Author: admin

NEN-ISO 9126 audit

We assess the quality characteristics of software products. In addition we evaluate the product characteristics or process characteristics, or a combination of both, depending on the needs of the client.

Our software audits are used in different ways. By default, we use the NEN-ISO 9126 standards for the framework to establish. NEN-ISO 9126 is an international standard for evaluating the quality of software.

Overall, the client assurance that the program will do what it should do and that it will not do what it can not do.

In addition, the client know if the functions in accordance with the documentation of the product. In financial packages are also internal control requirements for the audit in question.

With the audit we also review the program code. Only with the assessment of the machine code, we can prvent that it looks like the program is working correctly, but the reality is that the program is of such poor quality that, sooner or later will lead to problems. The quality aspects that we are assessing are the maintainability (also known as: manageability) of the program and the scalability of the program.

In the diagram below, all quality aspects of the NEN-ISO 9126 are displayed (language in Dutch)

Image

 

Project audit

Een projectaudit biedt de projectsponsor, de projectmanager, en het projectteam een tussentijds overzicht van wat goed is gegaan en wat er verbeterd moet worden om het project met succes te kunnen voltooien.

Indien de projectaudit wordt uitgevoerd aan het einde van een project, kan deze worden gebruikt voor het vaststellen van de succescriteria voor toekomstige projecten. Deze evaluatie toont aan welke elementen van het project met succes werden beheerd en wat anders en beter kon. Dit zal de organisatie helpen in niet dezelfde fouten te maken bij toekomstige projecten.

Operational Audit

An Operational Audit provides management whether the company is efficiently arranged and whether the activities of the company objectives are addressed.

Operational audit does not focus on the performance itself, but on the internal organization and their corresponding control system. This system should ensure that the desired goals are achieved. Operational audit is not a financial audit. Operational audit focuses primarily on business controls, the controls that make good business. The difference between Operational and Financial Audit is defined in sporting terms to define: Financial auditing affect the outcome of a game, while Operational auditing watching how the game is played.

How is an Operational Audit processed?

Research: During the pre-audit information about the organization and its processes is collected. With this information, the auditors place products, processes and activities of your organization in the proper perspective (business model).
Fieldwork: During the field investigation, the reference model is compared with the actual situation. This phase of the audit process consists of all activities necessary for the collection of data to findings and recommendations to be taken.
Reporting: The main component of the audit is the audit report. This is because the results, findings and recommendations of previous steps are writte down in the report. Following the reporting will be a management plan drawn up (game plan).
Evaluation: After completion of the audit one shall examine to what extent it has met the expectations of the sponsor and those of the management of the subsidiary. The aim is to learn from the audits and, where necessary, improvements in the design or conduct of the investigation.
Follow-up: Each audit will have a follow-up. This is to determine whether established plans were actually implemented and whether these have led to improved management in the organization. Depending on the game plan the follow up will take place one or two years after implementation of the operational audit. The follow up is not a full audit, but a survey of how the game plan is realized.

What are the benefits of an Operational Audit?

You have the control measures necessary so that your business objectives with reasonable certainty can be achieved.
Operational audit reports provide an essential complement to the financial reports.
With an operational audit you enabled the company to identify risks and control.
Here you can download the whitepaper Operational Audit (Dutch).

Due diligence

With every merger, acquisition or transfer a professional and detailed inventory of the value and status of the ICT environment has to be made within the organization. This means the organization as well as the hardware. This research is an essential element of the due diligence carried out by acquisition or sale of a company. In too nmany cases it happens that the Information and Communication Technology purchased is ‘worthless’ by the presence of legacy systems or by improper or incompetent management.

