Add to collection(s) Add to saved
  1. Engineering & Technology
  2. Computer Science
  3. Data Management
Uploaded by Nick Houwer

Aantekeningen Theorielessen EDP

advertisement 
Inhoudsopgave
1
IT risico’s inventariseren.................................................................................................................. 2
2
Bewuste fouten (Fraude)................................................................................................................. 3
3
Beschikbaarheid en integriteit van de gegevens (Processing integrity & availability) .................... 4
4
Basis van een (EDP) audit ................................................................................................................ 7
1
1
IT risico’s inventariseren
Bedreigingen
 Natuurlijke en politieke rampen (bv. Aardbeving, oorlog, brand)
 Onbewuste fouten (bv. per ongeluk database verwijderen)
 Bewuste fouten (fraude) (bv. Extra transactie aanmaken om omzet te verbeteren)
 Hard- en softwarefouten (bv. Crashen vd server, bug)
Beheersdoelstellingen
System reliability: betrouwbaarheid van het informatiesysteem
Processing integrity: integriteit van het verwerken van gegevens (gegevens komen overeen met de
werkelijkheid)
Availability: beschikbaarheid van de gegevens (geen uitval van de server (backup))
Confidentiality: vertrouwelijk houden van bedrijfsgegevens (informatie geheim houden/geheimhoudingsplicht)
Privacy: vertrouwelijk houden van persoonsgevens
Security: beveiliging van het systeem (bv. Inbraak) als deze niet goed is kunnen de pilaren niet steunen
IT Risico’s
Matrix maken
Gebeurtenis  rijen
Gevolgen  kolommen
Risico = gebeurtenis + gevolg (oorzaak + gevolg)
Het informatiesysteem is niet beschikbaar (availability, gevolg), omdat door een hardwarefout de server uitvalt
(oorzaak)
2
2
Bewuste fouten (Fraude)
IT bedreigingen
Bewuste fouten  fouten die van materieel belang in een financiële overzicht is
2 soorten fraude
1. Afwijkingen die voortvloeien uit frauduleuze financiële verslaggeving
2. Afwijkingen die voortkomen uit de oneigenlijke toe-eigening van een activa
Stappen om de fraude te auditen
1. Begrijpen fraude
2. Bespreken met het team welke posten gevoelig zijn voor fraude
3. Verkrijgen van informatie
4. Analyseren informatie en onderzoeken (informatie toetsen aan de norm)
5. Evalueren resultaten
6. Auditor documenteert en communiceert zijn bevindingen
Fraude driehoek (reden van fraude)
 Druk/verleiding (bv. Druk om
marktaandeel te behalen)
 Rationalisatie (bv. Wat ik vind is van
mij/”Eerlijk gevonden”)
 Kans/gelegenheid (bv. Er wordt geen
toezicht gehouden op de administratie)
Computerfraude
Input fraude:
Processor fraude: ongeautoriseerd gebruikmaken van de processor van de computer (bv.
Spel server hosten)
Output fraude: printen van gegevens die door derden gestolen of ingezien kunnen
worden.
Data fraude: illegaal gebruikmaken van software (bv. Inzien van gegevens die niet voor
jou bedoelt zijn/het verlies van data)
Computer instructie fraude: Aanpassen van bedrijfssoftware (bv. Code wijzigen)
3
3
Beschikbaarheid en integriteit van de gegevens (Processing
integrity & availability)
Processing integrity (application controls): de gegevens komen overeen met de werkelijkheid
Invoercontroles (input controls)
 Forms design: invulformulier/ontwerpen van formulier (bv. Scherm als je een journaalpost wilt
toevoegen)
 Cancellation and storage of source documents: ongeldig maken van brondocumenten/originele
facturen. Het annuleren van documenten (bv. Als je een factuur hebt betaald, dan een stempel met
betaald erop zetten (ongeldig verklaren) of het moment dat je ticket wordt gescheurd bij de bioscoop)
 Data entry controls
o Field check (bv. In een veld waar je een bedrag invoert mag je geen woorden typen)
o Sign check (bv. Niet mogelijk om negatieve aantal producten te kopen)
o Limit check: je kan geen groter bedrag invoeren dan een bepaalde grens
o Range check: binnen een bepaald bereik mag je alleen invoeren
o Size check: maximaal aantal karakters (bv. Als je een postcode ergens moet invullen mag je
maar 4 cijfers en 2 letters invoeren (6 karakters))
o Completeness check: verplichte verlden
o Validity check: bestaanscontrole (bv. Kijken of het debiteurnummer bestaat in het
debiteurenbestand tijdens het invoeren van een verkoop)
o Reasonableness test: redelijkheidscontrole (bv. Als je €10.000 overboekt dat je het scherm
“Weet je zeker of dit bedrag klopt” krijgt)
o Check digit: controle dat het getal klopt d.m.v. aantal getallen (bv. Ordernummer: 2734668;
ordernummer met check digit: 27346687)
 Additional batch processing data entry controls
o Sequence check: doorlopende nummering van facturen
o Batch totals

