804_scriptie_tjeerdsma_blokker_definitieve versie - Vurore

More documents

Recommendations

Info

Andere toetsingscriteria die binnen ABN AMRO Bank worden gebruikt zijn: • De eigen ABN AMRO regels; • De sound practices die ook voor de bank kunnen gelden, zoals ITIL en de richtingbepalende criteria die komen van de Nederlandse Vereniging van Banken; • De sound practices uit het vakgebied zelf, zoals de ISACA, de NOREA en de NIVRA. Bij scheiding IT en operational audit: 1. Wat zijn de voor en de nadelen? Binnen Group Audit is er altijd een scheiding geweest tussen IT en operational audit. Hans is er ook een groot voorstander van. Zie ook zijn antwoord bij vraag 2 bij Interne audit organisatie. 2. Welke type IT/operational audits vinden er plaats? En welke andere werkzaamheden (advies, speciale onderzoeken, due diligence, sox, sas, etc) Binnen Group Audit vinden naast de eerder genoemde audits op de bestaande en op de veranderingssituatie, ook andere werkzaamheden plaats. Het gaat dan om onder andere sox testen, speciale onderzoeken en due diligence onderzoeken. 3. Is er een onderscheid binnen IT en operational audit (bijv. technical vs system, en proces en projecten, etc)? Zoals eerder aangegeven is er binnen IT audit een onderscheid tussen technical en system auditors en is er in het algemeen een onderscheid tussen audits op de bestaande situatie en op projecten. Daarnaast is er sprake van ander type specialisten, zoals specialisten met betrekking tot Finance, Risk en Compliance. Deze verschillen komen ook terug in de deskundigheidseisen (diploma’s en certificeringen) en het demonstreren en onderhouden van die deskundigheid. 4. Worden er General IT audits gedaan en door wie? De General IT audits worden in eerste instantie uitgevoerd door de technical auditors. Daar waar de system auditors General IT Controls meenemen in hun audits, dienen zij met de technical auditors af te stemmen en te toetsen of het nodig is dat zij dat doen en of zij het op de juiste wijze doen. De zuivere afdekking van een gebied en de eventuele overlap wordt niet bewaakt. Het is aan de competentie van de auditor om in te schatten hoe hiermee om te gaan. 5. Wie controleert de logische toegangsbeveiliging? Volgens Hans wordt de opzet en het bestaan van de logische toegangsbeveiliging met name getoetst vanuit de veranderingsaudits. Deze audits worden meestal uitgevoerd door een team van auditors, bestaande uit IT en operational auditors. De werking van de logische toegangsbeveiliging wordt primair door de operational auditors getoetst. 6. Vinden er gezamenlijke audits plaats? In welke gevallen? Hans geeft aan dat gezamenlijke audits een kwestie van definitie is. In principe is 30% van de tijd van de IT auditor gereserveerd voor participatie in operational audits, in verband met de wisselwerking vanuit de ervaringsuitwisseling en in verband met het behalen van een efficiency voordeel. Daarnaast vinden er gezamenlijke audits plaats zoals de landen audits, de veranderingsaudits en audits op speciale projecten (bijvoorbeeld Basel II). 7. Hoe zit het met de overlap gebieden, qua afstemming? Komt dit terug in de audit programma’s? Er is geen afstemming of bewaking met betrekking tot mogelijke overlap. Het is aan de regionale verantwoordelijke en het vaktechnische inzicht van de auditor om dit te doen. Binnen IT Audit worden op centraal niveau de audit programma’s voor de IT infrastructuur bewaakt door het zogenaamde Shared Services Counsel. Zij bepalen de inhoud en het model waarin de audit programma’s moeten passen (bijv. CobiT en ITIL). De input voor deze programma’s komt in principe van de specialisten. 41
Ook binnen operational audit zijn er centrale audit programma’s, maar deze worden niet zo strikt gehanteerd als die bij IT audit aangezien bij iedere operational audit het audit programma aan het object aangepast zal moeten worden. Alleen wanneer er sprake is van een specifieke centraal opgestelde audit programma dat regionaal getoetst moet worden wordt het programma aan de regio opgelegd. 8. Welke eisen stelt u aan de medewerkers qua opleiding, ervaring, kennis, etc? Group Audit stelt specifieke opleidingseisen per audit specialisme. Binnen Nederland dienen de auditors over een R-titel (RA, RO, RE of RC) te beschikken of er voor in opleiding te zijn. In de regio’s dienen de auditors over een C-titel te beschikken, bijvoorbeeld CIA, CPA, CMA of CISA. Iemand met de een R-titel kan ook audits binnen een ander specialisme doen, mits hij daarvoor de kennis en ervaring heeft en/of de wens zich daar verder in te ontwikkelen. Een RA-er die aan deze eis voldoet zou dus ook prima als technical auditor kunnen gaan werken. Nieuwe instroom heeft geen specifieke kennis nodig, wel zijn er eisen ten aanzien van vooropleiding in verband met het kunnen halen van de R-titel en het geschikt zijn voor het vakgebied in het algemeen. Dit laatste betekent dat hij zich zowel qua audit vaktechniek als qua aandachtsgebied de nodige kennis, kunde en ervaring moet kunnen opdoen. Doorstroming is ook belangrijk. Vanuit Group Audit stromen mensen door naar alle geledingen in de organisatie. Binnen Group Audit zelf vindt ook doorstroming plaats. Zo komt het voor dat IT auditors overstappen naar operational audit. Vanuit operational audit vindt de overstap naar IT audit veel minder vaak plaats. 9. Worden IT/ operational auditors ook ingezet op andere audits? En om wat voor een soort audits gaat dat dan? IT auditors draaien mee in operational audits. Vaak is het zo dat de IT Auditor naar de systemen of naar het Operating System kijkt. Het komt ook voor dat operational auditors bij een IT audit betrokken zijn, bijvoorbeeld bij een Business Continuity audit. 42
Page 1 and 2: Een optimaal model van de inrichtin
Page 3 and 4: Management samenvatting Deze script
Page 5 and 6: Binnen onze scriptie vormt de eerst
Page 7 and 8: 2.2.3 Interne en externe audits Bin
Page 9 and 10: De veldwerkfase bestaat volgens hen
Page 11 and 12: 3 IT auditing 3.1 Inleiding Zoals e
Page 13 and 14: Ook deze vier categorieën van obje
Page 15 and 16: specifieke Reglementen, Richtlijnen
Page 17 and 18: 4 Operational auditing 4.1 Inleidin
Page 19 and 20: werking) zullen alleen toevallig in
Page 21 and 22: 4.4.2 Eisen aan de operational audi
Page 23 and 24: 5 Het verschil en de overeenkomsten
Page 25 and 26: Onderstaand figuur geeft een weerga
Page 27 and 28: 5.6 De auditor De beroepsorganisati
Page 29 and 30: estuur van zijn organisatie en van
Page 31 and 32: Schematisch zien de resultaten met
Page 33 and 34: afgedekt moeten worden. De regio’
Page 35 and 36: 7 Conclusies en aanbevelingen 7.1 I
Page 37 and 38: 8 Evaluatie Bij het begin van het p
Page 39 and 40: BIJLAGEN A Vragenlijst Organisatie
Page 41: voor het model van Hubbing. Dit hou
Page 45 and 46: spelen. Er worden momenteel nieuwe

804_scriptie_tjeerdsma_blokker_definitieve versie - Vurore

Create successful ePaper yourself

Delete template?

Save as template?