804_scriptie_tjeerdsma_blokker_definitieve versie - Vurore

More documents

Recommendations

Info

3.3.3 Normen Zoals reeds eerder beschreven, zijn normen nodig om de werkelijkheid te kunnen vergelijken met een criterium waarover vooraf afspraken zijn gemaakt. Volgens Van Praat en Suerink (2004) kan er onderscheid worden gemaakt tussen uitvoeringsnormen en toetsingsnormen. Uitvoeringsnormen geven voorschriften over de wijze waarop audit uitgevoerd moeten worden. In de statuten, reglementen, richtlijnen en aanbevelingen van de NOREA zijn de belangrijkste uitvoeringsnormen vastgelegd. Toetsingsnormen zijn normen op basis waarvan het audit object wordt beoordeeld. Algemene, veel gebruikte toetsingsnormen binnen de IT zijn CobiT, ITIL, Code voor Informatiebeveiliging, Capability Maturity Model en Prince2. Normen vanuit de wetgeving zijn bijvoorbeeld de Wet Bescherming Persoonsgegevens en de Wet Computercriminaliteit. CobiT is ontwikkeld vanuit een audit oogpunt voor het beheren van de informatietechnologie in organisaties. CobiT is opgebouwd uit een viertal domeinen, binnen deze domeinen zijn diverse processen en activiteiten gedefinieerd. ITIL (Information Technology Infrastructure Library) heeft als doel het bieden van ondersteuning bij het verbeteren van de efficiency en effectiviteit van de IT dienstverlening en het beheer van de IT Infrastructuur in organisaties. ITIL bestaat uit 7 sets op strategisch, tactisch en operationeel niveau. In de praktijk zijn meestal de Service Delivery en Service Support sets binnen een IT organisatie geïmplementeerd. De Code voor Informatiebeveiliging is oorspronkelijk ontwikkeld in het Verenigd Koninkrijk waar een aantal grote organisatie in het bedrijfsleven hun dagelijkse praktijk t.a.v. informatiebeveiliging hebben vastgelegd. Deze vastlegging (Code of Practice for Information Security) is later door het ministerie van Economische Zaken en in samenwerking met een groep bedrijven en organisaties in Nederland overgenomen. Inmiddels is de Code voor Informatiebeveiliging een algemeen aanvaarde standaard als het gaat om informatiebeveiliging. De code heeft als doel het verschaffen van een gemeenschappelijke basis voor bedrijven van waaruit deze effectieve codes voor informatiebeveiliging kunnen ontwikkelen, implementeren en meten en daarnaast het bevorderen van het vertrouwen in het handelsverkeer tussen bedrijven. Het Capability Maturity Model (CMM) is een model dat gebruikt wordt om verschillende niveaus in volwassenheid van het systeemontwikkelingsproces aan te merken. CMM bestaat uit 5 niveaus en ieder niveau bevat een reeks procesdoelen die kenmerkend zijn voor de betreffende fase van het systeemontwikkelingsproces. Prince2 is een procesmethodiek en heeft als doel het bieden van een structuur met richtlijnen en hulpmiddelen voor het beheerst opstarten, uitvoeren en afronden van projecten. Prince2 bestaat uit een achttal hoofdprocessen en een achttal componenten. 3.4 De IT auditor 3.4.1 Beroepsorganisatie De NOREA is de beroepsorganisatie voor IT auditors. De NOREA waakt over de deskundigheid van haar leden en bindt hen tevens aan regels voor de beroepsuitoefening. De NOREA kent op dit moment 1300 leden en ruim 500 aspirant leden. Toelating tot de NOREA is mogelijk wanneer een kandidaat is afgestudeerd aan een erkende (post) universitaire opleiding tot IT auditor en daarnaast over minimaal 3 jaar beroepservaring beschikt. Na inschrijving mogen de kandidaten de beschermde deskundigheidsaanduiding ‘RE’ voeren. Volgens het jaarboek 2006/2007 van de NOREA is de doelstelling van deze organisatie drieledig: 1. Het bevorderen van de kwaliteit van de beroepsuitoefening door de leden. De NOREA werkt deze doelstelling als volgt uit: • Beroepsreglementering: alle RE’s dienen zich te houden aan de Gedrags- en Beroepsregels (‘Code of Ethics’) en de daaruit voortvloeiende nadere beroepsreglementering in de vorm van 13
specifieke Reglementen, Richtlijnen en Aanbevelingen. De actualiteit van de relevante gedrags- en beroepsregels wordt bewaakt door de Raad voor Beroepsethiek; • Bewaking van de kwaliteit van de instroom van nieuwe RE’s. De Commissie van Toelating is hiermee belast; • Tuchtrecht: de NOREA kent een Raad van Tucht. Deze is belast met de behandeling van klachten die tegen RE’s worden ingediend; • Een verplichting tot voorgezette educatie: de RE’s zijn op grond van de Richtlijn Permanente Educatie verplicht jaarlijks 40 uur aan educatie te besteden zodat zij bijblijven op hun vakgebied; 2. Het bevorderen van de ontwikkeling van het vakgebied IT auditing en van het beroep RE door onder andere het organiseren van symposia, het in studiegroepen uitdiepen van vaktechnische onderwerpen en de uitgave van het NOREA blad ‘de EDP-Auditor’; 3. Het behartigen van de belangen van de leden voor zover deze de beroepsuitoefening raken. Hierbij wordt ondermeer gedacht aan het behartigen van de vaktechnische belangen van de RE’s in de richting van de overheid en andere beroepsorganisaties, het gevraagd en ongevraagd adviseren van de overheid met betrekking tot vraagstukken op het gebied van IT auditing en het geven van voorlichting betreffende het vakgebied IT auditing en het beroep RE aan leden en derden. 3.4.2 Eisen aan de IT auditor De NOREA geeft duidelijke richtlijnen ten aanzien van onder andere integriteit, objectiviteit, deskundigheid en zorgvuldigheid. Met name met het Reglement Beroepsuitoefening Register EDP auditors en het Reglement Gedrags- en Beroepsregels Register EDP auditors (GBRE), bewaakt zij het niveau van functioneren van de Register EDP auditors. Sinds juli 2006 is het GBRE vervangen door ‘Code of Ethics for IT auditors’. Deze Code of Ethics is gebaseerd op de Code of Ethics van de International Federation of Accountants (IFAC) en is een gedragscode die geldig is voor iedere IT auditor. De Code of Ethics geeft richtlijnen ten aanzien van: • Integriteit; • Objectiviteit; • Deskundigheid en Zorgvuldigheid; • Geheimhouding; • Professioneel gedrag. Integriteit Volgens Van Praat en Suerink wordt de integriteit van de IT auditor gewaarborgd door het zorgvuldig omgaan met en bewust zijn van de vooroordelen die hij kan hebben door zijn persoonlijke kennis en ervaring. De Code of Ethics geeft de volgende richtlijn: de IT auditor treedt eerlijk en oprecht op in beroepsmatige en zakelijke betrekkingen en vermijdt dat hij in verband wordt gebracht met informatie die naar zijn oordeel een bewering bevat die onjuist of misleidend is, op niet gefundeerde gronden is gedaan of niet volledig is of op meerdere manieren op te vatten is. Objectiviteit Zoals reeds eerder genoemd moet een auditor objectief zijn. De Code of Ethics stelt dat de IT auditor het niet accepteert dat zijn professioneel of zakelijk oordeel wordt aangetast door een vooroordeel, belangentegenstelling of ongepaste beïnvloeding door een derde. Daarnaast dient de IT auditor iedere situatie te vermijden die zijn professionele oordeelsvorming op een ongepaste wijze beïnvloedt. Deskundigheid en Zorgvuldigheid De Code of Ethics stelt dat de IT auditor zijn deskundigheid en vaardigheid op het niveau houdt dat vereist is om diensten te kunnen verlenen in overeenstemming met actuele ontwikkelingen in de praktijk, wetgeving en vaktechniek. Daarnaast dient de IT auditor zorgvuldig te handelen bij het verlenen van diensten en in overeenstemming met de van toepassing zijnde vaktechnische en overige beroepsvoorschriften. 14
Page 1 and 2: Een optimaal model van de inrichtin
Page 3 and 4: Management samenvatting Deze script
Page 5 and 6: Binnen onze scriptie vormt de eerst
Page 7 and 8: 2.2.3 Interne en externe audits Bin
Page 9 and 10: De veldwerkfase bestaat volgens hen
Page 11 and 12: 3 IT auditing 3.1 Inleiding Zoals e
Page 13: Ook deze vier categorieën van obje
Page 17 and 18: 4 Operational auditing 4.1 Inleidin
Page 19 and 20: werking) zullen alleen toevallig in
Page 21 and 22: 4.4.2 Eisen aan de operational audi
Page 23 and 24: 5 Het verschil en de overeenkomsten
Page 25 and 26: Onderstaand figuur geeft een weerga
Page 27 and 28: 5.6 De auditor De beroepsorganisati
Page 29 and 30: estuur van zijn organisatie en van
Page 31 and 32: Schematisch zien de resultaten met
Page 33 and 34: afgedekt moeten worden. De regio’
Page 35 and 36: 7 Conclusies en aanbevelingen 7.1 I
Page 37 and 38: 8 Evaluatie Bij het begin van het p
Page 39 and 40: BIJLAGEN A Vragenlijst Organisatie
Page 41 and 42: voor het model van Hubbing. Dit hou
Page 43 and 44: Ook binnen operational audit zijn e
Page 45 and 46: spelen. Er worden momenteel nieuwe

804_scriptie_tjeerdsma_blokker_definitieve versie - Vurore

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?