Additional online data entry controls
o Prompting: soort completeness check maar dan online (bv. Na het invoeren van een
bestelling krijg je via de mail een bericht dat er nog dingen missen, printer die aangeeft dat
het bestand niet kan worden uitgeprint via de mail)
o Closed-loop verification (bv. Als je een debiteurnummer invoert dan de naam te zien krijgt)
4
Verwerkingscontroles (processing controls)
 Data matching





File labels: aantal in de header (koptekst factuur) moet overeen komen met het totaal van de
regelaantallen (bv. In exact moeten het totaalbedrag overeen komen met het totaal aan bedragen)
Recalculation of batch totals: herberekenen batch totalen
Cross-footing and zero-balance test
o Cross-footing: vertical totalen moeten gelijk zijn aan horizontale totalen in een tabel
o Zero-balance test: debet moet gelijk zijn aan credit (in balans)
Write protection mechanisms: je kan niet zomaar gegevens in de database overschrijven met andere
gegevens (bv. Als boekingen zijn verwerkt kunnen ze niet meer worden veranderd)
Concurrent update controls: er kan maar 1 iemand tegelijk iets schrijven in een database
Uitvoercontroles (output controls)
 User review of output: gebruiker controleert of de gegevens kloppen met de werkelijkheid postenlijst
(steekproef)
 Reconciliation procedures: gegevens moeten aansluiten op andere gegevens (bv. Het totaal van de
openstaande postenlijst moet overeen komen met het debiteurenbedrag)
 External data reconciliation: gegevens moeten aansluiten op andere externe gegevens (bv. Banksaldo
moet overeen komen met het totaalbedrag op de bankafschrift)
 Data transmission controls
o Checksums: controletotalen
o Pariteitsbit: soort check-digit
Availability
Preventief (voorkomen/vooraf) = minimize system downtime (zoveel mogelijk voorkomen van uitval)
 Preventief onderhoud
 ‘fault tolerance (redundantie, RAID): als een server plat gaat dan is er een mirror server
 Locatie en ontwerp datacentrum: server niet plaatsen op een plek waar veel aardbevingen zijn of
speciaal beveiligd gebouw
 Training van gebruikers
 Patch management en antivirus
Repressief (detecteren/achteraf) = quick and complete recovery
 Backup procedures
 Disaster recovery plan: draaibroek waarin staat hoe je zo snel mogelijk een bedrijf weer kan herstellen
(IT-niveau)
 Businesss continuity plan: zelfde maar dan op bedrijfsniveau
o Hot side: backup contoor staat klaar voor gebruik (mensen kunnen er gelijk in)
o Cold side: leegstaand kantoor waar alles nog in moet worden gezet
5
RTO (recovery time objective) = hoe snel wil je weer kunnen draaien?: ligt aan de soort maatregelen (webshop
is belangrijk snel weer te draaien)
RPO (recovery point objective) = hoeveel gegevens ben je bereid te verliezen?
Backup
 Full backup: alles
 Incremental: van 1 dag
 Differential: van dag … t/m dag …
6
4
Basis van een (EDP) audit
Soorten audits
 Financieel: controleren van financiële informatie (betrouwbaarheid van de informatie)
 Interne beheersing (informatie systeem): controleren van het informatie systeem (betrouwbaarheid
van het systeem) (bv. Controleren of een bedrijf bepaalde beheersingsmaatregelen goed heeft
geïmplementeerd)
 Operationeel: controleren of een bedrijf efficiënt en effectief te werk gaat (bv. Om te kijken of een
bedrijfsproces goed loopt)
 Compliance: controleren of het bedrijf wet- en regelgeving naleeft
 (Forensisch) onderzoek: onderzoek naar de toedracht van een bepaald incident (bv. Fraude)
Stappen en werkzaamheden in een auditproces
1. Reguliere auditproces
2. Risk-based auditbenadering
Reguliere Auditproces
1. Plannen (bv. Hoeveel tijd gaat deze opdracht mij kosten)
 Controlerisico
 ACR = IR * ICR * DR
 Accountantscontrolerisico (ACR): risico dat er een fout in de verantwoording zit die
de auditor alsnog een goedkeurende verklaring geeft (liefst zo klein mogelijk)
 Inherent (samenhangend met de business) risico (IR): het risico dat er iets op kan
treden zonder dat de organisatie eventuele maatregelen heeft getroffen (bv. Een
supermarkt heeft het risico dat producten bederven) (gegeven feit)
 Intern controlerisico (ICR): de kans dat een inherent risico niet door de interne
beheersingsmaatregelen wordt afgevangen (gegeven feit maar kan per organisatie
verschillen)
 Detectierisico (DR): de kans dat een inherent risico die niet door de interne
beheersingsmaatregelen ook niet worden gedetecteerd door de auditor
(accountant)
