Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
1
vrije Universiteit amsterdam
Postgraduate IT Audit Opleiding
Uitvoering van de audit
De IT Audit Flow
File: Uitvoering v...
2
vrije Universiteit amsterdam
Postgraduate IT Audit Opleiding
3
JvP/JvdV/VU
MEI/2010
Uitvoering van de audit - IT audit f...
3
vrije Universiteit amsterdam
Postgraduate IT Audit Opleiding
5
JvP/JvdV/VU
MEI/2010
Uitvoering van de audit - IT audit f...
4
vrije Universiteit amsterdam
Postgraduate IT Audit Opleiding
7
JvP/JvdV/VU
MEI/2010
Uitvoering van de audit - IT audit f...
5
vrije Universiteit amsterdam
Postgraduate IT Audit Opleiding
9
JvP/JvdV/VU
MEI/2010
Uitvoering van de audit - IT audit f...
6
vrije Universiteit amsterdam
Postgraduate IT Audit Opleiding
11
JvP/JvdV/VU
MEI/2010
Uitvoering van de audit - IT audit ...
7
vrije Universiteit amsterdam
Postgraduate IT Audit Opleiding
13
JvP/JvdV/VU
MEI/2010
Uitvoering van de audit - IT audit ...
8
vrije Universiteit amsterdam
Postgraduate IT Audit Opleiding
15
JvP/JvdV/VU
MEI/2010
Uitvoering van de audit - IT audit ...
9
vrije Universiteit amsterdam
Postgraduate IT Audit Opleiding
17
JvP/JvdV/VU
MEI/2010
Uitvoering van de audit - IT audit ...
10
vrije Universiteit amsterdam
Postgraduate IT Audit Opleiding
19
JvP/JvdV/VU
MEI/2010
Uitvoering van de audit - IT audit...
11
vrije Universiteit amsterdam
Postgraduate IT Audit Opleiding
21
JvP/JvdV/VU
MEI/2010
Uitvoering van de audit - IT audit...
12
vrije Universiteit amsterdam
Postgraduate IT Audit Opleiding
23
JvP/JvdV/VU
MEI/2010
Uitvoering van de audit - IT audit...
13
vrije Universiteit amsterdam
Postgraduate IT Audit Opleiding
25
JvP/JvdV/VU
MEI/2010
Uitvoering van de audit - IT audit...
14
vrije Universiteit amsterdam
Postgraduate IT Audit Opleiding
27
JvP/JvdV/VU
MEI/2010
Uitvoering van de audit - IT audit...
15
vrije Universiteit amsterdam
Postgraduate IT Audit Opleiding
29
JvP/JvdV/VU
MEI/2010
Uitvoering van de audit - IT audit...
16
vrije Universiteit amsterdam
Postgraduate IT Audit Opleiding
31
JvP/JvdV/VU
MEI/2010
Uitvoering van de audit - IT audit...
17
vrije Universiteit amsterdam
Postgraduate IT Audit Opleiding
33
JvP/JvdV/VU
MEI/2010
Uitvoering van de audit - IT audit...
18
vrije Universiteit amsterdam
Postgraduate IT Audit Opleiding
35
JvP/JvdV/VU
MEI/2010
Uitvoering van de audit - IT audit...
19
vrije Universiteit amsterdam
Postgraduate IT Audit Opleiding
37
JvP/JvdV/VU
MEI/2010
Uitvoering van de audit - IT audit...
20
vrije Universiteit amsterdam
Postgraduate IT Audit Opleiding
39
JvP/JvdV/VU
MEI/2010
Uitvoering van de audit - IT audit...
21
vrije Universiteit amsterdam
Postgraduate IT Audit Opleiding
41
JvP/JvdV/VU
MEI/2010
Uitvoering van de audit - IT audit...
22
vrije Universiteit amsterdam
Postgraduate IT Audit Opleiding
43
JvP/JvdV/VU
MEI/2010
Uitvoering van de audit - IT audit...
23
vrije Universiteit amsterdam
Postgraduate IT Audit Opleiding
45
JvP/JvdV/VU
MEI/2010
Uitvoering van de audit - IT audit...
24
vrije Universiteit amsterdam
Postgraduate IT Audit Opleiding
47
JvP/JvdV/VU
MEI/2010
Uitvoering van de audit - IT audit...
25
vrije Universiteit amsterdam
Postgraduate IT Audit Opleiding
49
JvP/JvdV/VU
MEI/2010
Uitvoering van de audit - IT audit...
26
vrije Universiteit amsterdam
Postgraduate IT Audit Opleiding
51
JvP/JvdV/VU
MEI/2010
Uitvoering van de audit - IT audit...
Upcoming SlideShare
Loading in …5
×

VU Uitvoering van de audit 28 mei 2010

768 views

Published on

Published in: Technology, Business
  • Be the first to comment

  • Be the first to like this

VU Uitvoering van de audit 28 mei 2010

  1. 1. 1 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding Uitvoering van de audit De IT Audit Flow File: Uitvoering van de audit – IT audit flow 28 mei 2010 © 2010 Jan van Praat (MinJus) Jurgen van der Vlugt (Noordbeek) 28 mei 2010 2 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Programma • IQUIP smiley-model van een audit • Normen, maatregelen, werkprogramma • De rest van het werk
  2. 2. 2 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 3 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Communication Structuring Investigation (IQUIP) Auditmodel Assignment SummariesApproach Research Report Findings 4 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Communication Structuring Investigation Communicatie Assignment SummariesApproach Research Report Findings Communication with client: manage expectation Quality Assurance
  3. 3. 3 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 5 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Communication Structuring Investigation Communicatie (II) Assignment SummariesApproach Research Report Findings ToR Major issues Work programs 6 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Communication Structuring Investigation Quality Assurance Assignment SummariesApproach Research Report Findings Files Quality Assurance Internally: mgt of process quality
  4. 4. 4 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 7 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Communication Structuring Investigation Quality Assurance Assignment SummariesApproach Research Report Findings 8 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Communication Structuring Investigation (IQUIP) Auditmodel, start Assignment SummariesApproach Research Report Findings
  5. 5. 5 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 9 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Alles Communication Structuring Investigation Assignment SummariesApproach Research Report Findings ToR Major issues Work programs Communication with client: manage expectation Quality Assurance Files Internally: mgt of process quality 10 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow • Opdracht-intake / onderhoud Audit Universe • Auditobjecten bepalen • Kwaliteitsaspecten bepalen • Alleen high-level onderzoek (mogelijke auditability, scope, diepgang) • Control environment (‘cultuur’) • Management & financial control • Operations & process control • IT Control • Output: Offerte / Plan van Aanpak / Terms of Reference (Voorzover algemene aanduiding van de scope voldoet) • Soms geïntegreerd met Approach Assignment Assignment
  6. 6. 6 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 11 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Scope van IT-audting ‘Business’ Information Mgt IT Strat Tact Oper IT-beveiliging 12 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Audit Universe • Manageable = ..? • Door auditor • Door auditee • Risk assessment / analysis • Prio’s … • Capaciteit versus Coverage
  7. 7. 7 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 13 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Risico-analyse 14 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow • Frame of reference bepalen (normen - I) • Resources bepalen • Fasen en activiteiten vaststellen • Gedreven door een gedetailleerde risicoanalyse! • Aanwijzen kritieke auditobjecten ×××× kwaliteitsaspecten • Organisatie van de audit • Werkprogramma(s) op maat snijden • Gedetailleerde planning opstellen • Output: Terms of Reference (indien nu pas: gedetailleerd) • Output: Werkprogramma’s inclusief gedetailleerde planning Approach Approach
  8. 8. 8 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 15 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Risico-analyse • Vóór insteken van de opdracht (op basis van / in audit universe) • Bij insteek van specifieke audit! • Gebieden waar op voorhand known unknowns zijn • … of gewoon lijstjes afvinken ..? 16 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow • Just do it (gedetailleerde werkprogramma’s) • Alléén ‘interviews en documentstudie’..? • Just do it (gedetailleerde werkprogramma’s) • Communiceer bedreigende issues met de klant • C-C-R-C-R Research Findings Research, Findings
  9. 9. 9 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 17 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow • Indien het werkprogramma goed was gedetailleerd, • Combinatie bevindingen met auditobjecten, kwaliteitsaspecten en (de)compositie leidt ‘automatisch’ tot partiële, overall conclusies, restrisico’s, rating, eventuele tegenmaatregelen, aanbevelingen • Else • Kunst • Onafhankelijke harde woorden, stellingnames versus • Management van klantverwachtingen (verpakking van de boodschap) Summaries Summaries 18 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow • Niets bijzonders • Vormvereisten Report Report
  10. 10. 10 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 19 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Communication Structuring Investigation Tijdsbesteding Assignment SummariesApproach Research Report Findings 20% (5%) 40% (20%) 10% (30%) 10% (40%++) 10% (25%++) 10% (15%) 20 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Opdrachtaanvaarding • Richtlijn (210) Opdrachtaanvaarding – aanstaande • Doel van de opdracht • Het object van onderzoek • Doelgroep rapportage en de gehanteerde toetsingsnormen • Toegang tot toereikende informatie • Zekerheidsniveau en product (rapportage) van de audit • Ander college
  11. 11. 11 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 21 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Over normen Completeness Reliability Coherency (Structure) Structuredness Understandability Quality Criteria AToR 1 4 8 7 5 2 3 ISAE 2000 (2003)/ Boehm et al (1978) ISAE 2000 (2003) Boehm et al. (1978) ISAE 2000 (2003)/ Boehm et al. (1978) Sherwood et al. (2005) & Poulin et al. (1993) Trendowicz et al. (2003) Jonassen (2000) 9 Engels et al. (2002) Criteria: Structure of AToRCriteria: Content of AToR ISAE 2000 (2003) 10 Coherency (Content) Consistency Criterion: Form Boehm et al. (1978) 11 Legend: Integratedness 6 ReusabilityTransparency Relevance ISAE 2000 (2003) Neutrality © W.N. Baldewpersad Tewarie 22 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Normen aan normen © W.N. Baldewpersad Tewarie
  12. 12. 12 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 23 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Normen aan normen – concreet • Aard: Objectief / subjectief; Wettelijk / aangedragen / ‘best’(??) practice / standaard • Bronnen: Opdrachtgever / andere belanghebbenden / wetgeving / auditor / …. • Voorwaarden: Relevant, toereikend, eenduidig, meetbaar • Reikwijdte (scope van de audit ..?) • Oordeel: Kwalitatief / kwantitatief, Absoluut (hard) / relatief 24 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow ‘Best Practices’ … • In het land der blinden is eenoog best • Mythe van vergelijkbaarheid omstandigheden • Worden soms formele standaard(en) • ISO 2700x, 20000, etc. • Toevalligheden gecodificeerd • Stapje minder nog …: ‘Sound practices’
  13. 13. 13 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 25 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Normen, van opdrachtgever of auditee • PRIMAIR de normen van de opdrachtgever gebruiken • (H)erkend door auditee …!? • Toets toepasbaarheid etc. • Discussieer (dat is wat anders dan toesturen) en krijg goedkeuring (dat is wat anders dan overeenstemming) over eventuele aanvullingen of interpretaties • Alleen als opdrachtgever geen normen heeft, ook niet van de auditee, dan pas door auditor aan te dragen • (H)erkend door auditee …!? • Toets toepasbaarheid etc. • Discussieer (dat is wat anders dan toesturen) en krijg goedkeuring (dat is wat anders dan overeenstemming) over eventuele aanvullingen of interpretaties 26 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Waarom des opdrachtgevers Des opdrachtgevers, met instemming (veto) auditee: • Voldoen aan normen is alleen mogelijk als die normen van tevoren bekend waren …! • Anders is de audit alleen maar hinderlijk, of hooguit als nulmeting geschikt • Houdt rekening met alle belangen, zeker als de consequenties van findings mogen worden verondersteld bekend te zijn!
  14. 14. 14 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 27 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Normen: Concreet (= abstract) • CHA-18 ANALYSEREN VERZOEK De organisatie toetst het wijzigingsverzoek op volledigheid en correctheid, en maakt een inschatting of de indiener de risico’s correct heeft weergegeven en de rollback adequaat heeft gespecificeerd conform de geschetste risico’s • REL-13 OPNEMEN IN BUNDEL De organisatie neemt de update op in een aanstaande releasebundel, rekening houdend met de samenhang en noodzakelijke volgorde binnen de update en met andere updates in de releasebundels 28 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow OBW • Opzet →→→→ van het stelsel! Dus niet alleen ‘er zijn normen’ of ‘er is een ontwerp’ Maar: Brengt het stelsel, mits geïmplementeerd, control? (Waaronder: opvang uitzonderingen, op diverse niveau’s; zelfcorrectie) • Bestaan →→→→ van het stelsel in de praktijk, dus niet alleen op papier! • Werking →→→→ van het stelsel !!! • ‘Werking is herhaald vaststellen van bestaan’ ? • Herhaald vaststellen = hooguit 20% • Deugdelijke opzet (zelfcorrectie) = meer dan 80%
  15. 15. 15 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 29 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Van normen naar maatregelen • Vertaling van normen naar maatregelen had de lijn al hebben moeten doen • Liefst inclusief aantoonbaarheidszaken • Maatregelen van de lijn overnemen • Toets toepasbaarheid v.v. norm, ‘volledigheid’ t.a.v. dekking van de norm • Alleen als lijn geen maatregelen heeft, dan pas door auditor aan te dragen • (H)erkend door auditee …!? • Toets toepasbaarheid etc. • Discussieer (dat is wat anders dan toesturen) en krijg goedkeuring (dat is wat anders dan overeenstemming) over eventuele aanvullingen of interpretaties • Open voor interpretatie, vervangende controls, etc.! • Controls: normen of maatregelen …? 30 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Werkprogramma • Werkprogramma = selectie (!) van maatregelen aan de hand waarvan het voldoen aan de norm wordt vastgesteld • Selectie op basis van risico-analyse, representativiteit voor behalen norm, etc. • (Wettelijke vereisten vasthouden, maar die zijn zelden gedetailleerd) • Bedenk: AR = IR xxxx ICR xxxx DR Auditrisico, inherent risico, interne- controlerisico, detectierisico • Wat is ‘material misstatement’ bij de IT- auditor ..? Toleranties ..?
  16. 16. 16 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 31 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Certificering • Gecertificeerde auditors • Geaccrediteerde auditors, Gecertificeerde auditees • Accreditatie als gecertificeerde certificeerder • Scope-bepaling – hoe (SoA, onderhandeling) • Scope en rapport • Certificaat en onafhankelijkheid • Normen? Maatregelen! 32 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow 3402 • ISAE 3402, Assurance Reports on Controls at a Third Party Service Organization • ‘Vervangt’ SAS70 • Type I, II (OB, OW) →→→→ • Type A, B (OB, OW) • Receiving auditor besteedt auditwerk in service organisatie uit aan service auditor (ISAE 402) • Resulteert in rapport van bevindingen • Dus geen interpretaties, conclusies of iets dergelijks! • Is dus GEEN TPM • Ontvangende auditor moet werk zelf opnemen in overall plaatje • Afspraken over inhoud! • (Of hoe gaat dat bij Direct Reporting ..?)
  17. 17. 17 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 33 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow ‘Controletechnieken’ • Directe en indirecte controle • Volkomen, volledige en fragmentarische controle Volkomen: Rationeel controledoel Volledig: Alles Volmaakt: …? • Totaal- en detailcontrole • Integrale en partiële controle: gehele verzameling, of alleen deelwaarneming: • Posten, waarde-eenheden • Steekproeven • 80/20 / (risicogebaseerde) kritische deelwaarneming, blokmethode (periode) • Positieve en negatieve controle: juistheid, volledigheid • Formele en materiële controle 34 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Controlemiddelen • ‘Interviews en documentstudie’ en …? • Onderzoek van de interne organisatie (AO/IC) • Cijferbeoordeling • Verbandscontrole • Externe bescheiden en interne vastleggingen (bewijsstukken) • Normen (interne doelstellingen) • Bestaanscontrole (inventarisatie, waarneming ter plaatse, afloopcontrole, saldobevestigingen, ontstaanscontrole, overige) • Inlichtingen van de gecontroleerde • Overige (attestatie de vita, verklaringen van andere accountants, van actuarissen)
