Beroepsontwikkeling en reglementering

De ontwikkeling van het vakgebied van de IT-auditor en de gedrags- en beroepsregels, richtlijnen en normenkaders die van toepassing zijn voor de IT-auditors.

De golven van IT-auditing

Wat was in 2004 de voorspelling voor 2015? De toenmalige NOREA-voorzitter Adri de Bruijn filosofeerde destijds over de externe auditor en de beroepsorganisatie in 2015. De aanleiding daarvoor was een symposium ter gelegenheid van het afscheidscollege van prof. Margaret van Biene-Hershey als hoogleraar EDP-auditing aan de Vrije Universiteit te Amsterdam. Zijn beschouwing is gepubliceerd in… Meer

Vijfentwintig jaar NOREA, de beroepsorganisatie van IT-auditors

In 2017 bestaat NOREA 25 jaar. Gedurende deze periode, van 1992 tot 2017, heeft de informatietechnologie zich revolutionair ontwikkeld. De ‘Wet van Moore’, die een exponentiële groei van opslagcapaciteit en snelheid van computerchips voorspelde, heeft bijna vijftig jaar standgehouden en de gevolgen hiervan zullen voorlopig nog wel blijven doorwerken. Dit heeft geleid tot een ICT… Meer

Interview met Paul van Kessel

De noodzakelijke transitie van IT-auditing

Paul van Kessel (1958) is sinds 2006 wereldwijd verantwoordelijk voor de (IT-) Risk Assurance en Advisory Services van EY. Zijn rol is momenteel Global Managing Partner Cybersecurity Services. Deze bijzondere positie en zijn ervaring vormen voor ons de aanleiding om hem te interviewen, benieuwd als we zijn naar zijn observaties aangaande de inzet en relevantie… Meer

Interview met Jeroen Biekart

Uitdragen strategie en bekendheid van het RE-beroep

Bij de start van zijn voorzitterschap heeft Jeroen Biekart begin 2014 een interview gegeven in de IT-Auditor. Tijd voor een update vanwege z’n voorgestelde herbenoeming. We spreken met hem bij NOREA. De voorgenomen fusie met ISACA is niet doorgegaan. Wat is de stand van zaken op het samenwerkingsvlak, ook met bijvoorbeeld andere partijen? ‘Met de… Meer

Effect creëren in de boardroom

The next level: effect bereiken

Als IT-auditor kun je effect bereiken in de boardroom door in te spelen op de risicobeleving van bestuurders en directieleden. De afdeling IT Risico’s (ITR) van De Nederlandsche Bank (DNB) werkt sinds 2010 met IT-standaarden. In een artikel uit 2012 is de aanpak hiervan beschreven. [KONI12] Onderhavig artikel gaat over het bereikte effect en de… Meer

Je bent je eigen interviewinstrument

Interviewen: een vak apart

Om informatie te verzamelen kan een auditor gebruikmaken van interviews. Een interviewer kent het belang van goed luisteren, samenvatten en doorvragen. Om een goed interviewresultaat te bereiken, is de interviewer zich bewust van het eigen gedrag en de relatie met de geïnterviewde. Dat is de theorie; in de dagelijkse praktijk is de effectiviteit nog een… Meer

Nederlandse handreiking voor SOC 2 komt eraan!

Auditors krijgen steeds vaker opdrachten om assurancerapporten uit te brengen over de interne controle van IT-serviceorganisaties. In de Verenigde Staten is hiervoor in 2012 een handreiking gelanceerd: SOC 2. Het is de concretisering van ISAE 3402 (in Amerika geïmplementeerd onder de naam SOC 1) gericht op IT-serviceorganisaties. NOREA haakt hierop in en schept duidelijkheid hoe… Meer

Boekbespreking

Auditors met een dubbele pet

Internal auditors beoordelen in welke mate hun organisatie erin slaagt om het bedrijfsproces en de daarmee samenhangende risico’s te beheersen. Een goed functionerende interne auditfunctie helpt het management de organisatie met een goed stelsel van normen te beheersen.1 Kan een externe auditor, gegeven deze nadrukkelijke interne gerichtheid van de interne auditfunctie, voldoende steunen op de… Meer

Cybersecurity in de boardroom

Wat beweegt bestuur en commissarissen?

Bedrijven worden steeds meer informatie- en ICT-gedreven. Dit betekent dat raden van bestuur en raden van commissarissen zich moeten (gaan) bezighouden met deze kritische assets. De zekerheid en adviezen die wij als IT-auditors hierover verschaffen, zouden daarom ook in deze gremia moeten landen. Dat zal beter lukken naarmate wij als beroepsgroep meer in staat zijn… Meer

SIVA – Methodiek voor de ontwikkeling van Auditreferentiekaders

Het boek ‘SIVA – Methodiek voor de ontwikkeling van auditreferentiekaders’ van Wiekram Tewarie lag al geruime tijd op de stapel te lezen boeken naast mijn bed. Het boek is in april dit jaar uitgekomen en biedt volgens de achterflap ‘praktische handvatten’ voor het auditvak vanuit een methodiek die hij SIVA noemt. SIVA is een volgtijdelijke… Meer

Interview met Abbas Shahim

Pleitbezorger voor wetenschappelijk onderzoek op het gebied van IT Assurance & Audit

Abbas Shahim is voor een aantal van ons zeker geen onbekende. Voor één dag per week is hij Associate Professor and Director of Studies bij de opleiding IT Audit, Compliance & Advisory (ITACA) aan de Vrije Universiteit (VU) te Amsterdam. Hij maakt deel uit van het opleidingsbestuur en is medeverantwoordelijk voor de bedrijfsvoering, het curriculum… Meer

Lessen en verbeteringen rond het DigiD-assessment

Het afgelopen jaar is DigiD enkele keren uit de lucht geweest door grootschalige DDoS-aanvallen. DigiD werd voorpaginanieuws. Betrokken overheidsorganisaties stuurden geruststellende persberichten de wereld in en beloofden verbeteringen, zoals het nieuwe eID [TWEE14]. Genoeg redenen om in te gaan op de jaarlijks verplichte DigiD-beveiligingsassessments. De auteur put uit zijn eigen ervaringen met DigiD-assessments.   Veel… Meer