 Hoe groter het interne controlerisico, hoe meer je als auditor wilt controleren (meer
werk) om het detectierisico te verkleinen
2. Controlebewijs verzamelen
 Observatie (bv. Kijken hoe een proces wordt uitgevoerd of het volgen vanuit documenten
hoe een proces is verlopen)
 Inspecteren van documenten (bv. Lezen van een contract en kijken of bepaalde voorwaarden
(norm) zijn vastgelegd)
 Interviews/discussies (bv. Vragen aan medewerkers) (minst sterk van alle)
 Vragenlijsten (bv. Enquête)
 Waarneming ter plaatse (bv. Inventarisatie van de voorraad)
 Saldobevestigingen/bevestigingen van derden (bv. Vragen aan debiteuren of de bedragen
ook echt kloppen)
 Opnieuw uitvoeren (bv. Het opnieuw berekenen van de BTW op een verkoopfactuur of het
controleren dat de richtlijn van korting geven goed wordt toegepast)
 Toetsen aan brondocumenten (bv. Controleren of de facturen bij de genoemde bedragen op
de balans ook daadwerkelijk bestaan)
 Cijferanalyse: kijken of die aan de verwachtingen voldoet
3. Controlebewijs evalueren: controleren/toetsen aan de norm
 Redelijke mate van zekerheid (geen absolute mate van zekerheid): dit is omdat als je
volledige mate van zekerheid wilt geven je te duur bent voor de opdrachtgever. Sommige
fouten moeten daardoor worden geaccepteerd
 Materialiteit (fouten accepteren tot een bepaalde hoogte)
 Materieel: het kan de beslissing van de gebruiker beïnvloeden.
 Diepgaand: het zal de beslissing van de gebruiker beïnvloeden
7
4.
Communiceren bevindingen: gevonden informatie aan andere mensen vertellen
Risk-based auditbenadering
1. Risico’s vaststellen: risico’s inventariseren en aangeven welke maatregelen daarbij normaal zijn
2. Identificeren beheersingsmaatregelen: kijken welke maatregelen het bedrijf heeft
3. Evalueren beheersingsmaatregelen: toetsen of de maatregelen ook goed worden opgevolgd door het
bedrijf
 System review (design effectiveness (opzet/bestaan)): op een bepaald moment controleren
of een maatregel er is (lijncontrole)
 Test of controls/proceduretest (operational effectiveness (werking)): kijken of een maatregel
over de gehele controleperiode wordt gehanteerd
4. Evalueren tekortkomingen: lijdt de tekortkoming ertoe dat het genoemde risico wordt vergroot
 Compensating controls: maatregelen die een vervanger zijn voor andere maatregelen (bv.
i.p.v. preventieve maatregelen repressieve)
Auditobject (bv. Jaarrekening of bij EDP het informatiesysteem)
 Informatiesysteem
 Objective 1 Algemene beveiliging: algemene beveiliging van het complete informatiesysteem
 Objective 2 Ontwikkelingsbeheer en acquisitie: audit op de juiste aankoop van een programma
 Objective 3 Wijzigingsbeheer: controleren of de maatregelen bij het wijzigen van programmacode
goed worden uitgevoerd
 Hoe stel je ongeautoriseerde wijzigingen vast?
1. Broncode vergelijken: verschillende versies van het programma vergelijken op
verschillen. Daarna kijken of ze volgens het wijzigingsbeheer zijn gemaakt
2. Herberekenen: het opnieuw laten verwerken van de brongegevens in een
goed gecontroleerd programma. Daarbij kijken of de output hetzelfde is
3. Parallel simuleren: zelf programma bewerken en controleren of die overeen
komen met het gewijzigde programma van het bedrijf
 Objective 4 Computerverwerking: het verwerken van de ingevoerde gegevens door de computer
 Hoe bewaak je continue of gegevens goed worden verwerkt?
1. Geïntegreerde testfaciliteit: dummy gegevens laten verwerken door het
programma en daarna zelf controleren of de gegevens nog kloppen
2. Snapshot techniek: bepaalde brongegevens (live gegevens) als testgegevens
markeren. Daarna maakt het programma een log over het verwerken van deze
gegevens
3. SCARF (system control audit review file): criteria aan het informatiesysteem
gegeven over verdachte gegevens. Het systeem verwerkt de verdachte gegevens
wel maar maakt daarbij wel een log zodat die aan het einde van de periode
geaudit kan worden (monitoring van informatiesysteem)
4. “Audit hooks”: zelfde als SCARF, maar dan wordt de log gelijk bekend gemaakt
(monitoring van informatiesysteem)
5. CIS (continuous intermitted simulation): monitoring van de database
 Objective 5 Brondata: kijken hoe het invoeren van brongegevens in het informatiesysteem
verloopt
 Input controls matrix

Objective 6 Gegevensbestanden: auditen of de database goed beveiligd is tegen schrijffouten
8
9
Related documents
KHLim LO-BR
KHLim LO-BR
Download
advertisement