Inhoudsopgave
1 IT risico’s inventariseren......................................................................................................................2
2 Bewuste fouten (Fraude).....................................................................................................................3
3 Beschikbaarheid en integriteit van de gegevens (Processing integrity & availability).........................4
4 Basis van een (EDP) audit....................................................................................................................7
1
,1 IT risico’s inventariseren
Bedreigingen
Natuurlijke en politieke rampen (bv. Aardbeving, oorlog, brand)
Onbewuste fouten (bv. per ongeluk database verwijderen)
Bewuste fouten (fraude) (bv. Extra transactie aanmaken om omzet te verbeteren)
Hard- en softwarefouten (bv. Crashen vd server, bug)
Beheersdoelstellingen
System reliability: betrouwbaarheid van het informatiesysteem
Processing integrity: integriteit van het verwerken van gegevens (gegevens komen overeen met de
werkelijkheid)
Availability: beschikbaarheid van de gegevens (geen uitval van de server (backup))
Confidentiality: vertrouwelijk houden van bedrijfsgegevens (informatie geheim houden/geheimhoudingsplicht)
Privacy: vertrouwelijk houden van persoonsgevens
Security: beveiliging van het systeem (bv. Inbraak) als deze niet goed is kunnen de pilaren niet steunen
IT Risico’s
Matrix maken
Gebeurtenis rijen
Gevolgen kolommen
Risico = gebeurtenis + gevolg (oorzaak + gevolg)
Het informatiesysteem is niet beschikbaar (availability, gevolg), omdat door een hardwarefout de server uitvalt
(oorzaak)
2
, 2 Bewuste fouten (Fraude)
IT bedreigingen
Bewuste fouten fouten die van materieel belang in een financiële overzicht is
2 soorten fraude
1. Afwijkingen die voortvloeien uit frauduleuze financiële verslaggeving
2. Afwijkingen die voortkomen uit de oneigenlijke toe-eigening van een activa
Stappen om de fraude te auditen
1. Begrijpen fraude
2. Bespreken met het team welke posten gevoelig zijn voor fraude
3. Verkrijgen van informatie
4. Analyseren informatie en onderzoeken (informatie toetsen aan de norm)
5. Evalueren resultaten
6. Auditor documenteert en communiceert zijn bevindingen
Fraude driehoek (reden van fraude)
Druk/verleiding (bv. Druk om
marktaandeel te behalen)
Rationalisatie (bv. Wat ik vind is van
mij/”Eerlijk gevonden”)
Kans/gelegenheid (bv. Er wordt geen
toezicht gehouden op de administratie)
Computerfraude
Input fraude:
Processor fraude: ongeautoriseerd gebruikmaken van de processor van de computer (bv.
Spel server hosten)
Output fraude: printen van gegevens die door derden gestolen of ingezien kunnen
worden.
Data fraude: illegaal gebruikmaken van software (bv. Inzien van gegevens die niet voor
jou bedoelt zijn/het verlies van data)
Computer instructie fraude: Aanpassen van bedrijfssoftware (bv. Code wijzigen)
3
1 IT risico’s inventariseren......................................................................................................................2
2 Bewuste fouten (Fraude).....................................................................................................................3
3 Beschikbaarheid en integriteit van de gegevens (Processing integrity & availability).........................4
4 Basis van een (EDP) audit....................................................................................................................7
1
,1 IT risico’s inventariseren
Bedreigingen
Natuurlijke en politieke rampen (bv. Aardbeving, oorlog, brand)
Onbewuste fouten (bv. per ongeluk database verwijderen)
Bewuste fouten (fraude) (bv. Extra transactie aanmaken om omzet te verbeteren)
Hard- en softwarefouten (bv. Crashen vd server, bug)
Beheersdoelstellingen
System reliability: betrouwbaarheid van het informatiesysteem
Processing integrity: integriteit van het verwerken van gegevens (gegevens komen overeen met de
werkelijkheid)
Availability: beschikbaarheid van de gegevens (geen uitval van de server (backup))
Confidentiality: vertrouwelijk houden van bedrijfsgegevens (informatie geheim houden/geheimhoudingsplicht)
Privacy: vertrouwelijk houden van persoonsgevens
Security: beveiliging van het systeem (bv. Inbraak) als deze niet goed is kunnen de pilaren niet steunen
IT Risico’s
Matrix maken
Gebeurtenis rijen
Gevolgen kolommen
Risico = gebeurtenis + gevolg (oorzaak + gevolg)
Het informatiesysteem is niet beschikbaar (availability, gevolg), omdat door een hardwarefout de server uitvalt
(oorzaak)
2
, 2 Bewuste fouten (Fraude)
IT bedreigingen
Bewuste fouten fouten die van materieel belang in een financiële overzicht is
2 soorten fraude
1. Afwijkingen die voortvloeien uit frauduleuze financiële verslaggeving
2. Afwijkingen die voortkomen uit de oneigenlijke toe-eigening van een activa
Stappen om de fraude te auditen
1. Begrijpen fraude
2. Bespreken met het team welke posten gevoelig zijn voor fraude
3. Verkrijgen van informatie
4. Analyseren informatie en onderzoeken (informatie toetsen aan de norm)
5. Evalueren resultaten
6. Auditor documenteert en communiceert zijn bevindingen
Fraude driehoek (reden van fraude)
Druk/verleiding (bv. Druk om
marktaandeel te behalen)
Rationalisatie (bv. Wat ik vind is van
mij/”Eerlijk gevonden”)
Kans/gelegenheid (bv. Er wordt geen
toezicht gehouden op de administratie)
Computerfraude
Input fraude:
Processor fraude: ongeautoriseerd gebruikmaken van de processor van de computer (bv.
Spel server hosten)
Output fraude: printen van gegevens die door derden gestolen of ingezien kunnen
worden.
Data fraude: illegaal gebruikmaken van software (bv. Inzien van gegevens die niet voor
jou bedoelt zijn/het verlies van data)
Computer instructie fraude: Aanpassen van bedrijfssoftware (bv. Code wijzigen)
3
