SlideShare a Scribd company logo

VU Uitvoering van de audit 28 mei 2010

Jurgen van der Vlugt
Jurgen van der Vlugt
TechnologyBusiness
1 of 26
1 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding Uitvoering van de audit De IT Audit Flow File: Uitvoering van de audit – IT audit flow 28 mei 2010 © 2010 Jan van Praat (MinJus) Jurgen van der Vlugt (Noordbeek) 28 mei 2010 2 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Programma • IQUIP smiley-model van een audit • Normen, maatregelen, werkprogramma • De rest van het werk
2 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 3 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Communication Structuring Investigation (IQUIP) Auditmodel Assignment SummariesApproach Research Report Findings 4 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Communication Structuring Investigation Communicatie Assignment SummariesApproach Research Report Findings Communication with client: manage expectation Quality Assurance
3 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 5 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Communication Structuring Investigation Communicatie (II) Assignment SummariesApproach Research Report Findings ToR Major issues Work programs 6 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Communication Structuring Investigation Quality Assurance Assignment SummariesApproach Research Report Findings Files Quality Assurance Internally: mgt of process quality
4 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 7 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Communication Structuring Investigation Quality Assurance Assignment SummariesApproach Research Report Findings 8 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Communication Structuring Investigation (IQUIP) Auditmodel, start Assignment SummariesApproach Research Report Findings
5 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 9 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Alles Communication Structuring Investigation Assignment SummariesApproach Research Report Findings ToR Major issues Work programs Communication with client: manage expectation Quality Assurance Files Internally: mgt of process quality 10 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow • Opdracht-intake / onderhoud Audit Universe • Auditobjecten bepalen • Kwaliteitsaspecten bepalen • Alleen high-level onderzoek (mogelijke auditability, scope, diepgang) • Control environment (‘cultuur’) • Management & financial control • Operations & process control • IT Control • Output: Offerte / Plan van Aanpak / Terms of Reference (Voorzover algemene aanduiding van de scope voldoet) • Soms geïntegreerd met Approach Assignment Assignment
6 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 11 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Scope van IT-audting ‘Business’ Information Mgt IT Strat Tact Oper IT-beveiliging 12 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Audit Universe • Manageable = ..? • Door auditor • Door auditee • Risk assessment / analysis • Prio’s … • Capaciteit versus Coverage
7 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 13 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Risico-analyse 14 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow • Frame of reference bepalen (normen - I) • Resources bepalen • Fasen en activiteiten vaststellen • Gedreven door een gedetailleerde risicoanalyse! • Aanwijzen kritieke auditobjecten ×××× kwaliteitsaspecten • Organisatie van de audit • Werkprogramma(s) op maat snijden • Gedetailleerde planning opstellen • Output: Terms of Reference (indien nu pas: gedetailleerd) • Output: Werkprogramma’s inclusief gedetailleerde planning Approach Approach
8 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 15 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Risico-analyse • Vóór insteken van de opdracht (op basis van / in audit universe) • Bij insteek van specifieke audit! • Gebieden waar op voorhand known unknowns zijn • … of gewoon lijstjes afvinken ..? 16 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow • Just do it (gedetailleerde werkprogramma’s) • Alléén ‘interviews en documentstudie’..? • Just do it (gedetailleerde werkprogramma’s) • Communiceer bedreigende issues met de klant • C-C-R-C-R Research Findings Research, Findings
9 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 17 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow • Indien het werkprogramma goed was gedetailleerd, • Combinatie bevindingen met auditobjecten, kwaliteitsaspecten en (de)compositie leidt ‘automatisch’ tot partiële, overall conclusies, restrisico’s, rating, eventuele tegenmaatregelen, aanbevelingen • Else • Kunst • Onafhankelijke harde woorden, stellingnames versus • Management van klantverwachtingen (verpakking van de boodschap) Summaries Summaries 18 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow • Niets bijzonders • Vormvereisten Report Report
10 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 19 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Communication Structuring Investigation Tijdsbesteding Assignment SummariesApproach Research Report Findings 20% (5%) 40% (20%) 10% (30%) 10% (40%++) 10% (25%++) 10% (15%) 20 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Opdrachtaanvaarding • Richtlijn (210) Opdrachtaanvaarding – aanstaande • Doel van de opdracht • Het object van onderzoek • Doelgroep rapportage en de gehanteerde toetsingsnormen • Toegang tot toereikende informatie • Zekerheidsniveau en product (rapportage) van de audit • Ander college
11 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 21 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Over normen Completeness Reliability Coherency (Structure) Structuredness Understandability Quality Criteria AToR 1 4 8 7 5 2 3 ISAE 2000 (2003)/ Boehm et al (1978) ISAE 2000 (2003) Boehm et al. (1978) ISAE 2000 (2003)/ Boehm et al. (1978) Sherwood et al. (2005) & Poulin et al. (1993) Trendowicz et al. (2003) Jonassen (2000) 9 Engels et al. (2002) Criteria: Structure of AToRCriteria: Content of AToR ISAE 2000 (2003) 10 Coherency (Content) Consistency Criterion: Form Boehm et al. (1978) 11 Legend: Integratedness 6 ReusabilityTransparency Relevance ISAE 2000 (2003) Neutrality © W.N. Baldewpersad Tewarie 22 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Normen aan normen © W.N. Baldewpersad Tewarie
12 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 23 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Normen aan normen – concreet • Aard: Objectief / subjectief; Wettelijk / aangedragen / ‘best’(??) practice / standaard • Bronnen: Opdrachtgever / andere belanghebbenden / wetgeving / auditor / …. • Voorwaarden: Relevant, toereikend, eenduidig, meetbaar • Reikwijdte (scope van de audit ..?) • Oordeel: Kwalitatief / kwantitatief, Absoluut (hard) / relatief 24 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow ‘Best Practices’ … • In het land der blinden is eenoog best • Mythe van vergelijkbaarheid omstandigheden • Worden soms formele standaard(en) • ISO 2700x, 20000, etc. • Toevalligheden gecodificeerd • Stapje minder nog …: ‘Sound practices’
13 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 25 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Normen, van opdrachtgever of auditee • PRIMAIR de normen van de opdrachtgever gebruiken • (H)erkend door auditee …!? • Toets toepasbaarheid etc. • Discussieer (dat is wat anders dan toesturen) en krijg goedkeuring (dat is wat anders dan overeenstemming) over eventuele aanvullingen of interpretaties • Alleen als opdrachtgever geen normen heeft, ook niet van de auditee, dan pas door auditor aan te dragen • (H)erkend door auditee …!? • Toets toepasbaarheid etc. • Discussieer (dat is wat anders dan toesturen) en krijg goedkeuring (dat is wat anders dan overeenstemming) over eventuele aanvullingen of interpretaties 26 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Waarom des opdrachtgevers Des opdrachtgevers, met instemming (veto) auditee: • Voldoen aan normen is alleen mogelijk als die normen van tevoren bekend waren …! • Anders is de audit alleen maar hinderlijk, of hooguit als nulmeting geschikt • Houdt rekening met alle belangen, zeker als de consequenties van findings mogen worden verondersteld bekend te zijn!
