IT-audit in vogelvlucht. Jeanot de Boer 24 april 2012

Vergelijkbare documenten
Jacques Herman 21 februari 2013

Inleiding 1. Opdrachtaanvaarding 2 t/m 7. Planning en uitvoering professionele dienst 8 t/m 12. Dossier 13 t/m 16. Rapportage 17 t/m 20

Richtlijn 4401 Opdrachten tot het verrichten van overeengekomen specifieke werkzaamheden met betrekking tot informatietechnologie

INHOUD. Alleen voor identificatiedoeleinden RSM Nederland Risk Advisory Services B.V. 26 april 2018 w.g. M. Hommes RE

ENSIA assurance rapport DigiD en Suwinet verantwoordingsjaar 2018 Gemeente Leusden

Oordelen van en door RE s

INHOUD. Paragraaf

Assurancerapport van de onafhankelijke IT-auditor

C2 Richtlijn Assurance-opdrachten door IT-auditors (3000)

Format assurance over de juistheid van de collegeverklaring ENSIA 2017 van gemeente [naam gemeente]

Richtlijnen NOREA en NIVRA. Aanvullend, overeenkomstig of tegenstrijdig?

College Kwaliteitsonderzoek JAARVERSLAG 2016

ENSIA. Het audit perspectief. René IJpelaar Achmed Bouazza Werkgroep ENSIA. 4 juli 2017

Gemeente Veenendaal. ICT-beveiligingsassessment. Suwinet Inkijk Ten behoeve van gemeenten Rhenen en Renswoude. Audit Services

B2 Reglement Beroepsbeoefening IT-auditors

Inleiding Begrippen en definities 5 3. Doelstellingen van een privacy-audit Opdrachtaanvaarding 8 9 4

College Kwaliteitsonderzoek CKO JAARVERSLAG 2018

ACCORIS. Gemeente Houten ENSIA Datum rapport: 26 april 2018 Dit rapport heeft 7 pagina's Rapportnummer: AAS

HOEBERT HULSHOF & ROEST

Verordening gedrags- en beroepsregels accountants (VGBA)

Besluit tot wijziging van de Nadere voorschriften controleen overige standaarden Vastgesteld 18 december 2008

Dit document maakt gebruik van bladwijzers. NBA-handreiking 1123 Gecombineerde verklaring bij financiële en mvoverslagen

Formulering oordeel van een IT-auditor

Cyber Security Assessment (NOREA-CSA) Introductie, handreiking en vragenlijst

De Auditresultaten Werkzaamheden

ENSIA en Assurance. Van concept naar praktijk. Drs. ing. Peter D. Verstege RE RA. 31 oktober 2017

Kan ik procesbijstand verlenen bij een fiscale procedure van een audit cliënt van een geassocieerde accountant?

IT Auditor en ENSIA. NOREA-werkgroep ENSIA (vice voorzitter) Drs. M.J.G. Mennen RA RE CRISC CISA. 31 oktober 2018

1. AUDITINSTRUCTIE SCORECARD COPRO 8120

ENSIA guidance DigiD-assessments

Privacy in de Audit IIA PAS conferentie 2016 November 2016 Maurice Steffin

B3 Reglement Kwaliteitsbeheersing NOREA (RKBN)

Voordat sprake kan zijn van een TPM, moet aan een aantal voorwaarden worden voldaan:

B1 Reglement Gedragscode Register IT-Auditors ( Code of Ethics )

Het assurance-raamwerk De accountant en het verstrekken van zekerheid

Handleiding uitvoering ICT-beveiligingsassessment

MKB Cloudpartner Informatie TPM & ISAE

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

EDP AUDIT POOL. Piet Goeyenbier en Jan Roodnat. 2 februari 2006

Accountantsprotocol subsidievaststelling ADL-assistentie 2017

Accountantsprotocol subsidievaststelling Subsidie Anonieme e-mental health 2017

Controleprotocol Multidisciplinaire zorg 2016

SAS 70 maakt plaats voor ISAE 3402

Third-partymededelingen: de ervaringen van de gebruikersorganisaties

Doorlopende tekst van Verordening gedrags- en beroepsregels (VGBA) uitgaande van aanvaarding van door het bestuur ingediende amendementen 1

CONTOUREN voor COMPLIANCE. Overzicht van de Zelfreguleringsproducten

Controle protocol Stichting De Friesland

INTERNATIONALE CONTROLESTANDAARD 402 IN OVERWEGING TE NEMEN FACTOREN BIJ DE CONTROLE VAN ENTITEITEN DIE GEBRUIKMAKEN VAN SERVICE-ORGANISATIES

