de beroepsorganisatie van IT-auditors
Praktijkervaringen nieuwe regelgeving NOREA
de beroepsorganisatie van IT-auditors
Re...
de beroepsorganisatie van IT-auditors
Agenda
1. Korte samenvatting nieuwe regelgeving
2. Dilemma’s bij toepassing van de n...
de beroepsorganisatie van IT-auditors
Kennismanagement NOREA
Strategie
Inrichting
Business
Informatie-
voorziening IT
Oper...
de beroepsorganisatie van IT-auditors
Ethiek
•C1 Raamwerk
Assurance-
opdrachten
•C2 Richtlijn
Assurance-
opdrachten
A1 Sta...
de beroepsorganisatie van IT-auditors
Inleiding: A-100.1-3
• Artikel A-100.1
De IT-auditor aanvaardt te allen tijde de ver...
de beroepsorganisatie van IT-auditors
A-100.10: Bedreigingenlijst
• Eigenbelang
• Zelftoetsing
• Belangenbehartiging
• Ver...
de beroepsorganisatie van IT-auditors
RBB
• Artikel 3. Krachtens het Reglement Beroepsbeoefening IT-auditors zullen ten
mi...
de beroepsorganisatie van IT-auditors
Audit en advies
•C1 Raamwerk
Assurance-
opdrachten
•C2 Richtlijn
Assurance-
opdracht...
de beroepsorganisatie van IT-auditors
Kenmerken assurance-opdracht
Definitie
Een ‘assurance-opdracht’ is een opdracht waar...
de beroepsorganisatie van IT-auditors
Opdrachtaanvaarding
Uitgangspunt
Een IT-auditor aanvaardt een assurance-opdracht
sle...
de beroepsorganisatie van IT-auditors
Opdrachtuitvoering
Controlemiddelen
• Verificatie
• Waarnemingen ter plaatse
• Beves...
de beroepsorganisatie van IT-auditors
Rapportage
Strekkingen oordelen
4 Strekkingen van oordelen
Elementen Richtlijn en ke...
de beroepsorganisatie van IT-auditors
Documentatie (Richtlijn 230)
• Voor alle werkzaamheden – adequate
documentatie verpl...
de beroepsorganisatie van IT-auditors
Casus Ethiek
•C1 Raamwerk
Assurance-
opdrachten
•C2 Richtlijn
Assurance-
opdrachten
...
de beroepsorganisatie van IT-auditors
Casus RG: Vragen
1. Bedreigingen fundamentele beginselen?
2. Waarborgen daartegen?
3...
de beroepsorganisatie van IT-auditors
Ethiek: Een kwestie van leiderschap
de beroepsorganisatie van IT-auditors
Opzet: ‘ H...
de beroepsorganisatie van IT-auditors
Casus RKBN
U bent verantwoordelijk voor een interne audit
organisatie waar een groep...
de beroepsorganisatie van IT-auditors
Casus RKBN: Sleutelwoorden
7. Interne kwaliteitstoetsing
8. Onafhankelijkheid
9. Kwa...
de beroepsorganisatie van IT-auditors
Casus assurance, audit en advies
1. Overig
2. Assurance
3. Audit
4. Advies
de beroep...
de beroepsorganisatie van IT-auditors
10 juni
• 10 juni a.s., 17:00u
Conferentiecentrum Zonheuvel, Doorn:
NOREA ALV (Richt...
de beroepsorganisatie van IT-auditors
Dank voor uw aandacht
Upcoming SlideShare
Loading in …5
×

NOREA Regiosessie Reglementen 2010

372 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
372
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

NOREA Regiosessie Reglementen 2010

  1. 1. de beroepsorganisatie van IT-auditors Praktijkervaringen nieuwe regelgeving NOREA de beroepsorganisatie van IT-auditors Regiobijeenkomst VUrORE Inleiders Drs. Rocco Jacobs RE EMIA (Rijksauditdienst) Ir. Drs. Jurgen van der Vlugt RE CISA (Noordbeek / VU)
  2. 2. de beroepsorganisatie van IT-auditors Agenda 1. Korte samenvatting nieuwe regelgeving 2. Dilemma’s bij toepassing van de nieuwe regelgeving • Casussen • Vragen ontvangen NOREA • Vragen deelnemers de beroepsorganisatie van IT-auditors Korte samenvatting nieuwe regelgeving (werk in uitvoering)
  3. 3. de beroepsorganisatie van IT-auditors Kennismanagement NOREA Strategie Inrichting Business Informatie- voorziening IT Operatie Beroepsorganisatie Wetgeving Regelgeving Auditorganisatie de beroepsorganisatie van IT-auditors Opzet: ‘ Het Huis’ •C1 Raamwerk Assurance- opdrachten •C2 Richtlijn Assurance- opdrachten A1 Statuten • A2 Huishoudelijk reglement • A3 Reglement van toelating • A4 Reglement Beroepsethiek • A5 Reglement van Tucht • A6 Reglement van beroep • A7 Richtlijn PE • A8 Regeling Over- stappers en herintreders B1 Reglement Gedragscode • E Advies Invulling in ontwikke- ling B2 Reglement Beroepsbeoefening • G Uitvoeringsrichtlijnen (Opdrachtaanvaarding, Documentatie) • H Handreikingen (ZekeRE Business, ZekeRE Zorg); studierapporten, Handboek en ‘De IT-Auditor’ B3 Reglement KwaliteitsBeheersing NOREA • D Audit Assessment Review Quick Scan Beoordeling Analyse • F ‘Niet-Actief’ (zoals In business of gepensioneerd) [Geen invulling] – [B2 en B3 n.v.t.]
  4. 4. de beroepsorganisatie van IT-auditors Ethiek •C1 Raamwerk Assurance- opdrachten •C2 Richtlijn Assurance- opdrachten A1 Statuten • A2 Huishoudelijk reglement • A3 Reglement van toelating • A4 Reglement Beroepsethiek • A5 Reglement van Tucht • A6 Reglement van beroep • A7 Richtlijn PE • A8 Regeling Over- stappers en herintreders • E Advies Invulling in ontwikke- ling B2 Reglement Beroepsbeoefening • G Uitvoeringsrichtlijnen (Opdrachtaanvaarding, Documentatie) • H Handreikingen (ZekeRE Business, ZekeRE Zorg); studierapporten, Handboek en ‘De IT-Auditor’ B3 Reglement KwaliteitsBeheersing NOREA • D Audit Assessment Review Quick Scan Beoordeling Analyse • F ‘Niet-Actief’ (zoals In business of gepensioneerd) [Geen invulling] – [B2 en B3 n.v.t.] B1 Reglement Gedragscode de beroepsorganisatie van IT-auditors Reglement Gedragscode (Code of Ethics) Hoofdstukindeling: • A-100 Inleiding en fundamentele beginselen • A-110 Integriteit • A-120 Objectiviteit • A-130 Deskundigheid en zorgvuldigheid • A-140 Geheimhouding • A-150 Professioneel gedrag
  5. 5. de beroepsorganisatie van IT-auditors Inleiding: A-100.1-3 • Artikel A-100.1 De IT-auditor aanvaardt te allen tijde de verantwoordelijkheid op te treden in het algemeen belang en behartigt dientengevolge niet uitsluitend de belangen van een individuele opdrachtgever. Daartoe neemt de IT-auditor bij zijn optreden deze Code in acht en handelt in overeenstemming daarmee. • Artikel A-100.3 Deze Code is van toepassing op iedere in het RE- register ingeschreven IT-auditor de beroepsorganisatie van IT-auditors A-110.4 Fundamentele beginselen • Integriteit • Objectiviteit • Deskundigheid en zorgvuldigheid • Geheimhouding • Professioneel gedrag
