SlideShare a Scribd company logo

Presentatie hogescholen2017audit

Download as PPTX, PDF
drs Pieter de Kok RA
drs Pieter de Kok RA

Hogescholen Accountancy, audit, next steps, innovatie

Data & Analytics
1 of 76
Data Driven HHS 16 januari 2017 Pieter de Kok RA, Coney
DISCOVER YOUR DATA! www.coney.nl
TECHNIEKEN DATA-ANALYSE PROCESS MINING VISUALISATIE
Continue signaleren  Bedrijfsbreed  Permanent kunnen controleren van belangrijke processen.  Tijdige notificatie van trends en uitzonderingen ter ondersteuning van risico beheer Ad – hoc  Auditor  Verkennend met beperkt aantal bronnen  Geen vaste frequentie  Gedocumenteerde conclusies en aanbevelingen Gepland  Audit team  Periodieke controle van processen met meerdere bronnen  Verbeteren efficiency, consistency en kwaliteit audits Continu uitvoeren van (audit)scripts om direct fouten, uitzonderingen en trends te identificeren Specifiek voor het genereren van audit bevindingen o.b.v. een moment opname. Routinematige audits door specialisten vanuit een standaard aanpak. 24/7 365 Continue Auditing  Verbeteren  Permanent kunnen leren van belangrijke processtappen.  Snel trends en uitzonderingen ter ondersteuning van risico- en proces beheer Continu zien hoe het proces werkt en waar zich afwijkingen en bottlenecks manifesteren 24/7 365 2017 2020 CONEY ONDERWEG NAAR CONTINUOUS AUDITING
Data Driven Controle Aanpak ONDERZOEKEN VAN IST DATA: - Toetsen aan normen - Toetsen aan verwachtingen - Analyseren van trends - Identificeren van uitzonderingen - Toetsen aan data van buiten de organisaties - Integratie van social media data in analyses - Reperfromen van verbanden (BETA formules) - Process Minen van IST Bedrijfsrocessen - Vergelijken van IST Bedrijfsprocessen met SOLL bedrijfsprocessen - Analyseren van ITGC / Applicatie / Rollen omgeving - Visualiseren van bevindingen
2. Understand the business 3A. Asses minimum level of IC Reconsider audit engagement 4. Rank client 1. Client acceptance 5. Determine significant accounts and run GL data- analytics 7. Relate significant accounts to processes & controls 8B. Assess design & implementation relevant IC including application controls (if possible with process mining) ICT Complex ICT STANDARD 11. Perform data-validation and data-analysis 10C. Test relevant transactional controls around variables to be used in data-analytics, if not effective, or not rely 12. Perform other substantive procedures 13. Wrap up and evaluate the audit 6. Perform risk analysis based on the Coney Business & Audit Canvas Plantheauditperform 9. Evaluate level of IC Light 10B. Test relevant application controls , if possible with data-analytics 10A. Test relevant IT general controls 3B. Asses dependency and complexity IT If possible set up periodic assurance dashboard 8A. Assess design & implementation relevant IT general controls 10E. Perform test of controls around standards if used during audit (standard prices, standard rebates) (SOL vs IST analytics) Light 10D. Substantive testing of variables (IST) used for data-analytics based on sample (underlying support) Light Light Several Applications in Scope
SYSTEEM GERICHT MINDSET DATA DRIVEN MINDSET ITGC Applicatio n Controls Test of 1 Gegevens -gericht / test of details INTENSITEIT/ AANDACHT Lijncontroles / test of controls ITGC Applicatio n Controls Integraal Data Driven Data- Analyse (gegevens gericht) Lijncontroles / Test of Contols* INTENSITEIT/ AANDACHT Process Mining End To End processen Gegevens -gericht / test of details GAP Data Driven Auditing – GAP ANALYSE
RISICO-ANALYSE en INITIELE CIJFERANALYSES – DATA DRIVEN
RISICO-ANALYSE en INITIELE CIJFERANALYSES – DATA DRIVEN VOLLEDIG AUTOMATISEREN van RISICO identificatie, trend analyses VOORAF FORMULEREN VAN VERWACHTINGEN VAN CIJFERS/ TRENDS OP POSTNIVEAU EN TOETSEN REALISATIE VERUS BUDGET RICHTING GEVEN AAN DE CONTROLE COS 330 IS BELANGRIJK, WIJ DOEN DIT BIJ VOORKEUR HEEL GERICHT, DYNAMIACH MBT ALLE TRANSACTIES, MET FILTERS en VISUALS
COS 330 – richting geven aan de controle COS 315 en 330 DATA SCRIPT geeft inzicht in bijvoorbeeld: 1. Dagboek / Mapping matrix 2. Aantal boekingen per dagboek per periode 3. Memoriaal boekingen > uitvoeringsmaterialiteit 4. Debet boekingen P&L via Verkoopboek, of Credit boekingen P&L via Inkoopboek 5. Boekingen in de P&L rechtstreeks via Bankboek, Maar ook inzicht in trends, ontwikkelingen, opvallende transacties. Dit naast alleen een ‘formele vastlegging van verwachtingen’..
COS 330 – richting geven aan de controle
COS 330 – richting geven aan de controle
CONTINUE MEEKIJKEN, ANALYSEREN, DELEN, COMMUNICEREN
IT GENERAL CONTROLS & APPLICATION CONTROLS – LOSLATEN TE ZWARE THEORETISCH BENADERING
FINANCIELE DATA ITGC Zie…
3A. Asses minimum level of IC Reconsider audit engagement 4. Rank client 8B. Assess design & implementation relevant IC including application controls (if possible with process mining) ICT Complex ICT STANDARD6. Perform risk analysis based on the Coney Business & Audit Canvas Plantheauditperform 9. Evaluate level of IC Light FOCUS OP ICT 10B. Test relevant application controls , if possible with data-analytics 10A. Test relevant IT general controls 3B. Asses dependency and complexity IT 8A. Assess design & implementation relevant IT general controls Light Light Light Several Applications in Scope
IT GENERAL CONTROLS & APPLICATIONS CONTROLS THEORIE VERSUS PRAKTIJK Niet-OOB SEGMENT TE VEEL (THEORETISCHE) ZEKERHEID TOEGEKEND AAN IT GENERAL CONTROLS (ITGC) IN PRAKTIJK STAAT DE VRAAG CENTRAAL: > WELK ITGC EVENTS TRIGGERT WELKE ONZEKERHEID IN DE JAARREKENING? WAT ZIJN COMPENSERENDE IC MAATREGELEN, WELKE DATA-ANALYSES KUNNEN WIJ HIER TEGENOVER ZETTEN?
ITCG ONDERWERPEN IN SCOPE – CHALLENGE EN DOCUMENTEREN Beperkt / Initieel CONEY DEFINITIE Onderteunend Herhaalbaar Belangrijk/ Gedefinieerd Overheersend/ Strategisch Access Management Data Security Programm Development SLA Management Proces Aansturing & Management Informatie Strategie Automatiserings Strategie Algemeen IT Beheersingbeleid Project Management Access Management (logische toegangsbeveiliging) Change Management (applicaties / programma’s) Proces Architectuur Migratie Beheer (nieuwe applicaties) Availability Management (extra relevant 3th party) Backup & Recovery in detail Capacity Management Incident & Problem Management
Overzicht van het lavastorm canvas Access Management (logische toegangsbeveiliging) WIE LOGT IN OP WELKE APPLICATIES?
Wat zien we dan?
Voorbeeld Username / Password Lavastorm canvas t.b.v. AD analyse 11-1-2017 Access Management (logische toegangsbeveiliging)
WIE AUTORISEERT WAT?
MAAR…..... INFORMELE CULTUUR EET PASSWORDEN VOOR ONTBIJT – REALITEIT – EN DAN? WAT KAN ER ECHT FOUT GAAN? DAN GA JE AFPELLEN, WAT INDIEN DAN, EN WAT BETEKENT DIT? WELKE POSTEN IN DE JAARREKENING? WAAR GAAN WE IN DE AUDIT OP FOCUSSEN en WAAROM? INTERNE DETECTIE CONTROLS? ONDERZOEKEN VAN DE IST DATA
SIGNIFICANT RISICO’s!!? ITGC ondervangen met detectiecontrols inzet data-analyse
KLASSIEKE BENADERING AOIC (inclusief APPLICATION CONTROLS) IN DOMINANTE ICT OMGEVING
LIJNCONTROLES KLASSIEK BENADERD Niet-OOB SEGMENT ER WORDT GEVRAAGD NAAR LIJNCONTROLES, MAAR ER WORDT NIET VOLDOENDE GELUISTERD / BEOORDEELD IN WELKE IT SETTING ONDERNEMINGEN OPEREREN, TE WEINIG FOCUS OP BELANG APPLICATION CONTROLS IN PRAKTIJK STAAT VRAAG CENTRAAL: WELKE END TO END PROCESSEN WORDEN PRIMAIR ‘CONTROLLED’ DOOR APPLICATION CONTROLS EN MET WELKE DATA TECHNIEKEN KUNNEN DEZE WORDEN GETEST?
Application controls, Coney mindset – data driven benaderen! KEY RISKS & KEY PROCESSEN - Heeft het risico zich voorgedaan? Belangrijker dan het theoretische insteek dat het risico zich voor kan doen! Inherent risico rondom ICT (hacking, complexiteit, cultuur) is altijd aanwezig. - Het overschrijden van BUSINESS RULES (AOIC): kwantitatief en kwalitatief; - Overschrijding van NORMEN - Betaaltermijnen - Kredietlimieten - Kortingspercentages - Minimale marges (onderschrijiding) - Retouracceptatie - Afboeken/ afwaarderen van voorraad - Afboeken van debiteuren niet via bank - Levertermijen - Levervoorwaarden (kwaliteit)
MAAR…..... IN MKB+ zijn veel ICT Systemen niet ‘waterdicht’ geïmplementeerd, staan key application controls niet allemaal aan, of werken ze niet… REALITEIT – EN DAN? WAT KAN ER ECHT FOUT GAAN? DAN GA JE AFPELLEN, WAT INDIEN DAN, EN WAT BETEKENT DIT? WELKE POSTEN IN DE JAARREKENING? WAAR GAAN WE IN DE AUDIT OP FOCUSSEN en WAAROM? INTERNE DETECTIE CONTROLS? ONDERZOEKEN VAN DE IST DATA
SIGNIFICANT RISICO’s!!? APPLICATION CONTROLS TESTEN ondervangen met detectiecontrols inzet data-analyse
PROCESS MINING (NOG) ONBEKEND
LIJNCONTROLES – PROCESS MINING ONBEKEND Niet-OOB SEGMENT ER IS GEEN BELEVING BIJ DE KRACHT EN ROL VAN PROCESS MINING IN DE AUDIT In de praktijk staat de vraag centraal: Hoe kunnen we met process mining assurance verkrijgen rondom de opzet en werking van de KEY IC in kritische bedrijfsprocessen?
ERP Process Mining Technology End to End Process Mining Eventlog