14 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 27 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Normen: Concreet (= abstract) • CHA-18 ANALYSEREN VERZOEK De organisatie toetst het wijzigingsverzoek op volledigheid en correctheid, en maakt een inschatting of de indiener de risico’s correct heeft weergegeven en de rollback adequaat heeft gespecificeerd conform de geschetste risico’s • REL-13 OPNEMEN IN BUNDEL De organisatie neemt de update op in een aanstaande releasebundel, rekening houdend met de samenhang en noodzakelijke volgorde binnen de update en met andere updates in de releasebundels 28 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow OBW • Opzet →→→→ van het stelsel! Dus niet alleen ‘er zijn normen’ of ‘er is een ontwerp’ Maar: Brengt het stelsel, mits geïmplementeerd, control? (Waaronder: opvang uitzonderingen, op diverse niveau’s; zelfcorrectie) • Bestaan →→→→ van het stelsel in de praktijk, dus niet alleen op papier! • Werking →→→→ van het stelsel !!! • ‘Werking is herhaald vaststellen van bestaan’ ? • Herhaald vaststellen = hooguit 20% • Deugdelijke opzet (zelfcorrectie) = meer dan 80%
15 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 29 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Van normen naar maatregelen • Vertaling van normen naar maatregelen had de lijn al hebben moeten doen • Liefst inclusief aantoonbaarheidszaken • Maatregelen van de lijn overnemen • Toets toepasbaarheid v.v. norm, ‘volledigheid’ t.a.v. dekking van de norm • Alleen als lijn geen maatregelen heeft, dan pas door auditor aan te dragen • (H)erkend door auditee …!? • Toets toepasbaarheid etc. • Discussieer (dat is wat anders dan toesturen) en krijg goedkeuring (dat is wat anders dan overeenstemming) over eventuele aanvullingen of interpretaties • Open voor interpretatie, vervangende controls, etc.! • Controls: normen of maatregelen …? 30 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Werkprogramma • Werkprogramma = selectie (!) van maatregelen aan de hand waarvan het voldoen aan de norm wordt vastgesteld • Selectie op basis van risico-analyse, representativiteit voor behalen norm, etc. • (Wettelijke vereisten vasthouden, maar die zijn zelden gedetailleerd) • Bedenk: AR = IR xxxx ICR xxxx DR Auditrisico, inherent risico, interne- controlerisico, detectierisico • Wat is ‘material misstatement’ bij de IT- auditor ..? Toleranties ..?
16 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 31 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Certificering • Gecertificeerde auditors • Geaccrediteerde auditors, Gecertificeerde auditees • Accreditatie als gecertificeerde certificeerder • Scope-bepaling – hoe (SoA, onderhandeling) • Scope en rapport • Certificaat en onafhankelijkheid • Normen? Maatregelen! 32 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow 3402 • ISAE 3402, Assurance Reports on Controls at a Third Party Service Organization • ‘Vervangt’ SAS70 • Type I, II (OB, OW) →→→→ • Type A, B (OB, OW) • Receiving auditor besteedt auditwerk in service organisatie uit aan service auditor (ISAE 402) • Resulteert in rapport van bevindingen • Dus geen interpretaties, conclusies of iets dergelijks! • Is dus GEEN TPM • Ontvangende auditor moet werk zelf opnemen in overall plaatje • Afspraken over inhoud! • (Of hoe gaat dat bij Direct Reporting ..?)
17 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 33 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow ‘Controletechnieken’ • Directe en indirecte controle • Volkomen, volledige en fragmentarische controle Volkomen: Rationeel controledoel Volledig: Alles Volmaakt: …? • Totaal- en detailcontrole • Integrale en partiële controle: gehele verzameling, of alleen deelwaarneming: • Posten, waarde-eenheden • Steekproeven • 80/20 / (risicogebaseerde) kritische deelwaarneming, blokmethode (periode) • Positieve en negatieve controle: juistheid, volledigheid • Formele en materiële controle 34 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Controlemiddelen • ‘Interviews en documentstudie’ en …? • Onderzoek van de interne organisatie (AO/IC) • Cijferbeoordeling • Verbandscontrole • Externe bescheiden en interne vastleggingen (bewijsstukken) • Normen (interne doelstellingen) • Bestaanscontrole (inventarisatie, waarneming ter plaatse, afloopcontrole, saldobevestigingen, ontstaanscontrole, overige) • Inlichtingen van de gecontroleerde • Overige (attestatie de vita, verklaringen van andere accountants, van actuarissen)
18 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 35 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Of, zoals voor ons relevante controlemiddelen • Verificatie • Waarnemingen ter plaatse • Bevestiging • Herberekening • Opnieuw uitvoeren • Analyse • Het inwinnen van inlichtingen 36 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow ‘Interviews en documentstudie’ • Inlichtingen van de gecontroleerde: Betrouwbaarheid ?? (zie paper) • Bewijsstukken en overige vastleggingen: • Extern > Intern • Intern > AO • (Schriftelijk > mondeling) • Voorbeelden: Van alles en nog wat • Eigen waarneming ter plaatse • Handelingen zien • Onderzoeken van objecten (administratie, deliverables, fysiek) Waaronder steekproeven • Inventarisatie, proceduretests, lijncontrole
19 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 37 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Steekproeven • Geen absolute zekerheid • Toetsen of schatten ..? • Uitspraken op basis van • Tolerantie van fouten in parameterschattingen (‘normale’ verdeling ?) • Betrouwbaarheid (foute conclusie over hypothesen) • Attributief: Kwalitatief, tellen van aantal keer voorkomen van een attribuut bij objecten • Variabel: Kwantitatief (μμμμenσσσσ) over kwantitatief • Nauwkeurigheid versus betrouwbaarheid 38 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Meer over Controle • http://www.elementairetheorieaccountantscontrole.noordhoff.nl/ • Elementaire kennis Accountantscontrole, NIVRA / Wolters-Noordhoff (Marktplaats t.e.a.b…)
20 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 39 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Audit automation →→→→CAATs • Computer Assisted Audit Techniques alleen mogelijk bij: • Voldoende grote gegevensbestanden • Voldoende heterogeniteit in de massa • Voldoende binding met doel • Selecteren Sorteren en samenvatten Vergelijken Rekenen Statistische berekeningen Steekproeven 40 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Controlemix • Het geheel van de gekozen (!) controlemiddelen en –technieken • Reikwijdte • Toepasbaarheid • Effectiviteit • Nauwkeurigheid • Efficiency • Socio-psychologische effecten • Effectief en efficiënt (volkomen) • Nogmaals: AR = IR xxxx ICR xxxx DR = ...?
21 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 41 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Blijf denken 42 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Alles op een hoop: Het Rotterdamse model Auditontwerp = • Auditdoelstelling • Auditmodel • Beoordelingscriteria • Begripsbepaling en operationalisering • Auditmateriaal • Auditstrategie • Verwerking gegevens en oordeelsvorming • Rapportage • Auditplanning Conceptueel ontwerp Technisch ontwerp
22 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 43 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Veldwerk • Just do it … of ..? 44 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Bevindingen
23 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 45 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Bevindingen afstemmen! • Bevindingen afstemmen met ‘bronnen’ • Gespreksverslagen →→→→ Veel werk (maar kort, mag) →→→→ Geïnterviewde heeft laatste woord! →→→→ Niet alsnog dingen erbij slepen ..! • Bepaal relevantie van bevinding ten aanzien van effectiviteit maatregel(en), norm(en) • Criteria Condition Residual risk Cause Recommendation • Geen symptomen maar gebreken – in de beheersing 46 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Bevindingen
24 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 47 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Rapportage – Vereisten • Opschrift • Doelgroep • Opdracht,onderzoeksobject en moment/periode • Reikwijdte onderzoek (kwaliteitsaspecten,normen, diepgang) • Verantwoordelijkheden en werkzaamheden • Oordeel • Beperkingen • Ondertekening 48 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Oordelen • 4 Strekkingen van oordelen • Elementen Richtlijn en kernwoorden • Bijvoorbeeld goedkeurend • Voldoet aan gestelde normen
25 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 49 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Rapportage 50 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Rapportage …? • ‘Standaard’ versus Project Reviews • Standaard: • Beheer-georiënteerd • Van A tot Z • Project Review: • Project-georiënteerd • Alles behalve (?) Z • Gateway: • A, B, C etc. • Maar ‘niks’ ertussen • ‘Peer review’ ..? Communication Structuring Investigation Assignment SummariesApproach Research Report Findings ToR Major issues Work programs
26 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 51 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow En dan …? • Richtlijn (230) Documentatie • Niet ‘dossiervorming’ • Tot volgende week (?) 52 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Op naar de volgende audit

Recommended

Product risico analyse in de praktijk (2010) - Kees Blokland
Product risico analyse in de praktijk (2010) - Kees BloklandProduct risico analyse in de praktijk (2010) - Kees Blokland
Product risico analyse in de praktijk (2010) - Kees Blokland
Kees Blokland
 
Surviving The Credit Crunch Using Benefits Management
Surviving The Credit Crunch Using Benefits ManagementSurviving The Credit Crunch Using Benefits Management
Surviving The Credit Crunch Using Benefits Management
combera
 
Process mining bazaar 11 11-2015 pdk
Process mining bazaar 11 11-2015 pdkProcess mining bazaar 11 11-2015 pdk
Process mining bazaar 11 11-2015 pdk
drs Pieter de Kok RA
 
Asfalt &toepassing
Asfalt &toepassingAsfalt &toepassing
Asfalt &toepassing
Gertjan Tuller
 
De functioneel beheerder en de auditor
De functioneel beheerder en de auditorDe functioneel beheerder en de auditor
De functioneel beheerder en de auditor
Daniël E. Brouwer
 
Presentatie hogescholen2017audit
Presentatie hogescholen2017auditPresentatie hogescholen2017audit
Presentatie hogescholen2017audit
drs Pieter de Kok RA
 
Presentatie Afstuderen Robert Schuttinga 14 05 07 Definitief
Presentatie Afstuderen Robert Schuttinga 14 05 07 DefinitiefPresentatie Afstuderen Robert Schuttinga 14 05 07 Definitief
Presentatie Afstuderen Robert Schuttinga 14 05 07 Definitief
Robert Schuttinga
 
Webinar - EAM /Reliability & Integrity Software selectie - 15 juli 2020
Webinar - EAM /Reliability & Integrity Software selectie - 15 juli 2020Webinar - EAM /Reliability & Integrity Software selectie - 15 juli 2020
Webinar - EAM /Reliability & Integrity Software selectie - 15 juli 2020
Stork
 

Recommended

Product risico analyse in de praktijk (2010) - Kees Blokland
Product risico analyse in de praktijk (2010) - Kees BloklandProduct risico analyse in de praktijk (2010) - Kees Blokland
Product risico analyse in de praktijk (2010) - Kees Blokland
Kees Blokland
 
Surviving The Credit Crunch Using Benefits Management
Surviving The Credit Crunch Using Benefits ManagementSurviving The Credit Crunch Using Benefits Management
Surviving The Credit Crunch Using Benefits Management
combera
 
Process mining bazaar 11 11-2015 pdk
Process mining bazaar 11 11-2015 pdkProcess mining bazaar 11 11-2015 pdk
Process mining bazaar 11 11-2015 pdk
drs Pieter de Kok RA
 
Asfalt &toepassing
Asfalt &toepassingAsfalt &toepassing
Asfalt &toepassing
Gertjan Tuller
 
De functioneel beheerder en de auditor
De functioneel beheerder en de auditorDe functioneel beheerder en de auditor
De functioneel beheerder en de auditor
Daniël E. Brouwer
 
Presentatie hogescholen2017audit
Presentatie hogescholen2017auditPresentatie hogescholen2017audit
Presentatie hogescholen2017audit
drs Pieter de Kok RA
 
Presentatie Afstuderen Robert Schuttinga 14 05 07 Definitief
Presentatie Afstuderen Robert Schuttinga 14 05 07 DefinitiefPresentatie Afstuderen Robert Schuttinga 14 05 07 Definitief
Presentatie Afstuderen Robert Schuttinga 14 05 07 Definitief
Robert Schuttinga
 
Webinar - EAM /Reliability & Integrity Software selectie - 15 juli 2020
Webinar - EAM /Reliability & Integrity Software selectie - 15 juli 2020Webinar - EAM /Reliability & Integrity Software selectie - 15 juli 2020
Webinar - EAM /Reliability & Integrity Software selectie - 15 juli 2020
Stork
 
Examineren kt3 tijdens de stage
Examineren kt3 tijdens de stageExamineren kt3 tijdens de stage
Examineren kt3 tijdens de stage
lss01
 
Instructiekaart externe auditor
Instructiekaart externe auditorInstructiekaart externe auditor
Instructiekaart externe auditor
Evelien Verkade
 
2006-04-19 - Platform voor Informatiebeveiliging - Kwaliteit van Software in ...
2006-04-19 - Platform voor Informatiebeveiliging - Kwaliteit van Software in ...2006-04-19 - Platform voor Informatiebeveiliging - Kwaliteit van Software in ...
2006-04-19 - Platform voor Informatiebeveiliging - Kwaliteit van Software in ...
Jaap van Ekris
 
Vakbewaamheid technisch beheerder | Duurzaam Doen Lezing
Vakbewaamheid technisch beheerder | Duurzaam Doen Lezing Vakbewaamheid technisch beheerder | Duurzaam Doen Lezing
Vakbewaamheid technisch beheerder | Duurzaam Doen Lezing
duurzame verhalen
 
Inspectie en Onderhoud Tunneltechnische Installaties
Inspectie en Onderhoud Tunneltechnische InstallatiesInspectie en Onderhoud Tunneltechnische Installaties
Inspectie en Onderhoud Tunneltechnische Installaties
MirjamNelisse
 
Begroten van software projecten - Hogeschool Rotterdam gastcollege 05-11-2013
Begroten van software projecten - Hogeschool Rotterdam gastcollege 05-11-2013Begroten van software projecten - Hogeschool Rotterdam gastcollege 05-11-2013
Begroten van software projecten - Hogeschool Rotterdam gastcollege 05-11-2013
Harold van Heeringen
 
Webinar ISO 27001 informatiebeveiliging: revisie, certificering en implementa...
Webinar ISO 27001 informatiebeveiliging: revisie, certificering en implementa...Webinar ISO 27001 informatiebeveiliging: revisie, certificering en implementa...
Webinar ISO 27001 informatiebeveiliging: revisie, certificering en implementa...
Lloyd's Register Quality Assurance Nederland
 
(1) compliancemanagement bij twence 19 mei 2016
(1) compliancemanagement bij twence 19 mei 2016(1) compliancemanagement bij twence 19 mei 2016
(1) compliancemanagement bij twence 19 mei 2016
Geert Henk Wijnants
 
Beoordelingsformulier AMO_AO16-B1-K2_1.pdf
Beoordelingsformulier AMO_AO16-B1-K2_1.pdfBeoordelingsformulier AMO_AO16-B1-K2_1.pdf
Beoordelingsformulier AMO_AO16-B1-K2_1.pdf
YariMorcus
 
(4) 19 mei16 compliance en systeemgericht toezicht
(4) 19 mei16 compliance en systeemgericht toezicht(4) 19 mei16 compliance en systeemgericht toezicht
(4) 19 mei16 compliance en systeemgericht toezicht
Geert Henk Wijnants
 
NOREA Regiosessie Reglementen 2010
NOREA Regiosessie Reglementen 2010NOREA Regiosessie Reglementen 2010
NOREA Regiosessie Reglementen 2010
Jurgen van der Vlugt
 
Kader & Belang van testen - dS+V Gemeente Rotterdam
Kader & Belang van testen - dS+V Gemeente RotterdamKader & Belang van testen - dS+V Gemeente Rotterdam
Kader & Belang van testen - dS+V Gemeente Rotterdam
Ewald Roodenrijs
 
SE & BIM 2. SE kubus door Cees Michielsen van INCOSE-NL
SE & BIM 2. SE kubus door Cees Michielsen van INCOSE-NLSE & BIM 2. SE kubus door Cees Michielsen van INCOSE-NL
SE & BIM 2. SE kubus door Cees Michielsen van INCOSE-NL
CROW
 
Presentatie Evo 21 Sept 2010 Aandeel Mark Anneveld V2
Presentatie Evo 21 Sept 2010 Aandeel Mark Anneveld V2Presentatie Evo 21 Sept 2010 Aandeel Mark Anneveld V2
Presentatie Evo 21 Sept 2010 Aandeel Mark Anneveld V2
MarkAnneveld
 
Presentatie Evo 21 Sept 2010 Aandeel Mark Anneveld V2
Presentatie Evo 21 Sept 2010 Aandeel Mark Anneveld V2Presentatie Evo 21 Sept 2010 Aandeel Mark Anneveld V2
Presentatie Evo 21 Sept 2010 Aandeel Mark Anneveld V2
MarkAnneveld
 
Sogeti seminar Supplier Performance Measurement
Sogeti seminar Supplier Performance MeasurementSogeti seminar Supplier Performance Measurement
Sogeti seminar Supplier Performance Measurement
Harold van Heeringen
 
Presentatie supplier performance measurement door harold van heeringen van so...
Presentatie supplier performance measurement door harold van heeringen van so...Presentatie supplier performance measurement door harold van heeringen van so...
Presentatie supplier performance measurement door harold van heeringen van so...
sogeticommunication
 
TestNet Nj Event 2009 Test Value en Kza
TestNet Nj Event 2009 Test Value en KzaTestNet Nj Event 2009 Test Value en Kza
TestNet Nj Event 2009 Test Value en Kza
guestb49b99
 
VU Organisatie van het beroep Reglementering Deel I 21 mei 2010
VU Organisatie van het beroep Reglementering Deel I 21 mei 2010VU Organisatie van het beroep Reglementering Deel I 21 mei 2010
VU Organisatie van het beroep Reglementering Deel I 21 mei 2010
Jurgen van der Vlugt
 
Presentatie netq healthcare feb2013
Presentatie netq healthcare feb2013Presentatie netq healthcare feb2013
Presentatie netq healthcare feb2013
Sabine de Moor
 
Permanent open depot rijks in kpmg gebouw v0.3
Permanent open depot rijks in kpmg gebouw v0.3Permanent open depot rijks in kpmg gebouw v0.3
Permanent open depot rijks in kpmg gebouw v0.3
Jurgen van der Vlugt
 
IDC Amsterdam 2013 09 12 Smart Security Solutions require Ditto Designs
IDC Amsterdam 2013 09 12 Smart Security Solutions require Ditto DesignsIDC Amsterdam 2013 09 12 Smart Security Solutions require Ditto Designs
IDC Amsterdam 2013 09 12 Smart Security Solutions require Ditto Designs
Jurgen van der Vlugt
 

More Related Content

Similar to VU Uitvoering van de audit 28 mei 2010

Vakbewaamheid technisch beheerder | Duurzaam Doen Lezing
Vakbewaamheid technisch beheerder | Duurzaam Doen Lezing Vakbewaamheid technisch beheerder | Duurzaam Doen Lezing
Vakbewaamheid technisch beheerder | Duurzaam Doen Lezing
duurzame verhalen
 
NOREA Regiosessie Reglementen 2010
NOREA Regiosessie Reglementen 2010NOREA Regiosessie Reglementen 2010
NOREA Regiosessie Reglementen 2010
Jurgen van der Vlugt
 
Presentatie supplier performance measurement door harold van heeringen van so...
Presentatie supplier performance measurement door harold van heeringen van so...Presentatie supplier performance measurement door harold van heeringen van so...
Presentatie supplier performance measurement door harold van heeringen van so...
sogeticommunication
 
VU Organisatie van het beroep Reglementering Deel I 21 mei 2010
VU Organisatie van het beroep Reglementering Deel I 21 mei 2010VU Organisatie van het beroep Reglementering Deel I 21 mei 2010
VU Organisatie van het beroep Reglementering Deel I 21 mei 2010
Jurgen van der Vlugt
 

Similar to VU Uitvoering van de audit 28 mei 2010 (20)

Examineren kt3 tijdens de stage
Examineren kt3 tijdens de stageExamineren kt3 tijdens de stage
Examineren kt3 tijdens de stage
 
Instructiekaart externe auditor
Instructiekaart externe auditorInstructiekaart externe auditor
Instructiekaart externe auditor
 
2006-04-19 - Platform voor Informatiebeveiliging - Kwaliteit van Software in ...
2006-04-19 - Platform voor Informatiebeveiliging - Kwaliteit van Software in ...2006-04-19 - Platform voor Informatiebeveiliging - Kwaliteit van Software in ...
2006-04-19 - Platform voor Informatiebeveiliging - Kwaliteit van Software in ...
 
Vakbewaamheid technisch beheerder | Duurzaam Doen Lezing
Vakbewaamheid technisch beheerder | Duurzaam Doen Lezing Vakbewaamheid technisch beheerder | Duurzaam Doen Lezing
Vakbewaamheid technisch beheerder | Duurzaam Doen Lezing
 
Inspectie en Onderhoud Tunneltechnische Installaties
Inspectie en Onderhoud Tunneltechnische InstallatiesInspectie en Onderhoud Tunneltechnische Installaties
Inspectie en Onderhoud Tunneltechnische Installaties
 
Begroten van software projecten - Hogeschool Rotterdam gastcollege 05-11-2013
Begroten van software projecten - Hogeschool Rotterdam gastcollege 05-11-2013Begroten van software projecten - Hogeschool Rotterdam gastcollege 05-11-2013
Begroten van software projecten - Hogeschool Rotterdam gastcollege 05-11-2013
 
Webinar ISO 27001 informatiebeveiliging: revisie, certificering en implementa...
Webinar ISO 27001 informatiebeveiliging: revisie, certificering en implementa...Webinar ISO 27001 informatiebeveiliging: revisie, certificering en implementa...
Webinar ISO 27001 informatiebeveiliging: revisie, certificering en implementa...
 
(1) compliancemanagement bij twence 19 mei 2016
(1) compliancemanagement bij twence 19 mei 2016(1) compliancemanagement bij twence 19 mei 2016
(1) compliancemanagement bij twence 19 mei 2016
 
Beoordelingsformulier AMO_AO16-B1-K2_1.pdf
Beoordelingsformulier AMO_AO16-B1-K2_1.pdfBeoordelingsformulier AMO_AO16-B1-K2_1.pdf
Beoordelingsformulier AMO_AO16-B1-K2_1.pdf
 
(4) 19 mei16 compliance en systeemgericht toezicht
(4) 19 mei16 compliance en systeemgericht toezicht(4) 19 mei16 compliance en systeemgericht toezicht
(4) 19 mei16 compliance en systeemgericht toezicht
 
NOREA Regiosessie Reglementen 2010
NOREA Regiosessie Reglementen 2010NOREA Regiosessie Reglementen 2010
NOREA Regiosessie Reglementen 2010
 
Kader & Belang van testen - dS+V Gemeente Rotterdam
Kader & Belang van testen - dS+V Gemeente RotterdamKader & Belang van testen - dS+V Gemeente Rotterdam
Kader & Belang van testen - dS+V Gemeente Rotterdam
 
SE & BIM 2. SE kubus door Cees Michielsen van INCOSE-NL
SE & BIM 2. SE kubus door Cees Michielsen van INCOSE-NLSE & BIM 2. SE kubus door Cees Michielsen van INCOSE-NL
SE & BIM 2. SE kubus door Cees Michielsen van INCOSE-NL
 
Presentatie Evo 21 Sept 2010 Aandeel Mark Anneveld V2
Presentatie Evo 21 Sept 2010 Aandeel Mark Anneveld V2Presentatie Evo 21 Sept 2010 Aandeel Mark Anneveld V2
Presentatie Evo 21 Sept 2010 Aandeel Mark Anneveld V2
 
Presentatie Evo 21 Sept 2010 Aandeel Mark Anneveld V2
Presentatie Evo 21 Sept 2010 Aandeel Mark Anneveld V2Presentatie Evo 21 Sept 2010 Aandeel Mark Anneveld V2
Presentatie Evo 21 Sept 2010 Aandeel Mark Anneveld V2
 
Sogeti seminar Supplier Performance Measurement
Sogeti seminar Supplier Performance MeasurementSogeti seminar Supplier Performance Measurement
Sogeti seminar Supplier Performance Measurement
 
Presentatie supplier performance measurement door harold van heeringen van so...
Presentatie supplier performance measurement door harold van heeringen van so...Presentatie supplier performance measurement door harold van heeringen van so...
Presentatie supplier performance measurement door harold van heeringen van so...
 
TestNet Nj Event 2009 Test Value en Kza
TestNet Nj Event 2009 Test Value en KzaTestNet Nj Event 2009 Test Value en Kza
TestNet Nj Event 2009 Test Value en Kza
 
VU Organisatie van het beroep Reglementering Deel I 21 mei 2010
VU Organisatie van het beroep Reglementering Deel I 21 mei 2010VU Organisatie van het beroep Reglementering Deel I 21 mei 2010
VU Organisatie van het beroep Reglementering Deel I 21 mei 2010
 
Presentatie netq healthcare feb2013
Presentatie netq healthcare feb2013Presentatie netq healthcare feb2013
Presentatie netq healthcare feb2013
 

More from Jurgen van der Vlugt

VU Information Risk Management Security Management 2010 JvdV
VU Information Risk Management Security Management 2010 JvdVVU Information Risk Management Security Management 2010 JvdV
VU Information Risk Management Security Management 2010 JvdV
Jurgen van der Vlugt
 
Saxion Enschedé College Security 2009
Saxion Enschedé College Security 2009Saxion Enschedé College Security 2009
Saxion Enschedé College Security 2009
Jurgen van der Vlugt
 
NOREA Update congres 2007 incl notes
NOREA Update congres 2007 incl notesNOREA Update congres 2007 incl notes
NOREA Update congres 2007 incl notes
Jurgen van der Vlugt
 
Saxion Enschedé College Security 2010
Saxion Enschedé College Security 2010Saxion Enschedé College Security 2010
Saxion Enschedé College Security 2010
Jurgen van der Vlugt
 

More from Jurgen van der Vlugt (18)

Permanent open depot rijks in kpmg gebouw v0.3
Permanent open depot rijks in kpmg gebouw v0.3Permanent open depot rijks in kpmg gebouw v0.3
Permanent open depot rijks in kpmg gebouw v0.3
 
IDC Amsterdam 2013 09 12 Smart Security Solutions require Ditto Designs
IDC Amsterdam 2013 09 12 Smart Security Solutions require Ditto DesignsIDC Amsterdam 2013 09 12 Smart Security Solutions require Ditto Designs
IDC Amsterdam 2013 09 12 Smart Security Solutions require Ditto Designs
 
ISSA NL event 2013 06 06 Limits, Not Rails
ISSA NL event 2013 06 06 Limits, Not RailsISSA NL event 2013 06 06 Limits, Not Rails
ISSA NL event 2013 06 06 Limits, Not Rails
 
Wat ruist er door uw data-zee ISACA NL roundtable 2013 06 03
Wat ruist er door uw data-zee ISACA NL roundtable 2013 06 03Wat ruist er door uw data-zee ISACA NL roundtable 2013 06 03
Wat ruist er door uw data-zee ISACA NL roundtable 2013 06 03
 
Much Data 0.95
Much Data 0.95Much Data 0.95
Much Data 0.95
 
Risk Managers Of The Universe
Risk Managers Of The UniverseRisk Managers Of The Universe
Risk Managers Of The Universe
 
ACAM-VDA NOREA Adviesdiensten 21 juni 2012
ACAM-VDA NOREA Adviesdiensten 21 juni 2012ACAM-VDA NOREA Adviesdiensten 21 juni 2012
ACAM-VDA NOREA Adviesdiensten 21 juni 2012
 
ISSA ORM 2012 June 20 v0.3
ISSA ORM 2012 June 20 v0.3ISSA ORM 2012 June 20 v0.3
ISSA ORM 2012 June 20 v0.3
 
Adviesdiensten Norea Regio Noord 2012 05 10
Adviesdiensten Norea Regio Noord 2012 05 10Adviesdiensten Norea Regio Noord 2012 05 10
Adviesdiensten Norea Regio Noord 2012 05 10
 
Van Plank Misslaan Naar Spijker Op De Kop V0.3
Van Plank Misslaan Naar Spijker Op De Kop V0.3Van Plank Misslaan Naar Spijker Op De Kop V0.3
Van Plank Misslaan Naar Spijker Op De Kop V0.3
 
Down the Blind Alley (PDF)
Down the Blind Alley (PDF)Down the Blind Alley (PDF)
Down the Blind Alley (PDF)
 
Advies Assurance September 2011 V0.97
Advies Assurance September 2011 V0.97Advies Assurance September 2011 V0.97
Advies Assurance September 2011 V0.97
 
NGI Regio Rdam / Afd IT-A: Stuxnet - Beveiliging en Audit van Proces IT
NGI Regio Rdam / Afd IT-A: Stuxnet - Beveiliging en Audit van Proces ITNGI Regio Rdam / Afd IT-A: Stuxnet - Beveiliging en Audit van Proces IT
NGI Regio Rdam / Afd IT-A: Stuxnet - Beveiliging en Audit van Proces IT
 
VU Information Risk Management Security Management 2010 JvdV
VU Information Risk Management Security Management 2010 JvdVVU Information Risk Management Security Management 2010 JvdV
VU Information Risk Management Security Management 2010 JvdV
 
Saxion Enschedé College Security 2009
Saxion Enschedé College Security 2009Saxion Enschedé College Security 2009
Saxion Enschedé College Security 2009
 
NOREA Update congres 2007 incl notes
NOREA Update congres 2007 incl notesNOREA Update congres 2007 incl notes
NOREA Update congres 2007 incl notes
 
NOREA ALV Symposium Advies 2010
NOREA ALV Symposium Advies 2010NOREA ALV Symposium Advies 2010
NOREA ALV Symposium Advies 2010
 
Saxion Enschedé College Security 2010
Saxion Enschedé College Security 2010Saxion Enschedé College Security 2010
Saxion Enschedé College Security 2010
 

VU Uitvoering van de audit 28 mei 2010

  • 1. 1 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding Uitvoering van de audit De IT Audit Flow File: Uitvoering van de audit – IT audit flow 28 mei 2010 © 2010 Jan van Praat (MinJus) Jurgen van der Vlugt (Noordbeek) 28 mei 2010 2 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Programma • IQUIP smiley-model van een audit • Normen, maatregelen, werkprogramma • De rest van het werk
  • 2. 2 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 3 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Communication Structuring Investigation (IQUIP) Auditmodel Assignment SummariesApproach Research Report Findings 4 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Communication Structuring Investigation Communicatie Assignment SummariesApproach Research Report Findings Communication with client: manage expectation Quality Assurance
  • 3. 3 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 5 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Communication Structuring Investigation Communicatie (II) Assignment SummariesApproach Research Report Findings ToR Major issues Work programs 6 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Communication Structuring Investigation Quality Assurance Assignment SummariesApproach Research Report Findings Files Quality Assurance Internally: mgt of process quality
  • 4. 4 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 7 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Communication Structuring Investigation Quality Assurance Assignment SummariesApproach Research Report Findings 8 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Communication Structuring Investigation (IQUIP) Auditmodel, start Assignment SummariesApproach Research Report Findings
  • 5. 5 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 9 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Alles Communication Structuring Investigation Assignment SummariesApproach Research Report Findings ToR Major issues Work programs Communication with client: manage expectation Quality Assurance Files Internally: mgt of process quality 10 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow • Opdracht-intake / onderhoud Audit Universe • Auditobjecten bepalen • Kwaliteitsaspecten bepalen • Alleen high-level onderzoek (mogelijke auditability, scope, diepgang) • Control environment (‘cultuur’) • Management & financial control • Operations & process control • IT Control • Output: Offerte / Plan van Aanpak / Terms of Reference (Voorzover algemene aanduiding van de scope voldoet) • Soms geïntegreerd met Approach Assignment Assignment
  • 6. 6 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 11 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Scope van IT-audting ‘Business’ Information Mgt IT Strat Tact Oper IT-beveiliging 12 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Audit Universe • Manageable = ..? • Door auditor • Door auditee • Risk assessment / analysis • Prio’s … • Capaciteit versus Coverage
  • 7. 7 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 13 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Risico-analyse 14 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow • Frame of reference bepalen (normen - I) • Resources bepalen • Fasen en activiteiten vaststellen • Gedreven door een gedetailleerde risicoanalyse! • Aanwijzen kritieke auditobjecten ×××× kwaliteitsaspecten • Organisatie van de audit • Werkprogramma(s) op maat snijden • Gedetailleerde planning opstellen • Output: Terms of Reference (indien nu pas: gedetailleerd) • Output: Werkprogramma’s inclusief gedetailleerde planning Approach Approach
  • 8. 8 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 15 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Risico-analyse • Vóór insteken van de opdracht (op basis van / in audit universe) • Bij insteek van specifieke audit! • Gebieden waar op voorhand known unknowns zijn • … of gewoon lijstjes afvinken ..? 16 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow • Just do it (gedetailleerde werkprogramma’s) • Alléén ‘interviews en documentstudie’..? • Just do it (gedetailleerde werkprogramma’s) • Communiceer bedreigende issues met de klant • C-C-R-C-R Research Findings Research, Findings
  • 9. 9 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 17 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow • Indien het werkprogramma goed was gedetailleerd, • Combinatie bevindingen met auditobjecten, kwaliteitsaspecten en (de)compositie leidt ‘automatisch’ tot partiële, overall conclusies, restrisico’s, rating, eventuele tegenmaatregelen, aanbevelingen • Else • Kunst • Onafhankelijke harde woorden, stellingnames versus • Management van klantverwachtingen (verpakking van de boodschap) Summaries Summaries 18 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow • Niets bijzonders • Vormvereisten Report Report
  • 10. 10 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 19 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Communication Structuring Investigation Tijdsbesteding Assignment SummariesApproach Research Report Findings 20% (5%) 40% (20%) 10% (30%) 10% (40%++) 10% (25%++) 10% (15%) 20 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Opdrachtaanvaarding • Richtlijn (210) Opdrachtaanvaarding – aanstaande • Doel van de opdracht • Het object van onderzoek • Doelgroep rapportage en de gehanteerde toetsingsnormen • Toegang tot toereikende informatie • Zekerheidsniveau en product (rapportage) van de audit • Ander college
  • 11. 11 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 21 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Over normen Completeness Reliability Coherency (Structure) Structuredness Understandability Quality Criteria AToR 1 4 8 7 5 2 3 ISAE 2000 (2003)/ Boehm et al (1978) ISAE 2000 (2003) Boehm et al. (1978) ISAE 2000 (2003)/ Boehm et al. (1978) Sherwood et al. (2005) & Poulin et al. (1993) Trendowicz et al. (2003) Jonassen (2000) 9 Engels et al. (2002) Criteria: Structure of AToRCriteria: Content of AToR ISAE 2000 (2003) 10 Coherency (Content) Consistency Criterion: Form Boehm et al. (1978) 11 Legend: Integratedness 6 ReusabilityTransparency Relevance ISAE 2000 (2003) Neutrality © W.N. Baldewpersad Tewarie 22 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Normen aan normen © W.N. Baldewpersad Tewarie
  • 12. 12 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 23 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Normen aan normen – concreet • Aard: Objectief / subjectief; Wettelijk / aangedragen / ‘best’(??) practice / standaard • Bronnen: Opdrachtgever / andere belanghebbenden / wetgeving / auditor / …. • Voorwaarden: Relevant, toereikend, eenduidig, meetbaar • Reikwijdte (scope van de audit ..?) • Oordeel: Kwalitatief / kwantitatief, Absoluut (hard) / relatief 24 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow ‘Best Practices’ … • In het land der blinden is eenoog best • Mythe van vergelijkbaarheid omstandigheden • Worden soms formele standaard(en) • ISO 2700x, 20000, etc. • Toevalligheden gecodificeerd • Stapje minder nog …: ‘Sound practices’
  • 13. 13 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 25 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Normen, van opdrachtgever of auditee • PRIMAIR de normen van de opdrachtgever gebruiken • (H)erkend door auditee …!? • Toets toepasbaarheid etc. • Discussieer (dat is wat anders dan toesturen) en krijg goedkeuring (dat is wat anders dan overeenstemming) over eventuele aanvullingen of interpretaties • Alleen als opdrachtgever geen normen heeft, ook niet van de auditee, dan pas door auditor aan te dragen • (H)erkend door auditee …!? • Toets toepasbaarheid etc. • Discussieer (dat is wat anders dan toesturen) en krijg goedkeuring (dat is wat anders dan overeenstemming) over eventuele aanvullingen of interpretaties 26 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Waarom des opdrachtgevers Des opdrachtgevers, met instemming (veto) auditee: • Voldoen aan normen is alleen mogelijk als die normen van tevoren bekend waren …! • Anders is de audit alleen maar hinderlijk, of hooguit als nulmeting geschikt • Houdt rekening met alle belangen, zeker als de consequenties van findings mogen worden verondersteld bekend te zijn!