  6. 6. de beroepsorganisatie van IT-auditors A-100.10: Bedreigingenlijst • Eigenbelang • Zelftoetsing • Belangenbehartiging • Vertrouwdheid • Intimidatie de beroepsorganisatie van IT-auditors Reglement beroepsbeoefening •C1 Raamwerk Assurance- opdrachten •C2 Richtlijn Assurance- opdrachten A1 Statuten • A2 Huishoudelijk reglement • A3 Reglement van toelating • A4 Reglement Beroepsethiek • A5 Reglement van Tucht • A6 Reglement van beroep • A7 Richtlijn PE • A8 Regeling Over- stappers en herintreders B1 Reglement Gedragscode • E Advies Invulling in ontwikke- ling • G Uitvoeringsrichtlijnen (Opdrachtaanvaarding, Documentatie) • H Handreikingen (ZekeRE Business, ZekeRE Zorg); studierapporten, Handboek en ‘De IT-Auditor’ B3 Reglement KwaliteitsBeheersing NOREA • D Audit Assessment Review Quick Scan Beoordeling Analyse • F ‘Niet-Actief’ (zoals In business of gepensioneerd) [Geen invulling] – [B2 en B3 n.v.t.] B2 Reglement Beroepsbeoefening
  7. 7. de beroepsorganisatie van IT-auditors RBB • Artikel 3. Krachtens het Reglement Beroepsbeoefening IT-auditors zullen ten minste de volgende onderwerpen in nadere richtlijnen worden behandeld: • het raamwerk en de richtlijn voor assurance-opdrachten • opdrachtverwerving en -aanvaarding; • dossiervorming en -beheer; • rapportage en (verplichte formulering inzake) Oordelen • verplichte permanente educatie; • Artikel 5. Onderwerpen als bedoeld in de artikelen 3 en 4 met een dwingend karakter zullen nader worden uitgewerkt in door de Orde uit te geven Richtlijnen voor de IT-auditor. • Artikel 12. Handreikingen bevatten richtinggevende beschrijvingen van methoden, technieken of normen. Afwijkingen van een handreiking moeten worden gemotiveerd en gedocumenteerd. • Artikel 15. Naast de Richtlijnen (artikel 5) en handreikingen (artikel 10) worden de overige uitingen betreffende IT-audit als ‘studie' aangemerkt. de beroepsorganisatie van IT-auditors B2 Reglement Beroepsbeoefening RKBN •C1 Raamwerk Assurance- opdrachten •C2 Richtlijn Assurance- opdrachten A1 Statuten • A2 Huishoudelijk reglement • A3 Reglement van toelating • A4 Reglement Beroepsethiek • A5 Reglement van Tucht • A6 Reglement van beroep • A7 Richtlijn PE • A8 Regeling Over- stappers en herintreders B1 Reglement Gedragscode • E Advies Invulling in ontwikke- ling • G Uitvoeringsrichtlijnen (Opdrachtaanvaarding, Documentatie) • H Handreikingen (ZekeRE Business, ZekeRE Zorg); studierapporten, Handboek en ‘De IT-Auditor’ • D Audit Assessment Review Quick Scan Beoordeling Analyse • F ‘Niet-Actief’ (zoals In business of gepensioneerd) [Geen invulling] – [B2 en B3 n.v.t.] B3 Reglement KwaliteitsBeheersing NOREA
  8. 8. de beroepsorganisatie van IT-auditors Audit en advies •C1 Raamwerk Assurance- opdrachten •C2 Richtlijn Assurance- opdrachten A1 Statuten • A2 Huishoudelijk reglement • A3 Reglement van toelating • A4 Reglement Beroepsethiek • A5 Reglement van Tucht • A6 Reglement van beroep • A7 Richtlijn PE • A8 Regeling Over- stappers en herintreders B1 Reglement Gedragscode B2 Reglement Beroepsbeoefening • G Uitvoeringsrichtlijnen (Opdrachtaanvaarding, Documentatie) • H Handreikingen (ZekeRE Business, ZekeRE Zorg); studierapporten, Handboek en ‘De IT-Auditor’ B3 Reglement KwaliteitsBeheersing NOREA • F ‘Niet-Actief’ (zoals In business of gepensioneerd) [Geen invulling] – [B2 en B3 n.v.t.] • E Advies Invulling in ontwikke- ling • D Audit Assessment Review Quick Scan Beoordeling Analyse de beroepsorganisatie van IT-auditors Assurance A1 Statuten • A2 Huishoudelijk reglement • A3 Reglement van toelating • A4 Reglement Beroepsethiek • A5 Reglement van Tucht • A6 Reglement van beroep • A7 Richtlijn PE • A8 Regeling Over- stappers en herintreders B1 Reglement Gedragscode • E Advies Invulling in ontwikke- ling B2 Reglement Beroepsbeoefening • G Uitvoeringsrichtlijnen (Opdrachtaanvaarding, Documentatie) • H Handreikingen (ZekeRE Business, ZekeRE Zorg); studierapporten, Handboek en ‘De IT-Auditor’ B3 Reglement KwaliteitsBeheersing NOREA • D Audit Assessment Review Quick Scan Beoordeling Analyse • F ‘Niet-Actief’ (zoals In business of gepensioneerd) [Geen invulling] – [B2 en B3 n.v.t.] •C1 Raamwerk Assurance- opdrachten •C2 Richtlijn Assurance- opdrachten
  9. 9. de beroepsorganisatie van IT-auditors Kenmerken assurance-opdracht Definitie Een ‘assurance-opdracht’ is een opdracht waarbij een IT-auditor een conclusie formuleert die is bedoeld om het vertrouwen van de beoogde gebruikers, niet zijnde de verantwoordelijke partij, in de uitkomst van de evaluatie van of de toetsing van het object van onderzoek ten opzichte van de toetsingsnormen, te versterken. de beroepsorganisatie van IT-auditors Kenmerken assurance-opdracht De vijf elementen 1. Drie partijen 2. Een geschikt object van onderzoek 3. Toepasbare toetsingsnormen 4. Toereikende assurance-informatie 5. Een schriftelijk rapport
  10. 10. de beroepsorganisatie van IT-auditors Opdrachtaanvaarding Uitgangspunt Een IT-auditor aanvaardt een assurance-opdracht slechts indien aan alle ethische normen wordt voldaan en de opdracht de vereiste kenmerken bevat. Opdrachtbrief. de beroepsorganisatie van IT-auditors Opdrachtaanvaarding (Concept Richtlijn 210) Elementen opdrachtbrief • Doel van de opdracht • Het object van onderzoek • Doelgroep rapportage en de gehanteerde toetsingsnormen • Toegang tot toereikende informatie • Zekerheidsniveau en product (rapportage) van de audit
  11. 11. de beroepsorganisatie van IT-auditors Opdrachtuitvoering Controlemiddelen • Verificatie • Waarnemingen ter plaatse • Bevestiging • Herberekening • Opnieuw uitvoeren • Analyse • Het inwinnen van inlichtingen de beroepsorganisatie van IT-auditors Opdrachtuitvoering Bewijsstukken Inlichtingen van de verantwoordelijke partij • Eigen waarnemingen • Schriftelijke vastleggingen – Interne documentatie – Output uit het onderzochte systeem – Externe bescheiden
  12. 12. de beroepsorganisatie van IT-auditors Rapportage Strekkingen oordelen 4 Strekkingen van oordelen Elementen Richtlijn en kernwoorden (onderstreept) verplicht Bijvoorbeeld goedkeurend Voldoet aan gestelde normen de beroepsorganisatie van IT-auditors Rapportage Elementen rapportage • Opschrift • Doelgroep • Opdracht,onderzoeksobject en moment/periode • Reikwijdte onderzoek (kwaliteitsaspecten,normen, diepgang) • Verantwoordelijkheden en werkzaamheden • Oordeel • Beperkingen • Ondertekening
  13. 13. de beroepsorganisatie van IT-auditors Documentatie (Richtlijn 230) • Voor alle werkzaamheden – adequate documentatie verplicht de beroepsorganisatie van IT-auditors Dilemma’s bij toepassing van de nieuwe regelgeving
  14. 14. de beroepsorganisatie van IT-auditors Casus Ethiek •C1 Raamwerk Assurance- opdrachten •C2 Richtlijn Assurance- opdrachten A1 Statuten • A2 Huishoudelijk reglement • A3 Reglement van toelating • A4 Reglement Beroepsethiek • A5 Reglement van Tucht • A6 Reglement van beroep • A7 Richtlijn PE • A8 Regeling Over- stappers en herintreders • E Advies Invulling in ontwikke- ling B2 Reglement Beroepsbeoefening • G Uitvoeringsrichtlijnen (Opdrachtaanvaarding, Documentatie) • H Handreikingen (ZekeRE Business, ZekeRE Zorg); studierapporten, Handboek en ‘De IT-Auditor’ B3 Reglement KwaliteitsBeheersing NOREA • D Audit Assessment Review Quick Scan Beoordeling Analyse • F ‘Niet-Actief’ (zoals In business of gepensioneerd) [Geen invulling] – [B2 en B3 n.v.t.] B1 Reglement Gedragscode de beroepsorganisatie van IT-auditors Casus RG • Altijd wel ergens aan de slag, jarenlang • Geruchten over scheeflopend project • Onderdirecteur = zeer goede bekende; Projectmanager = zeer goede bekende; Onderdirecteur ↔ projectmanager • Projectmanager eruit? • Onderdirecteur X projectmanager, nu niet meer!
  15. 15. de beroepsorganisatie van IT-auditors Casus RG: Vragen 1. Bedreigingen fundamentele beginselen? 2. Waarborgen daartegen? 3. Toezeggingen voor objectiviteit niet nagekomen; wat nu? 4. Beide zijden: Niks negatiefs in rapport. Wat nu? 5. Geen vervolgwerk? 6. Geen vervolgwerk. Wat nu? de beroepsorganisatie van IT-auditors Casus RG: Antwoorden 1. Vertrouwdheid, (intimidatie, belangenbehartiging) 2. Bespreken met opdrachtgever en auditee 3. Nogmaals. Plus overwegen opdracht terug te geven 4. Herbezinning over voortzetting 5. Bespreken met naasthogere 6. Niets. Pech.
