[Jaar]

Samenvatting IT audit

Steven van Dijck

[Bedrijfsnaam]
[Datum]
Hoofdstuk 1:

1.1

- IT auditing definitie
o Het vakgebied dat zich bezighoudt met het geven van assurance en advisering over
het (toekomstige) gebruik van informatie- en communicatietechnologieproducten
in organisaties. Het doel hiervan is kwalitatief en/ of kwantitatief een bijdrage
leveren aan een toereikende organisatie van inforamtievoorziening, waarbij de
doelstellingen van de opdrachtgever gerealiseerd worden.
- Kenmerken van ICT auditing
o Er wrodt zekerhied geboden
o Objecten die betrekking hebben op de organisatie van de ICT (het gebruik) of de ICT
producten zelf

1.2 eerste deel

- Hier wordt aandacht besteed aan auditing meer in algemene zin

- Definitie auditing volgens ISO normen
o Auditing is het systematisch, onafhankelijk en gedocumenteerd proces voor het
verkijgen van auditbewijsmateriaal en het objectief beoordelen daarvan om vast te
stellen in welke mate aan overeengekomen auditcriteria is voldaan
▪ Elementen
• Oordeel
o De auditor moet conclusies trekken
• Het onderzoeksobject
o De auditor moet zich een oordeel vormen ten aanzien van
een object
- Kenmerken qua houding van een auditor
o Deskundig
o Onpartijdig
o Onafhankelijk
- Aspecten van audit proces
o Systematisch
o Gedocumenteerd
o Auditbewijsmateriaal
o Audit criteria

Hoofdstuk 2:

- NOREA
o Waakt over de deskunigheid van de register edp auditors en bindt hen tevens aan
regels voor de beroepsuitoefening
- Doelstellingen van de Orde
o Het bevorderen van een goede beroepsuitoefening door de RE
o Het bevorderen van de verdere ontwikkeling van het vakgebied EDP auditing en van
het beroep van de RE
o Het bevorderen van relevante opleidingen, gericht op het op peil houden van de
deskundigheid van de leden
o Het behartigen van de belangen van de leden voor zover deze de beroepsuitoefening
raken
- IT assuranceopdracht
o Een opdracht waarbij een IT-auditor een conclusie formuleert die is bedoeld om het
vertrouwen van beoogde gebruikers.
- Verschillende soorten assurance
o Historische financiële inforamtie
o Overige fiananciële inforamite
o Niet-fiananciële inforamtie
o Systeem en processen
o Gedrag
- Vier soorten leden van de NOREA
o Gewone leden
▪ Afgestudeerd aan een door NOREA erkende universitarie opleidingen
o Ereleden
▪ Personen die zich voor de orde of voor het vakgebied van ICT auditing
bijzonder verdienstelijk hebben gemaakt
o Geassocieerde leden
▪ Personen die geen gewoon lid en geen aspirant lid van de NOREA zijn en die
naar het oordeel van het bestuur op enigerlei wijze verbonden zijn met h et
vakgebied ICT-auditing
o Aspirante leden
▪ Personen die meestal zullen studeren aan een door NOREA erkende
universitaire opleiding
- Organen van NOREA
o Het bestuur
▪ Heeft de dagelijkse leiding van de orde
o De raad voor beroepsethiek
▪ Bewaakt de actualiteit van het gedrags- en beroepsregels
o De raad van tucht
▪ Behandelt klachten die tegen registerleden of ereleden worden ingediend
o De raad van beroep
▪ Neemt bindende besluiten over bezwaarschriften
o De raad van advies
▪ Ingesteld om de algemene vergadering en het bestuur gevraagd en
ongevraagde te adviseren over zaken die de beroepsuitoefening van de RE
(Register EDP-auditers) raken.
- Huis van de NOREA
 - Het huis beschrijft de regelgeving van NOREA

Hoofdstuk 4:

