VU

Seminar VUrORE 18 april 2008

De professionalisering van het IT-auditberoep !

Op 18 april 2008 is het alumnicongres van Vurore gehouden met de titel ‘De professionalisering van het IT-auditberoep’. Er was zoveel belangstelling dat de zaal overboekt was en dat een aantal mensen moest worden teleurgesteld.

 

Opening door Maarten Eijkhout

Om half tien vond de aftrap plaats door Maarten Eijkhout, voorzitter van Vurore. Hij benadrukte, dat iedereen die de IT-audit opleiding aan de VU volgt of heeft gevolgd, automatisch lid is van Vurore. Eijkhout richtte speciaal het woord tot Gerrit Wesselink, zijn voorganger als voorzitter van Vurore en bedankte hem voor het werk dat hij voor Vurore heeft verricht. Vervolgens introduceerde hij Jan van Praat, directeur van de departementale auditdienst van het Ministerie van Justitie en tevens docent aan de IT-auditopleiding van de VU, de dagvoorzitter van het congres. Van Praat leidde het programma verder in.

 

18042008039

 

Dick van Gaalen

Next Generation Datacenter

Jan van Praat introduceerde Dick van Gaalen. Dick van Gaalen is Program Manager Business Technology bij Hewlett Packard. In zijn presentatie nam hij de deelnemers mee naar de datacenters van de toekomst waarbij hij het beeld schetste van de volgende generatie. Hij wees op de problemen die er zijn ten aanzien van de huidige datacenters zoals energieverbruik, koelproblemen, personele problemen en stroomstoringen. Om deze problemen voor te blijven is er een nieuwe generatie datacenters nodig. Hierbij is sprake van virtualisatie en is een datacenter een onderdeel van een reeks van datacenters.

 

Hij schetste het toekomstbeeld voor HP van uiteindelijk 6 datacenters voor HP wereldwijd. De datacenters zullen voornamelijk softwarematig aangestuurd worden. Inrichting van het risicobeheer moet volledig geautomatiseerd plaatsvinden,en de doorbelasting zal zijn op basis van cpu-seconden.

 

Ronald Paans

De IT-auditor succesvol als externe adviseur

Na Dick van Gaalen was het de beurt aan Ronald Paans, hoogleraar aan de IT-audit opleiding van de VU, om het publiek bij te praten over de nieuwe ontwikkelingen op de IT-audit opleiding aan de VU en de uitdagingen voor het IT-auditvak. Paans pleitte voor een pro-actieve rol van de IT- auditor in plaats van een achteraf rode kaart verstrekkende IT auditor. Ook aan de oordeelsvorming van de IT-auditor valt nog het nodige bij te scholen. Iets voldoet, voldoet deels of voldoet niet, waar ligt het kantelpunt? De markt heeft volgens Paans de behoefte aan zekerheid. IT-auditors zijn nog te veel rule-based bezig en het principle-based auditing breekt nog niet echt door. Hoe gaan we het IT-auditvak in de komende jaren updaten?

 

Het wetenschappelijk bureau van de IT-audit opleiding aan de VU is bezig met een interviewronde bij bestuurders en IT’-ers van Nederlandse bedrijven. Op basis van de uitkomst van deze interviews dient er een nieuwe visie ontwikkeld te worden. Paans pleit voor het PDCA (Plan Do Check Act) model als referentiemodel voor de IT-auditor. De IT-audit moet de business van de klant begrijpen en een risico-analyse doen vanuit de rol van de bestuurder en vanuit de risico die deze loopt. Vervolgens wordt de Business Proces Analysis geactualiseerd en vastgesteld welke processtappen van de controlcyclus op elkaar aansluiten. Paans sloot zijn presentatie af met een verwijzing naar NIST 800-53, een Amerikaans normenkader van het US Department of Commerce. Dit normenkader blijkt voor de IT-auditor prima te voldoen.

 

René Mathijsse

Hoe succesvol is de IT-auditor bij grote overheidsprojecten?

Na de lunch had René Mathijsse de taak om iedereen van de after lunch dip weg te houden. De vraag die centraal stond in zijn presentatie is hoe succesvol de IT-auditor is bij grote overheidsprojecten. Mathijsse schetste het krachtenveld waarin overheden opereren. Momenteel vindt er een herpositionering plaats binnen de overheden. Specifiek voor de overheid is de “politieke waan van de dag”.

 

18042008037

 

Bij ketensamenwerking is er gevaar voor verkokerde aansturing en gebrek aan integrale ketencoördinatie op bestuurlijk niveau. Daarnaast is er in de hoogste bestuurlijke lagen vaak te weinig aandacht voor IT. IT-governance is gericht op het belang voor bedrijfsprocessen en komt steeds vaker op de bestuurlijke agenda. Dit geldt echter niet voor IT-audit, want de perceptie is dat de IT-auditfunctie zich richt op de techniek van IT, het wordt hierdoor niet gezien als cruciaal voor het managementcontrolproces. Mathijsse geeft aan dat de ambitie moet zijn dat IT-Governance en IT-Auditing ook bij de overheid standaard op de bestuurstafel komt. Hij raadde aan grote projecten op te delen in kleinere stukken en die door IT-audit te laten ondersteunen. In Engeland maakt de overheid gebruik van het OGC gateway proces.

