Risicomanagement

Het identificeren en kwantificeren van risico’s en het vaststellen van beheersmaatregelen.

Interview met Paul van Kessel

De noodzakelijke transitie van IT-auditing

Paul van Kessel (1958) is sinds 2006 wereldwijd verantwoordelijk voor de (IT-) Risk Assurance en Advisory Services van EY. Zijn rol is momenteel Global Managing Partner Cybersecurity Services. Deze bijzondere positie en zijn ervaring vormen voor ons de aanleiding om hem te interviewen, benieuwd als we zijn naar zijn observaties aangaande de inzet en relevantie… Meer

Meer dan compliance en informatiebeveiliging

Privacy

De Nederlandse privacywetgeving volgens de Europese Richtlijn 95/46/EG en de daarop gebaseerde Wet bescherming persoonsgegevens (Wbp) zijn bijna net zo oud als de jubilerende NOREA. De IT-auditor die privacyvraagstukken beoordeelt ontleent zijn normatieve raamwerk grotendeels aan deze wet- en regelgeving, en in het verlengde daarvan aan het domein van informatiebeveiliging. Nu, na twintig jaar ervaring… Meer

De juiste investeringen in risicomanagement

Managers staan dagelijks voor allerlei keuzes: welke investering geeft mij het beste rendement? Waar zet ik mijn schaarse middelen het best in? Diezelfde vragen gelden ook voor investeringen op het gebied van risicomanagement. Dan gaat het niet alleen over (behoud van) rendement, maar kan het ook gaan over het verlagen van de kans op mogelijk… Meer

Zes bouwstenen voor het beoordelen van de kwaliteit van de databeheersing onder SII

In control van datakwaliteit onder Solvency II

De nieuwe Europese wetgeving Solvency II (hierna SII) is per 1 januari 2016 een feit. Als voorbereiding hierop zijn verzekeraars de afgelopen jaren druk bezig geweest met de implementatie van de SII-vereisten. Specifiek onderdeel van SII is de beheersing van de kwaliteit van de data die gebruikt worden voor de berekening van het vermogen dat… Meer

Governance, Risk, Compliance – samen naar de top!

De afgelopen jaren hebben veel organisaties initiatieven ontplooid om de organisatieonderdelen die belast zijn met taken op het gebied van Governance, Risk en Compliance (GRC) beter te laten samenwerken. [GRC01], [GRC02] Deze initiatieven zijn veelal ontstaan uit de wens en noodzaak om deze activiteiten effectiever, efficiënter en transparanter in te richten. Centraal en integraal uitvoeren… Meer

Jaarrekeningcontrole en risicomanagement in de cloud

Accountants en IT-auditors krijgen bij de auditwerkzaamheden voor de jaarrekeningcontrole steeds vaker te maken met cloudapplicaties die door externe dienstverleners worden beheerd voor hun opdrachtgevers. Volgens kritische rapporten blijkt dat accountants in de praktijk moeite hebben met de complexiteit die voorkomt bij het auditen van externe dienstverleners. Cloudgerelateerde issues die de accountant en de IT-auditor… Meer

Overleefd door je bedrijfsparaplu?

Wanneer ik (Wim) op vakantie ben, heb ik altijd een aantal bedrijfsparaplu’s bij me. Ze liggen achterin mijn auto en als Buienradar zwaar weer voorspelt, leg ik ze voor de zekerheid in de voortent. Toen ik ze in de afgelopen vakantie uit mijn kofferbak pakte, viel mijn oog op de bedrijfslogo’s op die paraplu’s. Ik… Meer

Effect creëren in de boardroom

The next level: effect bereiken

Als IT-auditor kun je effect bereiken in de boardroom door in te spelen op de risicobeleving van bestuurders en directieleden. De afdeling IT Risico’s (ITR) van De Nederlandsche Bank (DNB) werkt sinds 2010 met IT-standaarden. In een artikel uit 2012 is de aanpak hiervan beschreven. [KONI12] Onderhavig artikel gaat over het bereikte effect en de… Meer

A Vision on Risk-Oriented Education for Information Security Experts

Reducing System Language and System Thinking in 2020

Management and executives must make decisions based on real risks affecting the mission and business processes of their user organization. Therefore, they must solicit advice from their risk experts, such as risk managers and IT auditors. However, the experts are bogged down with details at a (very) low operational level and may not fully understand… Meer

De digitaal onderzoeker en de IT-auditor: Samen sterk!

Dit artikel is een geanonimiseerde beschrijving van een fraudeonderzoek waarin wordt stilgestaan bij het belang van logging voor de uitvoering van een digitaal onderzoek. De term fraude wordt gedefinieerd als het behalen van een wederrechtelijk voordeel door opzettelijke misleiding. Bij een gepleegde fraude is meestal sprake van de drie elementen van de ‘fraudedriehoek’: druk, gelegenheid… Meer

Governance is Mensenwerk

Het al of niet failliete Three Lines of Defence-model houdt de gemoederen flink bezig. De knuppel die Leen Paape in december 2013 in het hoenderhok gooide, leidde tot de nodige reacties in de vakpers en wakkerde ook de interne discussies bij financiële instellingen aan. [PAAP13] Achmea gebruikt dit model en ja, ook Achmea kent toch… Meer

Van macht naar kracht

Risk en Compliance

Risk managers en compliance officers: ze worden niet zelden gezien als buitenbeentjes die met vervelende regeltjes menig business manager tot wanhoop drijven. Dat moet anders, vond men bij Achmea. Het roer ging om. Cultuur en gedrag kwamen in de plaats van het ‘sec’ invoeren van regels, het opgeheven vingertje maakte plaats voor proactieve begeleiding en… Meer