Business Development bij Ernst & Young Hiernaast willen wij ook van de gelegenheid gebruik maken om onze afstudeerbegeleider Bart van Staveren en onze bedrijfsbegeleider Ton Buffing te bedanken voor hun kennis, begeleiding en motiverende rol gedurende alle fases van onze scriptie. Gezien het feit dat CCM toepassingen populairder worden, maar in de praktijk nauwelijks of niet worden toegepast hebben de theoretische verkenning en toetsing van de theorie aan de praktijksituatie onze kennis en inzicht in het onderwerp vergroot, waardoor wij ons als volwaardige gesprekspartners op dit gebied kunnen beschouwen. Getekend op 31 maart 2010 te Amsterdam, Ruiz Lie-Kwie Sven Joosten 5

6 1. Inleiding De scriptie die voor u ligt is een uitwerking van onze visie die gebaseerd is op een literatuur- en veldonderzoek en vormt het sluitstuk van de Postgraduate IT Audit opleiding die wij hebben gevolgd aan de FEWEB van de Vrije Universiteit te Amsterdam. Dit eerste hoofdstuk zal de context van het afstudeeronderzoek verduidelijken. Hierin beschrijven wij de Aanleiding (paragraaf 1.1) en de Probleemstelling (paragraaf 1.2). 1.1 Aanleiding In onze werkervaring (als IT-Auditor) bij Ernst & Young hebben wij geconstateerd dat men in sommige gevallen met behulp van data-analyse oplossingen een effectievere en efficiëntere audit kan neerzetten. De audit kan effectiever zijn omdat men alle uitzonderingen kan identificeren en over de gehele populatie een oordeel kan geven. De audit kan efficiënter zijn omdat men meerdere beheersingsmaatregelen (interne controls ) met een of meerdere data aanlevering(en) kan toetsen. Daarnaast kan men het evaluatie proces middels data-analyse tools automatiseren. In de meeste gevallen kan je ook een oordeel geven over controls die niet binnen het normenkader vallen, bijvoorbeeld de kwaliteit van het proces/systeem/data, fraude identificeren, correlaties vinden en voorspellingen maken. In de zoektocht naar een geschikt onderwerp hebben wij ons afgevraagd waarom bedrijven en auditors nauwelijks gebruik maken van deze methoden en technieken. Continuous Controls Monitoring heeft volgens ons vele raakvlakken met de data-analyse oplossingen. Naast het bovenstaande zijn er nog vijf belangrijke redenen die ervoor hebben gezorgd dat wij voor dit onderwerp hebben gekozen. Deze redenen worden hieronder kort toegelicht: Binnen hedendaagse organisaties heerst een toenemende behoefte om bedrijfsprocessen effectief en efficiënt in te richten om gestelde bedrijfsdoelstellingen te behalen. Enkele voorbeelden zijn de implementatie van Electronic Data Interchange (EDI) onder andere in de Transport sector en recent de implementatie van het Single Euro Payments Area (SEPA 1 ) in de Financiële sector. Zelfs in de non-profit sector, bijvoorbeeld ziekenhuizen met de implementatie van Diagnosebehandelingcombinatie (DBC 2 ) en het Electronisch patiëntendossier (EPD), zie je dat men middels veranderingsprocessen efficiënter en effectiever wil werken/inrichten om bedrijfsdoelstellingen te realiseren. Door technologische ontwikkelingen op het gebied van onder andere internet 3, ERP 4 applicaties, integrated information systems, netwerken en databases zijn organisaties steeds sneller in staat om bedrijfsprocessen, effectiever en efficiënter in te richten. Door deze ontwikkelingen zijn processen meer gestandaardiseerd in geautomatiseerde omgevingen en zijn er steeds meer controls geïmplementeerd die als parameters gezien moeten worden. Interne en externe nadruk op de evaluatie en beheersing van de interne controls. Door boekhoudschandalen bij onder andere Enron 5 zijn wetten en regelgeving op het gebied van World Wide Web (www) 4 Enterprise Resource Planning 5 6

7 Corporate Governance (SOx 6, SAS70 7 ) aangescherpt. Ook spelen aandeelhouders een belangrijke rol doordat zij hun eisen op het gebied van continue zekerheid, meer transparantie en continue verantwoording opleggen aan het management. De kosten 8 om te voldoen aan de aangescherpte wetgeving op het gebied van compliancy, bijvoorbeeld de Office of Foreign Assets Control (OFAC), SOx, Basel II 9 en Solvency II 10 wetgeving, zijn enorm gestegen. Enkele grote banken hebben hoge boetes opgelegd gekregen, omdat zij sanctiewetgeving overtraden. In een persbericht heeft een topbestuurder het volgende gezegd: "De toezichthouders hebben ons hierop terecht aangesproken. We hebben eerder dit jaar uitgebreide maatregelen getroffen om de tekortkomingen grondig recht te zetten. Het verder verbeteren van onze compliance functie heeft de hoogste prioriteit binnen de bank" 11. Daarnaast is de evaluatie van de interne controle een essentieel onderdeel van de jaarrekeningcontrole en jaarlijks besteden de meeste organisaties en accountancy kantoren veel tijd en geld hieraan. Tot op heden hebben auditors de keuze voor een procesmatige- of gegevensgerichte controle aanpak. Wij zijn van mening dat wanneer organisaties gebruik maken van CCM, auditors een effectievere en efficiëntere audit aanpak kunnen neerzetten. Kortom, door de actualiteit van het onderwerp en onze persoonlijke interesse is besloten om in onze afstudeerscriptie nader in te gaan op Continuous Controls Monitoring. Het toetsen van controls op continue basis wordt Continuous Controls Monitoring genoemd Relevantie met IT Audit vakgebied In de jaren tachtig werd het begrip Continuous Audit geïntroduceerd in de academische wereld. Hierna werd het begrip Computer Assisted Audit Techniques (CAAT s) veelvuldig gebruikt als onderdeel van de accountantscontrole. De rol van CAAT s was toen vooral het ondersteunen van de gegevensgerichte elementen van de controle. Door de jaren heen is deze insteek van controle door verscheidene ontwikkelingen veranderd. Tegenwoordig maakt men gebruik van dataanalyse en monitoring tools binnen de controle. In de nabije toekomst zal steeds meer gesproken worden over Continuous Controls Monitoring en over Continuous Auditing. Al deze ontwikkelingen binnen het vakgebied hebben gezorgd voor een effectievere en efficiëntere aanpak van de controle. Naast de IT-Auditor bestaat de primaire doelgroep voor deze scriptie onder andere uit: Auditors, bijvoorbeeld financiële- en operationele auditors Gebruikers, bijvoorbeeld Controllers, IT-, Proces- en Businessunit managers Sponsors, bijvoorbeeld Chief Financial Officers (CFO) en Chief Information Officers (CIO) Eye on ICT digitale nieuwsbrief, jaargang 5, nummer 2 februari

8 1.2 Probleemstelling Doelstelling De doelstelling van dit onderzoek is om inzichtelijk te maken in de wijze waarop Continuous Controls Monitoring kan bijdragen aan een effectievere en efficiëntere evaluatie van interne controles Centrale vraagstelling Op basis van het bovenstaande komen wij tot de volgende centrale onderzoeksvraag: Hoe kan Continuous Controls Monitoring (CCM) het evaluatieproces van beheersingsmaatregelen (interne controls ) ondersteunen? Deelvragen Om de hoofdvraag te kunnen beantwoorden, hebben wij de volgende deelvragen geformuleerd: 1 Wat wordt verstaan onder CCM en welke concepten liggen hieraan ten grondslag? 2 Wat wordt verstaan onder interne control evaluatie en welke concepten liggen ten grondslag hieraan? 3 Waar kan men CCM positioneren binnen de frameworks COSO en COBIT? 4 Hoe en wanneer kan CCM een toegevoegde waarde leveren aan de evaluatie van interne controls? 5 Op welke wijze wordt CCM in de praktijk toegepast en wat is het effect op de evaluatie van de interne controls? 6 Gegeven de bevindingen, welke rol heeft de IT- auditor ten aanzien het beoordelen van een CCM omgeving? Afbakening Bij uitvoering van dit onderzoek hebben wij de volgende onderzoeksgrenzen gehanteerd: Om de verschillen tussen de conventionele- en CCM aanpak expliciet te belichten, richt dit onderzoek zich op organisaties die redelijk veel ervaring hebben op het gebied van interne control evaluatie. Daarnaast wordt in deze scriptie beperkt ingegaan op de risico analyse (risk management) die vooraf aan de control evaluatie plaatsvindt. Het aspect risico analyse heeft invloed op de control omgeving, maar is te complex om in dit onderzoek uitvoerig erop in te gaan. Op basis van de literatuur zien wij CCM uitsluitend als een management tool. Dit wil zeggen dat het management verantwoordelijk is voor de toepassing en de beheersing ervan. Verder beperken wij ons met deze scriptie tot twee frameworks: Committee of Sponsoring Organizations (COSO) en Control Objectives for Information and related Technology (COBIT) Opzet en onderzoeksaanpak Het onderzoek bestaat uit een literatuuronderzoek en een veldonderzoek. Bij het literatuuronderzoek gaat het om de begripsbepaling en de (theoretische) modelvorming. 8

