IT-audit in vogelvlucht Jeanot de Boer 24 april 2012
Agenda Introductie Wat is IT-audit Hoe is IT-audit in Nederland geregeld? Het IT-audit proces Wat is de toegevoegde waarde van IT-audit Enkele praktijkvoorbeelden 2
Introductie Kennismaken Audit Het auditproces zelf - De objectgebieden, zoals bv Financieel, processen, IT, milieu, ISO 3
Wat is IT-audit Wat is IT audit Definitie Beoordelen en adviseren omtrent de kwaliteit van IT 4
Kwaliteitsaspecten Integriteit (juistheid, volledigheid en tijdigheid) Controleerbaarheid Exclusiviteit (vertrouwelijkheid) Beschikbaarheid Effectiviteit Efficiency Verder zijn meer kwaliteitsaspecten en definities te vinden in ISO9126 5
Belang van IT beheersing We vinden het belangrijk dat (kritische) bedrijfsprocessen betrouwbaar en beheerst zijn. Omdat kritische bedrijfsprocessen ondersteund worden door applicaties, worden (sleutel) bedrijfsproces beheermaatregelen geïmplementeerd door de applicatie. TOP Daarom vinden we het belangrijk dat de digitale data en de verwerking door de applicaties betrouwbaar is. Applicaties draaien op besturingssystemen en slaan data op in data management systemen/files. Daarom is de betrouwbaarheid van de data en data verwerking afhankelijk van de betrouwbaarheid van IT systemen en beheerprocessen. Daarom is het belangrijk om te beheersen en beveiligen: OS,database, netwerk, data, applicaties, applicatieontwikkelproces, IT beheerprocessen DOWN 6
IT audit in Nederland 7
Opzet: Het Huis A2 Huishoudelijk reglement A3 Reglement van toelating A4 Reglement Beroepsethiek A5 Reglement van Tucht A6 Reglement van beroep A7 Richtlijn PE A8 Regeling Overstappers en herintreders C1Raamwerk Assuranceopdrachten C2 Richtlijn Assuranceopdrachten A1 Statuten B1 Reglement Gedragscode B2 Reglement Beroepsbeoefening B3 Reglement KwaliteitsBeheersing NOREA D Audit Assessment Review Quick Scan Beoordeling Analyse G Uitvoeringsrichtlijnen (Opdrachtaanvaarding, Documentatie) E Advies Invulling in ontwikkeling H Handreikingen (ZekeRE Business, ZekeRE Zorg); studierapporten, Handboek en De EDP-Auditor F Niet-Actief (zoals In business of gepensioneerd) [Geen invulling] [B2 en B3 n.v.t.] 8
Reglement Gedragscode Hoofdstukindeling: A-100 Inleiding en fundamentele beginselen A-110 Integriteit A-120 Objectiviteit A-130 Deskundigheid en zorgvuldigheid A-140 Geheimhouding A-150 Professioneel gedrag 9
Fundamentele beginselen Integriteit Objectiviteit Deskundigheid en zorgvuldigheid Geheimhouding Professioneel gedrag Bedreigingenlijst Eigen belang Zelftoetsing Belangenbehartiging Vertrouwdheid Intimidatie 10
Reglement Kwaliteitsbeheersing NOREA = Elementen kwaliteitbeheersingssysteem = Opdrachtgerichte kwaliteitsbeoordeling 11
Het RKBN Het uitgangspunt van het RKBN is dat de IT-auditorganisatie een zodanig systeem van kwaliteitsbeheersing heeft opgezet dat een redelijke mate van zekerheid wordt geboden dat de organisatie en het personeel voldoen aan de vaktechnische richtlijnen en de door de weten regelgeving gestelde eisen. Tevens dienen de door de organisatie of haar voor opdrachten verantwoordelijke professional afgegeven rapporten onder de gegeven omstandigheden voldoen aan de reglementen, richtlijnen en handreikingen die door de NOREA zijn uitgevaardigd. Het RKBN geldt voor elke IT-auditorganisatie. De inrichting van het systeem van kwaliteitsbeheersing is afhankelijk van verschillende factoren zoals: Omvang van de organisatie bedrijfskenmerken Wel/niet onderdeel van een netwerkorganisatie 12
Kenmerken assurance-opdracht Definitie Een assurance-opdracht is een opdracht waarbij een IT-auditor een conclusie formuleert die is bedoeld om het vertrouwen van de beoogde gebruikers, niet zijnde de verantwoordelijke partij, in de uitkomst van de evaluatie van of de toetsing van het object van onderzoek ten opzichte van de toetsingsnormen, te versterken. 13