Inzoomen op interne beheersing…….. Feitelijk doorgronden van bedrijfsprocessen. Opzet en bestaan..en steeds meer werking. Geen samples, maar voor 100% van alle transacties (cases) de werking van processen en maatregelen IB analyseren. Toetsen van normatieve modellen (end-to-end) versus werkelijkheid. Eenvoudig visualiseren van processen risico’s, uitzonderingen en controle maatregelen. Dichter bij belevingswereld medewerkers van gecontroleerde organisatie.
Lijncontrols, Test of Controls, Coney mindset – data driven benaderen KEY RISK – KEY PROCESSEN - Heeft het risico zich voorgedaan? Belangrijker dan het theoretische insteek dat het risico zich voor kan doen. - Veelal gekoppeld aan functiescheiding en taken (kwalitatief) - Goedkeuren - Afwijzen - Toekennen Denk hierbij aan het toekennen van specifieke rechten voor het boeken van memoraalboekingen - Maar ook - Bijvoorbeeld inzicht in interne controle op opvolging uitzonderingen ThreeWayMatching indien 3WayMatching een application control is
ERP SYSTEMEN EVENT LOGS END TO END
FRAUDE VRAAGSTUK DYNAMISEREN (COS 240)
FRAUDE VRAAGSTUK DYNAMISEREN (COS 240) Niet-OOB SEGMENT ER WORDT VEEL NADRUK GELEGD OP VASTLEGGING FRAUDE GESPREKKEN, OVERWEGINGEN, MOMENTEN VAN FRAUDEGESPREKKEN EN WOORDGEBRUIK (citaten uit de COS versus onze checklist) DIT VERSUS AANDACHT VOOR BIJVOORBEELD EEN COS 240 DATA SCRIPT MBT 100% van TRANSACTIES - SIGNALERING
Voorbeeld COS 240 Scripts COS 240 geeft inzicht in bijvoorbeeld: 1. Verdeling conform Benford’s Law (1 en 2 cijfers) 2. Periodiciteit van boekingen 3. Analyse van verschil tussen moment van boeken en datum in administratie 4. Op welke dag van de week worden mutaties geboekt 5. Analyse van de worden in JP omschrijving Maar daarnaast ook: 1. Journaalposten met een lege omschrijving; 2. Journaalposten die mogelijk in de opvolgende periode worden gecorrigeerd; 3. Dubbele journaalposten; 4. Journaalposten geboekt op feestdagen; 5. Etc. etc.
Voorbeeld COS 240 Scripts
Voorbeeld COS 240 Scripts
KEUZES DURVEN MAKEN OM GEGEVENSGERICHT TE CONTROLEN
2. Understand the business 3A. Asses minimum level of IC Reconsider audit engagement 4. Rank client 1. Client acceptance 5. Determine significant accounts and run GL data- analytics 7. Relate significant accounts to processes & controls 8B. Assess design & implementation relevant IC including application controls (if possible with process mining) ICT Complex ICT STANDARD 11. Perform data-validation and data-analysis 10C. Test relevant transactional controls around variables to be used in data-analytics, if not effective, or not rely 12. Perform other substantive procedures 13. Wrap up and evaluate the audit 6. Perform risk analysis based on the Coney Business & Audit Canvas Plantheauditperform 9. Evaluate level of IC Light 10B. Test relevant application controls , if possible with data-analytics 10A. Test relevant IT general controls 3B. Asses dependency and complexity IT If possible set up periodic assurance dashboard 8A. Assess design & implementation relevant IT general controls 10E. Perform test of controls around standards if used during audit (standard prices, standard rebates) (SOL vs IST analytics) Light 10D. Substantive testing of variables (IST) used for data-analytics based on sample (underlying support) Light Light Several Applications in Scope
KEUZES DURVEN MAKEN OM GEGEVENSGERICHT TE CONTROLEN Niet-OOB SEGMENT BIJNA AANGEKOMEN BIJ DE KERN VAN DE CONTROLE – INZOOMEN OP 100% IST DATA DOOR: - TRENDANALYSES - IST / SOLL ANALYSES (toetsten aan NORMEN) - OMSPANNENDE VERBANDSCONTROLES MAAR DAN ONSTAAT ER EEN ENORM DEBAT IN PRAKTIJK OVER INPUT CONTROLS, BRONDATA versus STEEKPROEVEN EN DEELWAARNEMINGEN, dit NADAT ITGC en APPLICATION CONTROLS reeds zijn geëvalueerd
OMSPANNENDE VERBANDENGEGEVENSGERICHT CONTROLEREN
> Verbandscontrole analyses > Cijfer- en trend analyses IST AOIC op transactieniveau SOLL DUS Inzetten steekproeven? CONEY mindset Keep it simple
OF
> Verbandscontrole analyses > Cijfer- en trend analyses IST Sluit IST Pverkoop aan op verkoopovereenkomsten DUS Inzetten steekproeven? Coney mindset Keep it Simple
ALTIJD
> Verbandscontrole analyses > Cijfer- en trend analyses IST Achterliggende Normen / uitgangspunten SOLL DUS CRUCIAAL!
“KRACHT van GOEDE AUDIT is de EENVOUD IN SAMENHANG STAPPEN” D DA 1 DESIGNED SET OF DATA-ANALYTICS CONTROLS DA 2 DA 3 DA 4 DA 5 Relevant ITCG Relevant Applicatio n Controls Relevant Transactie gerelateerde Controles TEST IF POSSIBLE WITH PROCESS MINING and/ or DA TEST IF POSSIBLE WITH PROCESS MINING TEST IC Rondom Normen PLEIDOOI
DURVEN OM MEERWAARE VOOR ONDERNEMINGEN WEER AANDACHT TE GEVEN (ANGST VOORBIJ)
VISUALISATIE – STORY OF THE AUDIT Kennisdelen, luisteren, verbinden
Advanced Analytics, Smart reporting DEBITEUREN ANALYSES KOMENDE DRIE – VIJF JAAR
MEER AANDACHT VOOR VRAAGSTUK DATA KWALITEIT IN AUDIT
VISIE ARENA GROEP NBA
AUDIT SAMENSTEL NON FINANCIAL REPORTING NU NEXT CONTINUOUS BUSINESS ASSURANCE
Te CONTINUOUS BUSINESS ASSURANCE PLATFORM Bottom Up Data- Analytics Process Mining Visuali-zation (storttelling) Business In Control (Continuous Monitoring) Assurance (Continuous Auditing Continuous Reporting) Domein Domein ASSURANCE EVERYDAY RvT Invest ors Fiscus ORRvBFunds Audit technology Integratie “AI” Roboticering / Algoritmes Integrated FINANCIAL DATA OPERATIONAL DATAFISCAL DATA SUSTAINABILITY DATA Human Validation & Communication ACCESS POINTS
Nieuwe kansen door volledige ontsluiting van data bestanden:  Assurance Everyday  Betrokkenheid van alle relevante stakeholders  Data Driven Assurance  Financiele data  Non financiele data  Aansluiten op internationale ontwikkelingen rondom integrated reporting (eg sustainability reporting)  Kansen voor koppeling met andere externe databestanden waardoor meer inzicht kan worden gekregen in het begrip/inzicht van de business, de risico’s in de bedrijfstak/markten e.d. alsook administratieve inzichten ( transactiefouten, fraudepatronen, data anomalien en breakdown van interne controles); dit is bijvangst maar kan waarde toevoegen.  het verschaffen van diepere en meer relevante inzichten in de financiele conditie en performance van het bedrijf. Dit wordt niet alleen voor het bedrijf maar vooral voor de stakeholders als investeerders etc steeds belangrijker  (nieuwe) audit vormen zoals social media audits, computing security audits etc etc
Roadmap ahead! Tijdslijn LEIDERSCHAP WE NEED BOUWEN VAN PLATFORM SHOWCASE DATA DRIVEN COMPANIES 2017 INTEGRATIE OPLEIDINGEN IT SECURITY – EDP – AUDITING –DATA- SOFT SKILSS TU DELFT / EINDHOVEN meets NYENRODE 2018 2019 IT COMPANIES EN AUDIT FIRMS GAAN STRATEGISCH SAMENWERKEN EN GEZAMENLIJK INVESTEREN CONTINUOUS ASSURANCE STANDARDS By IFAC will be issued 305% OOB sector CONTINUOUS PLATFORM 2020 2023 We moeten onderdeel worden van het ECO systeem (worden) (blijven) en gezien worden als groep die het kunnen
VOORBEELD: CONTINUOUS ASSURANCE – NON (SEC) FINANCIAL VISAFSLAG (API prijzen/ vissoort) SENSORDATA TYPE NETTEN VISSERBOOT GPSDATA VISSERBOTEN GREENPEACE REAL TIME DASHBOARD OVERBEVISSING NOORDZEE ALGORITME ASSURANCE DIENSTEN: - Inrichten dashboard - Assurance rondom data kwaliteit - Assurance rondom algoritme - Assurance rondom relevantie Overbevissing NORMEN
Soft controlsJenn Lim, CEO Delivering Happiness
ZIJSPRONG BETEKENISVOLLE ASSURANCE
Future Cashflows BUSINESS PERFORMANCE (KPI’s) INNOVATION Results HAPINESS STAFF, VENDORS,CUSTOMERS TALENT Management CUSTOMER CO CREATION True green Integrated reporting3.0 COMPLIANCE Operationalexcellenc e (data driven)
BINNEN 5 - 8 JAAR
Risk Assessments New Business Opportunities
Integratie van Big Data en Internet Of Things data. ….het is druk op uw netwerk
PREDICTIVE ANALYTICS KASSTROMEN, VALUATIONS, BUSINESS FAILURES
AUDIT WERKSTAPPEN VERDER AUTOMATISEREN MET SLIMME ALGORITMEN
VOORBEELD RONDOM AOIC Simulatie Controle Raamwerk Obv Process mining Verbeteren werking processen & controls Oplossen bottlenecks Management Letter3.0 Impact complexiteit transacties
…last but not least...INTEGRATIE ARTIFICIAL INTELLIGENCE AUDIT DECISIONS
ONDERWERPEN – WAT ZIJN DE HOT TOPICS IN ASSURANCE PRAKTIJK? 1. RISICO-ANALYSE en INITIELE CIJFERANALYSES – DATA DRIVEN 2. IT GENERAL CONTROLS & APPLICATION CONTROLS – LOSLATEN TE ZWARE THEORETISCH BENADERING 3. KLASSIEKE BENADERING AOIC IN DOMINANTE ICT OMGEVING 4. PROCESS MINING (NOG) ONBEKEND 5. FRAUDE VRAAGSTUK DYNAMISEREN (COS 240) 6. KEUZES DURVEN MAKEN OM GEGEVENSGERICHT TE CONTROLEN 7. DURVEN OM MEERWAARE VOOR ONDERNEMINGEN WEER AANDACHT TE GEVEN (ANGST VOORBIJ) 8. MEER AANDACHT VOOR DATA KWALITEIT NU:
ONDERWERPEN – WAT ZIJN DE HOT TOPICS IN ASSURANCE PRAKTIJK? 1. CONTINUOUS MONITORING MEETS CONTINUOUS AUDITING 2. INRICHTEN VAN REAL-TIME BUSINESS ASSURANCE PLATFORMEN 3. INTEGRATIE VAN BIG DATA 4. ASSURANCE OP MAAT 5. JOINED ASSURANCE MET IT AUDIT, DATA QUALITY EXPERTS, HACKERS, EN ANDERE SPECIALISTEN 6. VERBREDING VAN DE ASSURANCE ROL – INTEGRATED REPORTING 3.0 7. ASSURANCE IN KETENS IN DE DISCUSSIE VOORUIT – ARENA VISIEGROEP STRAKS – NEW TECHNOLOGY 1. INTEGRATIE VAN PREDICTIVE ANALYTICS 2. VERDERE ONTWIKKELING SLIMME AUDIT ALGORITMES 3. INTEGRATIE VAN ARTIFICIAL INTELLIGENCE 4. ONTWIKKELING VAN DE BLOCKCHAIN (GLOBAL)
DISCOVER YOUR DATA!

