804_scriptie_tjeerdsma_blokker_definitieve versie - Vurore
804_scriptie_tjeerdsma_blokker_definitieve versie - Vurore
804_scriptie_tjeerdsma_blokker_definitieve versie - Vurore
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Nadelen:<br />
• Geen inzicht of de juiste kennis op de juiste plaats wordt ingezet. Op deze manier is er geen sprake van<br />
optimalisatie van de kennis;<br />
• Er is geen onderhoud van kennis. Door EDP auditors vaak in te zetten bij geïntegreerde audits is het<br />
moeilijk om kennis uit te wisselen. Als EDP auditors in een team van EDP auditors werken is kennis<br />
onderhoud en overdracht eenvoudiger.<br />
2. Welke type audits vinden er plaats? En welke andere werkzaamheden (advies, speciale onderzoeken, due<br />
diligence, sox, sas, etc)?<br />
Binnen het Ministerie van Justitie worden veel adviesopdrachten uitgevoerd, met daarnaast veel speciale<br />
onderzoeken naar bijvoorbeeld ketens en integriteit. Binnen het Ministerie van Justitie vinden geen due diligence<br />
en Soxa audits plaats.<br />
3. Wie voert welke type audit uit?<br />
In de praktijk komt het er op neer dat de operationele audits door zowel operational als IT auditors worden<br />
uitgevoerd. Audits met veel IT componenten worden toch door EDP auditors uitgevoerd, bijvoorbeeld een audit<br />
naar de fysieke beveiliging van het datacentrum.<br />
4. Is er specifieke kennis van IT nodig?<br />
Specifieke IT kennis is binnen de Departementale Audit Dienst van het Ministerie van Justitie niet echt nodig. De<br />
datacenters zijn voornamelijk gericht op midrange systemen, er zijn geen mainframes bijvoorbeeld. Hierdoor is<br />
geen specialisatie van IT auditors noodzakelijk.<br />
5. Wie voert de echte technische audits uit, bijv. firewall settings/netwerk/etc?<br />
IT audits waarbij specialisme noodzakelijk is worden voornamelijk uitgevoerd door EDP auditors uit de EDP<br />
pool. In het geval dat er geen resource beschikbaar is met het gewenste specialisme is het mogelijk om extern in<br />
te huren. De EDP pool is opgebouwd uit specialisten, de Departementale Audit Dienst van het Ministerie van<br />
Justitie is opgebouwd uit generalisten.<br />
6. Worden er General IT audits gedaan en door wie?<br />
Er worden door de Departementale Audit Dienst General IT audits uitgevoerd. De EDP auditors voeren deze<br />
audits uit. Het komt zelden voor dat een operational auditor een General IT audit uitvoert.<br />
7. Wie controleert de logische toegangsbeveiliging?<br />
Evenals bij General IT controls, worden de EDP auditors ingezet op audits naar de logische toegangsbeveiliging.<br />
8. Hoe zijn de audit programma’s opgesteld en hoe komen daar de verschillende disciplines in terug<br />
(geintegeerd of specifiek)?<br />
Bij de Departementale Audit Dienst worden geen standaard audit programma’s ontwikkeld en gebruikt. Bij<br />
aanvang van een audit wordt een Plan van Aanpak opgesteld. In het Plan van Aanpak worden de objecten welke<br />
geaudit dienen te worden meegenomen. Ook bij de jaarrekening controle wordt er geen gebruik gemaakt van een<br />
standaard audit programma. Volgens Jan is standaardisatie complexer door de vele speciale onderzoeken welke<br />
uitgevoerd worden. Wel is Jan van mening dat er standaard audit programma’s opgesteld en gebruikt zouden<br />
moeten worden.<br />
9. Welke eisen stelt u aan de medewerkers qua opleiding, ervaring, kennis, etc?<br />
Bij de audit dienst wordt gesteld dat de vooropleiding op academisch niveau is, met een enigszins relevante<br />
richting zoals Informatica, Bedrijfskunde etc. Vervolgens is het verplicht om een post doctorale audit opleiding te<br />
volgen.<br />
45