Samenvatting IT Basics – Boek ‘Grondslagen IT-auditing’
Hoofdstuk 1: Toepassing van informatietechnologie
Informatiesysteem = samenhangend en georganiseerd geheel aan hardware, software, documenten en
de daarbij betrokken partijen, dat tot doel heeft het verzamelen, verwerken, produceren, opslaan en
uitwisselen van informatie ten behoeve van specifieke bedrijfsprocessen en gebruikers.
Voorbeelden termen:
• Hardware = Desktop, laptop, server, netwerk, interface
• Besturingssysteem = Windows, Linux, Mac, OS/X
• Middleware = Oracle, SQL Server, filesysteem
• Applicatie = SAP Exact, Microsoft Office
• Documenten = beleid, richtlijnen, procedures
• Betrokken partijen = gebruiker, systeembeheerder, serviceorganisatie, IT-auditor
Voorbeeld van uitwerking componenten:
• Betrokken partijen:
o Boekhoudsysteem wordt gebruikt door afdeling Finance & Control en beheerd door
afdeling
o ICT;
• Documenten:
o Boekhoudsysteem is gedocumenteerd en de organisatie beschikt over tal van richtlijnen
en procedures die voorschrijven hoe medewerkers ermee om moeten gaan;
• Applicatieprogrammatuur:
o Bestaat uit standaardpakket van een grote leverancier dat voor deze organisatie is
aangepast;
• IT-infrastructuur:
o Standaardpakket draait op middelgrote server van leverancier X, met besturingssysteem
Y.
o De computer is net als alle andere computersystemen aangesloten op het interne
netwerk van de organisatie. Daarnaast maakt de organisatie gebruik van het
wereldwijde netwerk voor communicatie met vestigingen in het buitenland.
Hoofdstuk 2: Risico’s van informatietechnologie
Belang = Het gaat erom om IT-risico’s te beheersen zodat ze tot een aanvaardbaar niveau kunnen
worden beperkt. Risico’s (en dus ook IT-risico’s) kunnen nooit volledig worden uitgesloten maar door
adequate maatregelen te treffen kunnen deze wel beheerst worden.
Risico = een risico is dat er een kans is dat een gebeurtenis plaatsvindt die negatieve gevolgen heeft
voor de organisatie. Bij een risico wordt vaak de kosten tegenover de baten gezet, waarna gekeken kan
worden of een maatregel voor dat risico noodzakelijk wordt geacht.
,Kans = de kans op een gebeurtenis wordt gedefinieerd als de frequentie van de gebeurtenis.
Collectieve kansen hebben betrekking op het optreden van een gebeurtenis in een grotere populatie.
Individuele kansen hebben betrekking op het optreden van een incident in een specifiek geval.
Schade = schade wordt gebruikt om de veelheid aan negatieve gevolgen aan te duiden.
Er kan sprake zijn van financiële schade, maar ook van materiële schade, imagoschade, juridische
schade of milieuschade. Er wordt wel onderscheid gemaakt tussen directe, indirecte en gevolgschade.
Hoog Extreem Unacceptable
Schade
Laag Irrelevant Common
Laag Hoog
Soorten risico’s:
• Strategische risico’s:
o Afzetmarkt, kennis of interne procesinrichting wordt aangetast;
• Financiële risico’s:
o Directe schade: brand, diefstal, etc
o Indirecte schade: boete, claims, vertraging ontvangsten, verhoogde kosten, etc.
o Dynamische risico’s rond financiering: valuta, rente, etc.;
• Imago risico’s:
o Tasten de goede naam van organisatie aan. Bij sprake van overmacht kan het averechts
werken (stakeholders krijgen sympathie voor de organisatie);
• Milieurisico’s:
o Schade veroorzaakt aan omgeving (stank, gevaarlijke stoffen, etc.). Kan betrekking
hebben op omwonenden, natuurgebieden of actiegroepen;
• Aansprakelijkheidsrisico’s:
o Gevolg van hierboven genoemde risico’s;
• Continuïteitsrisico:
o Veroorzaakt door gebeurtenissen die kunnen leiden tot (tijdelijke) uitval van
bedrijfsprocessen waardoor normale levering producten/diensten in gevaar komt.