Recommended

De functioneel beheerder en de auditor
De functioneel beheerder en de auditorDe functioneel beheerder en de auditor
De functioneel beheerder en de auditorDaniël E. Brouwer
 
Webinar - EAM /Reliability & Integrity Software selectie - 15 juli 2020
Webinar - EAM /Reliability & Integrity Software selectie - 15 juli 2020Webinar - EAM /Reliability & Integrity Software selectie - 15 juli 2020
Webinar - EAM /Reliability & Integrity Software selectie - 15 juli 2020Stork
 
Monitoring sucks
Monitoring sucksMonitoring sucks
Monitoring sucksJurgen van de Pol
 
Presentatie 2e roundtable ai and audit 2018 coney
Presentatie 2e roundtable ai and audit 2018 coneyPresentatie 2e roundtable ai and audit 2018 coney
Presentatie 2e roundtable ai and audit 2018 coneydrs Pieter de Kok RA
 
Seminar Simplified Security
Seminar Simplified SecuritySeminar Simplified Security
Seminar Simplified SecurityGetting value from IoT, Integration and Data Analytics
 
Costscan Sas
Costscan SasCostscan Sas
Costscan SasGhwerf01
 
Costscan Sas
Costscan SasCostscan Sas
Costscan SasGhwerf01
 
Webinar ISO 27001 informatiebeveiliging: revisie, certificering en implementa...
Webinar ISO 27001 informatiebeveiliging: revisie, certificering en implementa...Webinar ISO 27001 informatiebeveiliging: revisie, certificering en implementa...
Webinar ISO 27001 informatiebeveiliging: revisie, certificering en implementa...Lloyd's Register Quality Assurance Nederland
 

Recommended

De functioneel beheerder en de auditor
De functioneel beheerder en de auditorDe functioneel beheerder en de auditor
De functioneel beheerder en de auditorDaniël E. Brouwer
 
Webinar - EAM /Reliability & Integrity Software selectie - 15 juli 2020
Webinar - EAM /Reliability & Integrity Software selectie - 15 juli 2020Webinar - EAM /Reliability & Integrity Software selectie - 15 juli 2020
Webinar - EAM /Reliability & Integrity Software selectie - 15 juli 2020Stork
 
Monitoring sucks
Monitoring sucksMonitoring sucks
Monitoring sucksJurgen van de Pol
 
Presentatie 2e roundtable ai and audit 2018 coney
Presentatie 2e roundtable ai and audit 2018 coneyPresentatie 2e roundtable ai and audit 2018 coney
Presentatie 2e roundtable ai and audit 2018 coneydrs Pieter de Kok RA
 
Seminar Simplified Security
Seminar Simplified SecuritySeminar Simplified Security
Seminar Simplified SecurityGetting value from IoT, Integration and Data Analytics
 
Costscan Sas
Costscan SasCostscan Sas
Costscan SasGhwerf01
 
Costscan Sas
Costscan SasCostscan Sas
Costscan SasGhwerf01
 
Webinar ISO 27001 informatiebeveiliging: revisie, certificering en implementa...
Webinar ISO 27001 informatiebeveiliging: revisie, certificering en implementa...Webinar ISO 27001 informatiebeveiliging: revisie, certificering en implementa...
Webinar ISO 27001 informatiebeveiliging: revisie, certificering en implementa...Lloyd's Register Quality Assurance Nederland
 
