Collegenotes & Samenvatting - Data Analytics & process mining
64 views 3 purchases
Course
Data Analytics & Process Mining
Institution
Erasmus Universiteit Rotterdam (EUR)
Book
Auditing and Assurance Services, Global Edition
Dit document bevat alle aantekeningen van de 9 colleges + de bijbehorende samenvatting van de relevante hoofdstukken uit Elder et al met passende voorbeelden.
Test Bank For Auditing And Assurance Services, 17th Edition, Alvin A Arens, Randal J Elder, Mark S Beasley, Chris E Hogan: ISBN-013517614X ISBN-13 978-0135176146, A+ guide.
Test Bank For Auditing And Assurance Services, 17th Edition, Alvin A Arens, Randal J Elder, Mark S Beasley, Chris E Hogan: ISBN-1292311983 ISBN-13 978-1292311982, A+ guide.
[TEST BANK] AUDITING AND ASSURANCE SERVICES, 17TH EDITION BY ARENS, ELDER, BEASLEY, HOGAN.pdf
All for this textbook (6)
Written for
Erasmus Universiteit Rotterdam (EUR)
Post-Master IT Audit & Advisory
Data Analytics & Process Mining
All documents for this subject (2)
Seller
Follow
Tilburgstudent
Reviews received
Content preview
Data Analytics (Summary)
Lecture notes, Studybook & Academic papers
Lecturer : Various
Exams : 2 (Huiswerkopdrachten + schriftelijk tentamen).
Data Analytics College 1 – Introductie
Datum : 31-03 & 26-05
Subject : Data Analytics
Lecturer : D. Suijkerbuijk
Tentamen:
Tentamen bestaat uit 2 delen (1) Huiswerkopdrachten en (2) schriftelijk tentamen
De huiswerkopdrachten zijn gericht op het gebruik van SQL (colleges 1 – 3) Inleverdatum
is 14-05-2023. Casus wordt plenair besproken op 09-06-2023 (13:30 – 16:30)
Het tentamen is een schriftelijk tentamen m.b.t. Process mining (colleges 4 - 7). Het
tentamen wordt afgenomen op 09-06-2023 (10:00 – 12:00)
Zowel (1) Tentamen als (2) huiswerkopdrachten moeten afgesloten met > 5.5
College 1 is een opfrisser van een aantal eerder behandelde onderwerpen (1) Access Paths, (2)
DBMS Audit.
(1) Access Paths:
Access Paths geven aan hoe een gebruiker toegang krijgt tot data. Access paths worden
gebruikt voor het bepalen van de reikwijdte (i.e. SCOPE) van een audit. De Access path in kaart
brengen helpt de gebruiker om: (a) inzichtelijk te krijgen welke mitigerende controls er zijn (i.e.
firewalls) maar ook (b) om inzicht te krijgen in de complexiteit van de IT-infrastructuur.
Inzicht over access paths kan worden verkregen door interviews (walkthroughs)- aangevuld met
: Applicatie – en infrastructuur landschap-documentatie (i.e. architectuurplaat), beleid,
standaarden, technische design documentatie, procesdocumentatie etc. Informatie wordt
gevalideerd door inspectie van documentatie en systemen (waar mogelijk). De scope van de
audit kan o.b.v. hiervan aangepast worden in samenwerking met de klant als de informatie niet
blijkt te kloppen. Een access path kan als volgt worden weergegeven:
Figure 1: een eindgebruiker heeft Meestal een bepaalde rol/plek binnen de organisatie
(organisatieniveau), op basis van zijn/haar rol maakt deze persoon uit van individuele bedrijfsprocessen
waarbij men applicaties gebruikt om dagelijkse werkzaamheden uit te voeren (Bedrijfsprocesniveau).
Middels deze applicaties zoals een Database Management System of DBMS (MySQL/ORACLE) kan een
eindgebruiker interacteren met de database en andere delen van de IT-infrastructuur (Technisch IT
niveau / Databaseniveau).
,Als we kijken naar een accesspath voor het scopen van onze audit krijgen we het volgende
overzicht:
Figure 2: Access paths als deel van scoping van audit.