9 In het veldonderzoek hebben wij interviews met interne en externe auditors gehouden om na te gaan hoe CCM het evaluatieproces van beheersingsmaatregelen (interne controls ) kan ondersteunen. Bij de uitvoering van het onderzoek dient onderstaand conceptueel model als basis (zie figuur 1). Hoofdstuk1: aanleiding, probleemstelling inclusief de centrale onderzoeksvraag bijbehorende deelvragen Hoofdstuk 2: CCM concepten Hoofdstuk 3: Control evaluatie principes Hoofdstuk 4: Positionering van CCM binnen COSO en CCM binnen COBIT Hoofdstuk 5: CCM in de praktijk en het effect op de evaluatie van de interne controls Hoofdstuk 6: Perspectief van IT-Auditor Hoofdstuk 7:Conclusies, aanbevelingen en vervolgonderzoek Figuur 1. Conceptueel model bij het onderzoek Leeswijzer Na een korte toelichting inzake de aanleiding, probleemstelling inclusief de centrale onderzoeksvraag en bijbehorende deelvragen, wordt in hoofdstuk 2 een aantal concepten van CCM beschreven. In hoofdstuk 3 wordt ingegaan op het begrip interne control evaluatie en de concepten die hieraan ten grondslag liggen. De positionering van CCM binnen COSO en CCM binnen COBIT wordt in hoofdstuk 4 beschreven. Hoofdstuk 5 gaat in op de toepassing van CCM in de praktijk en het effect op de evaluatie van de interne controls. In Hoofdstuk 6 gaan we in op de audit-aanpak van een IT-Auditor voor een CCM omgeving (scope). Tot slot geven wij in hoofdstuk 7 onze conclusies weer. Referenties naar literatuur, artikelen en internetsites worden in de tekst dan wel in de voetnoten aangegeven. 9

10 2. Theoretisch kader: Continuous Controls Monitoring In dit hoofdstuk geven wij antwoord op de eerste deelvraag. Hierin wordt de definitie van CCM uiteen gezet en worden enkele theoretische CCM concepten beschreven. 2.1 Definities van Continuous Controls Monitoring De begrippen Continuous Controls Monitoring, Continuous Assurance, Continuous Auditing, Control Monitoring en Monitoring zijn met elkaar verbonden. Deze begrippen worden in de praktijk vaak door elkaar gebruikt. Om spraakverwarring te voorkomen worden enkele definities hieronder beschreven en worden de raakvlakken toegelicht. Voor de controle op juistheid van de definities hebben wij in ons onderzoek rekening gehouden met de diverse definities die door toezichthouders, interne audit afdelingen, accountancy kantoren, consultancy kantoren en software leveranciers worden gebruikt. Als voorbeeld op de controle op de juiste interpretatie van het begrip Continuous Controls Monitoring hebben wij meerdere definities uiteengezet. Continuous Auditing (CA) Providing a continuous or on demand assurance opinion on systems or transactions. A continuous opinion could represent an auditor s opinion that controls are operating satisfactorily, unless a report is given to the contrary, often referred to as an evergreen audit report. An on demand audit opinion could be called for at any time to give an opinion that is not necessarily coterminous with a fiscal year or month-end 12 Continuous Controls Monitoring (CCM) A feedback mechanism, primarily used by management, to ensure that systems operate and transactions are processed as prescribed 13 Continuous monitoring of controls is a process that management puts in place to ensure that its policies and procedures are adhered to, and that business processes are operating effectively. Continuous monitoring typically involves automated continuous testing of all transactions within a given business process area against a suite of controls rules 14 Continuous monitoring refers to the process that management puts in place to ensure that the policies, procedures and business processes are operating effectively 15 Continuous monitoring is an automated process that regularly validates the accuracy and/or validity of transactions to provide ongoing feedback/assurance to management as to the effectiveness of internal controls. The end result of continuous monitoring is to obtain 12 Bron: Information systems control journal, volume 2, Bron: Information systems control journal, volume 2,

11 information about the performance of a process, system or data, not the insurance of an audit report. As a result, there are key differences 16 Continuous Assurance The collection of audit evidence, by an auditor, on systems and transactions, on a continuous basis through a period. For example, the auditor could extract details of unusually large adjusting journal entries daily for investigation, validate the reasons for the journal and whether it has been approved, and document these findings. The audit file of evidence will be built up from these investigations, as will the auditor s knowledge of what is happening in the business Analyse van definities De samenhang tussen de diverse definities worden hieronder beschreven. Ondanks het feit dat de begrippen in de praktijk door elkaar worden gebruikt, zijn de hoofddoelstellingen: meer transparantie, effectievere en efficiëntere beheersing van risico s en het kunnen meten van de performance, gelijk. Zowel Continuous Auditing als Continuous Controls Monitoring zijn processen die gebeurtenissen (bijvoorbeeld transacties) vergelijken aan de hand van voorgeschreven criteria (normen), afwijkingen constateren en rapporteren. Door de onduidelijkheid over de definities hanteert men in de praktijk ook de meer algemene begrippen Control Monitoring en Monitoring voor CCM en CA. Verschil Continuous Controls Monitoring en Continuous Auditing De vier belangrijkste verschillen 18 zijn: Continuous Auditing wordt door interne en externe auditors gebruikt als een methode voor het uitvoeren van audits op een meer continue basis, terwijl Continuous Control Monitoring door het management wordt gebruikt om de controledoelstellingen te behalen. 19 De controls binnen een CCM omgeving zijn vaker operationele controls. Bij CA behoren de controls bij het auditobject en zijn het meestal key controls. De frequentie van testen is bij CCM hoger, meestal real-time of per uur/dag/week. In het algemeen geven auditors een oordeel over een langere periode. CCM kan een onderdeel worden van het raamwerk van interne beheersing maar CA niet. CCM oplossingen kan men toepassen als applicatie controles in een systeem waar ze ontbreken. Relatie met Continuous Assurance Audit assurance is een uitspraak over de kwaliteit en effectiviteit van controls en de integriteit van de informatie. Continuous Assurance is een geïntegreerd proces en hanteert als basis elementen uit zowel Continuous Auditing en Continuous Control Monitoring. Wanneer op het continuous monitoringsproces kan worden gesteund, kunnen auditors het resultaat van Continuous Control Monitoring gebruiken om de effectiviteit van het interne controle proces te toetsen Information systems control journal, volume 2, CA/CM whitepaper KPMG 19 Scriptie VU Amsterdam: Continuous monitoring en continuous auditing: continuous solutions?, J. Jacobs en M. Hoetjes 11

12 If auditors do their job- verifying controls and risk- and management does their job develop and monitor controls, and manage risk the organization will have a higher level of assurance that controls are working, that risks are being managed, and that decision-making information has integrity. 20 Deze raakvlakken tussen de bovenstaande definities worden in onderstaande figuur 21 weergegeven: Figuur 2. Samenhang Continuous Control Monitoring, Continuous Auditing en Continuous Assurance CA en CCM kunnen onafhankelijk van elkaar worden geïmplementeerd. Er is altijd een tegengestelde correlatie tussen de activiteiten die het management moet uitvoeren en de activiteiten die de auditor moet uitvoeren om uiteindelijk het proces meer transparant te maken, het effectiever en efficiënter in te richten, de performance te meten en meer zekerheid te krijgen over het proces. De samenhang wordt in onderstaande figuur 22 weergegeven. 20 David A. Richards, CIA, CPA, President, The institute of Internal Auditors, Inc White paper on Continuous Auditing, 12

