De uitdaging voor traditioneel opgeleide auditors

Verbetergericht rapporteren

In 2013 mocht ik in het kader van het thema ‘effect-based auditen’ voor NOREA-vakbroeders een presentatie verzorgen over onze verbetergerichte audits. Het moest wat prikkelend zijn. Vandaar mijn presentatietitel: ‘Arrogantie verblindt. Of maakt slechtziendheid arrogant?’ Ik wilde aangeven welke onderzoeksvereisten en randvoorwaarden er zijn voor een verbetergerichte audit. Ondanks die prikkelende titel heb ik toentertijd…

Part 1

Pooled audits on cloud service providers

With this two-part article we aim to share our experiences with respect to the pooled audits we performed at two cloud service providers in 2018 and 2019. In Part 1 of the article we will outline the context within which these audits were performed. This relates to background information on cloud computing and outsourcing and…

Tijdsgebonden risico’s vangen in metaforen

Interne auditors rapporteren over risico’s, zodat de organisatie een beeld heeft wat haar te wachten staat en tijdig actie kan ondernemen. Maar juist de tijdsdimensie ontbreekt in de manier waarop auditors over risico’s rapporteren. In deze bijdrage verkennen wij het gebruik van metaforen om de tijdsgebonden risico’s in de IT-systemen van een organisatie te benoemen….

NOREA & ISACA Young Prof Event

Anti Money Laundering in a Digital World

Hoe wordt financiële criminaliteit bestreden? Welke technieken worden daarvoor gebruikt en wat is daarin de rol van de banken? En hoe zit het met de samenwerking tussen de banken, de Financial Intelligence Unit-Nederland (FIU), de Fiscale Inlichtingen en OpsporingsDienst (FIOD) en het OM? Een greep uit de vragen die bijna dagelijks via het nieuws passeren:dinsdag…

Kennisgroep Keteninformatiemanagement stelt zich voor

Revolutie in digitale connectie: Blockchain assurance

Met de opkomst van blockchaintechnologie, een vorm van distributed ledger technology, staan we als beroepsgroep voor een aantal uitdagende en buitengewoon cruciale vraagstukken. De kennisgroep Keteninformatiemanagement pakt de handschoen graag op om beoordelingskaders, toetsingsnormen en onderzoeksmethoden voor IT-auditors te ontwikkelen, waarmee zij in de praktijk organisaties en hun belanghebbenden kunnen ondersteunen. Hierbij richt de kennisgroep…

Professioneel rapporteren

Kort, aantrekkelijk en met impact!

In dit artikel beschrijven we ons leerproces op weg naar de productie van onderzoeksrapporten met impact.  Op basis hiervan reiken we enkele handvatten aan die de lezer kunnen helpen onderzoek te doen met (nog meer) impact. Binnen onze organisatie constateren we geregeld dat auditaanbevelingen uit diverse soorten rapporten (bevindingen, assurance, advies) niet of onvoldoende worden…

Toegang van derden tot rekeningen en sterke cliëntauthenticatie

PSD2 – risico’s voor banken

PSD 2 is de nieuwe Europese richtlijn met een herziene systematiek voor betalingen van consumenten en bedrijven aan leveranciers. Deze richtlijn zet de huidige betalingssystematiek op zijn kop. In het bijzonder verandert de rol van de traditionele banken om ruimte te maken voor nieuwe intermediairs in het betalingsverkeer. Als voorbeeld van de consequenties voor banken…

Rol van de IT-auditor

Online dienstverleningsrichtlijnen AFM financiële sector

Dit artikel gaat in op de rol die de IT-auditor kan vervullen bij het beoordelen van de implementatie van de online dienstverleningsrichtlijn die de Autoriteit Financiële Markten (AFM) in haar handboek heeft opgenomen [AFM-a]. Veel IT-auditors worden van oudsher ingezet om de traditionele general IT-controls of andere aspecten voor de IT-organisatie te toetsen. Maar met…

Welke vorm past het best?

Rapportages voor derden

Het is niet altijd voor iedereen duidelijk wat en hoe een IT-auditor naar derde partijen moet rapporteren. Dat is niet alleen voor buitenstaanders een lastig punt, maar ook voor relatief onervaren auditors. De auditor mag niet in conflict komen met de regels en de daarop gebaseerde verwachtingen van de professionele buitenwereld. Een rapport en de…

Nieuwe opzet 3402-rapport nader verklaard

De rapporttemplates voor 3402-rapporten zijn aangepast, net zoals eerder voor assurance-opdrachten onder Richtlijn 3000 is gebeurd. De meest kenmerkende wijziging is dat nu gestart wordt met het oordeel en geëindigd met de verantwoordelijkheden van de auditor. Hierdoor worden de 3402-rapporten consistent met de controleverklaringen bij financiële overzichten. Na een eerdere vergelijkbare aanpassing starten die namelijk…

SOC 2: Update van de NOREA SOC Guide

Onlangs is een update gepubliceerd van de NOREA SOC Guide, met enkele aanpassingen gemaakt rondom het gebruik van SOC 2- en SOC 3-rapportages. Wat betekenen deze wijzigingen voor ons, IT-auditors? Aanleiding voor de update van de NOREA SOC Guide is dat de huidige guide nog uit 2016 stamt. Sindsdien heeft de AICPA de nodige aanpassingen…

Regelgeving en eerste ervaringen met assurance

Verkorte uitkeringstermijn Depositogarantiestelsel

DNB heeft de ambitie om vanaf 2019 de uitkeringstermijn van het depositogarantiestelsel (DGS) in te korten tot maximaal zeven werkdagen. Dit is een van de grootste veranderingen in de nieuwe regelgeving voor het depositogarantiestelsel (DGS) die DNB in 2017 heeft gepubliceerd. Zoals bekend, is het DGS een garantieregeling voor de rekeninghouders van een bank. Het…