Accountantsprotocol subsidievaststelling Tijdelijke subsidieregeling extramurale behandeling 2017

Accountantsonderzoeksprotocol naleving cao t.b.v. certificering Stichting Normering Flexwonen

ENSIA guidance DigiD-assessments

Dit document maakt gebruik van bladwijzers

Paragraaf

Consultatiedocument Nieuwe Nederlandse Standaard 3001N voor directe opdrachten 21 juli 2016

Rechtmatigheidsverantwoording Annemarie Kros RA (PWC) & Marieke Wagemakers RA (gemeente Uden)

Controleprotocol Subsidies Stimuleringsfonds Creatieve Industrie

Verantwoordingsrichtlijn

VERA 3.0. Verkenning - Compliance Aanpak. Versie: 3.0 Datum: Status: Definitief. Stichting VERA Veenendaal

Controleprotocol subsidies gemeente Alkmaar voor verantwoording subsidies >

Interne beheersing: Aan assurance verwante opdrachten Inleiding. Het kwaliteitsonderzoek. Regelgeving. Vragenlijst.

Vast te stellen het volgende in artikel 14 van de Subsidieverordening Rotterdam 2014 bedoelde SVR2014-subsidiecontroleprotocol.

Dit document maakt gebruik van bladwijzers.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC

VIPP-assessments Handreiking voor de IT-auditor. Theo de Breed RE CISA Lid werkgroep ZekeRE Zorg, NOREA ( ) 15 november 2017

ISA 610, GEBRUIKMAKEN VAN DE WERKZAAMHEDEN VAN INTERNE AUDITORS

Controle protocol. 1 Doelstelling. 2 Eisen en aanwijzingen. 3 Toleranties en gewenste zekerheid

Als basis voor de NOREA Richtlijn Documentatie is gehanteerd ISA 230.

Accountantsprotocol subsidievaststelling ADL-assistentie 2018

Toezien op privacy naleving bij (IT) leveranciers; ISO of ISAE 3000?

Controle- en onderzoeksprotocol Ketenzorg CZ 2013

Self assessment kwaliteitsonderzoek IT-auditorganisatie

Rapportage DigiD Assessment - ENSIA 2017 Aansluiting no.1 Bijlage B en C

INTERNATIONAL STANDARD ON AUDITING (ISA)

Herziening van ISA 580 Schriftelijke bevestigingen: Ondersteuning van andere controle-informatie

Controleprotocol subsidie Vervoersautoriteit MRDH - Openbaar Vervoer, concessie Bus -

IT Auditor en ENSIA. Bijdrage Maarten Mennen. 31 oktober 2017

Internal Audit Charter BNG Bank

Als beveiligingssystemen IT-systemen zijn, waarom worden ze dan niet beheerd door de. IT-afdeling? Over Thimo Keizer

Bijlage 1: DigiD aansluiting no.1 - Bijlage B + C Gemeente Loppersum

Een optimaal model van de inrichting. van een interne audit functie, gegeven het onderscheid tussen. IT en operational auditing

Protocol Aanvraag vergoeding frictiekosten Landelijke Publieke Media-Instellingen en Overige Media-instellingen (versie: 31 oktober 2012)

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services

Accountantsprotocol subsidievaststelling Subsidie Anonieme e-mental health 2018

Timeline 2019 Een overzicht van de belangrijkste deadlines voor gemeenten op het gebied van security, audits en privacy.

Controleprotocol nacalculatie Voor ambulancediensten en centrale posten ambulancevervoer

Rapportage Informatiebeveiliging Gemeente Boekel 16 mei 2018

Informatiebeveiligingsbeleid

ISA 510, INITIËLE CONTROLEOPDRACHTEN - BEGINSALDI

Model Classificatie en Risicoanalyse Gegevensverwerkingen

Controleprotocol specifieke maatregelen AMIF en ISF

C O N C E P T. Controleprotocol VROM t.b.v. Stichting Afvalfonds te Den Haag (versie ) Hoofdstuk 1 Uitgangspunten

NOREA Richtijn 3402 ASSURANCE-RAPPORTEN BETREFFENDE INTERNE BEHEERSINGSMAATREGELEN BIJ EEN SERVICEORGANISATIE

JAN. Aan: het bestuur van het Nederlands Instituut voor Volksontwikkeling en Natuurvriendenwerk (Vereniging NIVON) te Amsterdam

DigiD beveiligingsassessment Decos Information Solutions

Opdrachtgeverschap 2.0. Toezien op de afspraken in de verwerkersovereenkomst

Controleprotocol 2009 Waterschap Peel en Maasvallei

Continuous auditing and continuous monitoring: continuous solutions? J. Jacobs en M. Hoetjes