13 Management Response Comprehensive monitoring of internal controls Reduced effort Little monitoring of controls Significant effort / greater resources Audit Effort Figuur 3. Samenhang management response en Audit effort bij CCM 2.2 Continuous Controls Monitoring concepten In opzet zijn er nauwelijks verschillen tussen CCM en CA concepten. Zowel Continuous Auditing als Continuous Control Monitoring zijn processen die gebeurtenissen (bijvoorbeeld transacties) vergelijken aan de hand van voorgeschreven criteria (normen), afwijkingen constateren en rapporteren. Hieronder zijn twee concepten aan de hand van algemene voorbeelden uitgewerkt. CCM Concept 1 23 Het onderstaande model wordt toegelicht aan de hand van een algemeen voorbeeld in een Trading omgeving van een bank. In Trading omgevingen zijn de processen/producten complex, de volumes en risico s zijn hoog en er moet snel worden gehandeld. Hierdoor hebben organisaties monitoring tools geïmplementeerd om de processen te bewaken. Op basis van transactie data en business rules vinden verschillende analyses plaats. Deze zijn bijvoorbeeld: controle op functie scheiding controle op limieten van bedragen en aantallen aansluitcontrole tussen Front-, Back office en Custodians statistieken van de hoogte van de posities en de creditrisico s De reguliere analyses zijn gebaseerd op het interne controle raamwerk van de organisatie. De manager kan met een dashboard een totaal beeld vormen over het proces, eventuele details van transacties inzien en wordt via een alert geïnformeerd over afwijkingen. De afwijkingen worden door de manager beoordeeld en hij zorgt ervoor dat de juiste maatregelen worden genomen. Daarnaast kan men op dezelfde of historische data binnen de CCM omgeving ook aanvullende analyses uitvoeren. Deze zijn onder andere de handelaren (werknemers) beoordelen op de kwaliteit van de invoer en het risico profiel van handelaren in kaart brengen, fraude identificeren en knelpunten in het proces identificeren. De manager is uiteindelijk weer verantwoordelijk om de juiste maatregelen te nemen. 23 White paper, Building and Implementing a CCM and Auditing Framework, ACL 13

14 Figuur 4. Concept 1 CCM en CA CCM Concept 2 24 Het onderstaande model wordt toegelicht aan de hand van een algemeen voorbeeld in een betaal applicatie van een verzekeraar. In een excasso omgeving zijn de volumes en risico s hoog en in sommige gevallen moet er snel worden uitgekeerd. Hierdoor hebben organisaties monitoring tools geïmplementeerd om de processen te bewaken. Op basis van transactie data en business rules vinden verschillende analyses plaats. Deze zijn bijvoorbeeld: controle op functie scheiding controle op procuratieregelingen aansluitcontrole tussen de verschillende administratie overzicht spoedbetalingen controle op dubbele facturen controle op master data De reguliere analyses zijn gebaseerd op het interne controle raamwerk van de organisatie. De manager kan met een dashboard een totaal beeld vormen over het proces, eventuele details van transacties inzien en wordt via een alert geïnformeerd van afwijkingen. De afwijkingen worden door de manager beoordeeld en hij zorgt ervoor dat de juiste maatregelen worden genomen. 24 Ernst & Young, Continuous Control Concept 14

15 Figuur 5. Concept 2 CCM en CA Men kan met CCM oplossingen verschillende systemen (met behulp van de data) koppelen en op basis van specifieke business rules analyses uitvoeren. Een voorbeeld hiervan is de aansluiting tussen de inkopen, verkopen en grootboek en de medewerkers die op de afdelingen werken Belangrijke aspecten Op basis van de twee concepten is hieronder aangegeven wat de belangrijke (deel)aspecten en functionele eisen voor een CCM model zijn hieronder beschreven. 1.Bepalen controls Bepalen van de controls op basis van een geaccepteerde risicocontrole raamwerk (bijvoorbeeld op basis van COSO en COBIT) en informatiebehoefte analyse. In onderstaande figuur 25 is aangegeven voor welke typen risico s CCM geselecteerd kan worden. 25 Ernst & Young, presentatie CCM en Analytics 15

16 Figuur 6. Positie CCM 2. Bepalen normen De normen ( business rules ) moeten via het wijzigings-beheerproces (Ontwikkel, test, acceptatie en productie (OTAP)) worden geïmplementeerd. Het definiëren van de normen vergt een andere mind-set en in onderstaande figuur 26 is dit weergegeven. Een praktijkvoorbeeld is het fiatteren van facturen op basis van functiescheiding (het vier-ogen principe). Bij CCM moet men definiëren dat facturen die niet op basis van functiescheiding worden verwerkt, moeten worden gerapporteerd (uitzonderingen). Figuur 7. CCM voorbeelden interpretatie van data naar controls 26 Ernst & Young, presentatie CCM en Analytics 16

17 3.Bepalen van data sets De beschikbaarheid en integriteit waaronder de tijdigheid van de relevante dataset is een aandachtspunt. De organisatie moet in een concrete en eenduidige informatie management raamwerk 27 opzetten. De vijf belangrijke aspecten binnen het raamwerk bestaan uit: Data governance structuur Hierin worden de richtlijnen, processen, procedures en standaarden beschreven. Data kwaliteit Hierin worden de kwaliteitsstandaarden beschreven en worden prestatie-indicatoren opgenomen ( scorecards ). Data usage In dit deel wordt ingegaan op het gebruik van data binnen de organisatie en op monitoring op het gebruik en de effectiviteit van de dienstverlening. Data management De beschrijving van master data en de koppelingen (interfaces) tussen verschillende systemen. Daarnaast moet men aangeven hoe de data kan worden opgehaald ( data capturing ) Architecture In dit deel wordt de end-to-end stroom van data beschreven. De data opslag, transformaties en rapportages worden ook in dit deel opgenomen. 4. Bepalen van de frequentie van de test Dit aspect hang mede samen met de informatiebehoefte en risico s. Hoe hoger de risico s, hoe vaker er zal worden getoetst. 5. Testen/analyseren data Hierbij is het belangrijk dat de performance van het CCM model niet sterk wordt beïnvloed door een grote hoeveelheid data. Tevens speelt de integriteit en vertrouwelijkheid van de data een grote rol bij de analyses. 6. Onderzoeken van fouten/excepties Het is belangrijk om een risico analyse uit te voeren, waarbij men probeert om het totale risico te kwantificeren. Op basis van de risico analyse moet men bepalen welke maatregelen er dienen te worden genomen en of de controls en of processen niet moeten worden aangepast (zie figuur 8 28 ). Figuur 8. Relatie tussen controls en risico s 27 CFO research services, January IIA_GTAG, Continuous Auditing:Implications for Assurance, Monitoring, and Risk Assessment 17

18 7. Identificeren en communiceren (rapporteren) bevindingen aan management Bepalen hoe om te gaan met fouten/excepties: Hierbij moet men een classificatie van het risicoprofiel koppelen. 8. Maatregelen treffen Dit betreft ook het (eventueel) aanpassen van het proces of de business rules. Een CCM omgeving moet flexibel zijn. Wijzigingen (bijvoorbeeld datasets, business rules, rapportages etc.) moeten snel en zonder veel inspanning verwerkt kunnen worden. Met deze aanpak zal CCM niet alleen bijdragen aan efficiency doelstellingen, maar uiteindelijk ook aan de winstgevendheid van de organisatie (zie figuur 9 29 ). Figuur 9. Approva, 2009 Businessgoals CA en CCM 29 Ernst & Young, presentatie CCM en Analytics 18

19 3. Control evaluatie principes In het interne controleraamwerk (algemeen beheersingskader) van organisaties zijn diverse beheersingsmaatregelen geïdentificeerd, die de risico s waar de bedrijfsvoering aan blootgesteld is mitigeren. Voorbeelden van dergelijke risico s zijn financiële-, operationele- en compliance risico s. In dit zogenaamde stelsel van interne beheersingsmaatregelen wordt in de literatuur gesproken over organisatorische -, procedurele - en technische maatregelen. In onderstaande figuur 30 zijn de verschillende typen controlemaatregelen ( controls ) schematisch weergegeven. Manual Type Of Control Automated Prevent Detect Objective Of Control Figuur 10. Ernst & Young, Soorten controls Controls kunnen onderverdeeld worden bij hun type manual, automated of een combinatie van deze twee ( IT-dependent manual ), of bij hun object preventie of detectie opsporen van fouten in bijvoorbeeld in de jaarrekening, of het ondersteunen van het functioneren van geautomatiseerde aspecten van zulke controls (IT general controls). We categoriseren controls tussen application controls, IT-dependent manual controls, manual controls en IT general controls (ITGC s). 3.1 Aanpak testen werking van controls Bij de traditionele audit komen de auditors slechts een paar keer per jaar langs (zie figuur )bij een organisatie. Hierbij kan het object van onderzoek betrekking hebben op de opzet (uitsluitend ontwerp), bestaan (op een bepaald tijdstip) en/of werking (over een bepaalde periode) van 30 Ernst & Young 31 Information systems control journal, volume 2,

20 controls. Aangezien CCM betrekking heeft op de werking van controls hebben wij de testaanpak voor de werking van controls beschreven. Figuur 11. Effect op controls bij traditionele audit aanpak. Steekproef De statistische steekproef 32 is wiskundig en statistisch onderbouwd. Een aantal eisen voor de attributieve steekproef 33 waaraan voldaan moet zijn, te weten: - Bepalen van de doelstelling van de audit - Vaststellen van de populatie - Vaststellen van de relevante attributen - Bepalen van de steekproef omvang - Gewenste betrouwbaarheid van de uitspraak - Gewenste tolerantie - Percentage verwachte fouten - Bepalen van de selectiemethode - Uitvoeren van de steekproef - Evalueren van de uitkomst van de steekproef Elk van bovenstaande punten dient onderbouwd te worden. De steekproef is een van de meest betrouwbare methoden om een populatie te beoordelen buiten een volledige controle van de populatie. De werkzaamheden nemen dan ook meer tijd in beslag dan een deelwaarneming. 32 De variabele steekproef is in deze scriptie niet verder uitgewerkt. Voor informatie verwijzen wij graag naar Inleiding EDPauditing, Jan van Praat en Hans Suerink, Hoofdstuk Inleiding EDP-auditing, Jan van Praat en Hans Suerink, 5 e druk 1 e oplage, november Hoofdstuk

CobiT. Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1

CobiT. Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1 CobiT Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1 Control objectives for information and related Technology Lezenswaardig: 1. CobiT, Opkomst, ondergang en opleving

Nadere informatie

Continuous auditing and continuous monitoring: continuous solutions? J. Jacobs en M. Hoetjes

Continuous auditing and continuous monitoring: continuous solutions? J. Jacobs en M. Hoetjes Continuous auditing and continuous monitoring: continuous solutions? J. Jacobs en M. Hoetjes Introductie Jacco Jacobs E-mail: jacco.jacobs@nl.ey.com Internet: www.ey.com Meta Hoetjes E-mail: meta.hoetjes@csi4grc.com

Nadere informatie

Auteurs: Jan van Bon, Wim Hoving Datum: 9 maart 2009. Cross reference ISM - COBIT

Auteurs: Jan van Bon, Wim Hoving Datum: 9 maart 2009. Cross reference ISM - COBIT Auteurs: Jan van Bon, Wim Hoving Datum: 9 maart 2009 Cross reference ISM - COBIT ME: Monitor & Evaluate Cross reference ISM - COBIT Management summary Organisaties gebruiken doorgaans twee soorten instrumenten

Nadere informatie

Slide 1. Slide 2 Introduktie. Slide 3 Deze les: 2 onderwerpen. Les 1 Definities en belang Informatie Technologie. Intro docent Opzet/tentamenstof

Slide 1. Slide 2 Introduktie. Slide 3 Deze les: 2 onderwerpen. Les 1 Definities en belang Informatie Technologie. Intro docent Opzet/tentamenstof Slide 1 Les 1 Definities en belang Informatie Technologie IT A Basics en toepassing Informatie Technologie Versie 4.1 Sept 2014 Slide 2 Introduktie Intro docent Opzet/tentamenstof Stof/vraagstukken behandeld

Nadere informatie

HET GAAT OM INFORMATIE

HET GAAT OM INFORMATIE Aan leiding C OB IT HET GAAT OM INFORMATIE Informatie is belangrijk voor het functioneren van een organisatie Informatie wordt gegenereerd, gebruikt, bewaard, ontsloten, verwijderd Informatietechnologie

Nadere informatie

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag André Salomons Smart SharePoint Solutions BV Cloud security en de rol van de accountant ICT Accountancy praktijkdag Cloud security moet uniformer en transparanter, waarom deze stelling? Links naar de artikelen

Nadere informatie

It s CMMI Jim, but not as we know it! CMMI toegepast op een Compliance organisatie Door Jasper Doornbos Improvement Focus

It s CMMI Jim, but not as we know it! CMMI toegepast op een Compliance organisatie Door Jasper Doornbos Improvement Focus It s CMMI Jim, but not as we know it! CMMI toegepast op een Compliance organisatie Door Jasper Doornbos Improvement Focus Inhoud Compliance vakgebied en organisatie CMMI software en systems engineering

Nadere informatie

Enterprisearchitectuur

Enterprisearchitectuur Les 2 Enterprisearchitectuur Enterprisearchitectuur ITarchitectuur Servicegeoriënteerde architectuur Conceptuele basis Organisatiebrede scope Gericht op strategie en communicatie Individuele systeemscope

Nadere informatie

Afstudeerscriptie: Computer-assisted audit techniques (CAATs)

Afstudeerscriptie: Computer-assisted audit techniques (CAATs) Afstudeerscriptie: Computer-assisted audit techniques (CAATs) Afstudeerscriptie Definitieve versie 5 juni 2008 Hugo de Vries, hugo@hugodevries.eu; Studentnummer: 9981236 Teamnummer: 831 Vrije Universiteit

Nadere informatie

Readiness Assessment ISMS

Readiness Assessment ISMS Readiness Assessment van ISMS ISO/IEC27001:2005 1 Senior Internal/IT auditor Luyke Tjebbes EMIA RO CISA Lead Auditor ISO/IEC27001:2005 Projectleider ISO assessment 2 Wat is ISO 27001 eigenlijk? ISO/IEC

Nadere informatie

Continuous monitoring en continuous auditing: continuous solutions?

Continuous monitoring en continuous auditing: continuous solutions? Continuous monitoring en continuous auditing: continuous solutions? Studenten: J. Jacobs en M. Hoetjes Studentnummers: 9981121 en 9981122 Teamnummer: 612 Afstudeerbegeleider: Drs. B.J. van Staveren RE

Nadere informatie

MEER AMBACHT DAN FABRIEK Data-Analyse en Process Mining Support www.coney.nl

MEER AMBACHT DAN FABRIEK Data-Analyse en Process Mining Support www.coney.nl MEER AMBACHT DAN FABRIEK Data-Analyse en Process Mining Support www.coney.nl DE TOOLS DIE WIJ GEBRUIKEN DATA- ANALYSE TOOLS DATA- ANALYSE SUPPORT PROCESS MINING TOOLS PROCESS MINING SUPPORT DATA- ANALYSE

Nadere informatie

CSRQ Center Rapport over onderwijsondersteunende organisaties: Samenvatting voor onderwijsgevenden

CSRQ Center Rapport over onderwijsondersteunende organisaties: Samenvatting voor onderwijsgevenden CSRQ Center Rapport over onderwijsondersteunende organisaties: Samenvatting voor onderwijsgevenden Laatst bijgewerkt op 25 november 2008 Nederlandse samenvatting door TIER op 5 juli 2011 Onderwijsondersteunende

Nadere informatie

Balanced Scorecard. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V.

Balanced Scorecard. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V. Balanced Scorecard Een introductie Algemene informatie voor medewerkers van: SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 9 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2 VERSIEBEHEER... 3 2 DE

Nadere informatie

Nationale Controllersdag 2016 9 juni 2016. Financial Control Framework Van data naar rapportage

Nationale Controllersdag 2016 9 juni 2016. Financial Control Framework Van data naar rapportage Nationale Controllersdag 2016 9 juni 2016 Financial Control Framework Van data naar rapportage Inhoudsopgave Even voorstellen Doel van de workshop Positie van Finance & Control Inrichting van management

Nadere informatie

Enterprise Architectuur. een duur begrip, maar wat kan het betekenen voor mijn gemeente?

Enterprise Architectuur. een duur begrip, maar wat kan het betekenen voor mijn gemeente? Enterprise Architectuur een duur begrip, maar wat kan het betekenen voor mijn gemeente? Wie zijn we? > Frederik Baert Director Professional Services ICT @frederikbaert feb@ferranti.be Werkt aan een Master

Nadere informatie

Process Mining and audit support within financial services. KPMG IT Advisory 18 June 2014

Process Mining and audit support within financial services. KPMG IT Advisory 18 June 2014 Process Mining and audit support within financial services KPMG IT Advisory 18 June 2014 Agenda INTRODUCTION APPROACH 3 CASE STUDIES LEASONS LEARNED 1 APPROACH Process Mining Approach Five step program

Nadere informatie

Governance, Risk and Compliance (GRC) tools

Governance, Risk and Compliance (GRC) tools Governance, Risk and Compliance (GRC) tools Auteurs: Peter Paul Brouwers en Maurice op het Veld Samenvatting Het voldoen aan de wet- en regelgeving met betrekking tot bijvoorbeeld de Sarbanes Oxley Act

Nadere informatie

Samenvatting. ENERQI Gids (Rapport nummer D3.2) 20 februari 2012

Samenvatting. ENERQI Gids (Rapport nummer D3.2) 20 februari 2012 Samenvatting ENERQI Gids (Rapport nummer D3.2) 20 februari 2012 Coordinator: DTV Consultants, Mr. Willem Buijs, PO Box 3559, 4800 DN, Breda Tel: +31 76 513 66 00 ENERQI@dtvconsultants.nl Start van het

Nadere informatie

ISO 20000 @ CTG Europe

ISO 20000 @ CTG Europe ISO 20000 @ CTG Europe 31/10/2007 mieke.roelens@ctg.com +32 496266725 1 Agenda 31 oktober 2007 Voorstelling Project Business Case: Doel & Scope Projectorganisatie Resultaten assessments en conclusies De

Nadere informatie

Uitnodiging Security Intelligence 2014 Dertiende editie: Corporate IAM

Uitnodiging Security Intelligence 2014 Dertiende editie: Corporate IAM Uitnodiging Security Intelligence 2014 Dertiende editie: Corporate IAM 5 maart 2014 De Beukenhof Terweeweg 2-4 2341 CR Oegstgeest 071-517 31 88 Security Intelligence Bijeenkomst Corporate IAM On the Internet,

Nadere informatie

Controleverklaring van de onafhankelijke accountant

Controleverklaring van de onafhankelijke accountant Controleverklaring van de onafhankelijke accountant Aan: de algemene vergadering van Nederlandse Waterschapsbank N.V. Verklaring over de jaarrekening 2014 Ons oordeel Wij hebben de jaarrekening 2014 van

Nadere informatie

Data Governance van visie naar implementatie

Data Governance van visie naar implementatie make connections share ideas be inspired Data Governance van visie naar implementatie Frank Dietvorst (PW Consulting) deelprogrammamanager Caesar - Vernieuwing Applicatie Landschap Leendert Paape (SAS

Nadere informatie

BluefieldFinance. BluefieldFinance. Toegevoegde waarde vanuit inhoud

BluefieldFinance. BluefieldFinance. Toegevoegde waarde vanuit inhoud Toegevoegde waarde vanuit inhoud De Organisatie 1 De Organisatie Bluefield Finance is als onderdeel van Bluefield Partners in 2007 opgericht door 2 ervaren financials met een uitgebreide expertise in business-

Nadere informatie

De logica achter de ISA s en het interne controlesysteem

De logica achter de ISA s en het interne controlesysteem De logica achter de ISA s en het interne controlesysteem In dit artikel wordt de logica van de ISA s besproken in relatie met het interne controlesysteem. Hieronder worden de componenten van het interne

Nadere informatie

Het assurance-raamwerk De accountant en het verstrekken van zekerheid

Het assurance-raamwerk De accountant en het verstrekken van zekerheid Het assurance-raamwerk De accountant en het verstrekken van zekerheid Koninklijk Nederlands Instituut van Registeraccountants Inhoudsopgave 1 Inleiding 3 2 Het begrip assurance en maatschappelijke ontwikkelingen

Nadere informatie

Identify and mitigate your IT risk

Identify and mitigate your IT risk Identify and mitigate your IT risk ICT risico = bedrijfsrisico In de ontwikkeling die organisaties doormaken, speelt ICT een belangrijke rol. ICT heeft bedrijfsprocessen efficiënter en effectiever gemaakt.

Nadere informatie

Maturity van security architectuur

Maturity van security architectuur Renato Kuiper Principal Consultant LogicaCMG renato.kuiper@logicacmg.com LogicaCMG 2006. All rights reserved Over de spreker Renato Kuiper Principal consultant Information Security bij LogicaCMG Hoofdredacteur

Nadere informatie

Assurance rapport van de onafhankelijke accountant

Assurance rapport van de onafhankelijke accountant Assurance rapport van de onafhankelijke accountant Rapportage aan: Achmea Divisie Pensioen & Leven De heer A. Aalbers 1 Achmea Divisie Pensioen & Leven De heer A. Aalbers Postbus 700 APELDOORN Opdracht

Nadere informatie

5-daagse bootcamp IT Risk Management & Assurance

5-daagse bootcamp IT Risk Management & Assurance 5-daagse bootcamp IT Risk Management & Assurance Verhoog het niveau van uw risicomanagement processen vóór 1 juni naar volwassenheidsniveau 4! ISO31000 DAG 1 DAG 2 DAG 3 OCHTEND NIEUW ISO27005 DAG 3 MIDDAG

Nadere informatie

1.1 ORGANIZATION INFORMATION 1.2 CONTACT INFORMATION 2.1 SCOPE OF CERTIFICATION 2.2 AUDITOR INFORMATION 3.1 AUDIT CONCLUSIONS 3.2 MANAGEMENT SYSTEM EFFECTIVENESS 3.3 OBSERVATIONS Organization Address Name

Nadere informatie

Een andere blik op fraude en integriteit: zicht op geld- en goederenstromen

Een andere blik op fraude en integriteit: zicht op geld- en goederenstromen Een andere blik op fraude en integriteit: zicht op geld- en goederenstromen Hans Schoolderman Building trust in food Food Supply and Integrity Services October 2015 VMT congres, 13 oktober Hans Schoolderman

Nadere informatie

Ctrl Ketenoptimalisatie Slimme automatisering en kostenreductie

Ctrl Ketenoptimalisatie Slimme automatisering en kostenreductie Ctrl Ketenoptimalisatie Slimme automatisering en kostenreductie 1 Ctrl - Ketenoptimalisatie Technische hype cycles 2 Ctrl - Ketenoptimalisatie Technologische trends en veranderingen Big data & internet

Nadere informatie

2 e webinar herziening ISO 14001

2 e webinar herziening ISO 14001 2 e webinar herziening ISO 14001 Webinar SCCM 25 september 2014 Frans Stuyt Doel 2 e webinar herziening ISO 14001 Planning vervolg herziening Overgangsperiode certificaten Korte samenvatting 1 e webinar

Nadere informatie

Delo itte. 1183 AS Amstelveen Postbus 175 1180 AD Amstelveen Nederland

Delo itte. 1183 AS Amstelveen Postbus 175 1180 AD Amstelveen Nederland Delo itte. 1183 AS Amstelveen Postbus 175 1180 AD Amstelveen Nederland Tel: 088 288 2888 Fax: 088288 9711 www.deloitte.nl Assurance rapport van de onafhankelijke accountant Rapportage aan: Achmea Divisie

Nadere informatie

DOORSTAAT UW RISICOMANAGEMENT DE APK?

DOORSTAAT UW RISICOMANAGEMENT DE APK? WHITEPAPER DOORSTAAT UW RISICOMANAGEMENT DE APK? DOOR M. HOOGERWERF, SENIOR BUSINESS CONS ULTANT Risicomanagement is tegenwoordig een belangrijk onderdeel van uw bedrijfsvoering. Dagelijks wordt er aandacht

Nadere informatie

IPFOS. Bestuurders Conferentie. Scenario planning voor verzekeraars onder solvency II Onno de Vrij, Head of Risk andfraud-sas

IPFOS. Bestuurders Conferentie. Scenario planning voor verzekeraars onder solvency II Onno de Vrij, Head of Risk andfraud-sas IPFOS Bestuurders Conferentie Scenario planning voor verzekeraars onder solvency II Onno de Vrij, Head of Risk andfraud-sas SCENARIO PLANNING DE TOEKOMST VOOR PENSIOENFONDSEN? Onno de Vrij, SAS HET

Nadere informatie

SAP Risk-Control Model. Inzicht in financiële risico s vanuit uw SAP processen

SAP Risk-Control Model. Inzicht in financiële risico s vanuit uw SAP processen SAP Risk-Control Model Inzicht in financiële risico s vanuit uw SAP processen Agenda 1.Introductie in Risicomanagement 2.SAP Risk-Control Model Introductie in Risicomanagement Van risico s naar intern

Nadere informatie

IT risk management voor Pensioenfondsen

IT risk management voor Pensioenfondsen IT risk management voor Pensioenfondsen Cyber Security Event Marc van Luijk Wikash Bansi Rotterdam, 11 Maart 2014 Beheersing IT risico s Het pensioenfonds is verantwoordelijk voor de hele procesketen,

Nadere informatie

Het ISACA RISK IT Framework voor Testers. Omgaan met risico s Risk Appetite Onderzoeken Maatregelen

Het ISACA RISK IT Framework voor Testers. Omgaan met risico s Risk Appetite Onderzoeken Maatregelen 1 Het ISACA RISK IT Framework voor Testers Omgaan met risico s Risk Appetite Onderzoeken Maatregelen 2 Wie is Jaap Ir. J. van der Leer CRISC CGEIT CISA 43 jaar in de IT werkzaam. 22 jaar ervaring in IT

Nadere informatie

Inhoudsopgave Fout! Bladwijzer niet gedefinieerd. Fout! Bladwijzer niet gedefinieerd. Fout! Bladwijzer niet gedefinieerd.

Inhoudsopgave Fout! Bladwijzer niet gedefinieerd. Fout! Bladwijzer niet gedefinieerd. Fout! Bladwijzer niet gedefinieerd. Validatie van het EHF meetinstrument tijdens de Jonge Volwassenheid en meer specifiek in relatie tot ADHD Validation of the EHF assessment instrument during Emerging Adulthood, and more specific in relation

Nadere informatie

TAM. Control Model for Effective Testing

TAM. Control Model for Effective Testing TAM Control Model for Effective Testing Test management group Missie Adapteren specifieke context klant Klanten helpen met testuitdaging Resultaatgericht testmanagement Standaardisatie en industrialisatie

Nadere informatie

Jacques Herman 21 februari 2013

Jacques Herman 21 februari 2013 KING bijeenkomst Audit- en Pentestpartijen Toelichting op de DigiD Rapportage template en de NOREA Handreiking DigiD ICT-beveiligingsassessments Jacques Herman 21 februari 2013 Samenvatting van de regeling

Nadere informatie

ERP Testing. HP Nijhof. Testmanager. Testnet November 2005

ERP Testing. HP Nijhof. Testmanager. Testnet November 2005 ERP Testing HP Nijhof Testmanager Testnet November 2005 Solution Sales Meeting7 November 2005 1 Agenda Waarom pakketten testen? Schaarse middelen? Ideale ERP test situatie Vragen 2 De centrale vraag ERP

Nadere informatie

Offshore Outsourcing van Infrastructure Management

Offshore Outsourcing van Infrastructure Management Offshore Outsourcing van Infrastructure Management an emerging opportunity dr. Erik Beulen Atos Origin/Tilburg University 1 Agenda Introductie Ontwikkelingen Risicovergelijking Best practices Conclusies

Nadere informatie

Risk & Compliance Charter Clavis Family Office B.V.

Risk & Compliance Charter Clavis Family Office B.V. Risk & Compliance Charter Clavis Family Office B.V. Datum: 15 april 2013 Versie 1.0 1. Inleiding Het Risk & Compliance Charter (charter) bevat de uitgeschreven principes, doelstellingen en bevoegdheden

Nadere informatie

Test Automatisering? Mislukken Slagen gegarandeerd! Ruud Teunissen - Polteq Test Services BV

Test Automatisering? Mislukken Slagen gegarandeerd! Ruud Teunissen - Polteq Test Services BV Test Automatisering? Mislukken Slagen gegarandeerd! Ruud Teunissen - Polteq Test Services BV Mislukken Slagen gegarandeerd 2 Mislukken Slagen gegarandeerd Management verwacht onmiddellijk R.O.I. Doel:

Nadere informatie

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce. Cloud Computing, een inleiding ICT Accountancy & Financials congres 2013: Cloud computing en efactureren 10 december 2013 Jan Pasmooij RA RE RO: jan@pasmooijce.com 10 december 2013 1 Kenmerken van Cloud

Nadere informatie

Invloed van IT uitbesteding op bedrijfsvoering & IT aansluiting

Invloed van IT uitbesteding op bedrijfsvoering & IT aansluiting xvii Invloed van IT uitbesteding op bedrijfsvoering & IT aansluiting Samenvatting IT uitbesteding doet er niet toe vanuit het perspectief aansluiting tussen bedrijfsvoering en IT Dit proefschrift is het

Nadere informatie

Handleiding uitvoering ICT-beveiligingsassessment

Handleiding uitvoering ICT-beveiligingsassessment Handleiding uitvoering ICT-beveiligingsassessment Versie 2.1 Datum : 1 januari 2013 Status : Definitief Colofon Projectnaam : DigiD Versienummer : 2.0 Contactpersoon : Servicecentrum Logius Postbus 96810

Nadere informatie

Algemene toelichting Intern controleplan 2012

Algemene toelichting Intern controleplan 2012 Algemene toelichting Intern controleplan 2012 Inhoudsopgave: 1. Algemeen 3 2. Uitgangspunten interne controleplan 2012 3 2.1 Waarom een intern controleplan? 3 2.2 Controleaanpak 3 2.3 Uitvoering van de

Nadere informatie

Berry Kok. Navara Risk Advisory

Berry Kok. Navara Risk Advisory Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging

Nadere informatie

De spreadsheet van het strafbankje

De spreadsheet van het strafbankje Artikel De spreadsheet van het strafbankje Een pragmatische aanpak voor End User Computing Trudy Onland Sinds de introductie van Sarbanes Oxley wet (SOx) ontbreken duidelijke en eenduidige richtlijnen

Nadere informatie

Hoe fysiek is informatiebeveiliging?

Hoe fysiek is informatiebeveiliging? Hoe fysiek is informatiebeveiliging? Johan de Wit Siemens Nederland NV Hoe fysiek is informatiebeveiliging? Informatie is voor organisaties van onschatbare waarde, het beschermen ervan heeft binnen organisaties

Nadere informatie

Bedrijfscontinuïteit met behulp van een BCMS

Bedrijfscontinuïteit met behulp van een BCMS Bedrijfscontinuïteit met behulp van een BCMS 26 november 2014 Aart Bitter@ISGcom.nl www.information-security-governance.com Disaster Recovery Plan 2 The Bitter Brew Case To Brew or not to Brew, That s

Nadere informatie

NS in beweging, Security als business enabler september 2008

NS in beweging, Security als business enabler september 2008 NS in beweging, Security als business enabler september 2008 Rien Dijkstra Enterprise IT Architect Informatiemangement & Technologie .. de noodzaak en uitdagingen van een topvervoerder, onder eigen regie,

Nadere informatie

MKB Cloudpartner Informatie TPM & ISAE 3402 2016

MKB Cloudpartner Informatie TPM & ISAE 3402 2016 Third Party Memorandum (TPM) Een Derde verklaring of Third Party Mededeling (TPM) is een verklaring die afgegeven wordt door een onafhankelijk audit partij over de kwaliteit van een ICT-dienstverlening

Nadere informatie

De definitieve Code Corporate Governance, enige beschouwingen vanuit risicoperspectief.

De definitieve Code Corporate Governance, enige beschouwingen vanuit risicoperspectief. De definitieve Code Corporate Governance, enige beschouwingen vanuit risicoperspectief. In de Code van Commissie Peters De Veertig Aanbevelingen (juni 1997) staat in zeer algemene termen iets over risicobeheersing.