10 trend in IT automation
10 trend in IT automation10 trend in IT automation
10 trend in IT automationRob Akershoek
 
Identity & Access Governance - Ervaringen uit de praktijk (Roundtable Event 2...
Identity & Access Governance - Ervaringen uit de praktijk (Roundtable Event 2...Identity & Access Governance - Ervaringen uit de praktijk (Roundtable Event 2...
Identity & Access Governance - Ervaringen uit de praktijk (Roundtable Event 2...Thomas van Vooren
 
Meet de gezondheid van de opslag
Meet de gezondheid van de opslagMeet de gezondheid van de opslag
Meet de gezondheid van de opslagDekkinga, Ewout
 
Accountant-EricPols-JohanSchoonen-Data-analyse als brug tussen twee werelden-...
Accountant-EricPols-JohanSchoonen-Data-analyse als brug tussen twee werelden-...Accountant-EricPols-JohanSchoonen-Data-analyse als brug tussen twee werelden-...
Accountant-EricPols-JohanSchoonen-Data-analyse als brug tussen twee werelden-...Eric Pols RE
 
Begroten van software projecten - Hogeschool Rotterdam gastcollege 05-11-2013
Begroten van software projecten - Hogeschool Rotterdam gastcollege 05-11-2013Begroten van software projecten - Hogeschool Rotterdam gastcollege 05-11-2013
Begroten van software projecten - Hogeschool Rotterdam gastcollege 05-11-2013Harold van Heeringen
 
VU Uitvoering van de audit 28 mei 2010
VU Uitvoering van de audit 28 mei 2010VU Uitvoering van de audit 28 mei 2010
VU Uitvoering van de audit 28 mei 2010Jurgen van der Vlugt
 
datadriven-education-3.0-coney
datadriven-education-3.0-coneydatadriven-education-3.0-coney
datadriven-education-3.0-coneydrs Pieter de Kok RA
 
SRA ICT Bijeenkomst Informatiebeveiliging 2 juni 2009
SRA ICT Bijeenkomst Informatiebeveiliging 2 juni 2009SRA ICT Bijeenkomst Informatiebeveiliging 2 juni 2009
SRA ICT Bijeenkomst Informatiebeveiliging 2 juni 2009Aart A. in 't Veld
 
VU Information Risk Management Security Management 2010 JvdV
VU Information Risk Management Security Management 2010 JvdVVU Information Risk Management Security Management 2010 JvdV
VU Information Risk Management Security Management 2010 JvdVJurgen van der Vlugt
 
Workshop Business Intelligence : To the Stars and Beyond
Workshop Business Intelligence : To the Stars and BeyondWorkshop Business Intelligence : To the Stars and Beyond
Workshop Business Intelligence : To the Stars and BeyondDaan Blinde
 
Savacco op bezoek
Savacco op bezoekSavacco op bezoek
Savacco op bezoekCVO Hitek vzw (Kortrijk)
 
Round Table Fast Close (Stantson & Tacstone Consulting) Public V1.0
Round Table Fast Close (Stantson & Tacstone Consulting) Public V1.0Round Table Fast Close (Stantson & Tacstone Consulting) Public V1.0
Round Table Fast Close (Stantson & Tacstone Consulting) Public V1.0marcsluiter
 
TestNet Nj Event 2009 Test Value en Kza
TestNet Nj Event 2009 Test Value en KzaTestNet Nj Event 2009 Test Value en Kza
TestNet Nj Event 2009 Test Value en Kzaguestb49b99
 
Presentatie baseline voor sod sittard versie zoals gepresenteerd.ppt
Presentatie baseline voor sod sittard versie zoals gepresenteerd.pptPresentatie baseline voor sod sittard versie zoals gepresenteerd.ppt
Presentatie baseline voor sod sittard versie zoals gepresenteerd.pptVereniging SOD
 
De Us Ccu Checklist Voor Cybersecurity
De Us Ccu Checklist Voor CybersecurityDe Us Ccu Checklist Voor Cybersecurity
De Us Ccu Checklist Voor CybersecurityNAVI
 
2008-06-23 - SDN - Kwaliteit van software, wat is dat nu eigenlijk?
2008-06-23 - SDN - Kwaliteit van software, wat is dat nu eigenlijk?2008-06-23 - SDN - Kwaliteit van software, wat is dat nu eigenlijk?
2008-06-23 - SDN - Kwaliteit van software, wat is dat nu eigenlijk?Jaap van Ekris
 
Iot in de zorg the next step - fit for purpose
Iot in de zorg the next step - fit for purpose Iot in de zorg the next step - fit for purpose
Iot in de zorg the next step - fit for purpose Getting value from IoT, Integration and Data Analytics
 
Workshop BI/DWH AGILE TESTING Zwitserleven Dutch
Workshop BI/DWH AGILE TESTING Zwitserleven DutchWorkshop BI/DWH AGILE TESTING Zwitserleven Dutch
Workshop BI/DWH AGILE TESTING Zwitserleven DutchMarcus Drost
 
IT-administratie (CMDB) niet belangrijk? Besparen én verbeteren - Robert Krem...
IT-administratie (CMDB) niet belangrijk? Besparen én verbeteren - Robert Krem...IT-administratie (CMDB) niet belangrijk? Besparen én verbeteren - Robert Krem...
IT-administratie (CMDB) niet belangrijk? Besparen én verbeteren - Robert Krem...SURF Events
 
[Dutch] JIT 2.0. - een methode voor ondersteunen van proces-automatisatie en ...
[Dutch] JIT 2.0. - een methode voor ondersteunen van proces-automatisatie en ...[Dutch] JIT 2.0. - een methode voor ondersteunen van proces-automatisatie en ...
[Dutch] JIT 2.0. - een methode voor ondersteunen van proces-automatisatie en ...CONFENIS 2012
 
Coney Business Analytics: an introduction
Coney Business Analytics: an introductionConey Business Analytics: an introduction
Coney Business Analytics: an introductiondrs Pieter de Kok RA
 
Coney Auditing 3.0 - An Introduction
Coney Auditing 3.0 - An IntroductionConey Auditing 3.0 - An Introduction
Coney Auditing 3.0 - An Introductiondrs Pieter de Kok RA
 

More Related Content

Similar to Presentatie hogescholen2017audit

10 trend in IT automation
10 trend in IT automation10 trend in IT automation
10 trend in IT automationRob Akershoek
 
Identity & Access Governance - Ervaringen uit de praktijk (Roundtable Event 2...
Identity & Access Governance - Ervaringen uit de praktijk (Roundtable Event 2...Identity & Access Governance - Ervaringen uit de praktijk (Roundtable Event 2...
Identity & Access Governance - Ervaringen uit de praktijk (Roundtable Event 2...Thomas van Vooren
 
Meet de gezondheid van de opslag
Meet de gezondheid van de opslagMeet de gezondheid van de opslag
Meet de gezondheid van de opslagDekkinga, Ewout
 
Accountant-EricPols-JohanSchoonen-Data-analyse als brug tussen twee werelden-...
Accountant-EricPols-JohanSchoonen-Data-analyse als brug tussen twee werelden-...Accountant-EricPols-JohanSchoonen-Data-analyse als brug tussen twee werelden-...
Accountant-EricPols-JohanSchoonen-Data-analyse als brug tussen twee werelden-...Eric Pols RE
 
Begroten van software projecten - Hogeschool Rotterdam gastcollege 05-11-2013
Begroten van software projecten - Hogeschool Rotterdam gastcollege 05-11-2013Begroten van software projecten - Hogeschool Rotterdam gastcollege 05-11-2013
Begroten van software projecten - Hogeschool Rotterdam gastcollege 05-11-2013Harold van Heeringen
 
VU Uitvoering van de audit 28 mei 2010
VU Uitvoering van de audit 28 mei 2010VU Uitvoering van de audit 28 mei 2010
VU Uitvoering van de audit 28 mei 2010Jurgen van der Vlugt
 
SRA ICT Bijeenkomst Informatiebeveiliging 2 juni 2009
SRA ICT Bijeenkomst Informatiebeveiliging 2 juni 2009SRA ICT Bijeenkomst Informatiebeveiliging 2 juni 2009
SRA ICT Bijeenkomst Informatiebeveiliging 2 juni 2009Aart A. in 't Veld
 
VU Information Risk Management Security Management 2010 JvdV
VU Information Risk Management Security Management 2010 JvdVVU Information Risk Management Security Management 2010 JvdV
VU Information Risk Management Security Management 2010 JvdVJurgen van der Vlugt
 
