Interne Audit, aanvraagformulier

Binnen een informatiesysteem dienen een aantal waarborgen te zijn ingebouwd die er voor zorgen dat fraude wordt voorkomen en dat de integriteit van de gegevens blijft bestaan. Ondanks deze waarborgen kan het voorkomen dat er als het gevolg van een storing of een complot iets mis is gegaan. Hierbij kan worden gedacht aan :

– het uitvallen van het systeem tijdens de verwerking van een transactie;
– het buiten de programmatuur om wijzigen van gegevens;
– de ongeoorloofde wijziging van programmatuur;
– het toekennen van te veel autorisaties aan één persoon.

Deze situaties zijn bij een goed georganiseerd systeembeheer door de verwerkingsorga­nisatie te achterhalen. Het bewijzen van een complot via systeemtechnische methoden is veel moeilijker. Alle handelingen zijn dan juist uitgevoerd door de juiste personen.

Het enige wat dan nog rest is het audittrail. Onder het audittrail wordt verstaan het volgen van een transactie door het informatiesysteem. Met het audittrail moet echter al bij de bouw van het systeem rekening worden gehouden. Transacties moeten tijdens de gehele verwerking bijvoor­beeld hetzelfde nummer blijven houden, terwijl d.m.v. logging alle statusovergangen moeten worden bijgehouden.

Voor het aanvragen van een interne audit op één van de genoemde punten is een voorbeeld formulier Interne Audit gemaakt. Niet alle rubrieken kunnen door de aanvrager worden ingevuld, deze zullen later moeten worden beantwoord door de ontvanger. Op het formulier komen de volgende rubrieken voor :

Elementen audit formulier

• Aanvrager : Binnen een organisatie kunnen meerdere personen behoefte hebben aan een interne audit. Dit kunnen b.v. zijn het hoofd van een afdeling of een controleur van een accountantsdienst. Wie daadwerkelijk audits mogen aanvragen moet duidelijk zijn aan de hand van een autorisatielijst.

• Aanvraagdatum : Datum waarop de interne audit wordt aangevraagd.

• Akkoorddatum : Datum waarop het verzoek voor een interne audit wordt goedgekeurd door de daarvoor verantwoordelijke instantie zoals bijvoorbeeld de accountantsdienst.

• Afdeling : Afdeling waar het auditobject zich bevind.

• Systeemeigenaar : Naam en paraaf van de eigenaar van het informatiesysteem waarop de audit plaatsvindt.

• Contactpersoon : De afdelingscontactpersoon die de audit vanuit de gebruikersorgani­satie begeleid. Bij kleine informatiesystemen zal dit tevens de systeemeigenaar zijn.

• Verificatie AD : De accountantsdienst dient altijd van een interne audit op de hoogte te worden gesteld. Er was immers altijd een aanleiding voor een audit en er zal ook een resultaat zijn. Over deze zaken zal de accountantsdienst rapporteren.

• Auditobject : Bij een interne audit zijn er meerdere objecten denkbaar. Dit kunnen zijn de verwerking van transacties; de werking van een programmamodule of de doelmatig­heid van een afdeling.

• Telefoonnummer : Telefoonnummer van de contactpersoon.

• Toelichting : Er dient een verklaring te komen waarom een audit is aangevraagd. Aan de hand van deze verklaring kan door de bevoegde instanties vooraf en achteraf worden bepaald of de interne audit werk rechtmatig is.

• Audit periode : Het volgen van transacties; het gebruik van een module; of de mutatiegraad van een bestand kan over een bepaalde periode moeten plaatsvinden om zo een goede indruk te krijgen. Deze periode dient nauwkeurig te worden aangegeven.

• Betrokken Auditobjecten : Binnen een audit kunnen meerdere objecten tegelijkertijd beoordeeld worden. Het gaat daarbij bijvoorbeeld om een combinatie van autorisaties voor programmamodules en de bestanden waarop daadwerkelijk wordt gemuteerd.

• Specifiek Audittype : Er dient te worden aangegeven welk audittype daadwerkelijk wordt gevraagd. Dit kunnen zijn : Mutaties op tabellen; Volgen audittrail; Autorisatiesge­bruiker; Ch­ec­ken co­n­tro­le­ge­tal; enzovoort.

• Audittechniek : Voor het uitvoeren van een technische audit komen verschillende technieken in aanmerking, deze technieken kunnen zijn : SQL-query; Specifiek program­ma; Logging verwer­king; Opvragen systeemtabel.

• Behandelaar : Voor het uitvoeren van een interne audit wordt een behandelaar aangewezen, het is echter mogelijk dat de behandelaar de audit intern uitbesteed aan een afdeling die meer expertise heeft over de te gebruiken audittechniek.

• Conclusies :  De resultaten van de audit leiden tot conclusies en aanbevelingen deze worden hier kort weergegeven. De daadwerkelijke uitvoering van de aanbevelingen vallen onder de verantwoordelijkheid van de opdrachtgever/aanvrager.

• Terugkoppeling aan aanvrager : De aanvrager neemt de resultaten van de interne audit in ontvangst en parafeert hiervoor.

Klik hier (InterneAudit.pdf) om het formulier te downloaden.

Boeken over dit onderwerp

Lean Six Sigma yellow & orange belt

Auteur: H.C. Theisens
Dit boek biedt een samenhangend overzicht van al deze verbetermethoden, gecombineerd in één framework, het ‘Continuous Improvement Maturity Model’ (CIMM).
Europrijs: 45,0
Bestellen

Kwaliteitsmanagement

Auteur: Bernadette van Pampus
Dit boek besteedt aandacht aan de eisen die worden gesteld aan de opzet van een kwaliteitsmanagementsysteem én aan de eisen die worden gesteld aan de interne organisatie.
Europrijs: 32,5
Bestellen

Meer boeken over IT audits vinden.


-- Printbare PDF-versie --


No votes yet.
Please wait...

Aanvullingen

Geef zelf een aanvulling.

Geef een aanvulling

Licentie: Creative Commons (Naamsvermelding/Gelijkdelen)

Checklisten:
Audit organisatie rond de werkplek 32 vragen.
Audit interne-controleerbaarheid 65 vragen.
Systeem audit 54 vragen.
Audit geautomatiseerde controles 41 vragen.
Informatie beveiliging eerste maatregelen 34 vragen.
Sidebar