Kenmerken assurance-opdracht De vijf elementen Drie partijen Een geschikt object van onderzoek Toepasbare toetsingsnormen Toereikende assurance-informatie Een schriftelijk rapport 14
Kenmerken assurance-opdracht Drie partijen Een IT-auditor Een verantwoordelijke partij Beoogde gebruikers Verantwoordelijk voor object van onderzoek (direct reporting) en voor de bewering / verantwoording (assertion based) De beoogde gebruikers zijn soms moeilijk te bepalen 15
Kenmerk assurance opdrachten Drie partijen Beoogde gebruikers Assurance-opdracht Drie gescheiden partijen: Beoogde gebruikers Verantwoordelijke partij Auditor Auditor Verantwoordelijke partij 16
Kenmerken assurance-opdracht Een geschikt object van onderzoek Identificeerbaar Eenduidig te toetsen aan normen Controleerbaar 17
Kenmerken assurance-opdracht Toepasbare toetsingsnormen Relevant: ondersteunen besluitvorming beoogde gebruikers Volledig: bevatten alle belangrijke factoren voor de conclusies Betrouwbaar: geven de mogelijkheid voor een consistente evaluatie Neutraal: bijdragen aan het onbevooroordeeld trekken van conclusies Begrijpelijk: bijdragen aan het trekken van conclusies die duidelijk, bondig en eenduidig zijn 18
Kenmerken assurance-opdracht Toereikende assurance informatie Kwalitatief en kwantitatief toereikend Materieel belang en opdrachtrisico bepalend Twee niveau s van zekerheid Beperkte mate van zekerheid Melden in opdracht Bewijsmateriaal moet toereikend zijn voor een negatief geformuleerde conclusie Melden in rapportage 19
Kenmerken assurance-opdracht Een schriftelijk rapport Conclusie met verplichte titel Verplichte elementen (zie hierna) 20
Rapportage Strekkingen oordelen Goedkeurend : Voldoet aan gestelde normen Goedkeurend met beperking :Voldoet aan gestelde normen met uitzondering van Oordeelonthouding: Geen oordeel over onderzoeksobject als geheel Afkeurend: Voldoet niet aan gestelde normen 21
Elementen rapportage Rapportage Opschrift Doelgroep Opdracht,onderzoeksobject en moment/periode Reikwijdte onderzoek Kwaliteitsaspecten Normen Diepgang Verantwoordelijkheden en werkzaamheden Oordeel Beperkingen Ondertekening 22
Wat is IT-audit Wat is IT audit Definities Beoordelen en adviseren omtrent de kwaliteit van IT Domeinen Informatiestategie, IM/IT management, Informatiesystemen, technische systemen, processystemen, ondersteuning Objecten Producten Technical audits versus System audits Ondersteuning jaarrekeningcontrole? 23
Het proces Onderwerpen: Opdrachtformulering en -bevestiging Normenkader(s) Uitvoering opdrachten - kwaliteitsborging Dossiervorming Rapportage Oordeelsvorming / formuleren oordelen 24
COBIT ISO 20000, 27001 NORA ITIL, BISL, ASL Referentiekaders 24-4-2012 IT audit in 25 vogelvlucht
De toegevoegde waarde van IT-audit Beheersing van IT (security) als onderdeel van bedrijfsvoering Business need: Privacy Kosten Naleving wet- en regelgeving 26
Voorbeelden (1) TPM s Informatiebeveiliging WBP Projecten Ontwikkelomgevingen Beheeromgevingen Wie is de opdrachtgever van zo n audit Wat dient er onderzocht te worden / wat is de vraag Wat zijn mogelijke uitkomsten/ wat waren de uitkomsten Wat kan je daar dan mee 24-4-2012 IT audit in vogelvlucht 27
Voorbeelden (2) ERP audits SAP en Oracle implementaties ERP CD Het object Hoe groot of klein is dat Voorbeelden - Voorafgaande aan implementatie - Tijdens implementatie - Na afloop van een implementatie 24-4-2012 IT audit in vogelvlucht 28
Voorbeelden (4) Pure technische audits In het kader van TPM s In het kader van beveiliging In het kader van beheer IT kosten audits Personele kosten Redelijkheid Opbrengsten?? 24-4-2012 IT audit in vogelvlucht 29
Voorbeelden (4) Ondersteuning jaarrekening Omgevingsanalyse Systemaudits Data-analyse Tav boekingsgangen Tav competentietabellen Tav werking van AO/IC (waaronder functiescheiding) TPM s 24-4-2012 IT audit in vogelvlucht 30
Vragen? 31