804_scriptie_tjeerdsma_blokker_definitieve versie - Vurore
804_scriptie_tjeerdsma_blokker_definitieve versie - Vurore
804_scriptie_tjeerdsma_blokker_definitieve versie - Vurore
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
estaan van de logische toegangsbeveiliging wordt veelal getoetst vanuit een veranderingsaudit. De werking van<br />
de logische toegangsbeveiliging wordt primair getoetst door de operational auditors. De jaarrekening controle<br />
wordt door externe audit organisaties uitgevoerd.<br />
Departementale Audit Dienst Ministerie van Justitie<br />
Bij de interne audit dienst van het Ministerie van Justitie, de ‘Departementale Audit Dienst’, werken ongeveer<br />
40 medewerkers. Daarnaast kunnen ze aanspraak maken op 3.5 FTE uit de EDP audit pool en is er budget<br />
beschikbaar voor het inhuren van externen. De audit dienst is ingedeeld in een drietal (klantgerichte) clusters. Bij<br />
de Departementale Audit Dienst is er bewust voor gekozen om geen scheiding tussen operational en IT audit te<br />
hebben, aangezien dat beter is voor de carrière mogelijkheden van de auditors. Als voordelen voor de scheiding<br />
worden onder andere genoemd de mogelijkheid van het uitvoeren van geïntegreerde audits en het klantgericht, in<br />
plaats van productgericht, inrichten van de audit functie. Nadelen die worden genoemd zijn het moeilijk<br />
onderhouden van kennis en het ontbreken van inzicht in de optimale inzet van de (kennis van de) medewerkers.<br />
Hoewel er bij de Departementale Audit Dienst geen functioneel onderscheid is tussen IT en operational auditors,<br />
worden audits waarbij specialistische IT kennis nodig is toch voornamelijk uitgevoerd door IT auditors. De audits<br />
naar General IT Controls worden uitgevoerd door de IT auditors van de Departementale Audit Dienst. Het komt<br />
zelden voor dat een operational auditor een audit naar General IT Controls uitvoert. Hetzelfde geldt voor de<br />
logische toegangsbeveiliging. Er worden vrij veel project audits uitgevoerd en tevens vindt de jaarrekening<br />
controle plaats. Deze laatste wordt vooral door extern ingehuurde auditors uitgevoerd.<br />
6.3.2 Normen<br />
Onderstaand overzicht geeft schematisch weer welke normenkaders de twee audit diensten gebruiken:<br />
Group Audit ABN AMRO Departementale Audit Dienst Ministerie van Justitie<br />
Algemene normenkaders IT audit: CobiT<br />
Operational audit: COSO<br />
ITIL, CobiT en COSO<br />
Interne normenkaders Interne ABN AMRO regels Voorschrift Informatiebeveiliging Rijksdienst (VIR)<br />
Handboek Auditing Rijksoverheid<br />
Audit programma’s Standaard, centraal opgestelde audit<br />
programma’s toegesneden op audit<br />
Geen standaard audit programma’s<br />
Figuur 9: Overzicht van de gebruikte normenkaders binnen ABN AMRO en het Ministerie van Justitie<br />
Group Audit ABN AMRO<br />
Bij Group Audit vindt iedere audit plaats op basis van een, op de audit toegesneden, audit programma. Bij<br />
operational audit wordt COSO als algemeen normenkader gebruikt. Bij IT audit wordt CobiT als vertrekpunt en<br />
als referentie voor de toetsing van de volledigheid van het audit programma gebruikt. In beide gevallen geldt dat<br />
deze algemene normenkaders niet worden gehanteerd als richtinggevende normen. Andere toetsingscriteria die<br />
binnen ABN AMRO Bank worden gebruikt zijn de eigen ABN AMRO regels, algemene sound practices zoals<br />
ITIL, de richtingbepalende criteria die komen van de Nederlandse Vereniging van Banken en de sound practices<br />
uit het vakgebied zelf, zoals de ISACA, de NOREA en de NIVRA.<br />
Departementale Audit Dienst Ministerie van Justitie<br />
Bij de Departementale Audit Dienst worden als algemeen normenkader ITIL, CobiT en COSO gehanteerd.<br />
Daarnaast is er het Voorschrift Informatiebeveiliging Rijksdienst (VIR). Dit is het interne normenkader dat is<br />
gebaseerd op de Code voor Informatiebeveiliging. De Departementale Audit Dienst maakt geen gebruik van<br />
standaard audit programma’s. Wel is er een handboek Auditing Rijksoverheid waarin richtlijnen zijn opgenomen<br />
voor het uitvoeren van audits, zowel met betrekking tot de jaarrekeningcontrole als met betrekking tot de overige<br />
audits (IT en operational audits).<br />
6.3.3 De audit planning<br />
Group Audit ABN AMRO<br />
Binnen Group Audit is er een verschil tussen het opzetten van de planning van operational audits en het opzetten<br />
van de planning van de IT audits. De (regionale en centrale) operational audit teams bepalen zelfstandig hun<br />
planning op basis van risico analyses, terwijl er bij IT Audit centrale thema’s/objecten zijn bepaald die regionaal<br />
31