Veelgestelde vragen
In onderstaande rubrieken vind je antwoorden op veelgestelde vragen. Staat je antwoord er niet bij, neem dan contact met ons op en stel je vraag via de mail. 
Vragen omtrent het lidmaatschap en aanvraag RE-titel bij NOREA
Wat zijn de verschillende soorten lidmaatschappen bij NOREA?

NOREA kent vijf soorten lidmaatschappen:

  • Aspirant lid: Voor studenten of afgestudeerde Young Professionals die een erkende ITauditopleiding volgen of hebben afgerond, maar nog niet voldoen aan de ervaringseisen.
  • Geassocieerd lid: Voor professionals met affiniteit voor IT-audit, maar die niet aan de toelatingseisen voor het register voldoen.
  • Register lid (RE): Voor leden die voldoen aan alle toelatingseisen en zijn ingeschreven in het register.
  • Gepensioneerd lid
  • Erelid

Wat houdt het aspirant-lidmaatschap in?

Aspirant-leden zijn studenten of afgestudeerde Young Professionals van erkende post-master IT-auditopleidingen die nog niet aan de ervaringseis voldoen om als RE te worden ingeschreven. Ze kunnen deelnemen aan NOREA-activiteiten en profiteren van speciale bijeenkomsten voor Young Professionals.

Wat is het verschil tussen een geassocieerd lid en een aspirant-lid?

  • Aspirant-leden zijn gericht op toekomstige RE-registratie en volgen of hebben een door NOREA erkende IT-auditopleiding afgerond.
  • Geassocieerde leden hebben affiniteit met IT-audit, maar voldoen niet aan de toelatingseisen voor het register en zijn geen student aan een door NOREA erkende postmaster IT-auditopleiding.

Wat zijn de vereisten om RE te worden?

Om als Register EDP-auditor (RE) te worden ingeschreven, moet je voldoen aan drie hoofdvereisten:

  1. Diploma van een door NOREA erkende IT-auditopleiding.
  2. Verklaring Omtrent het Gedrag (VOG).
  3. Minimaal drie jaar aantoonbare voor een IT-auditor relevante werkervaring (minimaal 3 jaar × 1500 uur met een totaal van minimaal 4500 uur).

Welke opleidingen worden erkend door NOREA?
Hoeveel werkervaring is vereist voor RE-registratie?

U moet minimaal 3 jaar relevante werkervaring aantonen, wat neerkomt op minimaal 4500 uur, met voldoende variatie in uitgevoerde IT-audits en/of soortgelijke werkzaamheden zoals genoemd in deze FAQ. Deze ervaring moet worden ingevuld in het formulier en in het vereiste format (zie ook punt 9

hieronder) en onderbouwd met:
  • Uw werkzaamheden over de jaren die u als ervaringseis wilt laten meetellen. Uit de beschrijving moet de variatie van de uitgevoerde audits blijken.
  • Het type organisatie waar de werkzaamheden zijn uitgevoerd, uw rol daarbij, de periode en de uren besteed aan de opdracht.
  • Objecten en aspecten van de (audit-)werkzaamheden.
  • De periode waarin de werkzaamheden zijn uitgevoerd (tijdsbesteding aan betreffende activiteit) en het percentage waarin deze werkzaamheden voor de ervaringseis volgens u meetellen.
  • Ondertekening door uw ex-werkgever of huidige werkgever(s). Indien de werkgever geen RE is, wordt afzonderlijke ondertekening van een RE gevraagd. Ook een RA mag tekenen als deze kan onderbouwen vanuit zijn samenwerking met de kandidaat dat de genoemde werkzaamheden zijn uitgevoerd.
  • Wie uw referenties zijn om uw aanvraag eventueel te laten verifiëren door de Commissie van Toelating en vermeld de relatie met de aanvrager.

Welke IT-audituren en/of soortgelijke werkzaamheden zoals genoemd in deze Veelgestelde vragen tellen mee?

Er bestaat geen uitputtende of volledige vermelding van alle IT-audit gerelateerde werkzaamheden. Veel rollen, taken en werkzaamheden, meestal gerelateerd aan IT-beveiliging en interne beheersing van IT, kunnen relevant zijn voor de werkervaring en daarmee voor het voldoen aan de eis van 3 jaar werkervaring en 4500 uur. De kandidaat wordt uitgenodigd dit aan de Commissie van Toelating duidelijk te maken. De volgende typen werkzaamheden, niet gelimiteerd tot aan onderstaande, worden o.a. door NOREA erkend als relevante auditervaring:

