Stof uit colleges van artikelen Flashcards
El-Masri et al. (2015) & Kappelman et al. (2021)
College 3
Waar draagt EA aan bij?
Het besturen van de organisatie op het gebied van IT. Het bestuur plant haar IT-voorzieningen zodat de organisatie de gewenste doelen kan bereiken. EA draagt zo direct bij aan business en IT alignment, maar ook aan inzicht en kwaliteit in de huidige situatie en in de toekomst.
College 3
Welk inzicht geeft EA de accountant?
EA kan inzicht bieden in de interne beheersing, continuïteit, integriteit en controleerbaarheid van informatie
College 3
Hoe ondersteunt EA het audit proces?
Het geeft inzicht in de totale informatievoorziening van de organisatie. Het draagt daarmee bij aan de kennis van de entiteit en evaluatie van controle bevindingen.
College 3
Waar zorgen wijzigingen in de EA mogelijk voor?
Leidt mogelijk tot aanpassing van de audit. De EA biedt ook inzicht in de interne beheersing, continuïteit, integriteit en controleerbaarheid.
College 3
Wanneer kan de audit efficiënter (denk aan EA)?
Wanneer eenmaal vastgesteld is dat vertrouwd kan worden op gegevens uit het informatie landschap van de onderneming, dan hoeft alleen bij aanpassingen in het informatie landschap aanvullend onderzoek gedaan te worden door de accountant.
College 3
Wat zijn de belangrijke lagen in het EA model?
- Organisatie
- Processen
- Informatiesystemen
- Technische infrastructuur
College 3
Verschil digitized en digital
- Digitized = operational excellence: Het veranderen van belangrijke financiële transactie en backoffice processen en het reduceren van kosten
- Digital = Snelle business innovation: Het verbeteren van bedrijfsresultaten en strategische besluitvorming op basis van vernieuwing voor duurzame winstgevendheid
College 3
Wat is de waarde en rol van EA?
- Inzicht in alignment processen, technologie en organisatie in licht van strategie en business model
- Standaardisatie binnen IT-omgeving
- Invloed IT op bedrijfsvoering en interne beheersing bepalen
- Zekerheid vaststellen voor continuïteit, integriteit en controleerbaarheid van informatie
College 3
Wat is IT governance?
De beheersing van opbrengsten, kosten, risico’s resources en stakeholders - dus het rendement - van de IT binnen de intern en extern gestelde kaders door de hoogste leiding van de organisatie
College 3
Enterprise architectuur is niet software architectuur, verklaar.
Software architectuur richt zich op principes en modellen voor de interne werking van applicaties. Enterprise architectuur richt zich op principes voor het hele applicatielandschap en rleaties tussen applicaties. Daarnaast ook op o.a. bedrijfsprocessen, informatie, infrastructuur
College 3
Hoe is een architectuurprincipe opgebouwd
- Korte beschrijving
- Motivatie
- Consequenties
- Laag
- Aandachtspunten
College 2
Welke lagen zijn er?
- Strategie (Missie, Visie en Kernwaarden; Doelstellingen)
- Organisatie structuur (Locatiel; Organisatie eenheid)
- Bedrijfsprocessen (Bedrijfsproces; Bedrijfsobject)
- Informatiesystemen (Interface; Toepassing; Gegevens)
- Technische infrastructuur (Verwerkingsapparatuur; Netwerk; Opslag-apparatuur)
College 2
Definitie informatiesysteem
Een systeem bestaande uit apparatuur, programmatuur, mensen, procedures en gegevensverzamelingen, dat een deel van een organisatie van informatie voorziet
College 2
Definitie informatietechnologie
De toepassing van de techniek van informatieverwerking (software, hardware, netwerken)
College 2
Wie zijn de stakeholders bij de verschillende lagen in het lagenmodel?
- Organisatiestructuur: Management
- Bedrijfsprocessen: Gebruikers
- Informatiesystemen: Ontwikkelaars
- Technische infrastructuur: Beheerders
College 2
IT beheersings piramide
- IT controls op organisatie niveau
- Algemene IT controls
- IT applicatie controls
- IT gerelateerde handmatige controls
College 2
IT controls op organisatie niveau, 3 voorbeelden
- Organisatie
- IT governance
- Organisatiebeleid
College 2
Algemene IT controls, 3 voorbeelden
- Change management
- Systeemontwikkeling
- Computer operations
- IT beveiliging en toegang controles
College 2
IT applicatie controls, 3 voorbeelden
- Automatische systeeminterfaces en matching routines
- Data kwaliteitscontrole
- Functiescheiding door beperkte gebruikerstoegang
College 2
IT gerelateerde handmatige controls, 3 voorbeelden
- Follow up op items in automatische exceptie rapporten
- Review van systeem gegenereerde lijsten
- Management review van prestatierapporten
College 2
Noem de 5 belanrgijke COSO risicomanagement activiteiten
- Control environment
- Risk assessment
- Control activities
- Information & communication
- Monitoring
College 2
Sterke punten COBIT
- Compleet overzcith van de belanrgijkste processen in IT, onderverdeeld in strategisch - tactisch - operationeel
- Internationaal aanvaard, gebruikt door toezichthouders
- Diepgaand uitgewerkt met deelprocessen, KPI’s, RACI matrices, beheersingsmaatregelen
College 2
Risico’s bij implementatie COBIT
- Vooral procesgericht, niet altijd resultaatgericht
- Duizenden KPI’s en beheersingsmaatregelen kunnen leiden tot bureaucratie
- Voor sommige processen zijn andere raamwerken gangbaar en meer algemeen aanvaard
College 9
Definitie outsourcing
Levering van gespecialiseerde diensten door een externe partij op basis van een dienstverleningsovereenkomst tegen vooraf overeengekomen tarieven
College 9
Definitie shared service center (SSC)
Een resultaatverantwoordelijke eenheid in de interne organisatie voor het leveren van gespecialiseerde diensten aan de operationele eenheden, op basis van een dienstverleningsovereenkomst tegen een verrekenprijs
College 9
Drie typen hybride modellen voor outsourcing en SSC
- Geografisch hybride model
- Functioneel hybride model
- Intermediair hybride model
College 9
Definitie geografisch hybride model
Wanneer in bepaalde geografische gebieden de diensten worden uitbesteed, terwijl in andere gebieden dezelfde activiteiten plaatsvinden in shared service centers.
College 9
Definitie functioneel hybride model
Wanneer een bedrijf beslist over de toekomst van diensten, hangt dit af van het functionele gebied. De niet-basale, repetitieve, voorspelbare en meetbare activiteiten worden uitbesteed, terwijl de activiteiten die gerelateerd zijn aan de core business, niet verplaatsbaar zijn vanwege databeveiliging en organisatiecultuur, worden georganiseerd in een SSC.
College 9
Definitie intermediair hybride model
Het is een tijdelijk hybride model waarbij het SSC een tussenstap in het proces betekent voorafgaand aan de outsourcing provider. Intern verandermanagement wordt gevoerd om de relevante activiteiten van de business units en dochteronderneming los te koppelen.
College 9
Noem de verschillende delivery modellen
- IAAS
- PAAS
- SAAS
College 9
Noem de verschillen tussen de verschillende delivery modellen
IAAS: server, opslag en netwerk zijn in beheer bij de vendor. Eigenlijk een computer op afstand waar je alles (incl. OS) nog op moet installeren. Bij PAAS installeer je je applicaties op databases bij de vendor en is de rest wel in beheer bij de vendor. Bij SAAS draait alles bij de vendor en neem jij gewoon de software af.
College 9
Onderdelen van een ISAE 3402 Type I rapportage
- Independent service auditor’s report
- Service organization’s description of controls
College 9
Onderdelen van een ISAE 3402 Type II rapportage
- Independent service auditor’s report
- Service organization’s description of controls
- Information provided by the independent service auditor; includes a description of the service auditor’s tests of operating effectiveness and the result of those tests
College 9
Belang ISAE 3402 voor serviceorganisatie
- Auditors van de gebruikersorganisatie komen niet allemaal langs bij de serviceorganisatie voor het uitvoeren van audits
- Een ISAE 3402 kan door meerdere toezichthouders gebruikt worden, mits gericht op de juiste processen en voorzien van de juiste beheersdoelstellingen
- Bij uitvoeren van de testwerkzaamheden worden vaak verbeteringen gesignaleerd die leiden tot een effectievere en/of efficiëntere uitvoering van beheersmaatregelen
College 9
Belang ISAE 3402 voor gebruikersorganisatie
- Auditor van de gebruikersorganisatie kan de ISAE 3402 verklaring gebruiken bij het vormen van het oordeel over de kwaliteit van de beheersmaatregelen van de uitbestede processen, dat weer kan leiden tot kostenbesparing voor de gebruikersorganisatie op de audit fee