Fraudeonderzoek

Veel organisaties beschikken weliswaar over adequate IT-security-voorzieningen, maar relevante gegevens worden niet of slechts ten dele bewaart. Ook blijkt de kwaliteit van in systemen vastgelegde gegevens niet altijd toereikend om die gegevens te gebruiken in een onderzoek. Bij de combinatie security en IT spelen de general-IT-controls en de application-controls een belangrijke rol.
· De general-IT-controls worden aangeduid als algemene beheermaatregelen, het fundament van IT-security. Hoewel de bestanddelen van de general-IT-controls in de literatuur niet eenduidig zijn beschreven, maken IT-beheer, (toegangs)beveiliging en continuïteit van de IT-omgeving onderdeel uit van de general-IT-controls.
· De application-controls zijn de beheermaatregelen die zijn geïmplementeerd in de geautomatiseerde administratieve systemen van een organisatie. De application-controls zijn van belang voor de kwaliteit (lees: integriteit) van gegevens. In het algemeen wordt de kwaliteit van de IT-security frequent getoetst, bijvoorbeeld tijdens een IT-audit in het kader van de jaarrekeningcontrole.
Uit de praktijk van IT-fraudeonderzoek blijkt dat het eerder niet, dan wel mogelijk is om de voor het onderzoek benodigde gegevens (volledig) te achterhalen en te ontsluiten. Dat probleem doet zich zelfs voor wanneer er sprake is van een positief oordeel over de kwaliteit van de IT-controles.
Forensic Readiness
Ten behoeve van fraudeonderzoek zijn uiteenlopende bronnen van gegevens binnen organisaties voorhanden. Daarbij valt te denken aan e-mailverkeer, gegevens op gegevensdragers, papieren bescheiden, gegevens uit financiële en administratieve systemen en gegevens van communicatiemiddelen, zoals mobiele telefoons en pda’s.
Afhankelijk van het type fraude en de onderzoeksdoelstellingen kunnen gegevens in een onderzoek worden gebruikt. Een adequaat pakket van beheermaatregelen met betrekking tot de IT-security betekent niet automatisch dat ook adequaat onderzoek naar integriteitsschendingen mogelijk is.
Het loont om als organisatie voorbereid te zijn in het geval dat een fraudeonderzoek moet worden ingesteld. Het voorbereid zijn op een dergelijk onderzoek naar een integriteitsincident, wordt ‘forensic-readiness’ genoemd. De relevante aspecten waarmee in een organisatie forensic-readiness kan worden bereikt, bezien vanuit het perspectief van onderzoek naar integriteitsincidenten, zijn onderstaand met een kleine toelichting, weergegeven:
1. Het vaststellen van de processen waarin gegevens worden gegenereerd die noodzakelijk zijn in het geval van onderzoek. Het gaat hierbij om de bedrijfsprocessen die fraudegevoelig zijn. In aansluiting op de eerder besproken cases zou bijvoorbeeld het proces waarbij de betaalbestanden worden verwerkt in aanmerking komen.
2. Het bepalen van de gegevensbronnen van potentieel bewijsmateriaal.
3. Het bepalen van de wijze waarop het potentiële bewijsmateriaal wordt vastgelegd en gearchiveerd. Hierbij spelen kosten-baten overwegingen een rol (denk aan opslagcapaciteit, de tijdsduur dat data opgeslagen moeten zijn, enzovoorts).
4. Het implementeren van beleid om potentieel bewijsmateriaal veilig op te slaan en te gebruiken. Daarbij is het goed om een scenario uit te werken hoe te reageren in het geval dat digitaal bewijs nodig is. Het is van belang dat betrokkenen zo min mogelijk sporen en bewijzen kunnen vernietigen. Binnen veel organisaties is een Incident Response Program geïmplementeerd. Het scenario voor het veiligstellen van bewijs kan hiermee worden geïntegreerd.
5. Het proactief detecteren van mogelijke integriteitsschendingen. Niet alleen het verzamelen van bewijsmateriaal is belangrijk, ook is het zaak een schending tijdig op te sporen. Hiertoe kunnen digitale gegevens worden geanalyseerd en gemonitord, zodat ‘verdachte’ activiteiten in kaart worden gebracht. Technieken voor data-mining (gegevensanalyse) kunnen voor de detectie worden gebruikt.
6. Het opstellen van een procedure waarin criteria zijn opgenomen om te bepalen wanneer een formeel onderzoek wordt ingesteld waarbij gebruik wordt gemaakt van digitaal bewijsmateriaal. Omstandigheden die hierbij een rol zouden kunnen spelen, zijn: omvang van mogelijke schade en reputatieverlies, weten regelgeving (inclusief wanneer een melding aan de toezichthouder plaats moet vinden, mogelijke impact op derden enzovoort.
7. Het creëren en verhogen van ‘bewustzijn of awareness’ bij de medewerkers om te voorkomen dat onzorgvuldig wordt omgegaan met digitaal bewijsmateriaal. Ter illustratie dat awareness zeer relevant is mag het navolgende, welhaast klassieke voorbeeld dienen:
‘Een overijverige systeembeheerder heeft ooit een computer van een medewerker opgestart om op zoek te gaan naar bewijs ter bevestiging van geruchten. Door in te loggen op de computer werd de bewijskracht van de gegevens op de computer sterk verkleind. De desbetreffende medewerker, die bedrijfsgevoelige informatie doorstuurde naar een concurrent, kon nu aanvoeren dat hij niets had misdaan en dat de computer was gemanipuleerd. Anders gezegd, door het ontbreken van een zeker bewustzijn bij de systeembeheerder was bewijsmateriaal besmet geraakt’.
De hier genoemde stappen voor ‘forensic-readiness’ bieden houvast voor aanvullende normen ten aanzien van de IT-security. Niet alleen zal met inachtneming van deze stappen in het geval van integriteitsschending het onderzoek efficiënt en effectief uitgevoerd kunnen worden. Ook krijgt de organisatie zo een krachtig instrument in handen om proactief te zoeken naar integriteitsrisico’s teneinde vroegtijdig in te kunnen grijpen als zwakheden zijn geconstateerd. Daarmee is de onderneming tenminste enigermate voorbereid op fraude!
Doel van de boodschap / samenvatting:

Beheersmaatregelen met betrekking tot de IT-security betekent niet automatisch dat adequaat onderzoek naar integriteitsschendingen of -incidenten mogelijk is. Voor dergelijk onderzoek zijn veel, vaak gedetailleerde gegevens over een langere periode nodig. De eisen van beschikbaarheid en kwaliteit van de (gedetailleerde) digitale gegevens ten behoeve van zo’n onderzoek komen vaak niet aan de orde bij de gebruikelijke toetsing van de IT-security. Ook geldt dat ernstig rekening moet worden gehouden met relevante wet- en regelgeving; spelen privacyaspecten neergelegd in de Wet bescherming persoonsgegevens en instemming van een ondernemingsraad, een belangrijke rol.

Indien u meer informatie wilt over deze dienst, kunt u contact opnemen met ons kantoor in Nieuwegein, telefoon: 030 – 630 4108. U kunt ook het contactformulier invullen, wij zorgen dat u binnen 24 uur door een forensisch edp-auditor wordt teruggebeld.

Privacy audits

In cooperation with our professional association NOREA and NIVRA the Dutch Data Protection Authority (College Bescherming Persoonsgegevens, CBP) established the Privacy Audit Framework for conducting a privacy audit in an organization by a qualified auditor. The Framework is based on nine clusters. The result of a privacy audit, gives the management of an organization a high degree of certainty how the protection of personal data in the organization is ensured.

On the base of a positive opinion from a s-called privacy auditor, the organization responsible – under certain conditions – is authorized to use the logo or mark “Privacy-audit-proof”. This assessment of the privacy audit is based on Directive 3600 “Assurance engagements relating to the Protection of Personal Data (Privacy audits). The purpose of this directive is to establish principles and guidance for the implementation of assurance services in this area. It is a response to the increasing demand from the market to a third independent assessment of the system of measures and procedures of an organization regarding the protection of personal data.

The privacy protection in the Netherlands is since 2001 governed by the Personal Data Protection Act (WBP). Virtually every organization in the Netherlands has to do with this law. To assist organizations in determining how it complies with the WBP, in consultation with the NIVRA and NOREA, Project Development audit products Privacy Protection Act (WBP) started. This has led to four products that are usefull to determine how an organization complies with the WBP. In addition, through an external assessment and certification can be made. It can be implemented by a Registry EDP auditor (RE) or Chartered Accountants (RA) who have sufficient knowledge and expertise on the WBP and the information technology resources to the assessment under the Directive to be implemented.

Source: website https: / / www.privacy-audit-proof.nl/ an initiative of the NOREA and NIVRA, together with the Dutch Data Protection Authority.