Controleprotocol nacalculatie 2014

Transcriptie:

IT-audit in vogelvlucht Jeanot de Boer 24 april 2012

Agenda Introductie Wat is IT-audit Hoe is IT-audit in Nederland geregeld? Het IT-audit proces Wat is de toegevoegde waarde van IT-audit Enkele praktijkvoorbeelden 2

Introductie Kennismaken Audit Het auditproces zelf - De objectgebieden, zoals bv Financieel, processen, IT, milieu, ISO 3

Wat is IT-audit Wat is IT audit Definitie Beoordelen en adviseren omtrent de kwaliteit van IT 4

Kwaliteitsaspecten Integriteit (juistheid, volledigheid en tijdigheid) Controleerbaarheid Exclusiviteit (vertrouwelijkheid) Beschikbaarheid Effectiviteit Efficiency Verder zijn meer kwaliteitsaspecten en definities te vinden in ISO9126 5

Belang van IT beheersing We vinden het belangrijk dat (kritische) bedrijfsprocessen betrouwbaar en beheerst zijn. Omdat kritische bedrijfsprocessen ondersteund worden door applicaties, worden (sleutel) bedrijfsproces beheermaatregelen geïmplementeerd door de applicatie. TOP Daarom vinden we het belangrijk dat de digitale data en de verwerking door de applicaties betrouwbaar is. Applicaties draaien op besturingssystemen en slaan data op in data management systemen/files. Daarom is de betrouwbaarheid van de data en data verwerking afhankelijk van de betrouwbaarheid van IT systemen en beheerprocessen. Daarom is het belangrijk om te beheersen en beveiligen: OS,database, netwerk, data, applicaties, applicatieontwikkelproces, IT beheerprocessen DOWN 6

IT audit in Nederland 7

Opzet: Het Huis A2 Huishoudelijk reglement A3 Reglement van toelating A4 Reglement Beroepsethiek A5 Reglement van Tucht A6 Reglement van beroep A7 Richtlijn PE A8 Regeling Overstappers en herintreders C1Raamwerk Assuranceopdrachten C2 Richtlijn Assuranceopdrachten A1 Statuten B1 Reglement Gedragscode B2 Reglement Beroepsbeoefening B3 Reglement KwaliteitsBeheersing NOREA D Audit Assessment Review Quick Scan Beoordeling Analyse G Uitvoeringsrichtlijnen (Opdrachtaanvaarding, Documentatie) E Advies Invulling in ontwikkeling H Handreikingen (ZekeRE Business, ZekeRE Zorg); studierapporten, Handboek en De EDP-Auditor F Niet-Actief (zoals In business of gepensioneerd) [Geen invulling] [B2 en B3 n.v.t.] 8

Reglement Gedragscode Hoofdstukindeling: A-100 Inleiding en fundamentele beginselen A-110 Integriteit A-120 Objectiviteit A-130 Deskundigheid en zorgvuldigheid A-140 Geheimhouding A-150 Professioneel gedrag 9

Fundamentele beginselen Integriteit Objectiviteit Deskundigheid en zorgvuldigheid Geheimhouding Professioneel gedrag Bedreigingenlijst Eigen belang Zelftoetsing Belangenbehartiging Vertrouwdheid Intimidatie 10

Reglement Kwaliteitsbeheersing NOREA = Elementen kwaliteitbeheersingssysteem = Opdrachtgerichte kwaliteitsbeoordeling 11

Het RKBN Het uitgangspunt van het RKBN is dat de IT-auditorganisatie een zodanig systeem van kwaliteitsbeheersing heeft opgezet dat een redelijke mate van zekerheid wordt geboden dat de organisatie en het personeel voldoen aan de vaktechnische richtlijnen en de door de weten regelgeving gestelde eisen. Tevens dienen de door de organisatie of haar voor opdrachten verantwoordelijke professional afgegeven rapporten onder de gegeven omstandigheden voldoen aan de reglementen, richtlijnen en handreikingen die door de NOREA zijn uitgevaardigd. Het RKBN geldt voor elke IT-auditorganisatie. De inrichting van het systeem van kwaliteitsbeheersing is afhankelijk van verschillende factoren zoals: Omvang van de organisatie bedrijfskenmerken Wel/niet onderdeel van een netwerkorganisatie 12

Kenmerken assurance-opdracht Definitie Een assurance-opdracht is een opdracht waarbij een IT-auditor een conclusie formuleert die is bedoeld om het vertrouwen van de beoogde gebruikers, niet zijnde de verantwoordelijke partij, in de uitkomst van de evaluatie van of de toetsing van het object van onderzoek ten opzichte van de toetsingsnormen, te versterken. 13