  16. 16. de beroepsorganisatie van IT-auditors Ethiek: Een kwestie van leiderschap de beroepsorganisatie van IT-auditors Opzet: ‘ Het NOREA huis’ •C1 Raamwerk Assurance- opdrachten •C2 Richtlijn Assurance- opdrachten A1 Statuten • A2 Huishoudelijk reglement • A3 Reglement van toelating • A4 Reglement Beroepsethiek • A5 Reglement van Tucht • A6 Reglement van beroep • A7 Richtlijn PE • A8 Regeling Over- stappers en herintreders B1 Reglement Gedragscode • E Advies Invulling in ontwikke- ling B2 Reglement Beroepsbeoefening • G Uitvoeringsrichtlijnen (Opdrachtaanvaarding, Documentatie) • H Handreikingen (ZekeRE Business, ZekeRE Zorg); studierapporten, Handboek en ‘De IT-Auditor’ B3 Reglement KwaliteitsBeheersing NOREA • D Audit Assessment Review Quick Scan Beoordeling Analyse • F ‘Niet-Actief’ (zoals In business of gepensioneerd) [Geen invulling] – [B2 en B3 n.v.t.]
  17. 17. de beroepsorganisatie van IT-auditors Casus RKBN U bent verantwoordelijk voor een interne audit organisatie waar een groep van zo’n 85 RE’s deel uitmaken. Deze organisatie voert zowel IT audits uit als adviesopdrachten. Alle typen IT audits komen voor (assurance en niet assurance opdrachten). Op welke wijze geeft u het kwaliteitssysteem van deze organisatie vorm? de beroepsorganisatie van IT-auditors Casus RKBN: Sleutelwoorden 1. Kwaliteitshandboek met procedures en richtlijnen 2. Kwaliteitsfunctionaris 3. Disciplinaire consequenties 4. Checklisten 5. Borgen kwaliteitseisen in de uitvoering (opleiding, zware rol projectleiders/lead auditors, etc.) 6. Relatie met andere NOREA regels (richtlijn en raamwerk assurance, gedragscode)
  18. 18. de beroepsorganisatie van IT-auditors Casus RKBN: Sleutelwoorden 7. Interne kwaliteitstoetsing 8. Onafhankelijkheid 9. Kwaliteitsmaatregelen doceren naar type opdracht 10. Evaluatie kwaliteitssysteem 11. Personeelsbeleid 12. Aansluiting kwaliteitssysteem op fasen in audit 13. Samenwerking met andere auditdisciplines de beroepsorganisatie van IT-auditors Casus assurance, audit en advies 4 RE’s van verschillende auditorganisaties zijn betrokken bij een project 1. 1 RE als klankbord in het projectteam 2. 1 RE als zekerheidsverschaffer aan externe investeerders over het naleven van de PRINCE 2 standaarden 3. 1 RE als zekerheidsverschaffer aan de projectmanager over het naleven van de PRINCE 2 standaarden 4. 1 RE adviseert over het toepassen van de PRINCE 2 standaarden Welke opdracht wordt door de betreffende collega’s uitgevoerd ?
  19. 19. de beroepsorganisatie van IT-auditors Casus assurance, audit en advies 1. Overig 2. Assurance 3. Audit 4. Advies de beroepsorganisatie van IT-auditors Vragen ontvangen bij NOREA • Welk belang dient de IT-auditor te dienen ? • Wie kan een audit-organisatie (met RE’s) aanspreken op het naleven van de regelgeving van NOREA ? • In hoeverre is de assurance-richtlijn van NOREA van toepassing op de interne IT-auditor ?
  20. 20. de beroepsorganisatie van IT-auditors 10 juni • 10 juni a.s., 17:00u Conferentiecentrum Zonheuvel, Doorn: NOREA ALV (Richtlijn Opdrachtaanvaarding) • Voorafgaand (14:30u): Minisymposium ‘De RE als Adviseur’ Komt allen; meldt u aan! de beroepsorganisatie van IT-auditors VRAGEN ?
  21. 21. de beroepsorganisatie van IT-auditors Dank voor uw aandacht

×