  • 14. 14 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 27 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Normen: Concreet (= abstract) • CHA-18 ANALYSEREN VERZOEK De organisatie toetst het wijzigingsverzoek op volledigheid en correctheid, en maakt een inschatting of de indiener de risico’s correct heeft weergegeven en de rollback adequaat heeft gespecificeerd conform de geschetste risico’s • REL-13 OPNEMEN IN BUNDEL De organisatie neemt de update op in een aanstaande releasebundel, rekening houdend met de samenhang en noodzakelijke volgorde binnen de update en met andere updates in de releasebundels 28 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow OBW • Opzet →→→→ van het stelsel! Dus niet alleen ‘er zijn normen’ of ‘er is een ontwerp’ Maar: Brengt het stelsel, mits geïmplementeerd, control? (Waaronder: opvang uitzonderingen, op diverse niveau’s; zelfcorrectie) • Bestaan →→→→ van het stelsel in de praktijk, dus niet alleen op papier! • Werking →→→→ van het stelsel !!! • ‘Werking is herhaald vaststellen van bestaan’ ? • Herhaald vaststellen = hooguit 20% • Deugdelijke opzet (zelfcorrectie) = meer dan 80%
  • 15. 15 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 29 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Van normen naar maatregelen • Vertaling van normen naar maatregelen had de lijn al hebben moeten doen • Liefst inclusief aantoonbaarheidszaken • Maatregelen van de lijn overnemen • Toets toepasbaarheid v.v. norm, ‘volledigheid’ t.a.v. dekking van de norm • Alleen als lijn geen maatregelen heeft, dan pas door auditor aan te dragen • (H)erkend door auditee …!? • Toets toepasbaarheid etc. • Discussieer (dat is wat anders dan toesturen) en krijg goedkeuring (dat is wat anders dan overeenstemming) over eventuele aanvullingen of interpretaties • Open voor interpretatie, vervangende controls, etc.! • Controls: normen of maatregelen …? 30 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Werkprogramma • Werkprogramma = selectie (!) van maatregelen aan de hand waarvan het voldoen aan de norm wordt vastgesteld • Selectie op basis van risico-analyse, representativiteit voor behalen norm, etc. • (Wettelijke vereisten vasthouden, maar die zijn zelden gedetailleerd) • Bedenk: AR = IR xxxx ICR xxxx DR Auditrisico, inherent risico, interne- controlerisico, detectierisico • Wat is ‘material misstatement’ bij de IT- auditor ..? Toleranties ..?
  • 16. 16 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 31 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Certificering • Gecertificeerde auditors • Geaccrediteerde auditors, Gecertificeerde auditees • Accreditatie als gecertificeerde certificeerder • Scope-bepaling – hoe (SoA, onderhandeling) • Scope en rapport • Certificaat en onafhankelijkheid • Normen? Maatregelen! 32 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow 3402 • ISAE 3402, Assurance Reports on Controls at a Third Party Service Organization • ‘Vervangt’ SAS70 • Type I, II (OB, OW) →→→→ • Type A, B (OB, OW) • Receiving auditor besteedt auditwerk in service organisatie uit aan service auditor (ISAE 402) • Resulteert in rapport van bevindingen • Dus geen interpretaties, conclusies of iets dergelijks! • Is dus GEEN TPM • Ontvangende auditor moet werk zelf opnemen in overall plaatje • Afspraken over inhoud! • (Of hoe gaat dat bij Direct Reporting ..?)
  • 17. 17 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 33 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow ‘Controletechnieken’ • Directe en indirecte controle • Volkomen, volledige en fragmentarische controle Volkomen: Rationeel controledoel Volledig: Alles Volmaakt: …? • Totaal- en detailcontrole • Integrale en partiële controle: gehele verzameling, of alleen deelwaarneming: • Posten, waarde-eenheden • Steekproeven • 80/20 / (risicogebaseerde) kritische deelwaarneming, blokmethode (periode) • Positieve en negatieve controle: juistheid, volledigheid • Formele en materiële controle 34 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Controlemiddelen • ‘Interviews en documentstudie’ en …? • Onderzoek van de interne organisatie (AO/IC) • Cijferbeoordeling • Verbandscontrole • Externe bescheiden en interne vastleggingen (bewijsstukken) • Normen (interne doelstellingen) • Bestaanscontrole (inventarisatie, waarneming ter plaatse, afloopcontrole, saldobevestigingen, ontstaanscontrole, overige) • Inlichtingen van de gecontroleerde • Overige (attestatie de vita, verklaringen van andere accountants, van actuarissen)
  • 18. 18 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 35 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Of, zoals voor ons relevante controlemiddelen • Verificatie • Waarnemingen ter plaatse • Bevestiging • Herberekening • Opnieuw uitvoeren • Analyse • Het inwinnen van inlichtingen 36 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow ‘Interviews en documentstudie’ • Inlichtingen van de gecontroleerde: Betrouwbaarheid ?? (zie paper) • Bewijsstukken en overige vastleggingen: • Extern > Intern • Intern > AO • (Schriftelijk > mondeling) • Voorbeelden: Van alles en nog wat • Eigen waarneming ter plaatse • Handelingen zien • Onderzoeken van objecten (administratie, deliverables, fysiek) Waaronder steekproeven • Inventarisatie, proceduretests, lijncontrole
  • 19. 19 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 37 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Steekproeven • Geen absolute zekerheid • Toetsen of schatten ..? • Uitspraken op basis van • Tolerantie van fouten in parameterschattingen (‘normale’ verdeling ?) • Betrouwbaarheid (foute conclusie over hypothesen) • Attributief: Kwalitatief, tellen van aantal keer voorkomen van een attribuut bij objecten • Variabel: Kwantitatief (μμμμenσσσσ) over kwantitatief • Nauwkeurigheid versus betrouwbaarheid 38 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Meer over Controle • http://www.elementairetheorieaccountantscontrole.noordhoff.nl/ • Elementaire kennis Accountantscontrole, NIVRA / Wolters-Noordhoff (Marktplaats t.e.a.b…)
  • 20. 20 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 39 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Audit automation →→→→CAATs • Computer Assisted Audit Techniques alleen mogelijk bij: • Voldoende grote gegevensbestanden • Voldoende heterogeniteit in de massa • Voldoende binding met doel • Selecteren Sorteren en samenvatten Vergelijken Rekenen Statistische berekeningen Steekproeven 40 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Controlemix • Het geheel van de gekozen (!) controlemiddelen en –technieken • Reikwijdte • Toepasbaarheid • Effectiviteit • Nauwkeurigheid • Efficiency • Socio-psychologische effecten • Effectief en efficiënt (volkomen) • Nogmaals: AR = IR xxxx ICR xxxx DR = ...?
  • 21. 21 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 41 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Blijf denken 42 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Alles op een hoop: Het Rotterdamse model Auditontwerp = • Auditdoelstelling • Auditmodel • Beoordelingscriteria • Begripsbepaling en operationalisering • Auditmateriaal • Auditstrategie • Verwerking gegevens en oordeelsvorming • Rapportage • Auditplanning Conceptueel ontwerp Technisch ontwerp
  • 22. 22 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 43 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Veldwerk • Just do it … of ..? 44 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Bevindingen
  • 23. 23 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 45 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Bevindingen afstemmen! • Bevindingen afstemmen met ‘bronnen’ • Gespreksverslagen →→→→ Veel werk (maar kort, mag) →→→→ Geïnterviewde heeft laatste woord! →→→→ Niet alsnog dingen erbij slepen ..! • Bepaal relevantie van bevinding ten aanzien van effectiviteit maatregel(en), norm(en) • Criteria Condition Residual risk Cause Recommendation • Geen symptomen maar gebreken – in de beheersing 46 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Bevindingen
  • 24. 24 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 47 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Rapportage – Vereisten • Opschrift • Doelgroep • Opdracht,onderzoeksobject en moment/periode • Reikwijdte onderzoek (kwaliteitsaspecten,normen, diepgang) • Verantwoordelijkheden en werkzaamheden • Oordeel • Beperkingen • Ondertekening 48 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Oordelen • 4 Strekkingen van oordelen • Elementen Richtlijn en kernwoorden • Bijvoorbeeld goedkeurend • Voldoet aan gestelde normen
  • 25. 25 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 49 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Rapportage 50 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Rapportage …? • ‘Standaard’ versus Project Reviews • Standaard: • Beheer-georiënteerd • Van A tot Z • Project Review: • Project-georiënteerd • Alles behalve (?) Z • Gateway: • A, B, C etc. • Maar ‘niks’ ertussen • ‘Peer review’ ..? Communication Structuring Investigation Assignment SummariesApproach Research Report Findings ToR Major issues Work programs
  • 26. 26 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 51 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow En dan …? • Richtlijn (230) Documentatie • Niet ‘dossiervorming’ • Tot volgende week (?) 52 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Op naar de volgende audit