Workshop Business Intelligence : To the Stars and Beyond
Workshop Business Intelligence : To the Stars and BeyondWorkshop Business Intelligence : To the Stars and Beyond
Workshop Business Intelligence : To the Stars and BeyondDaan Blinde
 
Round Table Fast Close (Stantson & Tacstone Consulting) Public V1.0
Round Table Fast Close (Stantson & Tacstone Consulting) Public V1.0Round Table Fast Close (Stantson & Tacstone Consulting) Public V1.0
Round Table Fast Close (Stantson & Tacstone Consulting) Public V1.0marcsluiter
 
TestNet Nj Event 2009 Test Value en Kza
TestNet Nj Event 2009 Test Value en KzaTestNet Nj Event 2009 Test Value en Kza
TestNet Nj Event 2009 Test Value en Kzaguestb49b99
 
Presentatie baseline voor sod sittard versie zoals gepresenteerd.ppt
Presentatie baseline voor sod sittard versie zoals gepresenteerd.pptPresentatie baseline voor sod sittard versie zoals gepresenteerd.ppt
Presentatie baseline voor sod sittard versie zoals gepresenteerd.pptVereniging SOD
 
De Us Ccu Checklist Voor Cybersecurity
De Us Ccu Checklist Voor CybersecurityDe Us Ccu Checklist Voor Cybersecurity
De Us Ccu Checklist Voor CybersecurityNAVI
 
2008-06-23 - SDN - Kwaliteit van software, wat is dat nu eigenlijk?
2008-06-23 - SDN - Kwaliteit van software, wat is dat nu eigenlijk?2008-06-23 - SDN - Kwaliteit van software, wat is dat nu eigenlijk?
2008-06-23 - SDN - Kwaliteit van software, wat is dat nu eigenlijk?Jaap van Ekris
 
Workshop BI/DWH AGILE TESTING Zwitserleven Dutch
Workshop BI/DWH AGILE TESTING Zwitserleven DutchWorkshop BI/DWH AGILE TESTING Zwitserleven Dutch
Workshop BI/DWH AGILE TESTING Zwitserleven DutchMarcus Drost
 
IT-administratie (CMDB) niet belangrijk? Besparen én verbeteren - Robert Krem...
IT-administratie (CMDB) niet belangrijk? Besparen én verbeteren - Robert Krem...IT-administratie (CMDB) niet belangrijk? Besparen én verbeteren - Robert Krem...
IT-administratie (CMDB) niet belangrijk? Besparen én verbeteren - Robert Krem...SURF Events
 
[Dutch] JIT 2.0. - een methode voor ondersteunen van proces-automatisatie en ...
[Dutch] JIT 2.0. - een methode voor ondersteunen van proces-automatisatie en ...[Dutch] JIT 2.0. - een methode voor ondersteunen van proces-automatisatie en ...
[Dutch] JIT 2.0. - een methode voor ondersteunen van proces-automatisatie en ...CONFENIS 2012
 

Similar to Presentatie hogescholen2017audit (20)

10 trend in IT automation
10 trend in IT automation10 trend in IT automation
10 trend in IT automation
 
Identity & Access Governance - Ervaringen uit de praktijk (Roundtable Event 2...
Identity & Access Governance - Ervaringen uit de praktijk (Roundtable Event 2...Identity & Access Governance - Ervaringen uit de praktijk (Roundtable Event 2...
Identity & Access Governance - Ervaringen uit de praktijk (Roundtable Event 2...
 
Meet de gezondheid van de opslag
Meet de gezondheid van de opslagMeet de gezondheid van de opslag
Meet de gezondheid van de opslag
 
Accountant-EricPols-JohanSchoonen-Data-analyse als brug tussen twee werelden-...
Accountant-EricPols-JohanSchoonen-Data-analyse als brug tussen twee werelden-...Accountant-EricPols-JohanSchoonen-Data-analyse als brug tussen twee werelden-...
Accountant-EricPols-JohanSchoonen-Data-analyse als brug tussen twee werelden-...
 
Begroten van software projecten - Hogeschool Rotterdam gastcollege 05-11-2013
Begroten van software projecten - Hogeschool Rotterdam gastcollege 05-11-2013Begroten van software projecten - Hogeschool Rotterdam gastcollege 05-11-2013
Begroten van software projecten - Hogeschool Rotterdam gastcollege 05-11-2013
 
VU Uitvoering van de audit 28 mei 2010
VU Uitvoering van de audit 28 mei 2010VU Uitvoering van de audit 28 mei 2010
VU Uitvoering van de audit 28 mei 2010
 
datadriven-education-3.0-coney
datadriven-education-3.0-coneydatadriven-education-3.0-coney
datadriven-education-3.0-coney
 
SRA ICT Bijeenkomst Informatiebeveiliging 2 juni 2009
SRA ICT Bijeenkomst Informatiebeveiliging 2 juni 2009SRA ICT Bijeenkomst Informatiebeveiliging 2 juni 2009
SRA ICT Bijeenkomst Informatiebeveiliging 2 juni 2009
 
VU Information Risk Management Security Management 2010 JvdV
VU Information Risk Management Security Management 2010 JvdVVU Information Risk Management Security Management 2010 JvdV
VU Information Risk Management Security Management 2010 JvdV
 
Workshop Business Intelligence : To the Stars and Beyond
Workshop Business Intelligence : To the Stars and BeyondWorkshop Business Intelligence : To the Stars and Beyond
Workshop Business Intelligence : To the Stars and Beyond
 
Savacco op bezoek
Savacco op bezoekSavacco op bezoek
Savacco op bezoek
 
Round Table Fast Close (Stantson & Tacstone Consulting) Public V1.0
Round Table Fast Close (Stantson & Tacstone Consulting) Public V1.0Round Table Fast Close (Stantson & Tacstone Consulting) Public V1.0
Round Table Fast Close (Stantson & Tacstone Consulting) Public V1.0
 
TestNet Nj Event 2009 Test Value en Kza
TestNet Nj Event 2009 Test Value en KzaTestNet Nj Event 2009 Test Value en Kza
TestNet Nj Event 2009 Test Value en Kza
 
Presentatie baseline voor sod sittard versie zoals gepresenteerd.ppt
Presentatie baseline voor sod sittard versie zoals gepresenteerd.pptPresentatie baseline voor sod sittard versie zoals gepresenteerd.ppt
Presentatie baseline voor sod sittard versie zoals gepresenteerd.ppt
 
De Us Ccu Checklist Voor Cybersecurity
De Us Ccu Checklist Voor CybersecurityDe Us Ccu Checklist Voor Cybersecurity
De Us Ccu Checklist Voor Cybersecurity
 
2008-06-23 - SDN - Kwaliteit van software, wat is dat nu eigenlijk?
2008-06-23 - SDN - Kwaliteit van software, wat is dat nu eigenlijk?2008-06-23 - SDN - Kwaliteit van software, wat is dat nu eigenlijk?
2008-06-23 - SDN - Kwaliteit van software, wat is dat nu eigenlijk?
 
Iot in de zorg the next step - fit for purpose
Iot in de zorg the next step - fit for purpose Iot in de zorg the next step - fit for purpose
Iot in de zorg the next step - fit for purpose
 
Workshop BI/DWH AGILE TESTING Zwitserleven Dutch
Workshop BI/DWH AGILE TESTING Zwitserleven DutchWorkshop BI/DWH AGILE TESTING Zwitserleven Dutch
Workshop BI/DWH AGILE TESTING Zwitserleven Dutch
 
IT-administratie (CMDB) niet belangrijk? Besparen én verbeteren - Robert Krem...
IT-administratie (CMDB) niet belangrijk? Besparen én verbeteren - Robert Krem...IT-administratie (CMDB) niet belangrijk? Besparen én verbeteren - Robert Krem...
IT-administratie (CMDB) niet belangrijk? Besparen én verbeteren - Robert Krem...
 
[Dutch] JIT 2.0. - een methode voor ondersteunen van proces-automatisatie en ...
[Dutch] JIT 2.0. - een methode voor ondersteunen van proces-automatisatie en ...[Dutch] JIT 2.0. - een methode voor ondersteunen van proces-automatisatie en ...
[Dutch] JIT 2.0. - een methode voor ondersteunen van proces-automatisatie en ...
 