Risico’s in ontwikkelfase Slechts een kwart van alle IT-projecten is succesvol:
• het ontwerpen, bouwen en invoeren van informatiesystemen is voor veel organisaties een
eenmalige activiteit waardoor fouten worden gemaakt omdat er weinig ervaring aanwezig is.
• Hoge personeelsverloop zodat er geen expertise kan worden opgebouwd
• Informatietechnologie is lastig materiaal om mee te werken
• Informatietechnologie heeft een lage tolerantie, waardoor een kleine fout grote gevolgen heeft
• Het invoeren gaat gepaard met ingrijpende aanpassingen in de werkprocessen voor de
eindgebruiker
Succesfactoren ontwikkelfase:
• Actieve steun topmanagement
• Betrokkenheid van de eindgebruikers
• Sterke projectmanager
• Duidelijke doelstellingen
• Professionele ontwikkelaanpak
, Risico’s in operationele fase:
• Vertrouwelijkheid = menselijke fouten waardoor gevoelige gegevens in handen komen van
derden, maar ook door opzettelijk menselijk handelen (bedrijfsspionage, opzettelijk lekken van
gevoelige informatie)
o Voorbeeld: laptop laten liggen in de taxi (menselijke fout)
• Integriteit = door technisch falen van de hardware of software of bedieningsfouten door
mensen waardoor het systeem verkeerde uitvoer produceert of opzettelijke fouten van mensen
waarbij doelbewust foutieve gegevens worden ingevoerd of gegevens worden gemanipuleerd.
o Voorbeeld: Te hoog bedrag ingevuld voor verkooporder
• Beschikbaarheid = technische storingen van de hard- en/of software, menselijke fouten
(bedieningsfouten), opzettelijke menselijke handelen (sabotage) of andere calamiteiten (brand)
o Voorbeeld: Hacker die website plat legt, blikseminslag
• Effectiviteit = de mate waarin het systeem in staat is te doen waarvoor het ontwikkeld is.
o Voorbeeld: systeem dat zoveel informatie produceert dat niemand er wat aan heeft
• Efficiency = doelmatigheid van het informatiesysteem:
o Voorbeeld: informatiesystemen die alleen tegen zeer hoge kosten te behouden zijn
• Interoperabiliteit = vermogen om gegevens uit te wisselen en samen te werken met andere
systemen
o Voorbeeld: systeem die gebruikt maakt van een bepaald format die niet uitwisselbaar is
• Flexibiliteit = mogelijkheid tot het aanpassen of uitbreiden van de bestaande systemen
o Voorbeeld = systeem met vaste indeling tabellen e gegevens kan niet zomaar worden
aangepast als het productassortiment wordt uitgebreid
• Onderhoudbaarheid = mogelijkheid tijdens gebruiksduur aan te passen, te verbeteren en
onderhouden
o Voorbeeld: systeem dat in loop der jaren zeer complex is geworden, expertise is niet
meer aanwezig in de organisatie
Omgaan met risico’s:
• Vermijden van de actie of bezigheid waar het risico aan gekoppeld is (risico kán niet optreden)
• Accepteren van risico’s
• Overdragen van risico’s op derden (afsluiten verzekeringen, outsourcing)
• Verminderen van risico’s door het treffen van beheersmaatregelen
Risicomanagement = het systematisch analyseren van risico’s, inrichten van maatregelen om de
risico’s te beheersen, bewaken van de effectiviteit van deze maatregelen en het bijsturen van de
maatregelen waar en wanneer dit nodig is.
Bij risicomanagement is het van belang dat duidelijk is wie waarvoor verantwoordelijk is voor de
effecten van mogelijke gebeurtenissen en wie verantwoordelijk is voor het treffen van eventuele
maatregelen.
Kwalitatieve risicoanalyse = wordt uitgedrukt in een abstracte grootheid, bijvoorbeeld Hoog, Midden of
Laag (H, M, L).
Kwantitatieve risicoanalyse = wordt getracht de omvang van het risico in cijfers uit te drukken. Er is ook
een combinatie van beide benaderingen mogelijk.