Kenmerken assurance-opdracht De vijf elementen Drie partijen Een geschikt object van onderzoek Toepasbare toetsingsnormen Toereikende assurance-informatie Een schriftelijk rapport 14

Kenmerken assurance-opdracht Drie partijen Een IT-auditor Een verantwoordelijke partij Beoogde gebruikers Verantwoordelijk voor object van onderzoek (direct reporting) en voor de bewering / verantwoording (assertion based) De beoogde gebruikers zijn soms moeilijk te bepalen 15

Kenmerk assurance opdrachten Drie partijen Beoogde gebruikers Assurance-opdracht Drie gescheiden partijen: Beoogde gebruikers Verantwoordelijke partij Auditor Auditor Verantwoordelijke partij 16

Kenmerken assurance-opdracht Een geschikt object van onderzoek Identificeerbaar Eenduidig te toetsen aan normen Controleerbaar 17

Kenmerken assurance-opdracht Toepasbare toetsingsnormen Relevant: ondersteunen besluitvorming beoogde gebruikers Volledig: bevatten alle belangrijke factoren voor de conclusies Betrouwbaar: geven de mogelijkheid voor een consistente evaluatie Neutraal: bijdragen aan het onbevooroordeeld trekken van conclusies Begrijpelijk: bijdragen aan het trekken van conclusies die duidelijk, bondig en eenduidig zijn 18

Kenmerken assurance-opdracht Toereikende assurance informatie Kwalitatief en kwantitatief toereikend Materieel belang en opdrachtrisico bepalend Twee niveau s van zekerheid Beperkte mate van zekerheid Melden in opdracht Bewijsmateriaal moet toereikend zijn voor een negatief geformuleerde conclusie Melden in rapportage 19

Kenmerken assurance-opdracht Een schriftelijk rapport Conclusie met verplichte titel Verplichte elementen (zie hierna) 20

Rapportage Strekkingen oordelen Goedkeurend : Voldoet aan gestelde normen Goedkeurend met beperking :Voldoet aan gestelde normen met uitzondering van Oordeelonthouding: Geen oordeel over onderzoeksobject als geheel Afkeurend: Voldoet niet aan gestelde normen 21

Elementen rapportage Rapportage Opschrift Doelgroep Opdracht,onderzoeksobject en moment/periode Reikwijdte onderzoek Kwaliteitsaspecten Normen Diepgang Verantwoordelijkheden en werkzaamheden Oordeel Beperkingen Ondertekening 22

Wat is IT-audit Wat is IT audit Definities Beoordelen en adviseren omtrent de kwaliteit van IT Domeinen Informatiestategie, IM/IT management, Informatiesystemen, technische systemen, processystemen, ondersteuning Objecten Producten Technical audits versus System audits Ondersteuning jaarrekeningcontrole? 23

Het proces Onderwerpen: Opdrachtformulering en -bevestiging Normenkader(s) Uitvoering opdrachten - kwaliteitsborging Dossiervorming Rapportage Oordeelsvorming / formuleren oordelen 24

COBIT ISO 20000, 27001 NORA ITIL, BISL, ASL Referentiekaders 24-4-2012 IT audit in 25 vogelvlucht

De toegevoegde waarde van IT-audit Beheersing van IT (security) als onderdeel van bedrijfsvoering Business need: Privacy Kosten Naleving wet- en regelgeving 26

Voorbeelden (1) TPM s Informatiebeveiliging WBP Projecten Ontwikkelomgevingen Beheeromgevingen Wie is de opdrachtgever van zo n audit Wat dient er onderzocht te worden / wat is de vraag Wat zijn mogelijke uitkomsten/ wat waren de uitkomsten Wat kan je daar dan mee 24-4-2012 IT audit in vogelvlucht 27

Voorbeelden (2) ERP audits SAP en Oracle implementaties ERP CD Het object Hoe groot of klein is dat Voorbeelden - Voorafgaande aan implementatie - Tijdens implementatie - Na afloop van een implementatie 24-4-2012 IT audit in vogelvlucht 28

Voorbeelden (4) Pure technische audits In het kader van TPM s In het kader van beveiliging In het kader van beheer IT kosten audits Personele kosten Redelijkheid Opbrengsten?? 24-4-2012 IT audit in vogelvlucht 29

Voorbeelden (4) Ondersteuning jaarrekening Omgevingsanalyse Systemaudits Data-analyse Tav boekingsgangen Tav competentietabellen Tav werking van AO/IC (waaronder functiescheiding) TPM s 24-4-2012 IT audit in vogelvlucht 30

Vragen? 31

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback