IT-Assure. Zekerheid over uw IT

Vergelijkbare documenten
MKB Cloudpartner Informatie TPM & ISAE

Het assurance-raamwerk De accountant en het verstrekken van zekerheid

IT-audit in vogelvlucht. Jeanot de Boer 24 april 2012

Toezien op privacy naleving bij (IT) leveranciers; ISO of ISAE 3000?

Inleiding Begrippen en definities 5 3. Doelstellingen van een privacy-audit Opdrachtaanvaarding 8 9 4

Voordat sprake kan zijn van een TPM, moet aan een aantal voorwaarden worden voldaan:

Gemeente Veenendaal. ICT-beveiligingsassessment. Suwinet Inkijk Ten behoeve van gemeenten Rhenen en Renswoude. Audit Services

ICT Accountancy. Praktijkdag Webwinkels en Boekhouden

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

voorzitter NOREA Adri de Bruijn NIVRA-NOREA-aanpak privacy-certificering privacy-audit

Richtlijn 4401 Opdrachten tot het verrichten van overeengekomen specifieke werkzaamheden met betrekking tot informatietechnologie

Handleiding uitvoering ICT-beveiligingsassessment

INHOUD. Alleen voor identificatiedoeleinden RSM Nederland Risk Advisory Services B.V. 26 april 2018 w.g. M. Hommes RE

Oordelen van en door RE s

2014 KPMG Advisory N.V

Zwaarbewolkt met kans op neerslag

Beleid Informatiebeveiliging InfinitCare

ENSIA assurance rapport DigiD en Suwinet verantwoordingsjaar 2018 Gemeente Leusden

Assurancerapport importeurs ten behoeve van het aanleveren van CvO-gegevens

Veranderingen privacy wet- en regelgeving

Accountantsprotocol declaratieproces. revalidatiecentra fase 2 : bestaan en

NOREA Visie Brigitte Beugelaar. 14 september 2015

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars!

Assurancerapport van de onafhankelijke IT-auditor

Uitbestedingsbeleid 2015

OPKOMST VAN EEN NIEUWE WERELDWIJDE ASSURANCESTANDAARD ISAE 3402: einde van SAS 70 in zicht?

Databeveiliging en Hosting Asperion

Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013

Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C

Verschillen en overeenkomsten tussen SOx en SAS 70

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

ISAE 3402: Externe auditor niet langer nodig!

Besluit tot wijziging van de Nadere voorschriften controleen overige standaarden Vastgesteld 18 december 2008

Werkprogramma Risicobeheersing Volmachten 2018

Drs L. (Bert) F.G. Tuinsma RA, voorzitter 22 mei NOREA

INHOUD. Paragraaf

SIS FINANCE. voor professionals door professionals. consulting. interim management. finance professionals. SIS finance

Jacques Herman 21 februari 2013

Internal audit draagt bij aan comfort van commissarissen

Uitbestedingsbeleid Stichting Pensioenfonds van de ABN AMRO Bank N.V.

Externe assurance-regels voor het interne IT-audit beroep

ISA 610, GEBRUIKMAKEN VAN DE WERKZAAMHEDEN VAN INTERNE AUDITORS

INTERNATIONALE CONTROLESTANDAARD 402 IN OVERWEGING TE NEMEN FACTOREN BIJ DE CONTROLE VAN ENTITEITEN DIE GEBRUIKMAKEN VAN SERVICE-ORGANISATIES

Informatiebeveiligingsbeleid

REGLEMENT AUDITCOMMISSIE TELEGRAAF MEDIA GROEP N.V.

AVG-ondersteuning bij uw klant

SAS 70 maakt plaats voor ISAE 3402

Third-partymededelingen: de ervaringen van de gebruikersorganisaties

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system!

Informatie is overal: Heeft u er grip op?

SAS 70 herzien, focus ISAE 3402 blijft op beheersingsmaatregelen

Partnering Trust in online services AVG. Vertrouwen in de keten

Meer aandacht voor het bestuursverslag in de controleverklaring

Reglement externe kwaliteitstoetsing interne audit functies van IIA Nederland

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

HOEBERT HULSHOF & ROEST

Privacy in de Audit IIA PAS conferentie 2016 November 2016 Maurice Steffin

Accountantsonderzoeksprotocol naleving cao t.b.v. certificering Stichting Normering Flexwonen

Interne beheersing: Aan assurance verwante opdrachten Inleiding. Het kwaliteitsonderzoek. Regelgeving. Vragenlijst.

Certified ISO Risk Management Professional

SAS 70 en daarna: controls reporting in een breder kader

GDPR-wetgeving & IT-bewustzijn. GDPR-wetgeving & IT-bewustzijn

Executive Academy. Permanente Educatie voor Professionals. Permanente Educatie voor Professionals

DOORSTAAT UW RISICOMANAGEMENT DE APK?

Formulering oordeel van een IT-auditor

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

SIS FINANCE. voor professionals door professionals. consulting. interim management. finance professionals SIS. finance

Privacy Statement. Zwambag Verkeerstechniek B.V.

Vrijstellingsregeling Wft. Grens vrijstelling van naar Aanbieders moeten een AFM-vergunning aanvragen voor 1 februari 2012

Academy. pen inschrijving NAJAAR. Programma. Ons Open Inschrijving cursusaanbod voor najaar 2018 bestaat uit: Beheersing van uitbesteding.

Rechtmatigheidsverantwoording Annemarie Kros RA (PWC) & Marieke Wagemakers RA (gemeente Uden)

De definitieve Code Corporate Governance, enige beschouwingen vanuit risicoperspectief.

Accountantsprotocol subsidievaststelling Tijdelijke subsidieregeling extramurale behandeling 2017

Stichting Pensioenfonds Ecolab. Compliance Charter. Voorwoord

Ronald van der Wal Enterprise Risk Services

Ontwikkelingen inzake Privacy-audits, keurmerken, eherkenning en DigiD-assessments. de beroepsorganisatie van IT-auditors

Compliance Charter. Pensioenfonds NIBC

Hoofdlijnen Corporate Governance Structuur

Functieprofiel Functionaris Gegevensbescherming

Internal Audit Charter BNG Bank

Niet-financiële informatie (NFI) in Nederland

Controleprotocol Subsidies Gemeente Zeist 2009

KEURMERK ONDERNEMINGSDOSSIER REGLEMENT

Protocol onafhankelijkheid accountant WormerWonen

THIRD PARTY MEDEDELING 2017 LEVERANCIER: LIAAN CONSULT B.V. APPLICATIE: Third Party Mededeling 2017 E-DIENSTVERLENING VERSIE 7.2

Wie doet wat? Gebruik en beheer van applicaties. Een kader VHIC VHIC. Pagina 1. Pagina 2

Uitbestedingsbeleid Stichting Pensioenfonds NIBC

II. VOORSTELLEN VOOR HERZIENING

Format assurance over de juistheid van de collegeverklaring ENSIA 2017 van gemeente [naam gemeente]

Cloud computing Helena Verhagen & Gert-Jan Kroese

Accountantsprotocol subsidievaststelling ADL-assistentie 2017

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1.

RiskTransparant, deel 2. De waarde van een ISAE rapport? welke waarde heeft een ISAE voor het bestuur: in control of een illusie van control

Asset Management als bindende factor

Stappenplan naar GDPR compliance

DoubleDividend Management B.V. Algemene voorwaarden vermogensadvies

Als basis voor de NOREA Richtlijn Documentatie is gehanteerd ISA 230.