  18. 18. 18 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 35 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Of, zoals voor ons relevante controlemiddelen • Verificatie • Waarnemingen ter plaatse • Bevestiging • Herberekening • Opnieuw uitvoeren • Analyse • Het inwinnen van inlichtingen 36 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow ‘Interviews en documentstudie’ • Inlichtingen van de gecontroleerde: Betrouwbaarheid ?? (zie paper) • Bewijsstukken en overige vastleggingen: • Extern > Intern • Intern > AO • (Schriftelijk > mondeling) • Voorbeelden: Van alles en nog wat • Eigen waarneming ter plaatse • Handelingen zien • Onderzoeken van objecten (administratie, deliverables, fysiek) Waaronder steekproeven • Inventarisatie, proceduretests, lijncontrole
  19. 19. 19 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 37 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Steekproeven • Geen absolute zekerheid • Toetsen of schatten ..? • Uitspraken op basis van • Tolerantie van fouten in parameterschattingen (‘normale’ verdeling ?) • Betrouwbaarheid (foute conclusie over hypothesen) • Attributief: Kwalitatief, tellen van aantal keer voorkomen van een attribuut bij objecten • Variabel: Kwantitatief (μμμμenσσσσ) over kwantitatief • Nauwkeurigheid versus betrouwbaarheid 38 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Meer over Controle • http://www.elementairetheorieaccountantscontrole.noordhoff.nl/ • Elementaire kennis Accountantscontrole, NIVRA / Wolters-Noordhoff (Marktplaats t.e.a.b…)
  20. 20. 20 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 39 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Audit automation →→→→CAATs • Computer Assisted Audit Techniques alleen mogelijk bij: • Voldoende grote gegevensbestanden • Voldoende heterogeniteit in de massa • Voldoende binding met doel • Selecteren Sorteren en samenvatten Vergelijken Rekenen Statistische berekeningen Steekproeven 40 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Controlemix • Het geheel van de gekozen (!) controlemiddelen en –technieken • Reikwijdte • Toepasbaarheid • Effectiviteit • Nauwkeurigheid • Efficiency • Socio-psychologische effecten • Effectief en efficiënt (volkomen) • Nogmaals: AR = IR xxxx ICR xxxx DR = ...?
  21. 21. 21 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 41 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Blijf denken 42 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Alles op een hoop: Het Rotterdamse model Auditontwerp = • Auditdoelstelling • Auditmodel • Beoordelingscriteria • Begripsbepaling en operationalisering • Auditmateriaal • Auditstrategie • Verwerking gegevens en oordeelsvorming • Rapportage • Auditplanning Conceptueel ontwerp Technisch ontwerp
  22. 22. 22 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 43 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Veldwerk • Just do it … of ..? 44 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Bevindingen
  23. 23. 23 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 45 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Bevindingen afstemmen! • Bevindingen afstemmen met ‘bronnen’ • Gespreksverslagen →→→→ Veel werk (maar kort, mag) →→→→ Geïnterviewde heeft laatste woord! →→→→ Niet alsnog dingen erbij slepen ..! • Bepaal relevantie van bevinding ten aanzien van effectiviteit maatregel(en), norm(en) • Criteria Condition Residual risk Cause Recommendation • Geen symptomen maar gebreken – in de beheersing 46 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Bevindingen
  24. 24. 24 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 47 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Rapportage – Vereisten • Opschrift • Doelgroep • Opdracht,onderzoeksobject en moment/periode • Reikwijdte onderzoek (kwaliteitsaspecten,normen, diepgang) • Verantwoordelijkheden en werkzaamheden • Oordeel • Beperkingen • Ondertekening 48 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Oordelen • 4 Strekkingen van oordelen • Elementen Richtlijn en kernwoorden • Bijvoorbeeld goedkeurend • Voldoet aan gestelde normen
  25. 25. 25 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 49 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Rapportage 50 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Rapportage …? • ‘Standaard’ versus Project Reviews • Standaard: • Beheer-georiënteerd • Van A tot Z • Project Review: • Project-georiënteerd • Alles behalve (?) Z • Gateway: • A, B, C etc. • Maar ‘niks’ ertussen • ‘Peer review’ ..? Communication Structuring Investigation Assignment SummariesApproach Research Report Findings ToR Major issues Work programs
  26. 26. 26 vrije Universiteit amsterdam Postgraduate IT Audit Opleiding 51 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow En dan …? • Richtlijn (230) Documentatie • Niet ‘dossiervorming’ • Tot volgende week (?) 52 JvP/JvdV/VU MEI/2010 Uitvoering van de audit - IT audit flow Op naar de volgende audit

×