1. IT-assurance en certificeringen
  • ISAE / ISRS / SOC-rapportages
    - ISAE 3000: AI Assurance, AI Act Compliance, CSRD
    - ISAE 3402
    - ISRS 4400: Maturity assessments obv DNB good practice Informatiebeveiliging, DORAassessments, NIS2 (Cbw)-assessments, etc
    - SOC 1 / SOC 2 / SOC 3
  • ISO-audits op informatiebeveiliging
    - ISO 27001 (Information Security Management)
    - ISO 42001 (AI Management Systems)
    - ISO 22301 (Business Continuity Management)
  • Plannen, beoordelen en testen van control frameworks (Richtlijn 2400) en risicoanalyses
  • Rapporteren over interne beheersingsstelsels van organisaties
2. IT-auditopdrachten binnen accountantskantoren
  • IT General Controls (ITGC’s)
    - Beoordeling van IT-processen die invloed hebben op financiële betrouwbaarheid
  • Fusies en overnames (Due diligence)
    - IT-risicoanalyse en systeembeoordeling
  • Data-analyse
    - Analyse van journaalposten, transactiestromen, logbestanden
    - Beoordeling van ETL-processen
    - Big Data processing
    - Data visualisation
    - RPA
    - OCR assessment
    - Cloud computing
    - Blockchain
    - Quantum computing
    - Neural network algorithms
    - Machine learning algorithms
  • (Door)ontwikkeling van frameworks of toetsingskaders
  • Quality Assurance / Quality Control bij IT-programma’s
  • Overige rapportages zoals management letters en IT-adviesrapportages
    Privacy assessments (AVG/GDPR)
    - Technische beoordeling van datamanagement en datakwaliteit
    - AP-assessments
  • Forensisch IT-werk
  • Uitvoeren van penetratietesten en aanverwante testen
3. IT-auditopdrachten bij andere organisaties
  • Interne audits op IT-processen
    - Toegangsbeheer, change management, IT-operations, cybersecurity
  • Compliance-audits
    - NIS2, BIO, AVG, DigiD, DNB good practice Informatiebeveiliging
  • Adviserende opdrachten
    - Volwassenheidsassessments
    - Risicoanalyses
    - Second opinions op IT-projecten
  • IT-audits in de publieke sector
    - Gemeenten, ministeries, ZBO’s
  • Onderzoek/inspectie door toezichthouders
    - Beheersing van IT, resulterend in rapportages
  • (Door)ontwikkeling van frameworks of toetsingskaders
  • Quality Assurance / Quality Control bij IT-programma’s
4. Werkzaamheden binnen financial audits / jaarrekeningcontrole
  • RA-werkzaamheden met IT-componenten
    - Controle van geautomatiseerde processen (order-to-cash, purchase-to-pay)
    - Beoordeling van ITGC’s en application controls
    - Data-analyse en geautomatiseerde audittools
    - Interim-controle: planning, risicoanalyse, testwerk, rapportage
    - Medeopsteller van IT-bevindingen in management letter of accountantsverslag
  • IT-Werkzaamheden ex 2:393 lid 4 BW
    - ITGC-testing, application controls testing
    - System of quality management testing
    - Business continuity assessments
  • IT-Werkzaamheden ex Richtlijn 315
    - Risk assessment, test of controls
  • IT-Werkzaamheden ex Richtlijn 520/530
    - Substantive analytical procedures
    - Test of details
    - Journal entry testing
    - Reporting and disclosures testing
5. Specifiek voor toezichthouders
  • Ontwikkelen van ICT-frameworks of ICT-toetsingskaders – waaronder, maar niet beperkt tot het (door-) ontwikkelen van frameworks of toetsingskaders die voor toezicht worden gebruikt (denk aan standaarden maar ook aan meeschrijven aan RTS/ITS)
  • Onderzoek/inspectie uitgevoerd door een toezichthouder op:
    - De beheersing van IT
    - Assessment derde partij risico en beheersing van (AI-) algoritmes (denk ook aan het algoritme register)
    - Maturity assessments (MiCar, DORA, NIS2, DNB good practice Informatiebeveiliging, etc), maar ook (de beoordeling van) datamanagement- en kwaliteit in opnemen
    - Uitmondend in een brief of rapport. Dit kan zijn het vervaardigen van instelling specifieke en/of publieke toezicht rapportages en/of andersoortige publieke uitingen
    - Uitvoeren van Red Teaming testen zoals TLPT, TIBER en ART
    - Forensisch IT-werk
6. Specifiek voor Assurance-, (C)ISO- e/o (IT) Riskmanagers
  • Ontwikkelen van (interne) ICT-frameworks of (ICT)-toetsingskaders
  • IT General Controls (ITGC’s)
    - Beoordeling van IT-processen die invloed hebben op financiële betrouwbaarheid
    - Uitvoeren van maturity assessments (MiCar, DORA, NIS2, DNB good practice Informatiebeveiliging, etc), maar ook (de beoordeling van) datamanagement- en kwaliteit in opnemen
  • Voorwerk ter voorbereiding op bijvoorbeeld:
    - externe ISAE3000, ISEA3402, ISO27000, BIO of NEN7510 audits
    - Maturity assessments (MiCar, DORA, NIS2, DNB good practice Informatiebeveiliging, etc), maar ook (de beoordeling van) datamanagement- en kwaliteit in opnemen
  • Opstellen beleid, kaders en structuur waaronder risicostrategieën op basis van wetgeving (bv. DORA, AI-act of NIS2)
  • Ontwikkelen van NFR of ERM-frameworks
  • Adviserende opdrachten
    - Volwassenheidsassessments
    - Risicoanalyses
    - Second opinions op IT-projecten
Let op: bovenstaande voorbeelden zijn indicatief. Er zijn geen vaste uren aan gekoppeld.

 Hoe verloopt de toelatingsprocedure tot het register?

De Commissie van Toelating beoordeelt:

  • Opleidingsdiploma
  • Werkervaring (volgens format)
  • VOG
Na goedkeuring wordt het besluit openbaar gemaakt. Er geldt een bezwaartermijn van twee maanden.

Waar vind ik het format voor de werkervaringsbeschrijving?