Risicomanagement
Het identificeren en kwantificeren van risico’s en het vaststellen van beheersmaatregelen.
De noodzakelijke transitie van IT-auditing
Paul van Kessel (1958) is sinds 2006 wereldwijd verantwoordelijk voor de (IT-) Risk Assurance en Advisory Services van EY. Zijn rol is momenteel Global Managing Partner Cybersecurity Services. Deze bijzondere positie en zijn ervaring vormen voor ons de aanleiding om hem te interviewen, benieuwd als we zijn naar zijn observaties aangaande de inzet en relevantie… Meer
Privacy
De Nederlandse privacywetgeving volgens de Europese Richtlijn 95/46/EG en de daarop gebaseerde Wet bescherming persoonsgegevens (Wbp) zijn bijna net zo oud als de jubilerende NOREA. De IT-auditor die privacyvraagstukken beoordeelt ontleent zijn normatieve raamwerk grotendeels aan deze wet- en regelgeving, en in het verlengde daarvan aan het domein van informatiebeveiliging. Nu, na twintig jaar ervaring… Meer
De juiste investeringen in risicomanagement
Managers staan dagelijks voor allerlei keuzes: welke investering geeft mij het beste rendement? Waar zet ik mijn schaarse middelen het best in? Diezelfde vragen gelden ook voor investeringen op het gebied van risicomanagement. Dan gaat het niet alleen over (behoud van) rendement, maar kan het ook gaan over het verlagen van de kans op mogelijk… Meer
In control van datakwaliteit onder Solvency II
De nieuwe Europese wetgeving Solvency II (hierna SII) is per 1 januari 2016 een feit. Als voorbereiding hierop zijn verzekeraars de afgelopen jaren druk bezig geweest met de implementatie van de SII-vereisten. Specifiek onderdeel van SII is de beheersing van de kwaliteit van de data die gebruikt worden voor de berekening van het vermogen dat… Meer
Governance, Risk, Compliance – samen naar de top!
De afgelopen jaren hebben veel organisaties initiatieven ontplooid om de organisatieonderdelen die belast zijn met taken op het gebied van Governance, Risk en Compliance (GRC) beter te laten samenwerken. [GRC01], [GRC02] Deze initiatieven zijn veelal ontstaan uit de wens en noodzaak om deze activiteiten effectiever, efficiënter en transparanter in te richten. Centraal en integraal uitvoeren… Meer
Jaarrekeningcontrole en risicomanagement in de cloud
Accountants en IT-auditors krijgen bij de auditwerkzaamheden voor de jaarrekeningcontrole steeds vaker te maken met cloudapplicaties die door externe dienstverleners worden beheerd voor hun opdrachtgevers. Volgens kritische rapporten blijkt dat accountants in de praktijk moeite hebben met de complexiteit die voorkomt bij het auditen van externe dienstverleners. Cloudgerelateerde issues die de accountant en de IT-auditor… Meer
Overleefd door je bedrijfsparaplu?
Wanneer ik (Wim) op vakantie ben, heb ik altijd een aantal bedrijfsparaplu’s bij me. Ze liggen achterin mijn auto en als Buienradar zwaar weer voorspelt, leg ik ze voor de zekerheid in de voortent. Toen ik ze in de afgelopen vakantie uit mijn kofferbak pakte, viel mijn oog op de bedrijfslogo’s op die paraplu’s. Ik… Meer
The next level: effect bereiken
Als IT-auditor kun je effect bereiken in de boardroom door in te spelen op de risicobeleving van bestuurders en directieleden. De afdeling IT Risico’s (ITR) van De Nederlandsche Bank (DNB) werkt sinds 2010 met IT-standaarden. In een artikel uit 2012 is de aanpak hiervan beschreven. [KONI12] Onderhavig artikel gaat over het bereikte effect en de… Meer
Reducing System Language and System Thinking in 2020
Management and executives must make decisions based on real risks affecting the mission and business processes of their user organization. Therefore, they must solicit advice from their risk experts, such as risk managers and IT auditors. However, the experts are bogged down with details at a (very) low operational level and may not fully understand… Meer
De digitaal onderzoeker en de IT-auditor: Samen sterk!
Dit artikel is een geanonimiseerde beschrijving van een fraudeonderzoek waarin wordt stilgestaan bij het belang van logging voor de uitvoering van een digitaal onderzoek. De term fraude wordt gedefinieerd als het behalen van een wederrechtelijk voordeel door opzettelijke misleiding. Bij een gepleegde fraude is meestal sprake van de drie elementen van de ‘fraudedriehoek’: druk, gelegenheid… Meer
Governance is Mensenwerk
Het al of niet failliete Three Lines of Defence-model houdt de gemoederen flink bezig. De knuppel die Leen Paape in december 2013 in het hoenderhok gooide, leidde tot de nodige reacties in de vakpers en wakkerde ook de interne discussies bij financiële instellingen aan. [PAAP13] Achmea gebruikt dit model en ja, ook Achmea kent toch… Meer
Risk en Compliance
Risk managers en compliance officers: ze worden niet zelden gezien als buitenbeentjes die met vervelende regeltjes menig business manager tot wanhoop drijven. Dat moet anders, vond men bij Achmea. Het roer ging om. Cultuur en gedrag kwamen in de plaats van het ‘sec’ invoeren van regels, het opgeheven vingertje maakte plaats voor proactieve begeleiding en… Meer