Transcriptie:

IT-Assure Zekerheid over uw IT

3 Steeds meer behoefte aan onafhankelijk oordeel over it 5 Grotere zekerheid over kwaliteit van it 6 Outsourcing Assurance 8 Project Assurance 9 IT-organisatie Assurance 9 Applicatie Assurance 9 IT Due Diligence 10 Privacy Assurance 10 Web Assurance 11 Revenue Assurance 11 Licentie Assurance 2008 norea tekst Joop K. de Vries redactie Wilfried Olthof productie LINE UP boek en media design Jan Faber (LINE UP) beeld asifthebes (www.sxc.hu) isbn 978 90 77487 65 5 2

Steeds meer behoefte aan onafhankelijk oordeel over IT it maakt de bedrijfsprocessen in uw organisatie steeds effectiever en efficiënter. Tegelijkertijd wordt u steeds afhankelijker van It. Dat vergroot de behoefte aan betrouwbare systemen om inkomstenderving, reputatieschade en schadeclaims te voorkomen. Zekerheid over de kwaliteit van It is ongetwijfeld ook in uw organisatie van groot belang. Niet alleen omwille van de continuïteit en kwaliteit van uw vitale bedrijfsprocessen, maar ook vanwege de hoge eisen die tegenwoordig worden gesteld aan transparantie, It-governance (goed ondernemingsbestuur) en compliance (voldoen aan weten regelgeving). Hoge eisen gelden ook voor (deels) uitbestede of ingehuurde diensten of voor dataverwerking en -opslag in shared service-centra. Zekerheid over al uw It krijgt u door een onafhankelijke Register It-auditor (Re) een It-assuranceonderzoek uit te laten voeren. it-assurance kan zekerheid bieden over elk denkbaar It-object. Bij een assuranceopdracht is doorgaans sprake van drie partijen: ten eerste een partij die zich verantwoordt, ten tweede de toetsende It-auditor en ten derde een partij die gebruikmaakt van de uitkomsten van het onafhankelijke oordeel van de It-auditor. De gebruiker wil objectieve informatie ontvangen over de mate waarin de dienstverlening in overeenstemming is met de afgesproken eisen. Met die informatie kan bijvoorbeeld het management of de raad van bestuur beoordelen of de outsourcing van het rekencentrum in India in control is, maar ook of een groot project volgens planning verloopt. Een toezichthoudende autoriteit die eist dat de Wet bescherming persoonsgegevens binnen uw bedrijf wordt nageleefd, zal deze informatie ook gebruiken. Het gaat kortom om het versterken van het vertrouwen in de zich verantwoordende partij. Gedragscode beroepsorganisatie norea De vereniging Nederlandse Orde van Register Edp-Auditors (Norea) is de beroepsorganisatie van It-auditors. De organisatie heeft zo n 1400 leden en ruim 500 aspirant-leden. norea kent een Reglement Gedragscode, gebaseerd op de Code of Ethics van de International Federation of Accountants (Ifac), waarbij de Norea ook is aangesloten. Assurance opdrachten worden in dat verband ook uitgevoerd volgens het internationale Ifac- Raamwerk en de Richtlijnen voor Assuranceopdrachten. De Ifac/norea Richtlijn 3000 stelt eisen aan de kwaliteit en uitvoering van de opdracht, de inhoud van het assurancerapport en de wijze waarop het oordeel wordt geformuleerd. 3

4 De Register it-auditor (re): uw onafhankelijke en betrouwbare partner Register It-auditors zijn op grond van hun opleiding en ervaring de aangewezen deskundigen om It-assuranceopdrachten uit te voeren. It-auditors hebben de erkende masteropleiding tot It-auditor voltooid en kunnen tenminste drie jaar praktijkervaring aantonen. Pas dan kunnen ze zich laten inschrijven als Register Edp-auditor (Re). Met inschrijving in het register verbinden ze zich aan de gedrags- en beroepsregels en zijn ze onderworpen aan tuchtrechtspraak. re s hebben kennis van informatietechnologie, bestuurlijke informatievoorziening, organisatiekunde en methoden en technieken van onderzoek, toetsing en risicoafweging. Bovendien hebben zij ervaring met kosten van It en toepassingsgebieden. Een Re geeft onpartijdige adviezen en oordelen over kwaliteitsaspecten van It. Daarmee vult hij de registeraccountant aan die met name de cijfers controleert. De toegevoegde waarde van de Re wordt inmiddels onderkend door toezichthouders als de Nederlandsche Bank, de Autoriteit Financiële Markten en het College bescherming persoonsgegevens. Redelijke of beperkte mate van zekerheid Absolute zekerheid dat er nooit iets mis zal gaan met It in uw organisatie krijgt u nergens. Ook niet bij een Re. Bij It-assurance spreekt u vooraf met de Re de diepgang van het onderzoek af; die diepgang is veelal bepalend voor de mate van zekerheid die kan worden verleend. Daarbij wordt onderscheid gemaakt tussen een redelijke mate van zekerheid en een beperkte mate van zekerheid. Bij een redelijke mate van zekerheid verklaart de It-auditor dat het onderzochte It-object tijdens het onderzoek voldeed aan de afgesproken normen. Letterlijk verklaart hij: Op grond van ons onderzoek zijn wij van oordeel dat op de onderzoeksdatum de opzet en het bestaan van de maatregelen en procedures ter waarborging van de exclusiviteit, integriteit, controleerbaarheid en continuïteit van het onderzochte informatiesysteem in alle van materieel belang zijnde opzichten hebben voldaan aan de normen. Bij een beperkte mate van zekerheid verklaart de It-auditor dat hij geen belangrijke afwijkingen van de gemaakte afspraken heeft geconstateerd. De zekerheid is beperkt omdat vooraf is afgesproken dat niet alle aspecten van het onderzoeksobject diepgaand worden onderzocht. De definities over zekerheid zijn opgesteld door de International Federation of Accountants (Ifac) en worden wereldwijd gehanteerd. re doet meer dan alleen it-assurance U kunt een Re voor meer inschakelen dan alleen It-assurance. Een Re kan meedenken en adviseren over alle informatietechnologie in een organisatie. De Re is een professional die op grond van zijn opleidingen en praktijkervaring beschikt over de juiste deskundigheid met betrekking tot softwarepakketten, projecten, beheersing en beveiliging. Naast het uitvoeren van een assurace opdracht, zoals beschreven in deze brochure, kan een re ook gewoon adviseren over de genoemde onderwerpen.

Grotere zekerheid over kwaliteit van IT Een It-assuranceonderzoek kunt u instellen om zekerheid te krijgen over goed ondernemingsbestuur (governance), uw It-risico s (risk) en of u voldoet aan wet- en regel geving (compliance). re s kennen de risico s en de relevante regelgeving en kunnen u daarover adviseren. Een It-assuranceonderzoek kan zich richten op elk denkbaar It-object, bijvoorbeeld het uitvoeren van It-processen zoals technische of functionele beheerprocessen of het beschikbaar stellen van It-faciliteiten zoals netwerkdiensten en uitwijkfaciliteiten. re s zijn onder meer actief op de gebieden It-projectmanagement, outsourcing, informatiebeveiliging, privacycertificering, inkomsten uit licenties, e-business en due diligence. Een Re kan worden gevraagd een oordeel te geven over een bepaald object of aspect, maar kan ook een objectief oordeel geven over een verantwoording die een bestuur heeft afgelegd. Hij stelt dan vast of overeenkomstig de voorgestelde feiten is gerapporteerd. Een Re maakt voorafgaand aan het assuranceonderzoek met u afspraken over reikwijdte, toetsingscriteria en auditstandaarden. Zodat u zekerheid krijgt over uw specifieke situatie. Een It-assuranceonderzoek kan zich, zoals gezegd, richten op elk denkbaar It-object. Het is daarmee ondoenlijk alle soorten onderzoek uitgebreid aan de orde te stellen. Enkele veelvoorkomende assuranceonderzoeken zijn beknopt beschreven in deze uitgave. Voor meer informatie kunt u natuurlijk terecht bij uw Re of zijn beroepsorganisatie, de norea. 5