(2) Executing a DBMS Audit:
Een DBMS audit voeren we uit op basis van een baseline en/of framework. Juist daarom is het
belangrijk te snappen wat het verschil is tussen een DBMS Audit Framework en een DBMS
Baseline.
Een DBMS Audit Framework: bevat veelal generieke IT Controls op DBMS niveau,
welke moeten zijn afgestemd op bedrijfsbeleid. Het audit framework heeft betrekking op
proces- (hoe wordt het uitgevoerd) en procedure (i.e. vastlegging van) niveau
Een DBMS Baseline is specifiek voor een specifiek stuk (of versie) van technologie denk
hierbij aan de CIS benchmarks. Maar ook baselines moeten afgestemd worden met
bedrijfsbeleid. De implementatie hangt af van de infrastructuur, hard- en software en
bevat vaak geadviseerde technische instellingen/ technologie-specifieke acties die het
product veilig maken.
Framework topics:
Lifecycle Management (i.e. versiebeheer) inclusief change management
Vulnerability Management (vulnerability scanning, IT Security Compliance monitoring &
Patch management)
Access management: Joiners/Movers/leavers, Account- en authorisatie review (High
Privileged accounts en standaard/default accounts), authenticatie-mechanismes
(wachtwoordcontrols en netwerktoegang), Role Based Access Controls en Public
Permissions
Logging & Monitoring
Operating System & DBMS Hardening
Data encryptie (tijdens data opslag of Data at rest- en datatransmissie of data in transit)
Capacity & Performance Management
Governance Segregation of duties of SoD tussen System Admins en Data Admins- en
logische SoD binnen de DBMS.
Beschikbaarheid en Continuïteit zijn dus NIET HETZELFDE. Bij beschikbaarheid wordt
vastgesteld of alleen het systeem beschikbaar (i.e. benaderbaar) is onafhankelijk van of er data
in zit/bestaat. Continuïteit betekent dat niet alleen het systeem beschikbaar is- maar ook de
noodzakelijke data in het systeem er is. Bij beschikbaarheid spreken we dus over Redundantie
of overtolligheid. Een voorbeeld hiervan is dat een applicatie ook op een back-up server draait,
als de hoofd-server niet meer functioneert. Continuïteit vallen back-ups onder. Een back-up is
nooit redundant en dus betreft continuiteit en geen beschikbaarheid.
(3) Root Cause Analysis:
Tijdens de DBMS-audit kunnen zaken opvallen of observations. Zodra een observatie is
vastgesteld moet worden gevalideerd of de observatie resulteert in: (1) Een exceptie, (2)
Beheerst risico (door compenserende controls) , (3) geaccepteerd risico in het kader van
company policy.
Als we een observatie hebben is het goed om een Root Cause Analysis op te stellen om vast
te stellen of er ineffectieve/ontbrekende governance processen zijn- en de reden waarom
(3) Impact Assessment:
Indien er een observatie is vastgesteld is het belangrijk dat een degelijke impact assessment
wordt gedaan om te kijken wat de invloed is van een observatie op de audit en dus de
observatie gaat resulteren in een bevinding of finding. Op basis van de bevinding wordt
bepaald welke aanvullende werkzaamheden worden uitgevoerd om het risico in te perken. Bij
het bepalen van een observatie binnen een DBMS audit, moet men nadenken over:
Toegang tot de DBMS, als er een account was die had moeten worden
gesloten/verwijderd. Dan moet worden bepaald: (1) Wat de toegangsrechten zijn van dit
account, (2) of het account nog is gebruikt (na uitdiensttredingsdatum) en (3) of het
account is gebruikt voor het uitvoeren van specifieke transacties.
Generieke accounts DBMS: Als er generieke accounts en/of admin accounts bestaan met
een standaard-wachtwoord zijn deze dan wel geactiveerd?
Als logs direct worden weggeschreven op de database is er dan een log-entry hiervan?
Of is dit mechanisme uitgezet? Is er een SIEM-oplossing die hierop controleert?