More from drs Pieter de Kok RA

Coney Business Analytics: an introduction
Coney Business Analytics: an introductionConey Business Analytics: an introduction
Coney Business Analytics: an introductiondrs Pieter de Kok RA
 
Coney Auditing 3.0 - An Introduction
Coney Auditing 3.0 - An IntroductionConey Auditing 3.0 - An Introduction
Coney Auditing 3.0 - An Introductiondrs Pieter de Kok RA
 
Accountant302018presentatie hs march122018
Accountant302018presentatie hs march122018Accountant302018presentatie hs march122018
Accountant302018presentatie hs march122018drs Pieter de Kok RA
 
Process mining bazaar 11 11-2015 pdk
Process mining bazaar 11 11-2015 pdkProcess mining bazaar 11 11-2015 pdk
Process mining bazaar 11 11-2015 pdkdrs Pieter de Kok RA
 
Changing Role of the Auditor (2013)?
Changing Role of the Auditor (2013)?Changing Role of the Auditor (2013)?
Changing Role of the Auditor (2013)?drs Pieter de Kok RA
 
2013 windesheim data_analysetraindetrainerpdk
2013 windesheim data_analysetraindetrainerpdk2013 windesheim data_analysetraindetrainerpdk
2013 windesheim data_analysetraindetrainerpdkdrs Pieter de Kok RA
 

More from drs Pieter de Kok RA (16)

Coney Business Analytics: an introduction
Coney Business Analytics: an introductionConey Business Analytics: an introduction
Coney Business Analytics: an introduction
 
Coney Auditing 3.0 - An Introduction
Coney Auditing 3.0 - An IntroductionConey Auditing 3.0 - An Introduction
Coney Auditing 3.0 - An Introduction
 
Accountant302018presentatie hs march122018
Accountant302018presentatie hs march122018Accountant302018presentatie hs march122018
Accountant302018presentatie hs march122018
 
Accountant302018presentatie
Accountant302018presentatieAccountant302018presentatie
Accountant302018presentatie
 
Process mining bazaar 11 11-2015 pdk
Process mining bazaar 11 11-2015 pdkProcess mining bazaar 11 11-2015 pdk
Process mining bazaar 11 11-2015 pdk
 
Workshop2aprilfinal
Workshop2aprilfinalWorkshop2aprilfinal
Workshop2aprilfinal
 
Meet thedatajune2014
Meet thedatajune2014Meet thedatajune2014
Meet thedatajune2014
 
Future of Audit by Pieter de Kok
Future of Audit by Pieter de KokFuture of Audit by Pieter de Kok
Future of Audit by Pieter de Kok
 
Support accountantskantoren
Support accountantskantorenSupport accountantskantoren
Support accountantskantoren
 
Onderweg naar Accountant3.0
Onderweg naar Accountant3.0Onderweg naar Accountant3.0
Onderweg naar Accountant3.0
 
Changing Role of the Auditor (2013)?
Changing Role of the Auditor (2013)?Changing Role of the Auditor (2013)?
Changing Role of the Auditor (2013)?
 
Seizoen 2013
Seizoen 2013Seizoen 2013
Seizoen 2013
 
Coney dn aslidespack
Coney dn aslidespackConey dn aslidespack
Coney dn aslidespack
 
Top25
Top25Top25
Top25
 
2013 windesheim data_analysetraindetrainerpdk
2013 windesheim data_analysetraindetrainerpdk2013 windesheim data_analysetraindetrainerpdk
2013 windesheim data_analysetraindetrainerpdk
 
