1. de beroepsorganisatie van IT-auditors
Praktijkervaringen nieuwe regelgeving NOREA
de beroepsorganisatie van IT-auditors
Regiobijeenkomst
VUrORE
Inleiders
Drs. Rocco Jacobs RE EMIA
(Rijksauditdienst)
Ir. Drs. Jurgen van der Vlugt RE CISA
(Noordbeek / VU)
2. de beroepsorganisatie van IT-auditors
Agenda
1. Korte samenvatting nieuwe regelgeving
2. Dilemma’s bij toepassing van de nieuwe regelgeving
• Casussen
• Vragen ontvangen NOREA
• Vragen deelnemers
de beroepsorganisatie van IT-auditors
Korte samenvatting nieuwe regelgeving
(werk in uitvoering)
3. de beroepsorganisatie van IT-auditors
Kennismanagement NOREA
Strategie
Inrichting
Business
Informatie-
voorziening IT
Operatie
Beroepsorganisatie
Wetgeving
Regelgeving
Auditorganisatie
de beroepsorganisatie van IT-auditors
Opzet: ‘ Het Huis’
•C1 Raamwerk
Assurance-
opdrachten
•C2 Richtlijn
Assurance-
opdrachten
A1 Statuten
• A2 Huishoudelijk
reglement
• A3 Reglement van
toelating
• A4 Reglement
Beroepsethiek
• A5 Reglement van
Tucht
• A6 Reglement van
beroep
• A7 Richtlijn PE
• A8 Regeling Over-
stappers en
herintreders
B1 Reglement Gedragscode
• E Advies
Invulling in
ontwikke-
ling
B2 Reglement Beroepsbeoefening
• G Uitvoeringsrichtlijnen
(Opdrachtaanvaarding, Documentatie)
• H Handreikingen (ZekeRE Business, ZekeRE Zorg);
studierapporten, Handboek en ‘De IT-Auditor’
B3 Reglement KwaliteitsBeheersing NOREA
• D Audit
Assessment
Review
Quick Scan
Beoordeling
Analyse
• F ‘Niet-Actief’
(zoals In
business of
gepensioneerd)
[Geen invulling] –
[B2 en B3 n.v.t.]
4. de beroepsorganisatie van IT-auditors
Ethiek
•C1 Raamwerk
Assurance-
opdrachten
•C2 Richtlijn
Assurance-
opdrachten
A1 Statuten
• A2 Huishoudelijk
reglement
• A3 Reglement van
toelating
• A4 Reglement
Beroepsethiek
• A5 Reglement van
Tucht
• A6 Reglement van
beroep
• A7 Richtlijn PE
• A8 Regeling Over-
stappers en
herintreders
• E Advies
Invulling in
ontwikke-
ling
B2 Reglement Beroepsbeoefening
• G Uitvoeringsrichtlijnen
(Opdrachtaanvaarding, Documentatie)
• H Handreikingen (ZekeRE Business, ZekeRE Zorg);
studierapporten, Handboek en ‘De IT-Auditor’
B3 Reglement KwaliteitsBeheersing NOREA
• D Audit
Assessment
Review
Quick Scan
Beoordeling
Analyse
• F ‘Niet-Actief’
(zoals In
business of
gepensioneerd)
[Geen invulling] –
[B2 en B3 n.v.t.]
B1 Reglement Gedragscode
de beroepsorganisatie van IT-auditors
Reglement Gedragscode
(Code of Ethics)
Hoofdstukindeling:
• A-100 Inleiding en fundamentele beginselen
• A-110 Integriteit
• A-120 Objectiviteit
• A-130 Deskundigheid en zorgvuldigheid
• A-140 Geheimhouding
• A-150 Professioneel gedrag
5. de beroepsorganisatie van IT-auditors
Inleiding: A-100.1-3
• Artikel A-100.1
De IT-auditor aanvaardt te allen tijde de verantwoordelijkheid op te
treden in het algemeen belang en behartigt dientengevolge niet
uitsluitend de belangen van een individuele opdrachtgever.
Daartoe neemt de IT-auditor bij zijn optreden deze Code in acht en
handelt in overeenstemming daarmee.
• Artikel A-100.3
Deze Code is van toepassing op iedere in het RE- register
ingeschreven IT-auditor
de beroepsorganisatie van IT-auditors
A-110.4 Fundamentele beginselen
• Integriteit
• Objectiviteit
• Deskundigheid en zorgvuldigheid
• Geheimhouding
• Professioneel gedrag
6. de beroepsorganisatie van IT-auditors
A-100.10: Bedreigingenlijst
• Eigenbelang
• Zelftoetsing
• Belangenbehartiging
• Vertrouwdheid
• Intimidatie
de beroepsorganisatie van IT-auditors
Reglement beroepsbeoefening
•C1 Raamwerk
Assurance-
opdrachten
•C2 Richtlijn
Assurance-
opdrachten
A1 Statuten
• A2 Huishoudelijk
reglement
• A3 Reglement van
toelating
• A4 Reglement
Beroepsethiek
• A5 Reglement van
Tucht
• A6 Reglement van
beroep
• A7 Richtlijn PE
• A8 Regeling Over-
stappers en
herintreders
B1 Reglement Gedragscode
• E Advies
Invulling in
ontwikke-
ling
• G Uitvoeringsrichtlijnen
(Opdrachtaanvaarding, Documentatie)
• H Handreikingen (ZekeRE Business, ZekeRE Zorg);
studierapporten, Handboek en ‘De IT-Auditor’
B3 Reglement KwaliteitsBeheersing NOREA
• D Audit
Assessment
Review
Quick Scan
Beoordeling
Analyse
• F ‘Niet-Actief’
(zoals In
business of
gepensioneerd)
[Geen invulling] –
[B2 en B3 n.v.t.]
B2 Reglement Beroepsbeoefening
7. de beroepsorganisatie van IT-auditors
RBB
• Artikel 3. Krachtens het Reglement Beroepsbeoefening IT-auditors zullen ten
minste de volgende onderwerpen in nadere richtlijnen worden behandeld:
• het raamwerk en de richtlijn voor assurance-opdrachten
• opdrachtverwerving en -aanvaarding;
• dossiervorming en -beheer;
• rapportage en (verplichte formulering inzake) Oordelen
• verplichte permanente educatie;
• Artikel 5. Onderwerpen als bedoeld in de artikelen 3 en 4 met een dwingend
karakter zullen nader worden uitgewerkt in door de Orde uit te geven Richtlijnen
voor de IT-auditor.
• Artikel 12. Handreikingen bevatten richtinggevende beschrijvingen van
methoden, technieken of normen. Afwijkingen van een handreiking moeten
worden gemotiveerd en gedocumenteerd.
• Artikel 15. Naast de Richtlijnen (artikel 5) en handreikingen (artikel 10) worden de
overige uitingen betreffende IT-audit als ‘studie' aangemerkt.
de beroepsorganisatie van IT-auditors
B2 Reglement Beroepsbeoefening
RKBN
•C1 Raamwerk
Assurance-
opdrachten
•C2 Richtlijn
Assurance-
opdrachten
A1 Statuten
• A2 Huishoudelijk
reglement
• A3 Reglement van
toelating
• A4 Reglement
Beroepsethiek
• A5 Reglement van
Tucht
• A6 Reglement van
beroep
• A7 Richtlijn PE
• A8 Regeling Over-
stappers en
herintreders
B1 Reglement Gedragscode
• E Advies
Invulling in
ontwikke-
ling
• G Uitvoeringsrichtlijnen
(Opdrachtaanvaarding, Documentatie)
• H Handreikingen (ZekeRE Business, ZekeRE Zorg);
studierapporten, Handboek en ‘De IT-Auditor’
• D Audit
Assessment
Review
Quick Scan
Beoordeling
Analyse
• F ‘Niet-Actief’
(zoals In
business of
gepensioneerd)
[Geen invulling] –
[B2 en B3 n.v.t.]
B3 Reglement KwaliteitsBeheersing NOREA
8. de beroepsorganisatie van IT-auditors
Audit en advies
•C1 Raamwerk
Assurance-
opdrachten
•C2 Richtlijn
Assurance-
opdrachten
A1 Statuten
• A2 Huishoudelijk
reglement
• A3 Reglement van
toelating
• A4 Reglement
Beroepsethiek
• A5 Reglement van
Tucht
• A6 Reglement van
beroep
• A7 Richtlijn PE
• A8 Regeling Over-
stappers en
herintreders
B1 Reglement Gedragscode
B2 Reglement Beroepsbeoefening
• G Uitvoeringsrichtlijnen
(Opdrachtaanvaarding, Documentatie)
• H Handreikingen (ZekeRE Business, ZekeRE Zorg);
studierapporten, Handboek en ‘De IT-Auditor’
B3 Reglement KwaliteitsBeheersing NOREA
• F ‘Niet-Actief’
(zoals In
business of
gepensioneerd)
[Geen invulling] –
[B2 en B3 n.v.t.]
• E Advies
Invulling in
ontwikke-
ling
• D Audit
Assessment
Review
Quick Scan
Beoordeling
Analyse
de beroepsorganisatie van IT-auditors
Assurance
A1 Statuten
• A2 Huishoudelijk
reglement
• A3 Reglement van
toelating
• A4 Reglement
Beroepsethiek
• A5 Reglement van
Tucht
• A6 Reglement van
beroep
• A7 Richtlijn PE
• A8 Regeling Over-
stappers en
herintreders
B1 Reglement Gedragscode
• E Advies
Invulling in
ontwikke-
ling
B2 Reglement Beroepsbeoefening
• G Uitvoeringsrichtlijnen
(Opdrachtaanvaarding, Documentatie)
• H Handreikingen (ZekeRE Business, ZekeRE Zorg);
studierapporten, Handboek en ‘De IT-Auditor’
B3 Reglement KwaliteitsBeheersing NOREA
• D Audit
Assessment
Review
Quick Scan
Beoordeling
Analyse
• F ‘Niet-Actief’
(zoals In
business of
gepensioneerd)
[Geen invulling] –
[B2 en B3 n.v.t.]
•C1 Raamwerk
Assurance-
opdrachten
•C2 Richtlijn
Assurance-
opdrachten
9. de beroepsorganisatie van IT-auditors
Kenmerken assurance-opdracht
Definitie
Een ‘assurance-opdracht’ is een opdracht waarbij een
IT-auditor een conclusie formuleert die is bedoeld om het
vertrouwen van de beoogde gebruikers, niet zijnde de
verantwoordelijke partij, in de uitkomst van de evaluatie
van of de toetsing van het object van onderzoek ten
opzichte van de toetsingsnormen, te versterken.
de beroepsorganisatie van IT-auditors
Kenmerken assurance-opdracht
De vijf elementen
1. Drie partijen
2. Een geschikt object van onderzoek
3. Toepasbare toetsingsnormen
4. Toereikende assurance-informatie
5. Een schriftelijk rapport
10. de beroepsorganisatie van IT-auditors
Opdrachtaanvaarding
Uitgangspunt
Een IT-auditor aanvaardt een assurance-opdracht
slechts indien aan alle ethische normen wordt voldaan
en de opdracht de vereiste kenmerken bevat.
Opdrachtbrief.
de beroepsorganisatie van IT-auditors
Opdrachtaanvaarding (Concept Richtlijn 210)
Elementen opdrachtbrief
• Doel van de opdracht
• Het object van onderzoek
• Doelgroep rapportage en de gehanteerde
toetsingsnormen
• Toegang tot toereikende informatie
• Zekerheidsniveau en product (rapportage) van de
audit
11. de beroepsorganisatie van IT-auditors
Opdrachtuitvoering
Controlemiddelen
• Verificatie
• Waarnemingen ter plaatse
• Bevestiging
• Herberekening
• Opnieuw uitvoeren
• Analyse
• Het inwinnen van inlichtingen
de beroepsorganisatie van IT-auditors
Opdrachtuitvoering
Bewijsstukken
Inlichtingen van de verantwoordelijke partij
• Eigen waarnemingen
• Schriftelijke vastleggingen
– Interne documentatie
– Output uit het onderzochte systeem
– Externe bescheiden
12. de beroepsorganisatie van IT-auditors
Rapportage
Strekkingen oordelen
4 Strekkingen van oordelen
Elementen Richtlijn en kernwoorden (onderstreept)
verplicht
Bijvoorbeeld goedkeurend
Voldoet aan gestelde normen
de beroepsorganisatie van IT-auditors
Rapportage
Elementen rapportage
• Opschrift
• Doelgroep
• Opdracht,onderzoeksobject en moment/periode
• Reikwijdte onderzoek (kwaliteitsaspecten,normen,
diepgang)
• Verantwoordelijkheden en werkzaamheden
• Oordeel
• Beperkingen
• Ondertekening
13. de beroepsorganisatie van IT-auditors
Documentatie (Richtlijn 230)
• Voor alle werkzaamheden – adequate
documentatie verplicht
de beroepsorganisatie van IT-auditors
Dilemma’s bij toepassing van de nieuwe regelgeving
14. de beroepsorganisatie van IT-auditors
Casus Ethiek
•C1 Raamwerk
Assurance-
opdrachten
•C2 Richtlijn
Assurance-
opdrachten
A1 Statuten
• A2 Huishoudelijk
reglement
• A3 Reglement van
toelating
• A4 Reglement
Beroepsethiek
• A5 Reglement van
Tucht
• A6 Reglement van
beroep
• A7 Richtlijn PE
• A8 Regeling Over-
stappers en
herintreders
• E Advies
Invulling in
ontwikke-
ling
B2 Reglement Beroepsbeoefening
• G Uitvoeringsrichtlijnen
(Opdrachtaanvaarding, Documentatie)
• H Handreikingen (ZekeRE Business, ZekeRE Zorg);
studierapporten, Handboek en ‘De IT-Auditor’
B3 Reglement KwaliteitsBeheersing NOREA
• D Audit
Assessment
Review
Quick Scan
Beoordeling
Analyse
• F ‘Niet-Actief’
(zoals In
business of
gepensioneerd)
[Geen invulling] –
[B2 en B3 n.v.t.]
B1 Reglement Gedragscode
de beroepsorganisatie van IT-auditors
Casus RG
• Altijd wel ergens aan de slag, jarenlang
• Geruchten over scheeflopend project
• Onderdirecteur = zeer goede bekende;
Projectmanager = zeer goede bekende;
Onderdirecteur ↔ projectmanager
• Projectmanager eruit?
• Onderdirecteur X projectmanager, nu niet meer!
15. de beroepsorganisatie van IT-auditors
Casus RG: Vragen
1. Bedreigingen fundamentele beginselen?
2. Waarborgen daartegen?
3. Toezeggingen voor objectiviteit niet nagekomen;
wat nu?
4. Beide zijden: Niks negatiefs in rapport. Wat nu?
5. Geen vervolgwerk?
6. Geen vervolgwerk. Wat nu?
de beroepsorganisatie van IT-auditors
Casus RG: Antwoorden
1. Vertrouwdheid,
(intimidatie, belangenbehartiging)
2. Bespreken met opdrachtgever en auditee
3. Nogmaals. Plus overwegen opdracht terug te geven
4. Herbezinning over voortzetting
5. Bespreken met naasthogere
6. Niets. Pech.
16. de beroepsorganisatie van IT-auditors
Ethiek: Een kwestie van leiderschap
de beroepsorganisatie van IT-auditors
Opzet: ‘ Het NOREA huis’
•C1 Raamwerk
Assurance-
opdrachten
•C2 Richtlijn
Assurance-
opdrachten
A1 Statuten
• A2 Huishoudelijk
reglement
• A3 Reglement van
toelating
• A4 Reglement
Beroepsethiek
• A5 Reglement van
Tucht
• A6 Reglement van
beroep
• A7 Richtlijn PE
• A8 Regeling Over-
stappers en
herintreders
B1 Reglement Gedragscode
• E Advies
Invulling in
ontwikke-
ling
B2 Reglement Beroepsbeoefening
• G Uitvoeringsrichtlijnen
(Opdrachtaanvaarding, Documentatie)
• H Handreikingen (ZekeRE Business, ZekeRE Zorg);
studierapporten, Handboek en ‘De IT-Auditor’
B3 Reglement KwaliteitsBeheersing NOREA
• D Audit
Assessment
Review
Quick Scan
Beoordeling
Analyse
• F ‘Niet-Actief’
(zoals In
business of
gepensioneerd)
[Geen invulling] –
[B2 en B3 n.v.t.]
17. de beroepsorganisatie van IT-auditors
Casus RKBN
U bent verantwoordelijk voor een interne audit
organisatie waar een groep van zo’n 85 RE’s deel
uitmaken. Deze organisatie voert zowel IT audits
uit als adviesopdrachten. Alle typen IT audits
komen voor (assurance en niet assurance
opdrachten). Op welke wijze geeft u het
kwaliteitssysteem van deze organisatie vorm?
de beroepsorganisatie van IT-auditors
Casus RKBN: Sleutelwoorden
1. Kwaliteitshandboek met procedures en richtlijnen
2. Kwaliteitsfunctionaris
3. Disciplinaire consequenties
4. Checklisten
5. Borgen kwaliteitseisen in de uitvoering (opleiding, zware rol
projectleiders/lead auditors, etc.)
6. Relatie met andere NOREA regels (richtlijn en raamwerk
assurance, gedragscode)
18. de beroepsorganisatie van IT-auditors
Casus RKBN: Sleutelwoorden
7. Interne kwaliteitstoetsing
8. Onafhankelijkheid
9. Kwaliteitsmaatregelen doceren naar type opdracht
10. Evaluatie kwaliteitssysteem
11. Personeelsbeleid
12. Aansluiting kwaliteitssysteem op fasen in audit
13. Samenwerking met andere auditdisciplines
de beroepsorganisatie van IT-auditors
Casus assurance, audit en advies
4 RE’s van verschillende auditorganisaties zijn betrokken bij een project
1. 1 RE als klankbord in het projectteam
2. 1 RE als zekerheidsverschaffer aan externe investeerders over het
naleven van de PRINCE 2 standaarden
3. 1 RE als zekerheidsverschaffer aan de projectmanager over het naleven
van de PRINCE 2 standaarden
4. 1 RE adviseert over het toepassen van de PRINCE 2 standaarden
Welke opdracht wordt door de betreffende collega’s uitgevoerd ?
19. de beroepsorganisatie van IT-auditors
Casus assurance, audit en advies
1. Overig
2. Assurance
3. Audit
4. Advies
de beroepsorganisatie van IT-auditors
Vragen ontvangen bij NOREA
• Welk belang dient de IT-auditor te dienen ?
• Wie kan een audit-organisatie (met RE’s) aanspreken
op het naleven van de regelgeving van NOREA ?
• In hoeverre is de assurance-richtlijn van NOREA van
toepassing op de interne IT-auditor ?
20. de beroepsorganisatie van IT-auditors
10 juni
• 10 juni a.s., 17:00u
Conferentiecentrum Zonheuvel, Doorn:
NOREA ALV (Richtlijn Opdrachtaanvaarding)
• Voorafgaand (14:30u):
Minisymposium ‘De RE als Adviseur’
Komt allen; meldt u aan!
de beroepsorganisatie van IT-auditors
VRAGEN ?