COBIT Perspectief van de beoordeling

Vergelijkbare documenten
Auteurs: Jan van Bon, Wim Hoving Datum: 9 maart Cross reference ISM - COBIT

ICT-Risico s bij Pensioenuitvo ering

Process Mining and audit support within financial services. KPMG IT Advisory 18 June 2014

CobiT. Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni /2/2005 1

ISO CTG Europe

Opleiding PECB ISO 9001 Quality Manager.

2 e webinar herziening ISO 14001

CobiT (Control Objectives for Information and Related Technology) Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V.

Snel naar ISO20000 met de ISM-methode

It s CMMI Jim, but not as we know it! CMMI toegepast op een Compliance organisatie Door Jasper Doornbos Improvement Focus

ISO/IEC 20000, van standaardkwaliteit naar kwaliteitsstandaard. NGI Limburg 30 mei 2007

HET GAAT OM INFORMATIE

Aantoonbaar in control over uw IT én de veiligheid van uw deelnemergegevens! Rocus van Oossanen (DNB) en Jeroen Biekart (NOREA)


Integratie van Due Diligence in bestaande risicomanagementsystemen volgens NPR 9036

ISA SP-99 Manufacturing and Control Systems Security

E-learning maturity model. Hilde Van Laer

1. Overleg tussen VOC en SSVV over aanpassingen 2. Planning 2015 nieuwe versie gereed 3. Aansluitend nieuwe VCU 4. Waarschijnlijk meer nuancering dan

Business as (un)usual

Brigitte de Vries Staedion. Kwaliteitsbeheersing De uitdagingen voor een éénpitter

Opleiding PECB IT Governance.

Incidenten in de Cloud. De visie van een Cloud-Provider

Risk & Requirements Based Testing

Informatiebeveiliging & ISO/IEC 27001:2013

Continuous testing in DevOps met Test Automation

Offshore Outsourcing van Infrastructure Management

ISO/IEC in een veranderende IT wereld

Wat komt er op ons af?

ISO for CTG Europe

Enterprisearchitectuur

Maturity van security architectuur

ISO/IEC Governance of InformationTechnology. Yvette Backer ASL BiSL Foundation. 16 juni ISO Governance of Information Technoloy 1

Sarbanes-Oxley en de gevolgen voor IT. Daniel van Burk 7 november 2005

Managementsystemen. De sprekers

BLIJVEND STRUCTUREEL TEKORT AAN DIGITAL EXPERTS!

Seriously Seeking Security

Onderwerp: Toelichting op Toetsingskader Informatiebeveiliging 2014

Pijlers van Beheer. Bram van der Vos

KPMG PROVADA University 5 juni 2018

Digital municipal services for entrepreneurs

Business Continuity Management. Pieter de Ruiter 1 / MAXIMAAL DRIE WOORDEN

Activant Prophet 21. Prophet 21 Version 12.0 Upgrade Information

Risico s van Technologisch Succes in digitale transformatie S T R A T E G I C A D V I S O R

Preserva'on metadata voor cer'ficering van Trusted Digital Repositories

Opleiding PECB IT Cyber Security Specialist.

Ervaringen met begeleiding FTA cursus Deployment of Free Software Systems

Readiness Assessment ISMS

Architecten-debat 21 juni 2006 PI GvIB Themamiddag. Renato Kuiper. Principal Consultant Information Security

25/11/2016. ISO 9001:2015 en kennis. Kennismaken met. Annelies Kleijsen Jan Kingma

Martin Dees Algemene Rekenkamer. Performance Auditing

VisionWaves DELTA. Integraal Management Platform. VisionWaves. Gateway naar de waardeketen, ook voor AMC! Marc van Lokven. Partner Aviation & Defense

General info on using shopping carts with Ingenico epayments

CLOUDSTRATEGIE. voor Stedin Netbeheer. v1.0 26/03/2019

Fidelity of a Strengths-based method for Homeless Youth

Inrichten Architecture Governance Equens

EXIN WORKFORCE READINESS werkgever

Besluitenlijst CCvD HACCP/ List of decisions National Board of Experts HACCP

Investment Management. De COO-agenda

EXIN WORKFORCE READINESS professional

"Baselines: eigenwijsheid of wijsheid?"

Introductie in flowcharts

Enterprise Architectuur. een duur begrip, maar wat kan het betekenen voor mijn gemeente?