Nadere informatie

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden

Nadere informatie

E-HRM systemen die strategie met HR processen verbinden WHITE PAPER

E-HRM systemen die strategie met HR processen verbinden WHITE PAPER E-HRM systemen die strategie met HR processen verbinden WHITE PAPER E-HRM systemen die strategie met HR processen verbinden De nieuwe generatie E-HRM systemen onderscheidt zich niet alleen door gebruikersgemak

Nadere informatie

Frequentiemodel Internal Audit Friesland Bank. K.T. Kloosterman Leeuwarden, 31 mei 2005

Frequentiemodel Internal Audit Friesland Bank. K.T. Kloosterman Leeuwarden, 31 mei 2005 Frequentiemodel Internal Audit Friesland Bank K.T. Kloosterman Leeuwarden, 31 mei 2005 Agenda 1) Algemeen Internal Audit 2) Waarom frequenteren van onderzoeken 3) Totstandkoming en inhoud Missie Internal

Nadere informatie

ICT Accountancy. Praktijkdag Webwinkels en Boekhouden

ICT Accountancy. Praktijkdag Webwinkels en Boekhouden ICT Accountancy Praktijkdag Webwinkels en Boekhouden Thema Betrouwbaar Administreren Misbruik Afrekensystemen Misbruik Afrekensystemen Internationaal probleem Veel oplossingsrichtingen Overleg Belastingdienst

Nadere informatie

Wat is Cyber Security Management? 3 oktober 2014. ISA / Hudson Cybertec Arjan Meijer Security Consultant

Wat is Cyber Security Management? 3 oktober 2014. ISA / Hudson Cybertec Arjan Meijer Security Consultant Wat is Cyber Security Management? 3 oktober 2014 ISA / Hudson Cybertec Arjan Meijer Security Consultant 1 Agenda Introductie spreker / ISA 3 pijlers van security IT versus OT Cyber Security Management

Nadere informatie

De effectieve directie

De effectieve directie Studiedag - Journée d études De interne audit en het auditcomité Walgraeve M. Hoofd interne audit NVSM 17.10.2008 Verslag over: De effectieve directie - Financiële, operationele en strategische risico

Nadere informatie

Digitalisering in de zorg en de rol van de controller

Digitalisering in de zorg en de rol van de controller Digitalisering in de zorg en de rol van de controller Verbeter uw uitgangspositie bij toetsing door de Belastingdienst 16 februari 2016 Annette Pol Habing Marieke Herber AGENDA 1. Inleiding 2. Praktijkvoorbeelden

Nadere informatie

Testen en BASEL II. Dennis Janssen. Agenda. Wat is BASEL II? Testen van BASEL II op hoofdlijnen

Testen en BASEL II. Dennis Janssen. Agenda. Wat is BASEL II? Testen van BASEL II op hoofdlijnen Testen en BASEL II Dennis Janssen Test Research Centre LogicaCMG 1 Agenda Wat is BASEL II? Testen van BASEL II op hoofdlijnen BASEL II als hulpmiddel om positie testen te versterken Samenvatting 2 1 Basel

Nadere informatie

Requirements Traceability. Marcel de Baas, Jan Bank, Edwin Buisman, Frits Jacobs, Kitty Spaas, Erik Venema, Arno Zandman

Requirements Traceability. Marcel de Baas, Jan Bank, Edwin Buisman, Frits Jacobs, Kitty Spaas, Erik Venema, Arno Zandman Requirements Traceability Marcel de Baas, Jan Bank, Edwin Buisman, Frits Jacobs, Kitty Spaas, Erik Venema, Arno Zandman 22 Mei 2008 Werkgroep Traceability Doel van de werkgroep: Aanbieden van hulpmiddelen

Nadere informatie

Business Continuity Management conform ISO 22301

Business Continuity Management conform ISO 22301 Business Continuity Management conform ISO 22301 Onderzoek naar effecten op de prestaties van organisaties Business continuity management gaat over systematische aandacht voor de continuïteit van de onderneming,

Nadere informatie

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Zekerheid in de Cloud ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Agenda - Wat speelt zich af in de Cloud - Cases - Keurmerk Zeker-OnLine - Wat is het belang van de accountant en het administratiekantoor

Nadere informatie

Het EPD, hoe deal ik ermee? NVFG - Nederlandse Vereniging voor Farmaceutische Geneeskunde. CRA dag 25 april 2013

Het EPD, hoe deal ik ermee? NVFG - Nederlandse Vereniging voor Farmaceutische Geneeskunde. CRA dag 25 april 2013 0 Het EPD, hoe deal ik ermee? NVFG - Nederlandse Vereniging voor Farmaceutische Geneeskunde CRA dag 25 april 2013 Het EPD, hoe deal ik ermee? Moderators: Sharon Anderson Hans Martens Presentators: Robbert

Nadere informatie

Optimaliseren afsluiten rapportage proces: juist nu!

Optimaliseren afsluiten rapportage proces: juist nu! 18 Optimaliseren afsluiten rapportage proces: juist nu! Belang van snelle en betrouwbare informatie groter dan ooit Drs. Wim Kouwenhoven en drs. Maarten van Delft Westerhof Drs. W.P. Kouwenhoven is manager

Nadere informatie

3-daagse praktijktraining. IT Audit Essentials

3-daagse praktijktraining. IT Audit Essentials 3-daagse praktijktraining IT Audit Essentials Programma IT-Audit Essentials Door de steeds verdergaande automatisering van de bedrijfsprocessen wordt de beveiliging en betrouwbaarheid van de IT systemen

Nadere informatie

Op naar een excellente controle

Op naar een excellente controle Op naar een excellente controle Welke controlewerkzaamheden kunnen verder geoptimaliseerd worden om kosten te besparen of om meer toegevoegde waarde te kunnen bieden aan cliënten? Hoe kunnen deze werkzaamheden

Nadere informatie

Introduction to IBM Cognos Express = BA 4 ALL

Introduction to IBM Cognos Express = BA 4 ALL Introduction to IBM Cognos Express = BA 4 ALL Wilma Fokker, IBM account manager BA Ton Rijkers, Business Project Manager EMI Music IBM Cognos Express Think big. Smart small. Easy to install pre-configured

Nadere informatie

Gemeente Doetinchem. Clientserviceplan voor het boekjaar 2013

Gemeente Doetinchem. Clientserviceplan voor het boekjaar 2013 Clientserviceplan voor het boekjaar 2013 oktober 2013 Inhoud 1. Inleiding 4 2. Controleopdracht 4 2.1 Opdracht 4 2.2 Materialiteit en tolerantie 5 2.3 Fraude 6 3. Planning 6 3.1 Inleiding 6 3.2 Algemene

Nadere informatie

Data Protection Impact Assessment (DPIA)

Data Protection Impact Assessment (DPIA) Data Protection Impact Assessment (DPIA) van Theorie naar Praktijk [ 28 januari 2015 ] 2 Data Protection Impact Assessments: agenda 1. Wat zegt de Algemene Verordening Gegevensbescherming? 2. Hoe productief

Nadere informatie

Prestatiebeloning werkt nauwelijks, maar prestatieafstemming

Prestatiebeloning werkt nauwelijks, maar prestatieafstemming Prestatiebeloning werkt nauwelijks, maar prestatieafstemming werkt wel André de Waal Prestatiebeloning wordt steeds populairder bij organisaties. Echter, deze soort van beloning werkt in veel gevallen

Nadere informatie

Balanced Scorecard. Francis Vander Voorde bec@online.be FVV Consulting bvba http://user.online.be/bec

Balanced Scorecard. Francis Vander Voorde bec@online.be FVV Consulting bvba http://user.online.be/bec Balanced Scorecard fvv Francis Vander Voorde bec@online.be FVV Consulting bvba http://user.online.be/bec Het CAF Model FACTOREN RESULTATEN 1. Leiderschap 3. Human Resources Management 2. Strategie & Planning

Nadere informatie

From business transactions to process insights. BPM Round Table, TU/e 26 mei 2014

From business transactions to process insights. BPM Round Table, TU/e 26 mei 2014 From business transactions to process insights BPM Round Table, TU/e 26 mei 2014 Agenda 1 2 3 4 Korte introductie Process mining in de audit Enkele voorbeelden Uitdagingen & de toekomst 1 Korte introductie

Nadere informatie

Grip op diversiteit aan beveiligingseisen: Compliant zijn en blijven, maar hoe? VIAG themadag Drs. D.J. van der Poel RE RA 21 maart 2014

Grip op diversiteit aan beveiligingseisen: Compliant zijn en blijven, maar hoe? VIAG themadag Drs. D.J. van der Poel RE RA 21 maart 2014 1 Grip op diversiteit aan beveiligingseisen: Compliant zijn en blijven, maar hoe? VIAG themadag Drs. D.J. van der Poel RE RA 21 maart 2014 Inhoud 2 Inleiding: enige trends in de markt In het speelveld

Nadere informatie

Inrichten Architecture Governance Equens

Inrichten Architecture Governance Equens Inrichten Architecture Governance Equens Peter Droppert Equens SE Enterprise Architect 2011 Equens SE Peter.Droppert@nl.equens.com +31625199782 V4 20111110 Governance @ Equens 2 Agenda Architecture Governance

Nadere informatie

WWW.CAGROUP.NL COMPLIANCE RADAR HET MEEST COMPLETE BESTURINGSSYSTEEM VOOR GEMEENTEN.

