DI Seminar Vreemde ogen dwingen

21 september 2009

Ministerie van Justitie

Auditors, zwart- of dwarskijkers?
Adri de Bruijn
Agenda

Auditing
Aandachtgebieden auditing
Auditstappen op hoofdlijnen
Auditors
Auditing en Gateway reviews
Auditing

Auditing is toetsen aan een norm

Vergelijken van de IST versus de SOLL  bevindingen  conclusies en

aanbevelingen

Andere begrippen:
Second opinion, review, contra-expertise, nulmeting, quick-scan etc.

Insteek:
-Rule based, zero tolerance versus Principle based, comply or explain
-Formeel versus Materieel/inhoudelijk

Auditors, zwart- of dwarskijkers? 21 september 2009

PricewaterhouseCoopers Slide 3
Aandachtsgebieden auditing

Ontleend aan Lessen uit ICT-projecten, deel A. Algemene Rekenkamer, 2008

Auditors, zwart- of dwarskijkers? 21 september 2009
PricewaterhouseCoopers Slide 4
Aandachtsgebieden auditing

-Stakeholderanalyse Haalbaarheidstoets
-Project- en programmamanagementmethode Projectbeheersing
-Portfoliomanagement IT Governance

- Businesscase en revenue Risico-analyse

-Toereikendheid/toekomstvastheid architectuur Architectuur control
-Programma van eisen, ontwerp, conversie, etc. Aanbestedingsdocumenten
-Implementatieproblematiek Sourcing
-Code review en security code review Pen tests, security
-Applicatie controles/functiescheidingen SAS 70 (ISAE 3402)
Ontleend aan Lessen uit ICT-projecten, deel A. Algemene Rekenkamer, 2008
- -
Auditors, zwart- of dwarskijkers? 21 september 2009
PricewaterhouseCoopers Slide 5
Audit stappen op hoofdlijnen

-Opdrachtgever, eventueel klankbord/begeleidingsgroep

-Bepalen object, invalshoek, tijdsmoment/periode (opzet, bestaan, werking)
-Referentiekader/normenkader
-Bepalen welke interviews, documentatie, testen, waarnemen etc.
-Uitvoeren interviews etc. (tell me, show me, prove me)
-Hoor en wederhoor van bevindingen
-Formuleren conclusies
-Rapportage

Auditors, zwart- of dwarskijkers? 21 september 2009

PricewaterhouseCoopers Slide 6
Auditors

Register EDP-auditor (RE)

- Eisen:
- opleiding IT auditing aan een van de vier universiteiten
- 3 jaar werkervaring
- Ingeschreven bij Nederlandse Orde van Register EDP-auditors (NOREA)
-Tuchtrecht
-Bijhouden vaktechniek
-Onpartijdig
-Onafhankelijk

Auditors, zwart- of dwarskijkers? 21 september 2009

PricewaterhouseCoopers Slide 7
Auditing en Gateway reviews

“Het is een kunde en een kunst om bestaande administratie-, informatie- en

organisatiesystemen te analyseren en te herstructureren voor
computerbewerkingen.
Om dit in de Rijksdienst te bereiken, moet aan tal van voorwaarden worden
voldaan.
.. Tenslotte zal de overheid moeten bewerkstelligen dat de kennis en
inventiviteit van de desbetreffende leiders en deskundigen in het
regeringsapparaat worden gestimuleerd door kennisneming van hetgeen
elders in de Rijkdienst en daarbuiten geschiedt en door gedachtenwisseling
daaromtrent met betrokkenen.”

Drs Th. J. Westerhout, Staatssecretaris van Binnenlandse Zaken, 1966

(ontleend aan Automatisering en Overheid, Markapocket 52, 1966)

Auditors, zwart- of dwarskijkers? 21 september 2009

PricewaterhouseCoopers Slide 8
Auditing en Gateway reviews

Verschillen of kunnen verschillen ten aanzien van onder andere:

- opdrachtgever
- object van onderzoek
- mate van diepgang:
- vastlegging in dossier/reproduceerbaarheid
- hoor en wederhoor
- wijze van rapportage,beschikbaarheid en verspreiding rapportage
- verantwoordingsmogelijkheid
- onderzoekers
- opleiding van de onderzoekers voor dit soort werk
- aantal onderzoeken/reviews per jaar
- normatiek of handreikingen
- (doorlooptijd)
-
Auditors, zwart- of dwarskijkers? 21 september 2009
PricewaterhouseCoopers Slide 9
Auditing en Gateway reviews

Verschillen of kunnen verschillen ten aanzien van onder andere:

- opdrachtgever
- object van onderzoek: waarborgen project/programma
- mate van diepgang:
- vastlegging in dossier/reproduceerbaarheid
- hoor en wederhoor
- wijze van rapportage,beschikbaarheid en verspreiding rapportage
- verantwoordingsmogelijkheid
- onderzoekers
- opleiding van de onderzoekers voor dit soort werk
- aantal onderzoeken/reviews per jaar
- normatiek of handreikingen
- (doorlooptijd)
-
-> Intervisie op bestuurlijk niveau door peers versus vaktechnische toets
door experts

Auditors, zwart- of dwarskijkers? 21 september 2009

PricewaterhouseCoopers Slide 10
Auditing en Gateway reviews

Is het òf òf of én én of én òf?

Auditors, zwart- of dwarskijkers? 21 september 2009

PricewaterhouseCoopers Slide 11
Auditing en Gateway reviews

Is het òf òf of én én of én òf?

Gateway reviews: kunnen de Senior Responsible Owner ondersteunen.

Daarmee onderdeel van het beheersingsproces
En onderdeel van de beoordeling van dit beheersingsproces
--> aandachtspunt: vastlegging

Auditing kan breder en dieper gaan en –indien nodig- voor verantwoording

gebruikt worden

Insteek voor beide: project/programma de goede weg helpen te gaan

Auditors, zwart- of dwarskijkers? 21 september 2009

PricewaterhouseCoopers Slide 12
 Adri de Bruijn
PricewaterhouseCoopers Advisory N.V.
020 – 568 4717 of 06 – 53 23 21 70
adri.de.bruijn@nl.pwc.com

© 2009 PricewaterhouseCoopers. All rights reserved. “PricewaterhouseCoopers” refers to the network

of member firms of PricewaterhouseCoopers International Limited, each of which is a separate and independent
legal entity. *connectedthinking is a trademark of PricewaterhouseCoopers LLP (US).