Certifications

The possession of a certification applies increasingly as a condition for doing business in general or the exchange of information in particular. We are qualified to support the most common certification paths.

Audit courses

Training is a job on itself. Auditing is also a special subject. We have both qualities and can therefore make a perfect relationship between theory and practice.

We provide courses for internal and external auditors, but also for managers as contact with the auditors. We facilitate both courses for which students may register individually, as customized training.

FUNDAMENTALS COURSE IT AUDIT

For individual students, we organize several times a year a training IT audit fundamentals. During this training the students learn the essentials of IT Audit and operation of the various components of IT Governance. After participating in the training the student can independently perform a simple IT Audit and knows when an EDP Audit must be deployed. The topics are supported by practical case studies for immediate implementation in your organization. After the training you receive one case, up to the theoretical base that you have built up during the training to fit into your practice. This case is used as a base for 3th day session. The cusus consists of 2 or 3 days (during the 3rd day the case is discussed and a number of subjects submitted by the students are further discussed).

Download our general education brochure IT audit fundamentals.

CUSTOM TRAINING

Because every company is different Duijnborgh Audit offers customized courses. These courses are specifically designed for your company as a maximum return from the training target. For example, the specific use of administrative organization, internal control procedures and businesses are included in the development of training and education. By applying a customized training, the students will better recognize everyday practice. This increases the effectiveness because the participant subjects from the training directly can apply the knowledge in daily practice. Our customized courses, can be provided both in-company and at an outdoor location. The customized courses are always developed and defined in consultation with the client. This allows clients to ad important to the curriculum.

For more information please contact us for an appointment.

Software package selection

Package selection is not an end in itself. Package selection is often part of a change or improvement. Our approach consists of a package selection for research, compiling a long list and a short guide us to the choice of the package. Our advice is completely independent because we in no way bound to suppliers.

Assisting the financial auditor

More and more financial auditors are confronted with IT related issues. Sarbanes Oxlex, SAS70 and IT governance; it is difficult to envisage the audit of the financial statement without looking at IT, too. Not all audit firms can dispose of a dedicated IT audit function. Furthermore, the financial auditor often lacks the specific knowledge on IT environments. To these audit firms we provide our (IT audit) services whilst maintaining a strict division of tasks.

Our services to accounting firms include a full-service concept with which we whole-field IT Audit cover!

FIVE REASONS FOR FINANCIAL ACCOUNTANS TO APPLY FOR AN IT-AUDITOR

1. IT audits are a crucial part of the control process. Depending on the degree of (financial) processes that rely on automation, the financial auditor must decide whether he has sufficient proof data obtained by him is correct and complete.
2. Since the introduction of the WTA, the “atmosphere of permissiveness” wether IT audit is a mandatory part of the financial audit or not, is history.
3. More and more customers of finacial accountants request (or rather demand) a thorough audit of the IT environment. And when it Is not the customer, then it is one of its customers or suppliers that demands assurance on how IT processes are controlled. In the last Quarter dozens of accounancy firms (especially the smaller ones) loses customers to larger firms who do structural apply the IT audit role.
4. An IT auditor delivers his money twice over: a technology audit, the number of tests, samples and other (context) controls can significantly reduce the activities of the financial accountant.
5. Accountants that offer an integrated audit approach, including IT audit, are proven more successful than their counterparts who do not. Smaller audit firms, however, are not able to fit the IT audit in their company. IT audit is a broad field of objects, which is not easy to cover with a small IT audit department. as they say: “1 auditor is equal to no auditor”.

FIVE REASONS FOR ACOOUNTANTS TO CHOOSE FOR DUIJNBORGH AUDIT

1. The core business of Audit Duijn Borgh BV is primarily IT audit and related activities. Our services are therefore in principle not competitive with the services of th financial auditor.
2. Our Senior auditors are registred EDP-Auditors (RE) and also we can (for international customers) provide auditors that have the CISA certification.
3. We have multiple IT auditors each having a specific expertise required. So we cover almost the entire IT field and can have an opinion on it.
4. We are very flexible: in most cases we can honor your request within a few days to fill the IT audit roll. Small “jobs” do not scare us off.. Our IT audit service is therefore within reach of all audit firms, from very small to (medium) wide.
5. And finally: Our rates are highly competitive!