Voor Frans Heitling
Voor Frans HeitlingVoor Frans Heitling
Voor Frans Heitling
 

Presentatie hogescholen2017audit

  • 1. Data Driven HHS 16 januari 2017 Pieter de Kok RA, Coney
  • 4. Continue signaleren  Bedrijfsbreed  Permanent kunnen controleren van belangrijke processen.  Tijdige notificatie van trends en uitzonderingen ter ondersteuning van risico beheer Ad – hoc  Auditor  Verkennend met beperkt aantal bronnen  Geen vaste frequentie  Gedocumenteerde conclusies en aanbevelingen Gepland  Audit team  Periodieke controle van processen met meerdere bronnen  Verbeteren efficiency, consistency en kwaliteit audits Continu uitvoeren van (audit)scripts om direct fouten, uitzonderingen en trends te identificeren Specifiek voor het genereren van audit bevindingen o.b.v. een moment opname. Routinematige audits door specialisten vanuit een standaard aanpak. 24/7 365 Continue Auditing  Verbeteren  Permanent kunnen leren van belangrijke processtappen.  Snel trends en uitzonderingen ter ondersteuning van risico- en proces beheer Continu zien hoe het proces werkt en waar zich afwijkingen en bottlenecks manifesteren 24/7 365 2017 2020 CONEY ONDERWEG NAAR CONTINUOUS AUDITING
  • 5. Data Driven Controle Aanpak ONDERZOEKEN VAN IST DATA: - Toetsen aan normen - Toetsen aan verwachtingen - Analyseren van trends - Identificeren van uitzonderingen - Toetsen aan data van buiten de organisaties - Integratie van social media data in analyses - Reperfromen van verbanden (BETA formules) - Process Minen van IST Bedrijfsrocessen - Vergelijken van IST Bedrijfsprocessen met SOLL bedrijfsprocessen - Analyseren van ITGC / Applicatie / Rollen omgeving - Visualiseren van bevindingen
  • 6. 2. Understand the business 3A. Asses minimum level of IC Reconsider audit engagement 4. Rank client 1. Client acceptance 5. Determine significant accounts and run GL data- analytics 7. Relate significant accounts to processes & controls 8B. Assess design & implementation relevant IC including application controls (if possible with process mining) ICT Complex ICT STANDARD 11. Perform data-validation and data-analysis 10C. Test relevant transactional controls around variables to be used in data-analytics, if not effective, or not rely 12. Perform other substantive procedures 13. Wrap up and evaluate the audit 6. Perform risk analysis based on the Coney Business & Audit Canvas Plantheauditperform 9. Evaluate level of IC Light 10B. Test relevant application controls , if possible with data-analytics 10A. Test relevant IT general controls 3B. Asses dependency and complexity IT If possible set up periodic assurance dashboard 8A. Assess design & implementation relevant IT general controls 10E. Perform test of controls around standards if used during audit (standard prices, standard rebates) (SOL vs IST analytics) Light 10D. Substantive testing of variables (IST) used for data-analytics based on sample (underlying support) Light Light Several Applications in Scope
  • 7. SYSTEEM GERICHT MINDSET DATA DRIVEN MINDSET ITGC Applicatio n Controls Test of 1 Gegevens -gericht / test of details INTENSITEIT/ AANDACHT Lijncontroles / test of controls ITGC Applicatio n Controls Integraal Data Driven Data- Analyse (gegevens gericht) Lijncontroles / Test of Contols* INTENSITEIT/ AANDACHT Process Mining End To End processen Gegevens -gericht / test of details GAP Data Driven Auditing – GAP ANALYSE
  • 9. RISICO-ANALYSE en INITIELE CIJFERANALYSES – DATA DRIVEN VOLLEDIG AUTOMATISEREN van RISICO identificatie, trend analyses VOORAF FORMULEREN VAN VERWACHTINGEN VAN CIJFERS/ TRENDS OP POSTNIVEAU EN TOETSEN REALISATIE VERUS BUDGET RICHTING GEVEN AAN DE CONTROLE COS 330 IS BELANGRIJK, WIJ DOEN DIT BIJ VOORKEUR HEEL GERICHT, DYNAMIACH MBT ALLE TRANSACTIES, MET FILTERS en VISUALS
  • 10. COS 330 – richting geven aan de controle COS 315 en 330 DATA SCRIPT geeft inzicht in bijvoorbeeld: 1. Dagboek / Mapping matrix 2. Aantal boekingen per dagboek per periode 3. Memoriaal boekingen > uitvoeringsmaterialiteit 4. Debet boekingen P&L via Verkoopboek, of Credit boekingen P&L via Inkoopboek 5. Boekingen in de P&L rechtstreeks via Bankboek, Maar ook inzicht in trends, ontwikkelingen, opvallende transacties. Dit naast alleen een ‘formele vastlegging van verwachtingen’..
  • 11. COS 330 – richting geven aan de controle
  • 12. COS 330 – richting geven aan de controle
  • 13. CONTINUE MEEKIJKEN, ANALYSEREN, DELEN, COMMUNICEREN
  • 14. IT GENERAL CONTROLS & APPLICATION CONTROLS – LOSLATEN TE ZWARE THEORETISCH BENADERING
  • 16. 3A. Asses minimum level of IC Reconsider audit engagement 4. Rank client 8B. Assess design & implementation relevant IC including application controls (if possible with process mining) ICT Complex ICT STANDARD6. Perform risk analysis based on the Coney Business & Audit Canvas Plantheauditperform 9. Evaluate level of IC Light FOCUS OP ICT 10B. Test relevant application controls , if possible with data-analytics 10A. Test relevant IT general controls 3B. Asses dependency and complexity IT 8A. Assess design & implementation relevant IT general controls Light Light Light Several Applications in Scope
  • 17. IT GENERAL CONTROLS & APPLICATIONS CONTROLS THEORIE VERSUS PRAKTIJK Niet-OOB SEGMENT TE VEEL (THEORETISCHE) ZEKERHEID TOEGEKEND AAN IT GENERAL CONTROLS (ITGC) IN PRAKTIJK STAAT DE VRAAG CENTRAAL: > WELK ITGC EVENTS TRIGGERT WELKE ONZEKERHEID IN DE JAARREKENING? WAT ZIJN COMPENSERENDE IC MAATREGELEN, WELKE DATA-ANALYSES KUNNEN WIJ HIER TEGENOVER ZETTEN?
  • 18. ITCG ONDERWERPEN IN SCOPE – CHALLENGE EN DOCUMENTEREN Beperkt / Initieel CONEY DEFINITIE Onderteunend Herhaalbaar Belangrijk/ Gedefinieerd Overheersend/ Strategisch Access Management Data Security Programm Development SLA Management Proces Aansturing & Management Informatie Strategie Automatiserings Strategie Algemeen IT Beheersingbeleid Project Management Access Management (logische toegangsbeveiliging) Change Management (applicaties / programma’s) Proces Architectuur Migratie Beheer (nieuwe applicaties) Availability Management (extra relevant 3th party) Backup & Recovery in detail Capacity Management Incident & Problem Management
  • 19. Overzicht van het lavastorm canvas Access Management (logische toegangsbeveiliging) WIE LOGT IN OP WELKE APPLICATIES?
  • 20. Wat zien we dan?
  • 21. Voorbeeld Username / Password Lavastorm canvas t.b.v. AD analyse 11-1-2017 Access Management (logische toegangsbeveiliging)
  • 23. MAAR…..... INFORMELE CULTUUR EET PASSWORDEN VOOR ONTBIJT – REALITEIT – EN DAN? WAT KAN ER ECHT FOUT GAAN? DAN GA JE AFPELLEN, WAT INDIEN DAN, EN WAT BETEKENT DIT? WELKE POSTEN IN DE JAARREKENING? WAAR GAAN WE IN DE AUDIT OP FOCUSSEN en WAAROM? INTERNE DETECTIE CONTROLS? ONDERZOEKEN VAN DE IST DATA
  • 24. SIGNIFICANT RISICO’s!!? ITGC ondervangen met detectiecontrols inzet data-analyse
  • 26. LIJNCONTROLES KLASSIEK BENADERD Niet-OOB SEGMENT ER WORDT GEVRAAGD NAAR LIJNCONTROLES, MAAR ER WORDT NIET VOLDOENDE GELUISTERD / BEOORDEELD IN WELKE IT SETTING ONDERNEMINGEN OPEREREN, TE WEINIG FOCUS OP BELANG APPLICATION CONTROLS IN PRAKTIJK STAAT VRAAG CENTRAAL: WELKE END TO END PROCESSEN WORDEN PRIMAIR ‘CONTROLLED’ DOOR APPLICATION CONTROLS EN MET WELKE DATA TECHNIEKEN KUNNEN DEZE WORDEN GETEST?
  • 27. Application controls, Coney mindset – data driven benaderen! KEY RISKS & KEY PROCESSEN - Heeft het risico zich voorgedaan? Belangrijker dan het theoretische insteek dat het risico zich voor kan doen! Inherent risico rondom ICT (hacking, complexiteit, cultuur) is altijd aanwezig. - Het overschrijden van BUSINESS RULES (AOIC): kwantitatief en kwalitatief; - Overschrijding van NORMEN - Betaaltermijnen - Kredietlimieten - Kortingspercentages - Minimale marges (onderschrijiding) - Retouracceptatie - Afboeken/ afwaarderen van voorraad - Afboeken van debiteuren niet via bank - Levertermijen - Levervoorwaarden (kwaliteit)
  • 28. MAAR…..... IN MKB+ zijn veel ICT Systemen niet ‘waterdicht’ geïmplementeerd, staan key application controls niet allemaal aan, of werken ze niet… REALITEIT – EN DAN? WAT KAN ER ECHT FOUT GAAN? DAN GA JE AFPELLEN, WAT INDIEN DAN, EN WAT BETEKENT DIT? WELKE POSTEN IN DE JAARREKENING? WAAR GAAN WE IN DE AUDIT OP FOCUSSEN en WAAROM? INTERNE DETECTIE CONTROLS? ONDERZOEKEN VAN DE IST DATA
  • 29. SIGNIFICANT RISICO’s!!? APPLICATION CONTROLS TESTEN ondervangen met detectiecontrols inzet data-analyse
  • 31. LIJNCONTROLES – PROCESS MINING ONBEKEND Niet-OOB SEGMENT ER IS GEEN BELEVING BIJ DE KRACHT EN ROL VAN PROCESS MINING IN DE AUDIT In de praktijk staat de vraag centraal: Hoe kunnen we met process mining assurance verkrijgen rondom de opzet en werking van de KEY IC in kritische bedrijfsprocessen?
  • 32.
  • 33. ERP Process Mining Technology End to End Process Mining Eventlog
  • 34. Inzoomen op interne beheersing…….. Feitelijk doorgronden van bedrijfsprocessen. Opzet en bestaan..en steeds meer werking. Geen samples, maar voor 100% van alle transacties (cases) de werking van processen en maatregelen IB analyseren. Toetsen van normatieve modellen (end-to-end) versus werkelijkheid. Eenvoudig visualiseren van processen risico’s, uitzonderingen en controle maatregelen. Dichter bij belevingswereld medewerkers van gecontroleerde organisatie.
  • 35. Lijncontrols, Test of Controls, Coney mindset – data driven benaderen KEY RISK – KEY PROCESSEN - Heeft het risico zich voorgedaan? Belangrijker dan het theoretische insteek dat het risico zich voor kan doen. - Veelal gekoppeld aan functiescheiding en taken (kwalitatief) - Goedkeuren - Afwijzen - Toekennen Denk hierbij aan het toekennen van specifieke rechten voor het boeken van memoraalboekingen - Maar ook - Bijvoorbeeld inzicht in interne controle op opvolging uitzonderingen ThreeWayMatching indien 3WayMatching een application control is
  • 38. FRAUDE VRAAGSTUK DYNAMISEREN (COS 240) Niet-OOB SEGMENT ER WORDT VEEL NADRUK GELEGD OP VASTLEGGING FRAUDE GESPREKKEN, OVERWEGINGEN, MOMENTEN VAN FRAUDEGESPREKKEN EN WOORDGEBRUIK (citaten uit de COS versus onze checklist) DIT VERSUS AANDACHT VOOR BIJVOORBEELD EEN COS 240 DATA SCRIPT MBT 100% van TRANSACTIES - SIGNALERING
  • 39. Voorbeeld COS 240 Scripts COS 240 geeft inzicht in bijvoorbeeld: 1. Verdeling conform Benford’s Law (1 en 2 cijfers) 2. Periodiciteit van boekingen 3. Analyse van verschil tussen moment van boeken en datum in administratie 4. Op welke dag van de week worden mutaties geboekt 5. Analyse van de worden in JP omschrijving Maar daarnaast ook: 1. Journaalposten met een lege omschrijving; 2. Journaalposten die mogelijk in de opvolgende periode worden gecorrigeerd; 3. Dubbele journaalposten; 4. Journaalposten geboekt op feestdagen; 5. Etc. etc.
  • 40. Voorbeeld COS 240 Scripts
  • 41. Voorbeeld COS 240 Scripts
  • 42. KEUZES DURVEN MAKEN OM GEGEVENSGERICHT TE CONTROLEN
  • 43. 2. Understand the business 3A. Asses minimum level of IC Reconsider audit engagement 4. Rank client 1. Client acceptance 5. Determine significant accounts and run GL data- analytics 7. Relate significant accounts to processes & controls 8B. Assess design & implementation relevant IC including application controls (if possible with process mining) ICT Complex ICT STANDARD 11. Perform data-validation and data-analysis 10C. Test relevant transactional controls around variables to be used in data-analytics, if not effective, or not rely 12. Perform other substantive procedures 13. Wrap up and evaluate the audit 6. Perform risk analysis based on the Coney Business & Audit Canvas Plantheauditperform 9. Evaluate level of IC Light 10B. Test relevant application controls , if possible with data-analytics 10A. Test relevant IT general controls 3B. Asses dependency and complexity IT If possible set up periodic assurance dashboard 8A. Assess design & implementation relevant IT general controls 10E. Perform test of controls around standards if used during audit (standard prices, standard rebates) (SOL vs IST analytics) Light 10D. Substantive testing of variables (IST) used for data-analytics based on sample (underlying support) Light Light Several Applications in Scope
  • 44. KEUZES DURVEN MAKEN OM GEGEVENSGERICHT TE CONTROLEN Niet-OOB SEGMENT BIJNA AANGEKOMEN BIJ DE KERN VAN DE CONTROLE – INZOOMEN OP 100% IST DATA DOOR: - TRENDANALYSES - IST / SOLL ANALYSES (toetsten aan NORMEN) - OMSPANNENDE VERBANDSCONTROLES MAAR DAN ONSTAAT ER EEN ENORM DEBAT IN PRAKTIJK OVER INPUT CONTROLS, BRONDATA versus STEEKPROEVEN EN DEELWAARNEMINGEN, dit NADAT ITGC en APPLICATION CONTROLS reeds zijn geëvalueerd
  • 46. > Verbandscontrole analyses > Cijfer- en trend analyses IST AOIC op transactieniveau SOLL DUS Inzetten steekproeven? CONEY mindset Keep it simple
  • 47. OF
  • 48. > Verbandscontrole analyses > Cijfer- en trend analyses IST Sluit IST Pverkoop aan op verkoopovereenkomsten DUS Inzetten steekproeven? Coney mindset Keep it Simple
  • 50. > Verbandscontrole analyses > Cijfer- en trend analyses IST Achterliggende Normen / uitgangspunten SOLL DUS CRUCIAAL!
  • 51. “KRACHT van GOEDE AUDIT is de EENVOUD IN SAMENHANG STAPPEN” D DA 1 DESIGNED SET OF DATA-ANALYTICS CONTROLS DA 2 DA 3 DA 4 DA 5 Relevant ITCG Relevant Applicatio n Controls Relevant Transactie gerelateerde Controles TEST IF POSSIBLE WITH PROCESS MINING and/ or DA TEST IF POSSIBLE WITH PROCESS MINING TEST IC Rondom Normen PLEIDOOI
  • 52. DURVEN OM MEERWAARE VOOR ONDERNEMINGEN WEER AANDACHT TE GEVEN (ANGST VOORBIJ)
  • 53. VISUALISATIE – STORY OF THE AUDIT Kennisdelen, luisteren, verbinden
  • 54. Advanced Analytics, Smart reporting DEBITEUREN ANALYSES KOMENDE DRIE – VIJF JAAR
  • 55. MEER AANDACHT VOOR VRAAGSTUK DATA KWALITEIT IN AUDIT
  • 56.
  • 59. Te CONTINUOUS BUSINESS ASSURANCE PLATFORM Bottom Up Data- Analytics Process Mining Visuali-zation (storttelling) Business In Control (Continuous Monitoring) Assurance (Continuous Auditing Continuous Reporting) Domein Domein ASSURANCE EVERYDAY RvT Invest ors Fiscus ORRvBFunds Audit technology Integratie “AI” Roboticering / Algoritmes Integrated FINANCIAL DATA OPERATIONAL DATAFISCAL DATA SUSTAINABILITY DATA Human Validation & Communication ACCESS POINTS
  • 60. Nieuwe kansen door volledige ontsluiting van data bestanden:  Assurance Everyday  Betrokkenheid van alle relevante stakeholders  Data Driven Assurance  Financiele data  Non financiele data  Aansluiten op internationale ontwikkelingen rondom integrated reporting (eg sustainability reporting)  Kansen voor koppeling met andere externe databestanden waardoor meer inzicht kan worden gekregen in het begrip/inzicht van de business, de risico’s in de bedrijfstak/markten e.d. alsook administratieve inzichten ( transactiefouten, fraudepatronen, data anomalien en breakdown van interne controles); dit is bijvangst maar kan waarde toevoegen.  het verschaffen van diepere en meer relevante inzichten in de financiele conditie en performance van het bedrijf. Dit wordt niet alleen voor het bedrijf maar vooral voor de stakeholders als investeerders etc steeds belangrijker  (nieuwe) audit vormen zoals social media audits, computing security audits etc etc
  • 61. Roadmap ahead! Tijdslijn LEIDERSCHAP WE NEED BOUWEN VAN PLATFORM SHOWCASE DATA DRIVEN COMPANIES 2017 INTEGRATIE OPLEIDINGEN IT SECURITY – EDP – AUDITING –DATA- SOFT SKILSS TU DELFT / EINDHOVEN meets NYENRODE 2018 2019 IT COMPANIES EN AUDIT FIRMS GAAN STRATEGISCH SAMENWERKEN EN GEZAMENLIJK INVESTEREN CONTINUOUS ASSURANCE STANDARDS By IFAC will be issued 305% OOB sector CONTINUOUS PLATFORM 2020 2023 We moeten onderdeel worden van het ECO systeem (worden) (blijven) en gezien worden als groep die het kunnen
  • 62. VOORBEELD: CONTINUOUS ASSURANCE – NON (SEC) FINANCIAL VISAFSLAG (API prijzen/ vissoort) SENSORDATA TYPE NETTEN VISSERBOOT GPSDATA VISSERBOTEN GREENPEACE REAL TIME DASHBOARD OVERBEVISSING NOORDZEE ALGORITME ASSURANCE DIENSTEN: - Inrichten dashboard - Assurance rondom data kwaliteit - Assurance rondom algoritme - Assurance rondom relevantie Overbevissing NORMEN
  • 63. Soft controlsJenn Lim, CEO Delivering Happiness
  • 66. BINNEN 5 - 8 JAAR
  • 67. Risk Assessments New Business Opportunities
  • 68. Integratie van Big Data en Internet Of Things data. ….het is druk op uw netwerk
  • 71. VOORBEELD RONDOM AOIC Simulatie Controle Raamwerk Obv Process mining Verbeteren werking processen & controls Oplossen bottlenecks Management Letter3.0 Impact complexiteit transacties
  • 73.
  • 74. ONDERWERPEN – WAT ZIJN DE HOT TOPICS IN ASSURANCE PRAKTIJK? 1. RISICO-ANALYSE en INITIELE CIJFERANALYSES – DATA DRIVEN 2. IT GENERAL CONTROLS & APPLICATION CONTROLS – LOSLATEN TE ZWARE THEORETISCH BENADERING 3. KLASSIEKE BENADERING AOIC IN DOMINANTE ICT OMGEVING 4. PROCESS MINING (NOG) ONBEKEND 5. FRAUDE VRAAGSTUK DYNAMISEREN (COS 240) 6. KEUZES DURVEN MAKEN OM GEGEVENSGERICHT TE CONTROLEN 7. DURVEN OM MEERWAARE VOOR ONDERNEMINGEN WEER AANDACHT TE GEVEN (ANGST VOORBIJ) 8. MEER AANDACHT VOOR DATA KWALITEIT NU:
  • 75. ONDERWERPEN – WAT ZIJN DE HOT TOPICS IN ASSURANCE PRAKTIJK? 1. CONTINUOUS MONITORING MEETS CONTINUOUS AUDITING 2. INRICHTEN VAN REAL-TIME BUSINESS ASSURANCE PLATFORMEN 3. INTEGRATIE VAN BIG DATA 4. ASSURANCE OP MAAT 5. JOINED ASSURANCE MET IT AUDIT, DATA QUALITY EXPERTS, HACKERS, EN ANDERE SPECIALISTEN 6. VERBREDING VAN DE ASSURANCE ROL – INTEGRATED REPORTING 3.0 7. ASSURANCE IN KETENS IN DE DISCUSSIE VOORUIT – ARENA VISIEGROEP STRAKS – NEW TECHNOLOGY 1. INTEGRATIE VAN PREDICTIVE ANALYTICS 2. VERDERE ONTWIKKELING SLIMME AUDIT ALGORITMES 3. INTEGRATIE VAN ARTIFICIAL INTELLIGENCE 4. ONTWIKKELING VAN DE BLOCKCHAIN (GLOBAL)