 

In dit proces wordt een project kritisch beoordeeld op kritieke beslispunten gedurende de looptijd van het project. Bij elke kritiek beslispunt wordt vooruitgekeken naar het volgende beslispunt en wordt zekerheid verschaft over de haalbaarheid van het volgende beslispunt. René Mathijsse sloot af met de tip om als IT-auditor te kijken naar de processen en de opdrachtgevers niet lastig te vallen met referentiekaders en regeltjes waarvan men vaak niets begrijpt.

 

Hans Blokpoel

De juiste maat van outsourcing

Hans Blokpoel, CIO van de IND van het Ministerie van Justitie besprak de juiste maat van outsourcing. Hij ging hierbij in op het niveau van outsourcing, vermeende voordelen van outsourcing en typen outsourcing. Hij beschreef aan hoe in het verleden op bestuurlijk overheidsniveau aangekeken werd tegen outsourcing. Hij constateert dat er steeds meer aandacht komt voor 3 productiemiddelen voor de bedrijfsvoering: HRM, financiën en ICT. Bij ICT wordt nog te vaak gedacht aan techniek zoals netwerken, werkplekken of “ketelhuizen”. Blokpoel voorspelde dat ICT ook bij de overheid een wezenlijk element gaat worden bij het primaire proces. Waar het bij de overheid vaak aan schort is dat bij invoering van nieuwe wetgeving te weinig gekeken wordt naar de uitvoerbaarheid.

 

Bij de IND vindt een dergelijke toets wel standaard plaats. Outsourcing betreft niet alleen IT maar ook bijbehorende processen en/of informatie. Voor de IT-auditor is er altijd de vraag voor wie je aan tafel zit, de opdrachtgever, de opdrachtnemer of de ketenpartner.

 

18042008041

In de theepauze was er Vurore-taart voor de deelnemers.

 

Jeroen van Beek

RFID (in)security

Van Beek schreef aan de VU een afstudeerscriptie over de toepassingen en problemen van RFID-chips. Bij RFID zijn er verschillende soorten chips, RFID chips met een dom geheugen of een slimme processor inclusief RAM, EEPROM, Crypto etc. Bij een domme tag wordt het geheugen uitgelezen of beschreven. Bij een slimme tag vindt communicatie plaats tussen de tag en de taglezer. Een aantal risico’s van de tag’s is dat zij een signaal uitzenden dat door een andere reader kan worden opgepakt. Deze readers zijn eenvoudig aan te schaffen. Door het gebruik van een dergelijke reader kon bij een gemeente die gebruik maakt van RFID techniek voor DIFTAR (gedifferentieerde tarifering voor afvalverzameling) de chips op de vuilcontainers worden uitgelezen en gekloond waardoor de aanslag afvalstoffenheffing voor één bepaalde persoon wel erg hoog werd. Tags die dus niet voorzien zijn van encryptie leveren dus een gevaar op voor de integriteit. De chips waarvoor de laatste tijd veel aandacht is zijn de Mifare Classic gebaseerde systemen. Voorbeelden waarin gebruik gemaakt wordt van deze RFID chips zijn toegangspassen bij bedrijven, OV-chipcard, paspoorten en creditcards. Na een demonstratie van het uitlezen van de identiteitskaart van een congresbezoeker sloot Van Beek de presentatie af met de auditaspecten.

 

John Piepers en René van Egmond,

Dankzij IT-audit een veilig zeecontainer vervoer: feit of fictie?

Als laatste presenteerden John Piepers en René van Egmond, IT-auditors bij de Belastingdienst hun afstudeerscriptie over veilig zeecontainer vervoer. Zij stonden uitvoerig stil bij het begrip AEO. (Authorized Economic Operator). Deze status ontvangen bedrijven wanneer zij voldoen aan voorwaarden gesteld in een EEG-verordering waarbij gelet wordt op inrichting, beveiliging en controle ten aanzien van de handels- en vervoersadministratie.

 

Deze bedrijven dienen een IT-governance model te hanteren. Ten aanzien van zeecontainervervoer dient een AEO pre-arrival informatie te verstrekken aan de Douane op basis waarvan de Douane een risicoanalyse kan uitvoeren zodat een aantal containers er uitgepikt worden om fysiek te worden gecontroleerd. De Nederlandse Douane gaat uit van horizontaal toezicht op de hele logistieke keten waarbij maximaal gebruik gemaakt wordt van alle waarborgen die het bedrijfsleven al biedt. Aan het eind van de presentatie werd in vogelvlucht een audit besproken die in het kader van een certificeringsproces voor een AEO vergunning is uitgevoerd.

 

Afsluiting

Aan het einde van de dag bedankte Jan van Praat alle aanwezigen voor hun belangstelling en nodigde iedereen uit op de afsluitende borrel.

 

Vurore kijkt terug op een leerzaam en boeiend seminar. De powerpointpresentaties zijn hier te vinden. De datum voor het volgende seminar is al bekend. Dat zal plaatsvinden op 12 november 2008.

 

Henk Lameris
bestuurslid Vurore

 

Logo_NOREA_VUrORE

 

Download hier de presentaties

 

Pagina terug

vinkje

Agenda

Geen activiteiten gepland

vinkje

Volg ons op Twitter

Twitter
vinkje

Scripties

vinkje

Vurore

VUrORE is de Studievereniging van de IT Audit Opleiding aan de Vrije Universiteit Amsterdam en een afdeling van NOREA. De belangenbehartiging van de studenten wordt vormgegeven door de studiecommissie. In deze studiecommissie participeren studenten en afgestudeerden. De studenten en afgestudeerden van de IT-Audit Opleiding van de Vrije Universiteit Amsterdam zijn automatisch lid van VUrORE.

Lees verder over Vurore