- ISAE 3402 rapport bevat voor de gebruikersorganisatie waardevolle informatie over de beheersmaatregelen
College 9
Secties van een ISAE 3402
Sectie 1:
- Accountantsverklaring (door externe accountant)
Sectie 2:
- Doelstelling en bereik van het rapport
- Rapport van de RvB waarin deze verklaart verantwoordelijk te zijn voor de juiste werking van de beheersdoelstellingen en maatregelen
- Beschrijving van de service organisatie
- Beschrijving van de bedrijfsprocessen
Sectie 3:
- Beschrijving van de te bereiken beheersdoelstellingen
- Beheersmaatregelen om de beheersdoelstellingen te bereiken
(Beschrijving van deze uitgevoerde wzh door de externe accountant)
Sectie 2 en 3 zijn free format en vaak gebaseerd op de vijf componenten volgens COSO-ICF
College 9
Checklist bij uitbesteding (voor serviceorganisatie)
- Bepaal toereikendheid huidige rapportages
- Heroverweeg de doelstellingen van de huidige ISAE 3402 rapporten
- Stem doelstellingen en normenkaders af met cliënten
- Welke aanvullende controles zijn nodig
College 9
Checklist bij uitbesteding (voor gebruikersorganisatie)
- Bepaal toereikendheid huidige rapportages
- Heroverweeg de doelstellingen van de huidige ISAE 3402 rapporten
- Denk mee over formulering controledoelstellingen
College 5
Voorbeelden general IT controls
Logische toegangsbeveiliging:
- Hebben en gebruiken alle medewerkers een eigen account en wachtwoord
- Account ingetrokken bij uitdiensttreding
Wijzigingenbeheer:
- Proces van wijzigingen of updates van applicaties
- Logging
College 5
Voorbeelden application controls
-Brondate controles: formulierontwerp, check-digits, sequence check
- Data entry controles: Formaatcontroles, plausibiliteitscontroles
- Processing controles: Data matching, batchtotalen, database controls
- Data transmissie controles: Pariteitscontroles, totaalcontroles
- Output controles: Overeenstemming o.b.v. output
College 5
Verschillende soorten IT controles
Geautomatiseerde controles:
- Geprogrammeerde financiële controles
- Hele sterke controles: de geprogrammeerde logica doet steeds hetzelfde
Deels geautomatiseerde controles:
- Controles worden door mense mogelijk gemaakt
- Mensen vertrouwen op informatie van IT systemen om de controle te laten werken
Handmatige controles:
- Geen IT afhankelijkheid, mensen maken de controle mogelijk
- Controles zijn 100% onafhankelijk van IT systemen
College 5
Op welke lagen in het lagenmodel komen welke controls voornamelijk voor?
- Gebruikersorganisatie: User controls
- Informatiesystemen: Application controls
- Technische infrastructuur: IT General controls
College 5
Op welke grondslagen mag je persoonsgegevens verzamelen?
- Toestemming van de gebruiker
- Vitale belangen
- Wettelijke verplichting
- Overeenkomst
- Algemeen belang
- Gerechtvaardigd belang
College 5
Wat is volgens de AVG allemaal belangrijk in het kader van zorgvuldigheid?
- Functionaris gegevensbescherming benoemen
- Privacy by design
- Impact assessment
College 5
Wat zijn volgens de AVG verplichte technische en organisatorische maatregelen?
- Register met alle verwerkingen
- Gegevensbeschermingsbeleid
- (Digitale) beveiliging
College 5
Wat zijn volgende de AVG de rechten van de betrokkenen?
- Recht om in te zien
- Recht om te wijzigen
- Recht om vergeten te worden
- Recht om gegevens over te dragen
- Recht op informatie
College 5
Belangrijke punten in het kader van meldplicht datalekken?
- Opgenomen in AVG
- Definitie: Toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Of zonder dat dit wettelijk is toegestaan
- Direct een melding bij AP maken
- Bepalen of de betrokkenen geïnformeerd moeten wordenC
College 5
Welke drie categorieën datalekken zijn te onderscheiden?
- Inbreuk op de vertrouwelijkheid: een onbevoegde of onopzettelijke openbaring van, of toegang tot, persoonsgegevens
- Inbreuk op de integriteit: een onbevoegde of onopzettelijke wijziging van persoonsgegevens
- Inbreuk op de beschikbaarheid: een onbevoegd of onopzetttelijk verleis van toegang tot, of vernietiging van, persoonsgegevens
College 5
Welke principes zijn van belang bij informatiebeveiliging?
- Beschikbaarheid:”systemen en netwerken moeten up and running zijn
- Integriteit: berichten en gegevens kunnen niet worden aangepast zonder dat dit traceerbaar is
- Vetrouwelijkheid: voorkomen van het verstrekken van gegevens aan niet geautoriseerde individuen of systemen
College 5
Wat behandelt identity and access management (IAM)?
- Hoe verkrijgen gebruikers een identiteit
- De bescherming van die identiteit
- De technologieën die die bescherming ondersteunen (bijv. netwerkprotocollen, digitale certificaten, wachtwoorden)
College 5
Op welke manieren kan identificatie, authenticatie en autorisatie worden getoetst?
- Kennis (bijv. een wachtwoord)
- Bezit (bijv. chipkaart, mobiele telefoon(
- Biometrische kenmerken (bijv. vingerafdruk of irisscan)