Outsourcing Assurance Inzicht in de kwaliteit van dienstverlening Outsourcing Assurance biedt een uitbestedende organisatie zekerheid of een serviceorganisatie de aan haar uitbestede processen in haar greep heeft. Het management van de uitbestedende organisatie blijft immers eindverantwoordelijk voor deze processen. In toenemende mate wordt de behoefte aan zekerheid ook gevoed door wet- en regelgeving als de Code Tabaksblat, Sarbanes-Oxley, Wet Financieel Toezicht, Basel Ii en Solvency Ii. Outsourcing Assurance kunt u laten doen naar de beheersmaatregelen van elk proces of deelproces dat is uitbesteed, van It en salarisverwerking tot en met processen op het gebied van administratie of logistiek. Ontevredenheid over ict-dienst verlening naar recordhoogte De enorme stijging van de Ict-budgetten en de vraag naar externe Ict ers blijft groeien, zo blijkt uit het onderzoek. Ondanks deze groei is het met de Ict-dienstverlening verre van rooskleurig gesteld. Was er vorig jaar nog een zekere mate van tevredenheid waar te nemen, dit jaar is de ontevredenheid over de Ict-dienstverlening gestegen naar recordhoogte. Net als begin deze eeuw blijkt dat met het toenemen van de Ict-budgetten de kwaliteit van de Ict-dienstverlening afneemt. Bron: ict-barometer.nl, 31 juli 2007. 6 tpm, Sas 70 of ISAE 3402 Outsourcing Assurance is maatwerk en wordt ingesteld voor een vooraf omschreven doelgroep. De serviceorganisatie en de uitbestedende organisatie zijn vrij te bepalen welke beheersdoelstellingen en processen ze opnemen in het onderzoek. Vroeger werd een assuranceopdracht ook wel een Third Party Mededeling (tpm) genoemd. Daarbij werd onderscheid gemaakt tussen een tpm zonder vormvoorschriften voor de wijze van rapporteren, en de sterk gestructureerde Sas 70-verklaring. sas 70 is bedacht om te voorkomen dat serviceorganisaties voor verschillende klanten steeds dezelfde processen moeten (laten) beoordelen. sas 70 staat voor Statement on Auditing Standards no. 70, een Amerikaanse auditingstandaard voor het documenteren van het stelsel van interne beheersmaatregelen met betrekking tot uitbestede processen, het auditen van deze maatregelen op hun toereikendheid en, naar keuze, de werking van deze maatregelen. De serviceorganisatie beschrijft in een Sas 70-rapport op hoofdlijnen de beheerorganisatie en geeft hierbij aan hoe zij specifieke beheersdoelstellingen bereikt. Een externe auditor voegt een rapport toe over de mate waarin die beheersdoel-

Processen volgens afspraak Een serviceorganisatie verzorgt de uitvoering van de verzekeringsadministratie voor een grote verzekeraar. De verzekeraar wil zeker weten dat de uitvoering van de processen verloopt volgens contractueel vastgelegde richtlijnen. De Re verstrekt deze zekerheid door het afgeven van een Sas 70-rapport aan de serviceorganisatie. stellingen worden gerealiseerd. Het resultaat is dat de uit bestedende organisatie inzicht krijgt in de wijze waarop de uitbestede processen worden beheerst. Bovendien kan het rapport nuttig zijn voor de externe accountant van de uitbestedende organisatie bij de controle van de jaarrekening. Bij Sas 70 bestaan twee soorten onderzoek. Type I is een momentopname. Type Ii is een uitspraak over een bepaalde periode van minimaal zes maanden. sas 70 is gebaseerd op regelgeving in de Verenigde Staten en daardoor niet zomaar toepasbaar in andere landen. Daarom is een nieuwe internationale standaard ontwikkeld, de ISAE 3402. Deze is waarschijnlijk per eind 2008 beschikbaar. 7

Project Assurance kwaliteit (doorlopend) inzichtelijk gemaakt Effectieve software De raad van bestuur van een grote Nederlandse instelling heeft recent een nieuw softwarepakket aangeschaft ter ondersteuning van de administratie. Het project is uitgevoerd en bijna afgerond. De gebruikers zijn echter ontevreden over de geboden oplossing. Een Re is gevraagd een onderzoek uit te voeren naar de mate waarin het gekozen pakket de administratie effectief ondersteunt. Projectreviews vergroten slagingskans Een fabriek wil zijn bestaande Erp-systeem volledig vervangen. Kosten: vele miljoenen. De impact op de bedrijfsprocessen is groot. Mislukken van het project kan leiden tot grote verliezen of wellicht zelfs faillissement. Door projectreviews brengt de Re de risico s in kaart en ondersteunt hij het management bij het vergroten van de kans dat het project met succes wordt afgerond. Als u wilt weten of een project voldaan heeft aan de verwachtingen, kunt u na afronding Project Assurance laten uitvoeren. De impact van It-projecten is de afgelopen jaren sterk toegenomen en daarmee ook de eisen rondom het welslagen van Ict-projecten. Door tijdens het project op cruciale punten een Re om assurance te vragen is een project doorlopend inzichtelijk en beter beheersbaar voor de stuurgroep. U kunt in overleg met een Re bepalen wat u beoordeeld wilt hebben, bijvoorbeeld projectplan, opzet van de projectorganisatie, coördinatie, voortgangsbewaking en rapportage, risicomanagement, standaarden en procedures. Echter, deze projectreviews hebben eerder het karakter van een adviesopdracht dan een assuranceopdracht; met andere woorden, de beoordeling is bestemd voor de opdrachtgever. Minder dan helft alle ict-projecten volledig succesvol Minder dan de helft van alle Ict-projecten is volledig succesvol. Van de overige 52 procent van de projecten faalt 4 procent volkomen, of 48 procent gedeeltelijk. De invoering van Crm-systemen leidt bijna niet tot succes: meer dan tweederde van deze projecten mislukt. Dat betekent meer dan 15.000 rampprojecten per jaar. Bron: ict-barometer.nl, 20 juni 2007. 8

IT-organisatie Assurance structuur in processen en organisatie IT-organisatie Assurance richt zich op de manier waarop It en It-processen in de organisatie zijn vormgegeven. Zijn er waar nodig functiescheidingen? Hoe zijn strategie, ontwerp, implementatie en beheer van It-processen gepositioneerd? En hoe staat het met incident- en verandermanagement? De Re kan over dergelijke organisatieaspecten een oordeel uitspreken. Applicatie Assurance controle op invoer, verwerking en uitvoer Bij Applicatie Assurance gaat het om controle op authenticatie, autorisatie, invoer verzorging zoals bestaanbaarheid, totalen, redelijkheid en volledigheid. En om controle op verwerking en uitvoerverzorging. IT Due Diligence samen goed op weg Een Due Diligence brengt de risico s in kaart bij een overname, fusie of joint venture. Die risico s kunnen van velerlei aard zijn: financieel, fiscaal, juridisch en milieu-technisch. Bij een IT Due Diligence onderzoekt een Re welke risico s er kleven aan de over te nemen It-omgeving. Waarbij onder andere wordt gekeken of It-systemen de toekomstige bedrijfsvoering adequaat ondersteunen en of er investeringen nodig zijn. Goed beltegoed Een telecombedrijf heeft een applicatie voor het online opwaarderen van beltegoed ontwikkeld. Het bedrijf wil zowel aan zijn klanten als aan de accountant laten zien dat de applicatie betrouwbaar is. Een It-auditor verschaft die zekerheid en beoordeelt daarbij onder meer de authenticatie van de klant en de beveiliging van de bankgegevens in het systeem. Duidelijkheid kosten overgang ander erp-systeem Een van de grotere supermarktorganisaties in Europa wilde een fors aantal supermarkten verkopen. De overnemende partij werkte met een ander Erp-systeem dan de verkoper. Due Diligence gaf duidelijkheid over de waarde van het bestaande Erp-systeem van de verkoper dat uitgefaseerd zou worden, en over de kosten van het nieuw te implementeren systeem. 9