Hoofdstuk 1: Toepassing van informatietechnologie
Informatiesysteem = samenhangend en georganiseerd geheel aan hardware, software, documenten en
de daarbij betrokken partijen, dat tot doel heeft het verzamelen, verwerken, produceren, opslaan en
uitwisselen van informatie ten behoeve van specifieke bedrijfsprocessen en gebruikers.
Voorbeelden termen:
• Hardware = Desktop, laptop, server, netwerk, interface
• Besturingssysteem = Windows, Linux, Mac, OS/X
• Middleware = Oracle, SQL Server, filesysteem
• Applicatie = SAP Exact, Microsoft Office
• Documenten = beleid, richtlijnen, procedures
• Betrokken partijen = gebruiker, systeembeheerder, serviceorganisatie, IT-auditor
Voorbeeld van uitwerking componenten:
• Betrokken partijen:
o Boekhoudsysteem wordt gebruikt door afdeling Finance & Control en beheerd door
afdeling
o ICT;
• Documenten:
o Boekhoudsysteem is gedocumenteerd en de organisatie beschikt over tal van richtlijnen
en procedures die voorschrijven hoe medewerkers ermee om moeten gaan;
• Applicatieprogrammatuur:
o Bestaat uit standaardpakket van een grote leverancier dat voor deze organisatie is
aangepast;
• IT-infrastructuur:
o Standaardpakket draait op middelgrote server van leverancier X, met besturingssysteem
Y.
o De computer is net als alle andere computersystemen aangesloten op het interne
netwerk van de organisatie. Daarnaast maakt de organisatie gebruik van het
wereldwijde netwerk voor communicatie met vestigingen in het buitenland.
Hoofdstuk 2: Risico’s van informatietechnologie
Belang = Het gaat erom om IT-risico’s te beheersen zodat ze tot een aanvaardbaar niveau kunnen
worden beperkt. Risico’s (en dus ook IT-risico’s) kunnen nooit volledig worden uitgesloten maar door
adequate maatregelen te treffen kunnen deze wel beheerst worden.
Risico = een risico is dat er een kans is dat een gebeurtenis plaatsvindt die negatieve gevolgen heeft
voor de organisatie. Bij een risico wordt vaak de kosten tegenover de baten gezet, waarna gekeken kan
worden of een maatregel voor dat risico noodzakelijk wordt geacht.
,Kans = de kans op een gebeurtenis wordt gedefinieerd als de frequentie van de gebeurtenis.
Collectieve kansen hebben betrekking op het optreden van een gebeurtenis in een grotere populatie.
Individuele kansen hebben betrekking op het optreden van een incident in een specifiek geval.
Schade = schade wordt gebruikt om de veelheid aan negatieve gevolgen aan te duiden.
Er kan sprake zijn van financiële schade, maar ook van materiële schade, imagoschade, juridische
schade of milieuschade. Er wordt wel onderscheid gemaakt tussen directe, indirecte en gevolgschade.
Hoog Extreem Unacceptable
Schade
Laag Irrelevant Common
Laag Hoog
Soorten risico’s:
• Strategische risico’s:
o Afzetmarkt, kennis of interne procesinrichting wordt aangetast;
• Financiële risico’s:
o Directe schade: brand, diefstal, etc
o Indirecte schade: boete, claims, vertraging ontvangsten, verhoogde kosten, etc.
o Dynamische risico’s rond financiering: valuta, rente, etc.;
• Imago risico’s:
o Tasten de goede naam van organisatie aan. Bij sprake van overmacht kan het averechts
werken (stakeholders krijgen sympathie voor de organisatie);
• Milieurisico’s:
o Schade veroorzaakt aan omgeving (stank, gevaarlijke stoffen, etc.). Kan betrekking
hebben op omwonenden, natuurgebieden of actiegroepen;
• Aansprakelijkheidsrisico’s:
o Gevolg van hierboven genoemde risico’s;
• Continuïteitsrisico:
o Veroorzaakt door gebeurtenissen die kunnen leiden tot (tijdelijke) uitval van
bedrijfsprocessen waardoor normale levering producten/diensten in gevaar komt.
