IT Audit
PP Week 1 en 2
4.1 welke belanghebbenden bij it-audit zijn er? Alle gebruikers van
informatietechnologie en al degenen die daarvan afhankelijk zijn.
4.2.2 onderscheid in twee soorten criteria:
- Jure – of de-factostandaard. Algemeen aanvaarde criteria op grond van
wet- en regelgeving.
- Criteria ontwikkeld voor specifieke opdrachtssituaties.
voorbeelden van criteria:
- Wet- en regelgeving, zoals privacywetgeving en op gebied van corporate
governance.
- ISO-standaarden (softwarekwaliteit) (code voor informatiebeveiliging)
- Contractvoorwaarden (denk aan SLA’s)
- Best practices (interne beheersmaatregel voor software ontwikkeling
o PRINCE2: voor de beheersing van IT-projecten!
- Ontwerpspecificaties van een informatiesysteem
- Industriestandaarden als van VISA voor beveiliging, betalingstransacties
- Benchmarkgegevens
4.2.3 pag. 86; aantal adviesopdrachten kunnen noemen (3 stuks); weten wat
het advies/hulp kan zijn bij
- Implementatie
o Uitvoering brengen van een actieplan.
- due diligence
o IT-auditor wordt ingeschakeld bij fusie- en overnametrajecten om
onderzoek te verrichten naar de IT-aspecten
- Ondersteuning
o Is meestal in vorm van detachering, levert de IT-auditor capaciteit
en deskundigheid
- leveren van product (van de laatste 2 voorbeelden kunnen noemen)
o bijv. beveiligingsbeleid
o procedurehandboek
o calamiteitenplan
4.5
Outsourcing: computerverwerking aan een externe serviceorganisatie
overdragen
Belangrijkste vraagstukken bij uitbesteding ICT-diensten:
1. Welke leverancier heeft de beste prijs-kwaliteitsverhouding?
2. Hoe moeten de uitbestede en interne dienstverlening worden ontvlecht?
3. Hoe kan de uitbestedende organisatie er zeker van zijn dat de leverancier
zich aan de afspraken houdt?
Op welke wijze kan een IT-auditor helpen bij een outsourcingvraagstuk?
Adviesrol: helpen bij uitbestedingsbeslissing, selectie van de leverancier,
opstellen van uitbestedingsvoorwaarden, inrichting van nieuwe
beheersingsprocessen, fall-back en uitwijkscenario’s.
4.5.3 Jaarrekeningcontrole; samenwerking accountant en it-auditor
De ontstaansgrond van IT-auditing is door ondersteuning in de
jaarrekeningcontrole.
, De samenwerking tussen de accountant en de IT-auditor is niet expliciet
geregeld, geen richtlijnen.
Daarom niet duidelijk voor de Auditor welke criteria, er aan zit voor de
jaarrekening.
Het onderzoek heeft vooral betrekking op de beheersingsmaatregelen en niet op
het bestaan en de werking, rond de applicatie.
Wat is IT audit: Het beoordelen van de IT (niet controleren)
(onderzoek/conclusie)
- Betrouwbaarheid (Relevant, vergelijkbaarheid, integer, vertrouwelijkheid)
- Continuïteit
- Efficiency (Zo goedkoop mogelijk is, en zoveel mogelijk oplevert. Gericht
op de IT)
- Effectiviteit (It ten dienste van de bedrijfsdoelstellingen)
Jaarrekening controle, gebeurt eerst door een IT-auditor (interim controle) om te
checken of het goed gekeurd zal worden door de accountant aan het einde van
het jaar.
Werkwijze in beoordeling IT- in 3-fasen
Opzet = een plan, alle documenten waarin staat hoe je het geregeld wilt hebben.
Bijv. AO handboek
Bestaan = Invoeren van het plan, is het bekend en werkt iedereen er mee.
Werking= Hoe verlopen de dingen, wat gaat er goed, wat gaat er fout. Hoe werkt
het systeem?
Een niet geteste back-up is GEEN back-up
Soorten controls:
- User controls: Uitgevoerd door mensen. Door de User.
- Application controle: Door het systeem, is ook veel goedkoper, minder
man krachten nodig.
- General IT controle: Algemene automatiseringsmaatregel.
o procedures (beveiliging, beheer)
o systeemontwikkeling
o software
o hardware
o it personeel
Methoden van onderzoek:
- Accountant, Jaarrekening controle - interviews, met de belangrijkste
personen (sleutelpers)
- Bewijsmateriaal: Accountant, Controller niet. De logboeken van het
bewijsmateriaal wel voor controller interessant.
- Enquêtes – alleen door IT auditor. Bij grote automatiseringsproblemen en
willen van iedereen de mening
- Eigen waarneming – rond kijken.
- Testen en meten It auditor, niet ac en controller.
5.2
Goed doornemen en grote lijnen begrijpen en onthouden: De accountant moest
de controle van de jaarrekening doen, en hiervoor werden steeds vaker
auditsoftware toegepast. Deze accountants specialiseerde en verdiepte zich op
PP Week 1 en 2
4.1 welke belanghebbenden bij it-audit zijn er? Alle gebruikers van
informatietechnologie en al degenen die daarvan afhankelijk zijn.
4.2.2 onderscheid in twee soorten criteria:
- Jure – of de-factostandaard. Algemeen aanvaarde criteria op grond van
wet- en regelgeving.
- Criteria ontwikkeld voor specifieke opdrachtssituaties.
voorbeelden van criteria:
- Wet- en regelgeving, zoals privacywetgeving en op gebied van corporate
governance.
- ISO-standaarden (softwarekwaliteit) (code voor informatiebeveiliging)
- Contractvoorwaarden (denk aan SLA’s)
- Best practices (interne beheersmaatregel voor software ontwikkeling
o PRINCE2: voor de beheersing van IT-projecten!
- Ontwerpspecificaties van een informatiesysteem
- Industriestandaarden als van VISA voor beveiliging, betalingstransacties
- Benchmarkgegevens
4.2.3 pag. 86; aantal adviesopdrachten kunnen noemen (3 stuks); weten wat
het advies/hulp kan zijn bij
- Implementatie
o Uitvoering brengen van een actieplan.
- due diligence
o IT-auditor wordt ingeschakeld bij fusie- en overnametrajecten om
onderzoek te verrichten naar de IT-aspecten
- Ondersteuning
o Is meestal in vorm van detachering, levert de IT-auditor capaciteit
en deskundigheid
- leveren van product (van de laatste 2 voorbeelden kunnen noemen)
o bijv. beveiligingsbeleid
o procedurehandboek
o calamiteitenplan
4.5
Outsourcing: computerverwerking aan een externe serviceorganisatie
overdragen
Belangrijkste vraagstukken bij uitbesteding ICT-diensten:
1. Welke leverancier heeft de beste prijs-kwaliteitsverhouding?
2. Hoe moeten de uitbestede en interne dienstverlening worden ontvlecht?
3. Hoe kan de uitbestedende organisatie er zeker van zijn dat de leverancier
zich aan de afspraken houdt?
Op welke wijze kan een IT-auditor helpen bij een outsourcingvraagstuk?
Adviesrol: helpen bij uitbestedingsbeslissing, selectie van de leverancier,
opstellen van uitbestedingsvoorwaarden, inrichting van nieuwe
beheersingsprocessen, fall-back en uitwijkscenario’s.
4.5.3 Jaarrekeningcontrole; samenwerking accountant en it-auditor
De ontstaansgrond van IT-auditing is door ondersteuning in de
jaarrekeningcontrole.
, De samenwerking tussen de accountant en de IT-auditor is niet expliciet
geregeld, geen richtlijnen.
Daarom niet duidelijk voor de Auditor welke criteria, er aan zit voor de
jaarrekening.
Het onderzoek heeft vooral betrekking op de beheersingsmaatregelen en niet op
het bestaan en de werking, rond de applicatie.
Wat is IT audit: Het beoordelen van de IT (niet controleren)
(onderzoek/conclusie)
- Betrouwbaarheid (Relevant, vergelijkbaarheid, integer, vertrouwelijkheid)
- Continuïteit
- Efficiency (Zo goedkoop mogelijk is, en zoveel mogelijk oplevert. Gericht
op de IT)
- Effectiviteit (It ten dienste van de bedrijfsdoelstellingen)
Jaarrekening controle, gebeurt eerst door een IT-auditor (interim controle) om te
checken of het goed gekeurd zal worden door de accountant aan het einde van
het jaar.
Werkwijze in beoordeling IT- in 3-fasen
Opzet = een plan, alle documenten waarin staat hoe je het geregeld wilt hebben.
Bijv. AO handboek
Bestaan = Invoeren van het plan, is het bekend en werkt iedereen er mee.
Werking= Hoe verlopen de dingen, wat gaat er goed, wat gaat er fout. Hoe werkt
het systeem?
Een niet geteste back-up is GEEN back-up
Soorten controls:
- User controls: Uitgevoerd door mensen. Door de User.
- Application controle: Door het systeem, is ook veel goedkoper, minder
man krachten nodig.
- General IT controle: Algemene automatiseringsmaatregel.
o procedures (beveiliging, beheer)
o systeemontwikkeling
o software
o hardware
o it personeel
Methoden van onderzoek:
- Accountant, Jaarrekening controle - interviews, met de belangrijkste
personen (sleutelpers)
- Bewijsmateriaal: Accountant, Controller niet. De logboeken van het
bewijsmateriaal wel voor controller interessant.
- Enquêtes – alleen door IT auditor. Bij grote automatiseringsproblemen en
willen van iedereen de mening
- Eigen waarneming – rond kijken.
- Testen en meten It auditor, niet ac en controller.
5.2
Goed doornemen en grote lijnen begrijpen en onthouden: De accountant moest
de controle van de jaarrekening doen, en hiervoor werden steeds vaker
auditsoftware toegepast. Deze accountants specialiseerde en verdiepte zich op