Wachtwoorden eenvoudig te ontfutselen Wachtwoorden ontfutselen is eenvoudig geworden. Iedereen die een publieke dienst aanbiedt moet zich vandaag afvragen of gebruikersnaam en wachtwoord nog een voldoende basis van vertrouwen vormen. Voor steeds meer diensten worden maatregelen ingevoerd, zoals het gebruik van SSL, waarbij een digitaal certificaat de dienst identificeert aan de gebruiker. Nederlandse banken wapenen zich met two factor authentication, maar moeten blijven nadenken over volgende stappen en aanvullende maatregelen nemen. Bron: govcert.nl, het Computer Emergency Response Team van en voor de Nederlandse overheid, Trendrapport 2007. Privacy Assurance zorgvuldig omgaan met persoonsgegevens Privacy Assurance verschaft zekerheid over het voldoen aan privacyregels bij de verwerking van persoonsgegevens. Aan een privacy-audit is het keurmerk Privacy-Audit-Proof verbonden. Dit keurmerk is ontwikkeld door het Koninklijk Nivra en de Norea in overleg met het College bescherming persoonsgegevens (CBP). In Nederland stelt de Wet bescherming persoonsgegevens eisen aan de wijze waarop organisaties (zowel publiek als privaat) persoonsgegevens mogen verwerken. Web Assurance betrouwbare e-commerce-applicaties 10 De handel via internet is de afgelopen jaren sterk toegenomen en daarmee zijn organisaties meer en meer afhankelijk geworden van de betrouwbaarheid van hun e-commerce-applicaties. De Re kan u helpen bij het verschaffen van zekerheid over de e-commerce-applicaties die u gebruikt.

Revenue Assurance voorkom inkomstenderving Revenue Assurance biedt een organisatie zekerheid dat klanten een correcte rekening krijgen en dat de organisatie geen inkomsten misloopt voor verleende diensten. Bij de verkoop van online-informatie zijn tal van partijen betrokken: eigenaren, aanbieders, distributeurs en afnemers. Deze partijen vertrouwen in veel gevallen op self-reporting als primair mechanisme voor het registreren van verkopen. Mede als gevolg hiervan zijn gegevens over de verkoop van online-informatie niet altijd betrouwbaar. Licentie Assurance precies genoeg betalen voor legaal gebruik Licentiebeheer van software is altijd de verantwoordelijkheid van de gebruiker. Een veelvoud aan veelvormige contracten in combinatie met steeds mobieler en veeleisender wordende eindgebruikers doet het overzicht nogal eens verdwijnen. Licentie Assurance geeft u zekerheid over de juiste aantallen en soorten licenties. En over het legaal gebruik van software. Ook het certificeren van softwarepakketten kan worden opgevat als een assuranceopdracht. Illegale software: 36.000 boete Bijna eenderde van de gebruikte pc-software in Nederland is illegaal, blijkt uit onderzoek van de Business Software Alliance, de speurhond naar illegaal gebruik van software. Bedrijven die door de BSA worden aangeklaagd, moeten een schadevergoeding betalen van gemiddeld 36.000. Bron: BSA.nl, 15 maart 2007. Licentiebeheer blijft enorme worsteling Bedrijven die illegaal software gebruiken zijn doorgaans niet in de regel als de dood voor een bezoek van de BSA, die ernstige reputatieschade kan veroorzaken, maar in de praktijk hebben deze bedrijven grote moeite om zich volledig aan de grote variatie van licentieregels te houden. De Business Software Alliance (BSA) bestaat uit een aantal softwareleveranciers die gezamenlijk optrekt tegen illegaal softwaregebruik. Bron: Automatisering Gids, nr. 37 2007. 11

12 Meer informatie Norea, de beroepsorganisatie van It-auditors Postbus 7984 1008 ad Amsterdam Tel: (020) 301 03 80 Fax: (020) 301 03 02 E-mail: norea@norea.nl Internet: www.norea.nl

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback