IT audit

By performing an IT audit we are able to assess the automation in the organization and the organization of the automation.

During an IT audit the quality aspects of the information technology are assessed. The primary aspects to be evaluated are: effectivity, exclusivity, integrity, audit ability, continuity and manageability. An IT audit focuses on information and IT management, information systems, information strategy and the operational automation support.

The following six domains, derived from the NOREA publication ‘IT auditing aangeduid’ (IT auditing defined), are included in the term IT auditing.

  • Information strategy comprises the whole of objectives, premises and limiting conditions for dealing with information within an enterprise and for organizing the information services.
  • IM/IT management has to be in place in order to develop, manage and use automated systems, as well as the conditions to manage these processes. Management has to be able to ascertain whether the organization complies with the goals and limiting conditions formulated in the information strategy.
  • Information systems are the automated processes developed to process data. The whole of organization and resources, primairily meant for developing and using of information systems, belongs as well to the domain of information systems.
  • Technical systems, implemented in hardware and system programs for controlling purposes. These systems support the automated processes within the information and processystems by controlling the hardware.
  • Proces systems are developed to control electronic interfaces and, in doing so, control devices. They are no information systems because they are not primairily developed to process data. Included are all organizations primarily responsible for these systems, as well as the resources employed.
  • Operational automation support includes all activities of an organization aimed at controlling and keeping available the technical infrastructure and the managed IT systems (adhering to the agreed standards and service level agreements, as well as the administration thereof). The operational automation support includes installation, management and maintenance of the means of automation placed at the disposal of the end user (including application software).

Third Party Announcement

Our independent IT-auditors can investigate the quality of IT-resources in your company. The results of the investigation will be written down in a Thrid Party Declaration. This declaration can be published at your companies website to show your customers that you are in control of your IT. (IT-governance).

Our Third Party Assurance services include:

  • providing an independent view in the context of SAS 70.
  • support and guidance in preparing for a SAS 70 audit.
  • support and guidance in the preparation of an ISO 27001 or ISO 27002 certification / audit.

Data Analysis

“Smarter way to cope with information in order to improve your business” is the common goal of Data analysis.

Nowadays we live in a world with enormous quantities of information. The amount of available data is growing day by day. Data analysis increases structure and insight by ranking and combining data into workable data files.
Duijnborgh Audit executes advanced data analyses. These analyses include linking, combining and enriching multiple existing data sources. Data analysis can support organizations with the knowledge and expertise by gaining more important information out of their current data set. Data gets more accessible and paterns will appear which were not visible in advance. Through our creative use Data analysis has become a genuine business enabler.
With our advanced data analysis tools we can discover significant patterns in large quantities of data. Based on these signals conclusions can be drawn or adjustments to the data can be made.
Relevant questions result in analyzing the data which may lead to insight and knowledge. The gained knowledge can be used for improving the manageability of the processes or, if needed, to put through adjustments. The analysis is based on standard data files (e.g. comma separated values or plain text) which are exportable for almost every (financial) system. In what terms can Duijnborgh Audit contribute to your business using Data analysis? Think about the following cases:
  • An analysis on your purchase and sales process is desirable to get insight in the way they perform. It is possible to get overviews of operating margins on article or product group. Which one is successful and which one isn’t?
  • You want a full scan of your data to get all important information. Get summaries and statistics of amounts and numbers, age distribution, language structure.
  • Both the client and the financial Auditor demand the presence of the component IT in the annual audit. Those financial systems are in scope which directly effect the financial books. The completeness of incomes can be considered as the main issue. Data analysis focuses on:
    • Journal Entry Testing (JET): a thorough analysis on all journal entries;
    • Administrative differences between the Profit and loss account and the Balance sheet
    • Reconciliation between the main financial systems
  • Exceptions reporting: if you search for imperfections in you data household, Data analysis can offer you a great solution. Think of those records with missing key information such as missing barcodes, unique identifier or other considered key information.
  • Your primary business process demands the highest possible accuracy when it comes to data quality. Data analysis can check the quality level of your data set by filtering data pollution and gaps.
  • If you desire an structured analysis on your strategic IT Policy, Data analysis is your answer. By assessing your interfaces and challenging your business rules great insights can be gained. The Data analysis will focus on end-to-end checking mechanisms, manual additional interventions, unauthorized access to confidential information, etcetera.
We are out there to help organizations improving their business with all possible expertise and synergy.
In case you would like to know more about Data Analysis offered by Duijnborgh Audit, please fill in our contact form contactform or get in contact directly with Vincent van der Velde on telephone number +31 30 630 1408.

Technische IT-Security Scan

Duijnborgh Audit kan uw IT-systemen of infrastructuur onderzoeken op beveiligingslekken. Nadat wij de informatiesystemen, applicaties en online diensten in kaart hebben gebracht, voeren wij met geavanceerde tools verschillende scans uit om de beveiligingszwakheden aan het licht te brengen. Onze aanpak is erop gericht om te zorgen dat risico’s van de uit te voeren testen minimaal zijn en de kwaliteit van de testen optimaal. Onze rapportage levert input om kwetsbaarheden efficiënt te verhelpen.

De technische IT security scan kan ook worden ingezet tijdens de ontwerpfase van een systeem. Daarmee wordt voorkomen dat ontwerpfouten worden gemaakt die later, tegen hoge kosten, weer opgelost moeten worden.

 

Security Scan of Audit

Wij noemen deze activiteit bewust Security Scan en niet Audit. Een audit is een formeel proces, dat start met een vooraf bepaald normenkader waartegen de auditor opzet, bestaan en werking toetst. Een audit levert dan ook een volledig beeld op ten aanzien van het vooraf overeengekomen normenkader. De betekenis van een audit hangt dan ook sterk samen met de kwaliteit van het normenkader.

Bij een security scan hoort geen normenkader: creativiteit en vakkennis van onze onderzoekers speelt hierbij een grote rol. Onze aanpak is vanzelfsprekend wel gebaseerd op een gegronde methodiek welke per besturingssysteem, applicatie of device verschillend kan zijn. De aanpak wordt ook voor een belangrijk deel bepaald door de omgeving waarbinnen het te testen object draait.

De resultaten van de security scan worden vastgelegd in een vorm van een rapportage.De rapportage bevat (minimaal) informatie over:

• De gebruikte applicaties (inclusief versienummer)

• De parameters die zijn gebruikt bij de tests

• Het tijdstip waarop de test is uitgevoerd

• Het IP-adres waarvandaan de test is uitgevoerd

• Een toelichting per gevonden verbeterpunt

• Een inschatting van de prioriteit per verbeterpunt

Het rapport wordt besproken met de opdrachtgever, waarbij het gewenst is dat daarbij ook de beheerder(s) aanwezig is/zijn. Dit zorgt ervoor dat de testresultaten goed kunnen worden geïnterpreteerd en voorkomt eventuele latere meningsverschillen over testresultaten.

Onze aanpak voor Security scans voldoet aan de richtlijnen van het Nationaal Cyber Security Centrum (NCSC,voorheen GovCert). De Security Scan passen wij ook toe bij het beveiligingsassessment DigID voor webapplicaties. Hiermee voldoet de aanpak volledig aan de eisen die Logius daaraan stelt.

Meer weten? download onze whitepaper of bel met Jeroen Meulendijks van Duijnborgh audit op telefoonnummer 030 – 6304108.

Control activities

Accountants are increasingly dealing with ICT issues. Sarbanes Oxley, SAS70 and IT Governance: ICT has become an integral part in the annual audit. Not all accounting firms have their own edp audit department and the auditors often lack sufficient knowledge of the computerized environment. That we provide our offices (edp-audit) services, where a strict segregation of duties is maintained.

See also our page IT audit for accountants

NEN-ISO 9126 audit

We assess the quality characteristics of software products. In addition we evaluate the product characteristics or process characteristics, or a combination of both, depending on the needs of the client.

Our software audits are used in different ways. By default, we use the NEN-ISO 9126 standards for the framework to establish. NEN-ISO 9126 is an international standard for evaluating the quality of software.

Overall, the client assurance that the program will do what it should do and that it will not do what it can not do.

In addition, the client know if the functions in accordance with the documentation of the product. In financial packages are also internal control requirements for the audit in question.

With the audit we also review the program code. Only with the assessment of the machine code, we can prvent that it looks like the program is working correctly, but the reality is that the program is of such poor quality that, sooner or later will lead to problems. The quality aspects that we are assessing are the maintainability (also known as: manageability) of the program and the scalability of the program.

In the diagram below, all quality aspects of the NEN-ISO 9126 are displayed (language in Dutch)

Image

 

Project audit

Een projectaudit biedt de projectsponsor, de projectmanager, en het projectteam een tussentijds overzicht van wat goed is gegaan en wat er verbeterd moet worden om het project met succes te kunnen voltooien.

Indien de projectaudit wordt uitgevoerd aan het einde van een project, kan deze worden gebruikt voor het vaststellen van de succescriteria voor toekomstige projecten. Deze evaluatie toont aan welke elementen van het project met succes werden beheerd en wat anders en beter kon. Dit zal de organisatie helpen in niet dezelfde fouten te maken bij toekomstige projecten.

Operational Audit

An Operational Audit provides management whether the company is efficiently arranged and whether the activities of the company objectives are addressed.

Operational audit does not focus on the performance itself, but on the internal organization and their corresponding control system. This system should ensure that the desired goals are achieved. Operational audit is not a financial audit. Operational audit focuses primarily on business controls, the controls that make good business. The difference between Operational and Financial Audit is defined in sporting terms to define: Financial auditing affect the outcome of a game, while Operational auditing watching how the game is played.

How is an Operational Audit processed?

Research: During the pre-audit information about the organization and its processes is collected. With this information, the auditors place products, processes and activities of your organization in the proper perspective (business model).
Fieldwork: During the field investigation, the reference model is compared with the actual situation. This phase of the audit process consists of all activities necessary for the collection of data to findings and recommendations to be taken.
Reporting: The main component of the audit is the audit report. This is because the results, findings and recommendations of previous steps are writte down in the report. Following the reporting will be a management plan drawn up (game plan).
Evaluation: After completion of the audit one shall examine to what extent it has met the expectations of the sponsor and those of the management of the subsidiary. The aim is to learn from the audits and, where necessary, improvements in the design or conduct of the investigation.
Follow-up: Each audit will have a follow-up. This is to determine whether established plans were actually implemented and whether these have led to improved management in the organization. Depending on the game plan the follow up will take place one or two years after implementation of the operational audit. The follow up is not a full audit, but a survey of how the game plan is realized.

What are the benefits of an Operational Audit?

You have the control measures necessary so that your business objectives with reasonable certainty can be achieved.
Operational audit reports provide an essential complement to the financial reports.
With an operational audit you enabled the company to identify risks and control.
Here you can download the whitepaper Operational Audit (Dutch).

Due diligence

With every merger, acquisition or transfer a professional and detailed inventory of the value and status of the ICT environment has to be made within the organization. This means the organization as well as the hardware. This research is an essential element of the due diligence carried out by acquisition or sale of a company. In too nmany cases it happens that the Information and Communication Technology purchased is ‘worthless’ by the presence of legacy systems or by improper or incompetent management.

Fraudeonderzoek

Veel organisaties beschikken weliswaar over adequate IT-security-voorzieningen, maar relevante gegevens worden niet of slechts ten dele bewaart. Ook blijkt de kwaliteit van in systemen vastgelegde gegevens niet altijd toereikend om die gegevens te gebruiken in een onderzoek. Bij de combinatie security en IT spelen de general-IT-controls en de application-controls een belangrijke rol.
· De general-IT-controls worden aangeduid als algemene beheermaatregelen, het fundament van IT-security. Hoewel de bestanddelen van de general-IT-controls in de literatuur niet eenduidig zijn beschreven, maken IT-beheer, (toegangs)beveiliging en continuïteit van de IT-omgeving onderdeel uit van de general-IT-controls.
· De application-controls zijn de beheermaatregelen die zijn geïmplementeerd in de geautomatiseerde administratieve systemen van een organisatie. De application-controls zijn van belang voor de kwaliteit (lees: integriteit) van gegevens. In het algemeen wordt de kwaliteit van de IT-security frequent getoetst, bijvoorbeeld tijdens een IT-audit in het kader van de jaarrekeningcontrole.
Uit de praktijk van IT-fraudeonderzoek blijkt dat het eerder niet, dan wel mogelijk is om de voor het onderzoek benodigde gegevens (volledig) te achterhalen en te ontsluiten. Dat probleem doet zich zelfs voor wanneer er sprake is van een positief oordeel over de kwaliteit van de IT-controles.
Forensic Readiness
Ten behoeve van fraudeonderzoek zijn uiteenlopende bronnen van gegevens binnen organisaties voorhanden. Daarbij valt te denken aan e-mailverkeer, gegevens op gegevensdragers, papieren bescheiden, gegevens uit financiële en administratieve systemen en gegevens van communicatiemiddelen, zoals mobiele telefoons en pda’s.
Afhankelijk van het type fraude en de onderzoeksdoelstellingen kunnen gegevens in een onderzoek worden gebruikt. Een adequaat pakket van beheermaatregelen met betrekking tot de IT-security betekent niet automatisch dat ook adequaat onderzoek naar integriteitsschendingen mogelijk is.
Het loont om als organisatie voorbereid te zijn in het geval dat een fraudeonderzoek moet worden ingesteld. Het voorbereid zijn op een dergelijk onderzoek naar een integriteitsincident, wordt ‘forensic-readiness’ genoemd. De relevante aspecten waarmee in een organisatie forensic-readiness kan worden bereikt, bezien vanuit het perspectief van onderzoek naar integriteitsincidenten, zijn onderstaand met een kleine toelichting, weergegeven:
1. Het vaststellen van de processen waarin gegevens worden gegenereerd die noodzakelijk zijn in het geval van onderzoek. Het gaat hierbij om de bedrijfsprocessen die fraudegevoelig zijn. In aansluiting op de eerder besproken cases zou bijvoorbeeld het proces waarbij de betaalbestanden worden verwerkt in aanmerking komen.
2. Het bepalen van de gegevensbronnen van potentieel bewijsmateriaal.
3. Het bepalen van de wijze waarop het potentiële bewijsmateriaal wordt vastgelegd en gearchiveerd. Hierbij spelen kosten-baten overwegingen een rol (denk aan opslagcapaciteit, de tijdsduur dat data opgeslagen moeten zijn, enzovoorts).
4. Het implementeren van beleid om potentieel bewijsmateriaal veilig op te slaan en te gebruiken. Daarbij is het goed om een scenario uit te werken hoe te reageren in het geval dat digitaal bewijs nodig is. Het is van belang dat betrokkenen zo min mogelijk sporen en bewijzen kunnen vernietigen. Binnen veel organisaties is een Incident Response Program geïmplementeerd. Het scenario voor het veiligstellen van bewijs kan hiermee worden geïntegreerd.
5. Het proactief detecteren van mogelijke integriteitsschendingen. Niet alleen het verzamelen van bewijsmateriaal is belangrijk, ook is het zaak een schending tijdig op te sporen. Hiertoe kunnen digitale gegevens worden geanalyseerd en gemonitord, zodat ‘verdachte’ activiteiten in kaart worden gebracht. Technieken voor data-mining (gegevensanalyse) kunnen voor de detectie worden gebruikt.
6. Het opstellen van een procedure waarin criteria zijn opgenomen om te bepalen wanneer een formeel onderzoek wordt ingesteld waarbij gebruik wordt gemaakt van digitaal bewijsmateriaal. Omstandigheden die hierbij een rol zouden kunnen spelen, zijn: omvang van mogelijke schade en reputatieverlies, weten regelgeving (inclusief wanneer een melding aan de toezichthouder plaats moet vinden, mogelijke impact op derden enzovoort.
7. Het creëren en verhogen van ‘bewustzijn of awareness’ bij de medewerkers om te voorkomen dat onzorgvuldig wordt omgegaan met digitaal bewijsmateriaal. Ter illustratie dat awareness zeer relevant is mag het navolgende, welhaast klassieke voorbeeld dienen:
‘Een overijverige systeembeheerder heeft ooit een computer van een medewerker opgestart om op zoek te gaan naar bewijs ter bevestiging van geruchten. Door in te loggen op de computer werd de bewijskracht van de gegevens op de computer sterk verkleind. De desbetreffende medewerker, die bedrijfsgevoelige informatie doorstuurde naar een concurrent, kon nu aanvoeren dat hij niets had misdaan en dat de computer was gemanipuleerd. Anders gezegd, door het ontbreken van een zeker bewustzijn bij de systeembeheerder was bewijsmateriaal besmet geraakt’.
De hier genoemde stappen voor ‘forensic-readiness’ bieden houvast voor aanvullende normen ten aanzien van de IT-security. Niet alleen zal met inachtneming van deze stappen in het geval van integriteitsschending het onderzoek efficiënt en effectief uitgevoerd kunnen worden. Ook krijgt de organisatie zo een krachtig instrument in handen om proactief te zoeken naar integriteitsrisico’s teneinde vroegtijdig in te kunnen grijpen als zwakheden zijn geconstateerd. Daarmee is de onderneming tenminste enigermate voorbereid op fraude!
Doel van de boodschap / samenvatting:

Beheersmaatregelen met betrekking tot de IT-security betekent niet automatisch dat adequaat onderzoek naar integriteitsschendingen of -incidenten mogelijk is. Voor dergelijk onderzoek zijn veel, vaak gedetailleerde gegevens over een langere periode nodig. De eisen van beschikbaarheid en kwaliteit van de (gedetailleerde) digitale gegevens ten behoeve van zo’n onderzoek komen vaak niet aan de orde bij de gebruikelijke toetsing van de IT-security. Ook geldt dat ernstig rekening moet worden gehouden met relevante wet- en regelgeving; spelen privacyaspecten neergelegd in de Wet bescherming persoonsgegevens en instemming van een ondernemingsraad, een belangrijke rol.

Indien u meer informatie wilt over deze dienst, kunt u contact opnemen met ons kantoor in Nieuwegein, telefoon: 030 – 630 4108. U kunt ook het contactformulier invullen, wij zorgen dat u binnen 24 uur door een forensisch edp-auditor wordt teruggebeld.