• Audit proces in grote lijnen kunnen worden onderscheiden in

o Voorbereiding
▪ Afbakenen van de audit staat centraal
o Uitvoering
o Afronding

• Stappen van een audit proces

o Het doel van de opdracht

▪ Opdracht van een ICT auditor kan betrekking hebben op assurance, advies,
ondersteuning en uitvoering
o Verantwoordelijkheden van de ICT auditor
▪ Verantwoordelijkheid is dat de ICT auditor een conclusie geeft over het audit object
o Verantwoordelijkheden van de opdrachtgever
▪ Het getrouw weergeven van verantwoordingsinformatie over het auditobject,
zodanig dat deze geen afwijking van materieel belang als gevolg van fraude of fouten
bevat.
▪ Het waarborgen voor de vrije toegang van de ICT auditor tot alle personen,
informatiesystemen vastleggingen, documentatie en andere informatie die ze nodig
hebben voor de opdracht
▪ Het voldoen van het afgesproken honorarium
o De scope van de opdracht
▪ Wat behoort tot het auditobject en wat valt er buiten
o Onderzoeksperiode
▪ Betreft de periode waarop het onderzoek betrekking heeft.
o Kwaliteitsaspecten
▪ Waar het aan moet voldoen, welke kwaliteit het moet leveren.
o Context waarbinnen de opdracht plaatsvindt
▪ Auditor moet aan de volgende onderwerpen aandacht besteden
 • Belang van de opdrachtgever
• Aanwezigheid van bijzondere omstandigheden
• De fundamentele beginselen
o De te hanteren normering
▪ Normen zijn nodig om de werkelijkheid te kunnen vergelijken met een criterium
waarover vooraf afspraken zijn gemaakt
• Uitvoeringsnormen
o Gegeven voorschriften over de uitvoering van een audit
• Toetsingsnormen
o Normen op basis waarvan het audit object wordt beoordeeld
o Gewenste betrouwbaarheid evenals de bij het onderzoek te hanteren toleranties
o De aanpak
▪ Hierbij wordt aangegeven welke werkzaamheden in de tijd gezien worden
uitgevoerd en welke documenten, programmatuur, medewerkers, enz. wanneer
beschikbaar dienen te zijn.
o De doelgroep
▪ De rapportages van de auditor dient nadrukkelijk rekening ge worden gehouden met
de doelgroep.
o De vorm en wijze van rapporteren
o De beschikbaarheid van de documentatie en medewerkers van de opdrachtgever.
Hoofdstuk 5:

• Auditplan
o Het actieplan moet zodanig ingericht worden dat de auditactiviteiten doelmatig en in
overeenstemming met de vaktechnische vereiseten worden uitgevoerd.
• Auditplan omvat minimaal een beschrijving van
o De met de audit te bereiken doelstelling
o De activiteiten die worden uitgevoerd om de doelstellingen te kunnen bereiken
o De auditmiddelen die in het kader van dze activiteiten zullen worden ingezet
• Activiteiten waar de auditor rekening mee moet houden
o De bedrijfsprocessen evenals de toegepaste informatie en communicatie technologie
o Het object van ondrezoek
o De scope en reikwijdte van het onderzoek
o Auditrisk en materialiteit
o Aard, omvang en tijdstip van uitvoering van de werkzaamheden
o Coördinatie, leiding, toezicht en beoordeling

• Audit middelen verdelen in drie groepen

o Inlichtingen van gecontroleerde
▪ Tracht de auditor
• Inzicht te krijgenin de werkzaamheden in relatie tot het auditobject,
die de gecontroleerde in het kader van zijn functie uitvoert
• Inzicht te krijgen op welke wijze de gecontroleerde de uit zijn functie
voortvloeiende werkzaamheden daadwerkelijk uitvoert.
• Inzicht te verkrijgen in de oorzaken van verschillen tussen de
werkzaamheden die in het kader van de functie uitgevoerd zouden
moeten en de daadwerkelijk uitgevoerde werkzaamheden.
o Bewijsstukken en overige vastleggingen
▪ Bewijsstukken die de auditor kan gebruiken
• Mutatie verslagen
• Financiële verantwoordingen
 • Organisatie en bedrijfsbeschrijving
• Functie en taakbescherming
• Facturen
o Eigenwaarnemingen
▪ Eigenwaarnemingen door de auditor kunnen bestaan uit
• Het volgen van de handelingen van anderen die betrokken zijn bij de
uitvoering van een proces of een procedure
• Het al of niet met behulp van geautomatiseerde hulpmiddelen
onderzoeken van objecten
▪ Het gebruik van het auditmiddel eigen waarneming kan geschieden door
gebruik te maken van verschillende technieken
• Invetarisatie
• Proceduretests
• Lijncontrole
• Computer assisted audit tools and techniques
o Zijn het geheel van geautomatiseerde audit middelen die de auditor kan aanwenden
voor het verrichten van zijn werkzaamheden
• Dingen die het auditsoftware kunnen
o Selecteren, het inlezen van records en kijken of ze voldoen aan criteria
o Sorteren en samenvatten, ingelezen records te sorteren van hoog naar laag
o Vergelijken, vergelijken van gemeenschappelijke sleutels
o Rekenen, veelheid aan berekeningen te maken
o Statische berekeningen
o Steekproeven
• In de planningsfase geeft de auditer aan of er auditsoftware wordt ingezet
• De auditor moet de hiervoor behandelde auditmiddelen en technieken op zodanige wijze
inzetten dat
o Geen onduidelijkheid kan bestaan over het object van onderzoek
o De rationaliteit van de opdracht in relatie tot de probleemstelling
o Achteraf afstemming met de opdrachtgever mogelijk is
o Het normenkader kan worden geformuleerd, beoordeeld en vastgesteld

Hoofdstuk 6:

• Correctieve wijze van het opstellen van een conclusie bij mensen
o In beslissingssituaties worden rationaliteitsaxioma’s nogal eens geschonden als
gevolgen van
▪ De emotionele toestand waarin een individu op beslisingsmomenten
verkeert
▪ De wijze waarop de beslissingsprobleem is gestructureerd
▪ Menselijke beperkingen bij de gegevensverwerking
o Het vermogen om causale relaties te doorgronden in beperkt als gevolg van de
neiging te verbanden te willen leggen ook als deze verbanden er feitelijk niet zijn.
Het blijkt in dit kader ook moeilijk om door ervaring iets te leren. Oorzaken hiervan
zijn
▪ De resultaten van genomen beslissingen
▪ De neiging vooral gegevens te zoeken
• Drie vormen risico’s
o Inherente risico
▪ Betrekking op de mate waarin een auditobject gevoelig is voor storingen.
o Beheersingsrisico
▪ Afhankelijk van twee factoren
 • De structuur van de beheersingsmaatregelen
• De werking van de beheersingsmaatregelen
o Ontdekkingsrisico

• Beheersingsmaatregelen categoriseren
o Preventieve maatregelen
o Repressieve maatregelen
o Correctieve maatregelen
• Assurancerapporten
o Hier wordt het resultaat van de auditor gerapporteerd
• Eisen van een assurance rapport
o Communicatief verantwoord
o Vaktechnisch verantwoord
o Verwijzing naar de opdracht en de opdrachtgever
o Verwijzing naar de doelgroep
o Eenduidige identificatie van het object
o Scope en diepgang van het onderzoek
o Gehanteerde aanpak en werkwijze
o Conclusie
o Verwijzign naar de gehanteerde criteria
o Ondertekening en dag tekening

Hoofdstuk 7

- Kwaliteitsaspecten
o Effectiviteit
▪ De mate waarin geplande activiteiten worden gerealiseerd en gepalnde
resultaten worden behaald
o Efficiency
▪ De verhouding tussen de behaalde resultaten en de gebruikte middelen
o Betrouwbaarheid
▪ De mate waarin de gegevens in overeenstemming zijn met de feiten die zij
bedoelen weer te geven
o Continuiteit
▪ De mate waarin de gegevensverwerking ongestoord voortgang vindt
- Kwaliteitatributen (Specifiekere kwaliteitsaspecten
o Effectiviteit
▪ Onderhoudbaarheid
▪ Herbruikbaarheid
▪ Testbaarheid
▪ Portabiliteit
▪ Geschikthied infrastructuur
▪ Dekkingsgraad bedirjfsprocessen
▪ Ondersteuning besluitvorming
o Efficiency
▪ Gebruiksvriendelijkheid
▪ Zuinigheid
▪ Flexibiliteit
 ▪ Connectiviteit
o Betrouwbaarheid
▪ Juistheid
▪ Volledigheid
▪ Exclusiviteit
▪ Tijdigheid
▪ Controleerbaarheid
o Continuïteit
▪ Bedrijfszekerhied
▪ Robuustheid
▪ Herstelbaarheid
▪ Degradatiemogelijkheid
▪ Uitwijkmogelijkheid