Professional Documents
Culture Documents
Samenvatting IT audit
1.1
- IT auditing definitie
o Het vakgebied dat zich bezighoudt met het geven van assurance en advisering over
het (toekomstige) gebruik van informatie- en communicatietechnologieproducten
in organisaties. Het doel hiervan is kwalitatief en/ of kwantitatief een bijdrage
leveren aan een toereikende organisatie van inforamtievoorziening, waarbij de
doelstellingen van de opdrachtgever gerealiseerd worden.
- Kenmerken van ICT auditing
o Er wrodt zekerhied geboden
o Objecten die betrekking hebben op de organisatie van de ICT (het gebruik) of de ICT
producten zelf
Hoofdstuk 2:
- NOREA
o Waakt over de deskunigheid van de register edp auditors en bindt hen tevens aan
regels voor de beroepsuitoefening
- Doelstellingen van de Orde
o Het bevorderen van een goede beroepsuitoefening door de RE
o Het bevorderen van de verdere ontwikkeling van het vakgebied EDP auditing en van
het beroep van de RE
o Het bevorderen van relevante opleidingen, gericht op het op peil houden van de
deskundigheid van de leden
o Het behartigen van de belangen van de leden voor zover deze de beroepsuitoefening
raken
- IT assuranceopdracht
o Een opdracht waarbij een IT-auditor een conclusie formuleert die is bedoeld om het
vertrouwen van beoogde gebruikers.
- Verschillende soorten assurance
o Historische financiële inforamtie
o Overige fiananciële inforamite
o Niet-fiananciële inforamtie
o Systeem en processen
o Gedrag
- Vier soorten leden van de NOREA
o Gewone leden
▪ Afgestudeerd aan een door NOREA erkende universitarie opleidingen
o Ereleden
▪ Personen die zich voor de orde of voor het vakgebied van ICT auditing
bijzonder verdienstelijk hebben gemaakt
o Geassocieerde leden
▪ Personen die geen gewoon lid en geen aspirant lid van de NOREA zijn en die
naar het oordeel van het bestuur op enigerlei wijze verbonden zijn met h et
vakgebied ICT-auditing
o Aspirante leden
▪ Personen die meestal zullen studeren aan een door NOREA erkende
universitaire opleiding
- Organen van NOREA
o Het bestuur
▪ Heeft de dagelijkse leiding van de orde
o De raad voor beroepsethiek
▪ Bewaakt de actualiteit van het gedrags- en beroepsregels
o De raad van tucht
▪ Behandelt klachten die tegen registerleden of ereleden worden ingediend
o De raad van beroep
▪ Neemt bindende besluiten over bezwaarschriften
o De raad van advies
▪ Ingesteld om de algemene vergadering en het bestuur gevraagd en
ongevraagde te adviseren over zaken die de beroepsuitoefening van de RE
(Register EDP-auditers) raken.
- Huis van de NOREA
- Het huis beschrijft de regelgeving van NOREA
Hoofdstuk 4:
o Voorbereiding
▪ Afbakenen van de audit staat centraal
o Uitvoering
o Afronding
• Auditplan
o Het actieplan moet zodanig ingericht worden dat de auditactiviteiten doelmatig en in
overeenstemming met de vaktechnische vereiseten worden uitgevoerd.
• Auditplan omvat minimaal een beschrijving van
o De met de audit te bereiken doelstelling
o De activiteiten die worden uitgevoerd om de doelstellingen te kunnen bereiken
o De auditmiddelen die in het kader van dze activiteiten zullen worden ingezet
• Activiteiten waar de auditor rekening mee moet houden
o De bedrijfsprocessen evenals de toegepaste informatie en communicatie technologie
o Het object van ondrezoek
o De scope en reikwijdte van het onderzoek
o Auditrisk en materialiteit
o Aard, omvang en tijdstip van uitvoering van de werkzaamheden
o Coördinatie, leiding, toezicht en beoordeling
Hoofdstuk 6:
• Correctieve wijze van het opstellen van een conclusie bij mensen
o In beslissingssituaties worden rationaliteitsaxioma’s nogal eens geschonden als
gevolgen van
▪ De emotionele toestand waarin een individu op beslisingsmomenten
verkeert
▪ De wijze waarop de beslissingsprobleem is gestructureerd
▪ Menselijke beperkingen bij de gegevensverwerking
o Het vermogen om causale relaties te doorgronden in beperkt als gevolg van de
neiging te verbanden te willen leggen ook als deze verbanden er feitelijk niet zijn.
Het blijkt in dit kader ook moeilijk om door ervaring iets te leren. Oorzaken hiervan
zijn
▪ De resultaten van genomen beslissingen
▪ De neiging vooral gegevens te zoeken
• Drie vormen risico’s
o Inherente risico
▪ Betrekking op de mate waarin een auditobject gevoelig is voor storingen.
o Beheersingsrisico
▪ Afhankelijk van twee factoren
• De structuur van de beheersingsmaatregelen
• De werking van de beheersingsmaatregelen
o Ontdekkingsrisico
• Beheersingsmaatregelen categoriseren
o Preventieve maatregelen
o Repressieve maatregelen
o Correctieve maatregelen
• Assurancerapporten
o Hier wordt het resultaat van de auditor gerapporteerd
• Eisen van een assurance rapport
o Communicatief verantwoord
o Vaktechnisch verantwoord
o Verwijzing naar de opdracht en de opdrachtgever
o Verwijzing naar de doelgroep
o Eenduidige identificatie van het object
o Scope en diepgang van het onderzoek
o Gehanteerde aanpak en werkwijze
o Conclusie
o Verwijzign naar de gehanteerde criteria
o Ondertekening en dag tekening
Hoofdstuk 7
- Kwaliteitsaspecten
o Effectiviteit
▪ De mate waarin geplande activiteiten worden gerealiseerd en gepalnde
resultaten worden behaald
o Efficiency
▪ De verhouding tussen de behaalde resultaten en de gebruikte middelen
o Betrouwbaarheid
▪ De mate waarin de gegevens in overeenstemming zijn met de feiten die zij
bedoelen weer te geven
o Continuiteit
▪ De mate waarin de gegevensverwerking ongestoord voortgang vindt
- Kwaliteitatributen (Specifiekere kwaliteitsaspecten
o Effectiviteit
▪ Onderhoudbaarheid
▪ Herbruikbaarheid
▪ Testbaarheid
▪ Portabiliteit
▪ Geschikthied infrastructuur
▪ Dekkingsgraad bedirjfsprocessen
▪ Ondersteuning besluitvorming
o Efficiency
▪ Gebruiksvriendelijkheid
▪ Zuinigheid
▪ Flexibiliteit
▪ Connectiviteit
o Betrouwbaarheid
▪ Juistheid
▪ Volledigheid
▪ Exclusiviteit
▪ Tijdigheid
▪ Controleerbaarheid
o Continuïteit
▪ Bedrijfszekerhied
▪ Robuustheid
▪ Herstelbaarheid
▪ Degradatiemogelijkheid
▪ Uitwijkmogelijkheid