Beroepsontwikkeling en reglementering

De ontwikkeling van het vakgebied van de IT-auditor en de gedrags- en beroepsregels, richtlijnen en normenkaders die van toepassing zijn voor de IT-auditors.

Effect creëren in de boardroom

The next level: effect bereiken

Als IT-auditor kun je effect bereiken in de boardroom door in te spelen op de risicobeleving van bestuurders en directieleden. De afdeling IT Risico’s (ITR) van De Nederlandsche Bank (DNB) werkt sinds 2010 met IT-standaarden. In een artikel uit 2012 is de aanpak hiervan beschreven. [KONI12] Onderhavig artikel gaat over het bereikte effect en de… Meer

Je bent je eigen interviewinstrument

Interviewen: een vak apart

Om informatie te verzamelen kan een auditor gebruikmaken van interviews. Een interviewer kent het belang van goed luisteren, samenvatten en doorvragen. Om een goed interviewresultaat te bereiken, is de interviewer zich bewust van het eigen gedrag en de relatie met de geïnterviewde. Dat is de theorie; in de dagelijkse praktijk is de effectiviteit nog een… Meer

Nederlandse handreiking voor SOC 2 komt eraan!

Auditors krijgen steeds vaker opdrachten om assurancerapporten uit te brengen over de interne controle van IT-serviceorganisaties. In de Verenigde Staten is hiervoor in 2012 een handreiking gelanceerd: SOC 2. Het is de concretisering van ISAE 3402 (in Amerika geïmplementeerd onder de naam SOC 1) gericht op IT-serviceorganisaties. NOREA haakt hierop in en schept duidelijkheid hoe… Meer

Boekbespreking

Auditors met een dubbele pet

Internal auditors beoordelen in welke mate hun organisatie erin slaagt om het bedrijfsproces en de daarmee samenhangende risico’s te beheersen. Een goed functionerende interne auditfunctie helpt het management de organisatie met een goed stelsel van normen te beheersen.1 Kan een externe auditor, gegeven deze nadrukkelijke interne gerichtheid van de interne auditfunctie, voldoende steunen op de… Meer

Cybersecurity in de boardroom

Wat beweegt bestuur en commissarissen?

Bedrijven worden steeds meer informatie- en ICT-gedreven. Dit betekent dat raden van bestuur en raden van commissarissen zich moeten (gaan) bezighouden met deze kritische assets. De zekerheid en adviezen die wij als IT-auditors hierover verschaffen, zouden daarom ook in deze gremia moeten landen. Dat zal beter lukken naarmate wij als beroepsgroep meer in staat zijn… Meer

SIVA – Methodiek voor de ontwikkeling van Auditreferentiekaders

Het boek ‘SIVA – Methodiek voor de ontwikkeling van auditreferentiekaders’ van Wiekram Tewarie lag al geruime tijd op de stapel te lezen boeken naast mijn bed. Het boek is in april dit jaar uitgekomen en biedt volgens de achterflap ‘praktische handvatten’ voor het auditvak vanuit een methodiek die hij SIVA noemt. SIVA is een volgtijdelijke… Meer

Interview met Abbas Shahim

Pleitbezorger voor wetenschappelijk onderzoek op het gebied van IT Assurance & Audit

Abbas Shahim is voor een aantal van ons zeker geen onbekende. Voor één dag per week is hij Associate Professor and Director of Studies bij de opleiding IT Audit, Compliance & Advisory (ITACA) aan de Vrije Universiteit (VU) te Amsterdam. Hij maakt deel uit van het opleidingsbestuur en is medeverantwoordelijk voor de bedrijfsvoering, het curriculum… Meer

Lessen en verbeteringen rond het DigiD-assessment

Het afgelopen jaar is DigiD enkele keren uit de lucht geweest door grootschalige DDoS-aanvallen. DigiD werd voorpaginanieuws. Betrokken overheidsorganisaties stuurden geruststellende persberichten de wereld in en beloofden verbeteringen, zoals het nieuwe eID [TWEE14]. Genoeg redenen om in te gaan op de jaarlijks verplichte DigiD-beveiligingsassessments. De auteur put uit zijn eigen ervaringen met DigiD-assessments.   Veel… Meer

Van de Norea

Kennisgroep Privacy Audits

Voor IT-auditors vormen privacy en de bescherming van persoonsgegevens belangrijke aandachtspunten. Enerzijds om vast te stellen of applicaties en systemen zijn ingericht conform de eisen die door wet- en regelgeving aan de bescherming van persoonsgegevens worden gesteld. Anderzijds om bedrijven en organisaties te behoeden voor het risico dat vertrouwelijke klantgegevens in handen komen van onbevoegden…. Meer

Succesvolle gesprekken in situaties die er toe doen

Stel, u heeft een gesprek met de IT-manager die verantwoordelijk is voor het object waarop u een audit heeft gedaan. Het gespreksonderwerp is uw concept-auditrapport dat, bijvoorbeeld, tal van ernstige tekortkomingen in de beveiliging van webapplicaties blootlegt. De belangen zijn aan beide kanten groot. Als het rapport ongewijzigd hogerop gaat, kan de IT-manager onder vuur… Meer

IT Auditor and the overconfidence effect

Beroepsbeoefenaren in de accountancy en IT-auditing worden geacht om tot een consistente en deugdelijke oordeelsvorming te komen. Maar mensen, dus ook deze beroepsbeoefenaren, kunnen bij de oordeelsvorming gemakkelijk in (voorspelbare) valkuilen trappen. Het artikel dat hieronder volgt, is in het Engels. In accounting and (IT) auditing, professional judgment is an increasingly important subject and professionals… Meer