Zijn er mitigerende controls die de impact & waarschijnlijkheid van het risico imperken?
, Data Analytics College 2 & 3– Introductie
datanalyse
Datum : 14-04-2023
Subject : Data Analytics
Lecturer : P. Batenburg
Data-analyse is een containerbegrip welke stilstaat bij het toepassen van
(kunstmatige-)intelligentie voor de interpretatie van gegevens om een uitspraak te doen over
een verantwoording en/of een poging tot inventarisatie. Maar controlestandaarden (ISA/NV-
COS) geven géén officiële definitie van data-analyse en hoe data-analyse controlezekerheid
oplevert. Dit is in tegenstelling tot gegevensgerichte controle welke sterk is gereguleerd.
Belangrijk is dat Data-analyse niet gelijk is aan een gegevensgerichte controle:
Een gegevensgerichte controle is volgens de SRA en NBA gedefinieerd als: een
controlemaatregel die is opgezet om afwijkingen van materieel belang op het niveau van
beweringen te detecteren. Gegevensgerichte controles bestaan uit: (1) detailcontroles
(van transactiestromen, rekeningsaldi en in de financiële overzichten opgenomen
toelichtingen); en (2)gegevensgerichte cijferanalyses;
Een Data-analyse biedt de accountant een hulpmiddel om diepgaande kennis van
processen en transacties te verkrijgen en trends te herkennen. Dit om vervolgens te
bepalen wat de controlerisico’s zijn en de juiste controle-informatie te verzamelen.
Het grootste verschil tussen Data-analyse en een gegevensgerichte controle is het DOEL. Waar
gegevensgerichte controle gericht is op het vinden van afwijkingen van materieel belang- is
Data-analyse gericht op het verkrijgen van inzichten en herkennen van trends in een
Dataset. Bij Data-analyse is vaak sprake van een steekproef- en niet elke uitzondering in de
dataset is fout- of elke fout in de dataset is een uitzondering . Dit is wél het geval bij een
gegevensgerichte controle. Het probleem is 2-ledig: (1) Controlestandaarden geven geen
houvast hoe en of data-analyse controlezekerheid geeft en (2) bij gegevensgerichte controle is
er geen houvast om te bepalen wanneer men voldoende werk heeft gedaan om een gedegen
oordeel te geven. De hoeveelheid controlewerk wordt bepaald door de materialiteit en
gelopen risico, maar een solide maatstaf of formule om de hoeveelheid werk te bepalen is er
niet. ADA of Audit Data Analytics geeft de auditor de mogelijkheid om een analyse uit te
voeren over een grote hoeveelheid complexe data soms 100% van de populatie. Terwijl
Gegevensgerichte controle het toetsen is van verantwoorde gegevens aan de norm.
TIP 1 : Sorteer altijd de populatie o.b.v. omvang
TIP 2 : Bepaal mechanisme waarmee je steekproef steekt en bepaal of deze
representatief is voor de omvang.
Voorbeeld 1 – Euro-steekproef:
The benefits of buying summaries with Stuvia:
Guaranteed quality through customer reviews
Stuvia customers have reviewed more than 700,000 summaries. This how you know that you are buying the best documents.
Quick and easy check-out
You can quickly pay through credit card or Stuvia-credit for the summaries. There is no membership needed.
Focus on what matters
Your fellow students write the study notes themselves, which is why the documents are always reliable and up-to-date. This ensures you quickly get to the core!
Frequently asked questions
What do I get when I buy this document?
You get a PDF, available immediately after your purchase. The purchased document is accessible anytime, anywhere and indefinitely through your profile.
Satisfaction guarantee: how does it work?
Our satisfaction guarantee ensures that you always find a study document that suits you well. You fill out a form, and our customer service team takes care of the rest.
Who am I buying these notes from?
Stuvia is a marketplace, so you are not buying this document from us, but from seller Tilburgstudent. Stuvia facilitates payment to the seller.
Will I be stuck with a subscription?
No, you only buy these notes for $6.69. You're not tied to anything after your purchase.