Risico’s in ontwikkelfase Slechts een kwart van alle IT-projecten is succesvol:
• het ontwerpen, bouwen en invoeren van informatiesystemen is voor veel organisaties een
eenmalige activiteit waardoor fouten worden gemaakt omdat er weinig ervaring aanwezig is.
• Hoge personeelsverloop zodat er geen expertise kan worden opgebouwd
• Informatietechnologie is lastig materiaal om mee te werken
• Informatietechnologie heeft een lage tolerantie, waardoor een kleine fout grote gevolgen heeft
• Het invoeren gaat gepaard met ingrijpende aanpassingen in de werkprocessen voor de
eindgebruiker
Succesfactoren ontwikkelfase:
• Actieve steun topmanagement
• Betrokkenheid van de eindgebruikers
• Sterke projectmanager
• Duidelijke doelstellingen
• Professionele ontwikkelaanpak
, Risico’s in operationele fase:
• Vertrouwelijkheid = menselijke fouten waardoor gevoelige gegevens in handen komen van
derden, maar ook door opzettelijk menselijk handelen (bedrijfsspionage, opzettelijk lekken van
gevoelige informatie)
o Voorbeeld: laptop laten liggen in de taxi (menselijke fout)
• Integriteit = door technisch falen van de hardware of software of bedieningsfouten door
mensen waardoor het systeem verkeerde uitvoer produceert of opzettelijke fouten van mensen
waarbij doelbewust foutieve gegevens worden ingevoerd of gegevens worden gemanipuleerd.
o Voorbeeld: Te hoog bedrag ingevuld voor verkooporder
• Beschikbaarheid = technische storingen van de hard- en/of software, menselijke fouten
(bedieningsfouten), opzettelijke menselijke handelen (sabotage) of andere calamiteiten (brand)
o Voorbeeld: Hacker die website plat legt, blikseminslag
• Effectiviteit = de mate waarin het systeem in staat is te doen waarvoor het ontwikkeld is.
o Voorbeeld: systeem dat zoveel informatie produceert dat niemand er wat aan heeft
• Efficiency = doelmatigheid van het informatiesysteem:
o Voorbeeld: informatiesystemen die alleen tegen zeer hoge kosten te behouden zijn
• Interoperabiliteit = vermogen om gegevens uit te wisselen en samen te werken met andere
systemen
o Voorbeeld: systeem die gebruikt maakt van een bepaald format die niet uitwisselbaar is
• Flexibiliteit = mogelijkheid tot het aanpassen of uitbreiden van de bestaande systemen
o Voorbeeld = systeem met vaste indeling tabellen e gegevens kan niet zomaar worden
aangepast als het productassortiment wordt uitgebreid
• Onderhoudbaarheid = mogelijkheid tijdens gebruiksduur aan te passen, te verbeteren en
onderhouden
o Voorbeeld: systeem dat in loop der jaren zeer complex is geworden, expertise is niet
meer aanwezig in de organisatie
Omgaan met risico’s:
• Vermijden van de actie of bezigheid waar het risico aan gekoppeld is (risico kán niet optreden)
• Accepteren van risico’s
• Overdragen van risico’s op derden (afsluiten verzekeringen, outsourcing)
• Verminderen van risico’s door het treffen van beheersmaatregelen
Risicomanagement = het systematisch analyseren van risico’s, inrichten van maatregelen om de
risico’s te beheersen, bewaken van de effectiviteit van deze maatregelen en het bijsturen van de
maatregelen waar en wanneer dit nodig is.
Bij risicomanagement is het van belang dat duidelijk is wie waarvoor verantwoordelijk is voor de
effecten van mogelijke gebeurtenissen en wie verantwoordelijk is voor het treffen van eventuele
maatregelen.
Kwalitatieve risicoanalyse = wordt uitgedrukt in een abstracte grootheid, bijvoorbeeld Hoog, Midden of
Laag (H, M, L).
Kwantitatieve risicoanalyse = wordt getracht de omvang van het risico in cijfers uit te drukken. Er is ook
een combinatie van beide benaderingen mogelijk.