WWW.CAGROUP.NL COMPLIANCE RADAR HET MEEST COMPLETE BESTURINGSSYSTEEM VOOR GEMEENTEN. WWW.CAGROUP.NL COMPLIANCE RADAR HET MEEST COMPLETE BESTURINGSSYSTEEM VOOR GEMEENTEN. COMPLIANCE RADAR De Compliance Radar helpt gemeenten een brug te slaan tussen beleidsdoelstellingen en uitvoering. Door

Nadere informatie

Uitvoering van rechtstreeks verzekerde regelingen

Uitvoering van rechtstreeks verzekerde regelingen RAPPORT Prins Willem-Alexanderlaan 651 Postbus 700 7300 HC Apeldoorn Telefoon (055) 579 39 48 www.achmea.nl Uitvoering van rechtstreeks verzekerde regelingen Rapportage Intern toezicht in het kader van

Nadere informatie

ISO/IEC 20000, van standaardkwaliteit naar kwaliteitsstandaard. NGI Limburg 30 mei 2007

ISO/IEC 20000, van standaardkwaliteit naar kwaliteitsstandaard. NGI Limburg 30 mei 2007 ISO/IEC 20000, van standaardkwaliteit naar kwaliteitsstandaard NGI Limburg 30 mei 2007 1 Tijdlijn 80-er jaren: ITIL versie 1 2000: BS 15000 2001: ITIL versie 2 2002: Aangepaste versie BS 15000 2005: BS

Nadere informatie

Efficiënter inkopen en meer controle over uw uitgaven en kasstromen. Purchase-to-Pay Canon Business Solutions

Efficiënter inkopen en meer controle over uw uitgaven en kasstromen. Purchase-to-Pay Canon Business Solutions Efficiënter inkopen en meer controle over uw uitgaven en kasstromen Purchase-to-Pay Canon Business Solutions Automatiseer uw Purchase-to-Payproces voor een betere afstemming tussen Inkoop en Finance Uw

Nadere informatie

Audit Assurance bij het Applicatiepakket Interne Modellen Solvency II

Audit Assurance bij het Applicatiepakket Interne Modellen Solvency II Confidentieel 1 Audit Assurance bij het Applicatiepakket Interne Modellen Solvency II 1 Inleiding Instellingen die op grond van art. 112, 230 of 231 van de Solvency II richtlijn (richtlijn 2009/139/EC)

Nadere informatie

NOREA Visie 2020. - Brigitte Beugelaar. 14 september 2015

NOREA Visie 2020. - Brigitte Beugelaar. 14 september 2015 NOREA Visie 2020 - Brigitte Beugelaar 14 september 2015 NOREA, de beroepsorganisatie van IT-auditors Opgericht in 1992 1635 registerleden 253 aspirant-leden, d.w.z. in opleiding 123 geassocieerde leden,

Nadere informatie

Nederlandse Beroepsorganisatie van Accountants t.a.v. Adviescollege voor Beroepsreglementeting Postbus 7984 1008 AD AMSTERDAM

Nederlandse Beroepsorganisatie van Accountants t.a.v. Adviescollege voor Beroepsreglementeting Postbus 7984 1008 AD AMSTERDAM E Ernst & Young Accountants LLP Telt +31 88 407 1000 Boompjes 258 Faxt +31 88407 8970 3011 XZ Rotterdam, Netherlands ey.corn Postbus 2295 3000 CG Rotterdam, Netherlands Nederlandse Beroepsorganisatie van

Nadere informatie

Meer Business mogelijk maken met Identity Management

Meer Business mogelijk maken met Identity Management Meer Business mogelijk maken met Identity Management De weg naar een succesvolle Identity & Access Management (IAM) implementatie David Kalff OGh 14 september 2010 't Oude Tolhuys, Utrecht Agenda Herkent

Nadere informatie

Risk & Requirements Based Testing

Risk & Requirements Based Testing Risk & Requirements Based Testing Tycho Schmidt PreSales Consultant, HP 2006 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice Agenda Introductie

Nadere informatie

Practitioner s Certificate in IT Service Management: Release & Control (based on ITIL )

Practitioner s Certificate in IT Service Management: Release & Control (based on ITIL ) Exameneisen Practitioner s Certificate in IT Service Management: Release & Control (based on ITIL ) Publicatiedatum 1-1-2008 Startdatum 1-3-2007 Doelgroep IT Service Management Practitioner: Release &

Nadere informatie

EXIN WORKFORCE READINESS werkgever

EXIN WORKFORCE READINESS werkgever EXIN WORKFORCE READINESS werkgever DE ERVARING LEERT ICT is overal. Het is in het leven verweven geraakt. In een wereld waarin alles steeds sneller verandert, is het lastig te bepalen wat er nodig is om

Nadere informatie

REGLEMENT AUDITCOMMISSIE TELEGRAAF MEDIA GROEP N.V.

REGLEMENT AUDITCOMMISSIE TELEGRAAF MEDIA GROEP N.V. REGLEMENT AUDITCOMMISSIE TELEGRAAF MEDIA GROEP N.V. Dit Reglement is goedgekeurd door de Raad van Commissarissen van Telegraaf Media Groep N.V. op 17 september 2013. 1. Inleiding De Auditcommissie is een

Nadere informatie

EXIN WORKFORCE READINESS opleider

EXIN WORKFORCE READINESS opleider EXIN WORKFORCE READINESS opleider DE ERVARING LEERT ICT is overal. Het is in het leven verweven geraakt. In een wereld waarin alles steeds sneller verandert, is het lastig te bepalen wat er nodig is om

Nadere informatie

occurro Vertrouwt u uw gegevens? BI wordt volwassen Kasper de Graaf 31 maart 2009 De kracht van BI en Architectuur in de praktijk - Centraal Boekhuis

occurro Vertrouwt u uw gegevens? BI wordt volwassen Kasper de Graaf 31 maart 2009 De kracht van BI en Architectuur in de praktijk - Centraal Boekhuis Vertrouwt u uw gegevens? BI wordt volwassen Kasper de Graaf 31 maart 2009 De kracht van BI en Architectuur in de praktijk - Centraal Boekhuis BI & Data Warehousing Business Intelligence: Het proces dat

Nadere informatie

intensieve traject wordt niets aan het toeval overgelaten. Bij de opdrachtgever begint dit met diepgaand

intensieve traject wordt niets aan het toeval overgelaten. Bij de opdrachtgever begint dit met diepgaand Profiel FenterDaniëls bemiddelt sinds 1999 in personeel voor FINANCE posities. Dat doen wij voor vaste functies. Daarnaast ondersteunen wij organisaties met tijdelijk personeel. Onze wervings- en selectieprocedure

Nadere informatie

Inleiding 1 4 3. Begrippen en definities 5 3. Doelstellingen van een privacy-audit 6 7 4. Opdrachtaanvaarding 8 9 4

Inleiding 1 4 3. Begrippen en definities 5 3. Doelstellingen van een privacy-audit 6 7 4. Opdrachtaanvaarding 8 9 4 Inhoudsopgave Paragraaf Pagina 2 Inleiding 1 4 3 Begrippen en definities 5 3 Doelstellingen van een privacy-audit 6 7 4 Opdrachtaanvaarding 8 9 4 Deskundigheidseisen en het gebruik maken van deskundigen

Nadere informatie

Hoofdlijnen Corporate Governance Structuur

Hoofdlijnen Corporate Governance Structuur Hoofdlijnen Corporate Governance Structuur 1. Algemeen Deugdelijk ondernemingsbestuur is waar corporate governance over gaat. Binnen de bedrijfskunde wordt de term gebruikt voor het aanduiden van hoe een

Nadere informatie