Editor's Notes

  1. Hierbij hebben we een voorbeeld in Lavastorm van de Adoop casus.
  2. Process Mining – de stappen Snap het proces, wat wil je bereiken (teken het proces uit) Bepaal wat je nodig hebt voor je event log Vraag de data op Vorm data om tot een event log (plat slaan) Inlezen in de process mining tool Analyse NB: onderschat het belang van stap 1 en 2 niet!
  3. Process mining, mogelijkheden. SOLL ist, Bottle Necks Ervaring met procuratie inkoopfacturen -> Autorisatie.
  4. We gaan weer controleren op basis van de geld goederen beweging van Starreveld. Basis modellen voor verschillende typologien
  5. Op een andere manier kijken naar de klant, verdieping van de analyses, nieuwe invalshoeken.
  6. Soft Controls steeds belangrijker en wel degelijk op invloed, maar hoe te meten en hoe zekerheid aan te ontlenen?
  7. Opstap naar predictive. Getraint om naar het verleden te kijken, hoe slag naar de toekomst.
  8. Ook grote bedrijven en anderen zijn bezig met de stip aan de horizon, hebben allemaal invloed op ons vak.
  9. Most data in digital universe = unstructurerd. Challenge: extract informatie and value! Fact: the digital universe and the physical universe are becoming more and more aligned