Naar een nieuw Privacy Control Framework (PCF)

Managen van digitale competenties (e-skills) 2017 Paul P.M. Willockx MSc. AGENDA

Support Center GIS-Flanders

BABOK meets BiSL. Marcel Schaar, IIBA Dutch Chapter Mark Smalley, ASL BiSL Foundation Jan de Vries, ASL BiSL Foundation. Kennissessie, 19 januari 2016

Slide 1. Slide 2 Introduktie. Slide 3 Deze les: 2 onderwerpen. Les 1 Definities en belang Informatie Technologie. Intro docent Opzet/tentamenstof

RISICO MANAGEMENT, BASIS PRINCIPES

GMPZ herziening 2013 H7 Uitbestede werkzaamheden Pagina 1 van 6

Geleerde lessen Compliance. Utrecht, 19 januari 2017 Mr. Stijn Sarneel MBA CIPP/E. Agenda

Welke standaard is het beste? 4 december 2008, Bianca Scholten, bianca.scholten@task24.nl, tel

Joop Cornelissen BMC Klantendag Professionaliseren dienstverlening CMS

ISO 9001: Business in Control 2.0

Business Rules: het scheiden van kennis en processen 17 september 2014

Informatiebeveiliging & Privacy - by Design

Opdrachtgeverschap 2.0. Toezien op de afspraken in de verwerkersovereenkomst

Inhoud Deze pdf bevat de volgende Engelstalige voorbeeldrapportages van sectie II, deel 3 HRA:

ISO 9001: Niets aan de hand! Enkele cosmetische wijzigingen... of toch niet?

NS in beweging, Security als business enabler september 2008

De toekomst van de Tax Assurance Provider

Vertaling NEDERLANDS INTERNATIONAL STANDARD ON AUDITING 402. Paragraph. Inleiding

Hoe start ik een test competence center of excellence? Thomas Veltman

Enterprise Portfolio Management

2010 Integrated reporting

Uitbesteding van processen

Service management stuurt de verandering

Building the next economy met Blockchain en real estate. Lelystad Airport, 2 november 2017 BT Event

Regie uit een andere Branche. Hoe om te gaan met de vraag en de levering. Facto Magazine Congres 12 mei

Management 2.0. Maak je organisa2e proces- driven en je governance integraal!

Toegang tot overheidsinformatie: de gevolgen van Europese ontwikkelingen voor Nederland

ibestuur Mastercourse Architectuur: Bestuur en Architectuur ibestuur 2015 Lineke Sneller

Transcriptie:

INFORMATION RISK MANAGEMENT COBIT Perspectief van de beoordeling AUDIT Mark Lof Senior Manager Information Risk Management Utrecht, Nederland 29 juni 2005

Agenda IT Audit Gebruik van normen Normenset COBIT Rapportage Ervaringen met gebruik COBIT 2

Werkveld IT auditor Assurance / compliance TPM / SAS-70: Zekerheid verschaffen ten aanzien van de kwaliteit uitbestede IT dienstverlening IT Assessment: inventarisatie kwaliteit IT organisatie op verzoek van management General IT Controls review: Beoordelen general IT controls in het kader van de jaarrekeningcontrole Project Review: Inventarisatie van de status en voortgang van een IT project Systeemonderzoek: Beoordelen betrouwbaarheid van een applicatie Advies Pakketselectie Project management Inrichting AO/IC in en rondom nieuwe systemen 3

Aanpak IT audit Formulering opdrachtomschrijving audit object scope audit aspecten (juistheid, tijdigheid, volledigheid ) Uitvoering Definiëren normenkader Afstemmen normenkader Onderzoek werkzaamheden (interviews, review documentatie, observatie) Vastleggen bevindingen (reproduceerbaarheid) Afstemmen bevindingen Rapportage Opstellen concept rapportage (cross reference bevindingen) Afstemmen concept rapportage Uitbrengen definitieve rapportage 4

Normen Duidelijkheid verschaffen ten aanzien waarvan wordt getoetst/beoordeeld/geëvalueerd valueerd. Normenkader verplicht bij onderzoeken gericht op het verstrekken van een (redelijke)) mate van zekerheid. Normen dienen eenduidig en meetbaar te zijn. Normen dienen geaccepteerd te zijn door opdrachtgever / beoordeelde / markt 5

Normen: voorbeelden Door auditor specifiek ten behoeve van opdracht (maar vaak gebaseerd op standaard normensets) Standaard normensets in de markt Nivra 33: Documentatie standaard software Nivra 26: Nivra 53: Handboek EDP Auditing ISO 17799 SDM-2 2 / CMM COBIT 6

COBIT 34 High-level control objectives 318 Detailed control objectives COBIT model bestaat uit: Framework Control Objectives Audit Guidelines Management Guidelines 7

COBIT High level control objectives Planning & Organisation PO1 Define a Strategic IT Plan PO2 Define the Information Architecture PO3 Determine Technological Direction PO4 Define the IT Organisation and Relationships PO5 Manage the IT Investment PO6 Communicate Management Aims and Direction PO7 Manage Human Resources PO8 Ensure Compliance with External Requirements PO9 Assess Risks PO10 Manage Projects PO11 Manage Quality Delivery and support DS1 Define and Manage Service Levels DS2 Manage Third-Party Services DS3 Manage Performance and Capacity DS4 Ensure Continuous Service DS5 Ensure Systems Security DS6 Identify and Allocate Costs DS7 Educate and Train Users DS8 Assist and Advise Customers DS9 Manage the Configuration DS10 Manage Problems and Incidents DS11 Manage Data DS12 Manage Facilities DS13 Manage Operations Acquisition and implementation AI1 Identify Automated Solutions AI2 Acquire and Maintain Application Software AI3 Acquire and Maintain Technology Infrastructure AI4 Develop and Maintain Procedures AI5 Install and Accredit Systems AI6 Manage Changes Monitoring MO1 Monitor the Processes MO2 Access Internal Control Adequacy MO3 Obtain Independent Assurance MO4 Provide for Independent Audit 8

COBIT Audit Guidelines DS10 Manage Problems and Incidents Control over the IT process of Managing problems and incidents that satisfies the business requirements to ensure that problems and incidents are resolved, and the cause e investigated to prevent any recurrence is enabled by a problem management system which records and progresses all incidents idents and takes into consideration - sufficient audit trails - timely resolution of reported problems - escalation procedure - incident reports 9

COBIT Audit Guidelines Control Objectives Problem Management System Problem Escalation Problem Tracking and Audit Trail Control objectives are audited by: 1. Obtain an understanding by: Interviewing information services function staff.. Selected users of IT resources Obtaining: Summarisation of problem management facilities.. 2. Evaluating the controls by: Consider whether: There is a problem management process that ensures.. Problem management procedures exist for: Recording, analysing resolving in a timely manner all non-standard events Continuation 3. Assessing the compliance by: Testing that a selected sample of process outputs comply with stated procedures relating to Via interview the awareness 4. Substantiating the risk of control objectives not being met by: Performing: For a selection of problems reported, tests to ensure problem management procedures were followed for all non standard activities, including. Identifying Occurences of problems not controlled formally by problem management procedures 10

Rapportage: Audit / Review Conclusie Onderzochte object voldoet aan normenkader Onderzochte object voldoet aan normenkader met uitzondering van de volgende normen: Bijlage Norm x Normenkader Gedetailleerde bevindingen ten opzichte van het normenkader 11

Rapportage: Gedetailleerde Bevindingen Control Objective Control activity Test procedure Result of test IT Operations DS11.23 Manage Data Backup Jobs. Procedures should be in place to ensure back-ups are taken in accordance with the defined backup strategy and the usability of backup is regularly verified 1. Daily, weekly, monthly and yearly backups of data are performed. 1a. Inquiry functions: Service coordinators and engineers SAP, Windows, UNIX, SAN and LAN. Observation on location Eindhoven Inspection of documents: - Document - Document 2 The data on the systems for the data centre is safeguarded using a back-up strategy that includes tape drives and 2 tape robots. Backing up the data is from one data centre into the tape-robot of the other data centre (Cross backup). 1a. No relevant exceptions noted, except for: The tape capacity needed for the back-up of the data is not guaranteed. When the normal tape capacity is used a signal through mail is send to the delivery manager. The last tape capacity expansion took more time then expected and resulted in a situation were all capacity including normal overcapacity was used. The back-ups are not recent. 2 persons perform the back-up using TivolyStorage Manager (TSM) using predefined scripts. Scheduling is implemented based on client requests. The Service delivery groups check the backups and restores. 12

Rapportage: Inventarisatie van bevindingen 13

Ervaringen met gebruik COBIT Generiek normenkader specifiek maken situatie Zeer bruikbaar auditprogramma Management nog beperkt bekend met audit termen Control objective vs maatregelen in onderzochte organisatie Klantorganisaties raken meer en meer bekend met COBIT. Met name in SOx trajecten Veel gebruikt door auditors in compliance onderzoeken (SAS-70) 14

Presenter s contact details Mark Lof KPMG Information Risk Management +31 (30) 658 2160 Lof.Mark@kpmg.nl www.kpmg.nl 15

2026 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback