Een zoektocht

Agile beter auditen met data-analyse

(Publicatiedatum: 18 juli 2022) Ben jij een IT-auditor? En vind je systeemontwikkelingsprocessen ook lastig te beoordelen door het gebruik van agile en devops-werkwijzen? Dan ben je niet alleen. De IT-auditaanpak ontstond in het oer-Cobol/Mainframe-tijdperk. Omdat de IT-wereld continu verandert, word jij als auditor voortdurend uitgedaagd om de auditaanpak van systeemontwikkeling daarop aan te passen. In…

Agile auditing @ Jumbo – a good practice

(Publicatiedatum: 31 mei 2022) Van rapport in de la naar acties op de vloer: hoe Jumbo internal audit het agile-gedachtegoed implementeerde in haar werkwijze. Van log en weinig draagvlak, naar wendbaar met een brede acceptatie door middel van een kwartaalplanproces en een kernteam. Dit artikel is eerder gepubliceerd in Audit Magazine van het IIA en…

Een nieuwe auditaanpak voor complexe projecten

Complexiteit is geen black box

(Publicatiedatum: 11 januari 2022) Uit de praktijk blijkt dat bij veel projecten de gestelde doelen niet worden behaald. Bovendien is vaak de doorlooptijd (veel) langer dan gepland en de kosten (veel) hoger dan beoogd. Dit niet in de laatste plaats met reputatieschade tot gevolg. Ook de gemeente Rotterdam kent dit soort projecten. De complexiteit van…

Toenemende impact van dreigingen in de leveranciersketen

Ketenafhankelijkheden

(Publicatiedatum: 24 december 2021) Deze bijdrage geeft aan hoe de IT-auditor kan omgaan met de steeds grotere impact van actuele dreigingen in de leveranciersketen. Hacks via leveranciers – denk aan Solarwinds, voorjaar 2021 – onderstrepen de ernst hiervan. Wat daar nog bij komt is de trend dat cybercriminelen steeds vaker bedrijfsnetwerken binnenkomen via standaardpakketten en…

Een risk based-benadering

Blockchain security Auditing

(Publicatiedatum: 22 december 2021) Nu blockchain-technologie steeds vaker wordt toegepast en meer de aandacht trekt van bestuursleden en CxO’s van veel organisaties, wordt het voor IT-auditors noodzakelijk om zich te verdiepen in de risico’s die voortkomen uit de implementatie van deze technologie en de auditing ervan. Dit artikel wil inzicht geven in de risico’s van…

NOREA-groepen stellen zich voor

Kennisgroep Robotic Process Automation (RPA)

(Publicatiedatum: 19 november 2021) Sinds enkele jaren is ‘robotics’ een van de innovatie-buzzwoorden. Veel mensen denken bij robotics aan een fysieke robot, die steeds meer op de mens lijkt, tot en met de gelaatsuitdrukking. Maar daar is bij Robotic Process Automation (RPA) geen sprake van, zie hierna. Als kennisgroep Robotic Process Automation zoeken wij antwoorden…

Anti-witwastechnologie: waar de IT-auditor en compliance officer elkaar treffen

(Publicatiedatum: 15 november 2021) De compliance officer en de IT-auditor hebben elkaar nodig in de dynamische, complexe en sterk ICT-gedreven wereld van het anti-witwassen (AML). De Financial Action Task Force on money laundering (FATF) heeft een inspirerende inventarisatie opgesteld om dergelijke multidisciplinaire teams op de toekomst voor te bereiden: ‘Stocktake on data pooling, collaborative analytics…

Negen aanbevelingen

Ransomware en de rol van een IT-Auditor

(Publicatiedatum: 11 november 2021) Ransomwareaanvallen zijn met een snelle opmars bezig en staan internationaal inmiddels op de tweede plaats in de ranglijst van cyberbedreigingen. IT-auditors kunnen veel betekenen voor organisaties om ransomware-risico’s te mitigeren. Dit artikel geeft hiervoor een aantal handvatten en doet negen concrete aanbevelingen. Ransomware is een type malware die bestanden en systemen…

Gegevensbescherming in cloud-omgevingen: encryptie- en sleutelbeheer

(Publicatiedatum: 8 oktober 2021) De revolutionaire ontwikkeling van cloud computing zou een enorme mislukking worden zonder voldoende activiteiten in de sfeer van beveiliging en privacybescherming, zoals encryptie- en sleutelbeheer. [SHAH 14] Cloud service users (hierna ‘users’) en IT-auditors besteden daar niet altijd genoeg aandacht aan. Er is dan ook een grotere rol voor de IT-auditors…

Testen we nog general IT controls bij het toepassen data-analyse?

(Publicatiedatum: 4 oktober 2021) Van oudsher hechten we groot belang aan het testen van de general IT controls om tot een oordeel over de jaarrekening te komen. Dit artikel behandelt de vraag of dit nog wel altijd nodig is, gegeven de groeiende nadruk op datagedreven audits. Een datagedreven auditaanpak krijgt een steeds belangrijkere rol in…

Opinie: Het politieke spel van het verbergen van rechten

Spanningsvelden bij het oplossen van kritische rechten

(Publicatiedatum: 14 september 2021) Bedrijven met ERP-software bepalen aan de hand van functieprofielen welke rechten hun medewerkers krijgen. Daarbij moeten medewerkers niet te veel kritische rechten of combinaties van rechten krijgen die samen een functiescheidingsconflict opleveren: een segregation of duties (SoD)-conflict. Het verstrekken van deze rechten kan door de complexiteit van het systeem gemakkelijk doorschieten…

De mens als sleutel tot effectieve informatiebeveiliging

(Publicatiedatum: 6 september 2021) Nagenoeg alle securityprofessionals zullen het beamen: de medewerkers vormen het grootste risico op security-incidenten voor de organisatie en daarmee is risicobewustzijn met betrekking tot informatie belangrijker dan ooit. Toch is security awareness vaak onderbelicht en tamelijk onvolwassen, en daardoor zijn de meeste security awareness-programma’s niet effectief. Sterker: de meeste securitystrategieën zijn…